Hvad er A2P-beskeder?
A2P, eller application-to-person messaging, er enhver form for trafik, hvor en person modtager beskeder fra en applikation. Det lyder vagt, men tro mig, det er det ikke! Eksempler på A2P-beskeder er marketingbeskeder, påmindelser om aftaler, notifikationer, chatbots og one time passwords (OTP'er). Bruger din virksomhed nogen af disse funktioner? Så sender du A2P-beskeder til dine kunder! A2P-messaging kan foregå på en lang række (messaging- og voice-) kanaler og på mange forskellige måder. Hvilket også gør det til et sårbart mål for svindel.
Hvad er svindel med A2P-beskeder?
For hvert nyt teknologisk fremskridt, platform og proces vil der være kriminelle, der forsøger at udnytte det. Svindel med A2P-beskeder sker ofte via grå ruter - beskedtrafikruter, der går ind i et telekommunikationsnetværk, som ikke er godkendt af en MNO (mobilnetværksoperatør) - for at omgå legitime beskedkanaler. Disse grå ruter er en mellemting mellem hvide ruter, hvor både kilden og modtageren er godkendt, og sorte ruter, hvor både kilden og modtagerne er ulovlige.
Både du som virksomhed og dine kunder kan være mål for svindel med A2P-beskeder. Det er vigtigt, at både dine medarbejdere og dine kunder (forbrugere) ved, hvordan man genkender svindel med A2P-beskeder - og handler derefter.
Læs, hvordan du beskytter dine kunder mod svindel med beskeder >
For bedre at forstå truslerne mod din virksomhed og dine medarbejdere, lad os tage et kig på de mest almindelige tilfælde af svindel i A2P-beskeder, og hvilke foranstaltninger der kan træffes for at minimere truslen.
Almindelige svindeltyper ved A2P-beskeder
Kompromittering af konti
En kompromitteret konto er en konto, som uautoriserede brugere har fået adgang til med loginoplysninger. I bund og grund har en svindler enten fået adgang til loginoplysninger eller været i stand til at "knække" dem for at få adgang til (en af) dine virksomhedskonti. Det gør de for at få fat i kontooplysninger, finansielle oplysninger, personlige data eller alle mulige andre oplysninger, som burde være fortrolige. Hvis du er meget uheldig, vil disse hackere endda ændre login-oplysningerne, så du i bund og grund bliver låst ude af dine egne konti. Det er selvfølgelig en kæmpe krænkelse af privatlivets fred, og konsekvenserne kan være meget ubehagelige. Svindlere kan lave ravage med en kompromitteret konto.
Kompromittering af tokens
Moderne applikationer og software bruger ofte JSON Web Tokens (JWTs) til at administrere brugersessioner og autentificering - og dette token kan kompromitteres af hackere. Webudviklingstokens er en streng af tal eller bogstaver, der repræsenterer et sessions-id. Det bruges til at identificere og huske brugere. JWT er dog tokens, der også indeholder brugerdata. Det betyder også, at hvis din JSON Web Token bliver stjålet, er det et stort problem. Stjålne eller kompromitterede JSON Web Tokens vil give hackerne fuld adgang til kontoen, på samme måde som hvis de i stedet havde kompromitteret kontoen.
SMS 'Pumping' eller kunstig høj trafik
I SMS pumping, traffic pumping eller Artificially Inflated Traffic (AIT) udnytter svindlere automatiserede log-in-systemer til at udløse kraftige stigninger i trafikken til numre, de ejer, eller til en række numre, der kontrolleres af en bestemt mobilnetværksoperatør (MNO), som de konspirerer med. De kriminelle høster en del af de indtægter, der genereres på denne måde, men CM.com-kontoindehaveren kommer til at betale regningen.
Læs mere om SMS Pumping >
Svindel med afgiftssvindel
Ved afgiftssvindel går kriminelle målrettet efter telefonbekræftelsessystemer for at generere en stor mængde taleopkald til betalingsnumre, som opkræver en pris pr. opkald eller pr. minut. Hvis sådanne opkald genereres svigagtigt fra din(e) hjemmeside(r), vil du og din virksomhed skulle betale for det.
Læs mere om afgiftssvindel >
Hvordan forebygger man svindel med A2P-beskeder?
At blive udsat for svindel, eller endnu værre, at blive offer for svindel, er utroligt ubehageligt for alle involverede, og det kan virkelig skade (navnet på) en virksomhed. Men fortvivl ikke endnu - du kan træffe foranstaltninger til at minimere truslerne.
Uddan medarbejderne
Du kan opstille en lang liste af sikkerhedsforanstaltninger, men det vil være forgæves, hvis dine medarbejdere tøver med at tage disse (ekstra) sikkerhedstrin. Uddan dine medarbejdere i din sikkerhedspolitik, og giv dem retningslinjer for, hvordan de identificerer ovenstående A2P-trusler. Fortæl dem, at din virksomhed aldrig vil sende bestemte beskeder (f.eks. beskeder, der beder om personlige data), og fortæl dem, hvor de skal rapportere mistænkelige beskeder, de får.
Når medarbejderne ser værdien af databeskyttelse - og når de ved, hvad de skal holde øje med - bliver de mere opmærksomme og villige til at tage de ekstra (sikkerheds)skridt.
Læs de bedste fremgangsmåder til implementering af sikkerhedsforanstaltninger >
Implementer 2FA (to-faktor-autentificering)
To-faktor-autentificering (2FA) er en almindelig type MFA (Multi-Factor Authentication), der kræver to identifikationsfaktorer for at verificere brugerens identitet. Identifikationsfaktorerne er:
Noget en bruger ved, som en PIN-kode eller et svar på et hemmeligt spørgsmål
Noget, en bruger har, f.eks. en engangskode (OTP) leveret via SMS-besked
Noget en bruger er, som kan omfatte fingeraftryk og ansigtsgenkendelse
2FA bruges i mange forskellige brancher og på mange forskellige (besked)kanaler, hvilket gør det til et effektivt middel mod svindel med beskeder.
Læs om 2FA på alle de forskellige meddelelseskanaler >
Hvis du implementerer 2FA, får både dine medarbejdere og dine kunder et ekstra lag sikkerhed, og sandsynligheden for uautoriseret adgang mindskes i forhold til en konto, der kun er beskyttet med brugernavn og adgangskode.
Brug en pålidelig Messaging-udbyder
Reputable messaging providers (like CM.com) will have fraud prevention measures implemented within their software. This will ensure safety for your business A2P messaging endeavors.
Overvåg trafikken
Overvågning af meddelelsestrafikken hjælper dig med at identificere og håndtere usædvanlige mønstre, såsom trafikstigninger og usædvanligt meddelelsesindhold. Anerkendte Business Service Providers (BSP'er) som CM.com tilbyder også indbyggede alarmer for usædvanlige trafikmængder.
Brug hastighedsbegrænsning
Du kan også anvende hastighedsbegrænsning, som er en strategi til at begrænse netværkstrafikken. Det implementerer et loft for, hvor ofte nogen kan gentage en bestemt handling inden for en tidsramme - for eksempel at forsøge at logge ind på en konto. Det vil hjælpe med at stoppe ondsindet botaktivitet fra at forsøge at få adgang.
Tilføj reCAPTCHA
reCAPTCHA (ejet af Google) gør det muligt at skelne mellem menneskelig og automatiseret adgang til hjemmesider. Den findes i mange forskellige variationer, fra at finde former i et billede og matche billeder til at tyde svært læselig tekst. reCAPTCHA vil forhindre hackernes forsøg på at få adgang til din hjemmeside eller dine konti via automatiserede programmer.
A2P-beskeder via CM.com
Vi tilbyder (A2P) business messaging på flere kanaler via vores Communications Platform eller via vores integrerede Mobile Service Cloud og Mobile Marketing Cloud-software. Vi tilbyder også en OTP-løsning (one-time-password), som hjælper dig med at opsætte dine egne 2FA-databeskyttelsesforanstaltninger. Vil du vide, hvilke foranstaltninger vi træffer for at beskytte dine data mod (online)trusler? Besøg vores trust center.
Vi håber, at denne blog har givet dig en idé om risiciene ved A2P Messaging, og hvad du kan gøre for at afbøde dem. Hvis du har spørgsmål, er du velkommen til at kontakte en af vores eksperter. Vi er glade for at kunne hjælpe.