Zurück zum Blog
Der Schutz von Unternehmensdaten vor Sicherheitsbedrohungen sollte für jedes moderne Unternehmen ganz oben auf der Prioritätenliste stehen. Vor allem, da der A2P-Betrug (Application-to-Person Messaging) immer mehr zunimmt. Lesen Sie alles über die verschiedenen Arten von A2P-Betrug und welche Schritte Sie unternehmen können, um nicht das nächste Opfer zu werden.
A2P, oder Application-to-Person Messaging, ist jede Art von Verkehr, bei dem eine Person Nachrichten von einer Anwendung erhält. Klingt vage, aber glauben Sie mir, das ist es nicht! Beispiele für A2P-Messaging sind Marketingnachrichten, Terminerinnerungen, Benachrichtigungen, Chatbots und Einmalpasswörter (OTPs). Verwendet Ihr Unternehmen eine dieser Funktionen? Dann betreiben Sie A2P-Messaging mit Ihren Kunden! A2P-Messaging kann über eine Vielzahl von (Messaging- und Sprach-)Kanälen und auf viele verschiedene Arten erfolgen. Das macht sie auch zu einem anfälligen Ziel für Betrug.
Mit jedem neuen technologischen Fortschritt, jeder neuen Plattform und jedem neuen Verfahren gibt es auch Kriminelle, die versuchen, diese auszunutzen. A2P-Messaging-Betrug erfolgt häufig über graue Routen - Messaging-Verkehrsrouten, die in ein Telekommunikationsnetz führen, das nicht von einem Mobilfunknetzbetreiber (MNO) sanktioniert ist - um legitime Messaging-Kanäle zu umgehen. Diese grauen Routen sind der Mittelweg zwischen weißen Routen, bei denen sowohl die Quelle als auch der Empfänger sanktioniert sind, und schwarzen Routen, bei denen sowohl die Quelle als auch die Empfänger illegal sind.
Sowohl Sie als Unternehmen als auch Ihre Kunden können Ziel von A2P-Nachrichtenbetrug sein. Es ist wichtig, dass sowohl Ihre Mitarbeiter als auch Ihre Kunden (Verbraucher) wissen, wie sie A2P-Messaging-Betrug erkennen können - und entsprechend handeln.
Um die Gefahren für Ihr Unternehmen und Ihre Mitarbeiter besser zu verstehen, werfen wir einen Blick auf die häufigsten Fälle von Betrug beim A2P-Messaging und welche Maßnahmen ergriffen werden können, um die Gefahr zu minimieren.
Ein kompromittiertes Konto ist ein Konto, auf das unbefugte Benutzer mit Anmeldedaten zugreifen. Im Grunde hat ein Betrüger entweder Zugang zu den Anmeldedaten oder konnte sie "knacken", um Zugang zu (einem) Ihrer Geschäftskonten zu erhalten. Sie tun dies, um an Kontoinformationen, Finanzinformationen, persönliche Daten oder alle anderen Informationen zu gelangen, die vertraulich sein sollten. Wenn Sie sehr viel Pech haben, ändern diese Hacker sogar Ihre Anmeldedaten und sperren Sie im Grunde aus Ihren eigenen Konten aus. Das ist natürlich ein großer Verstoß gegen den Datenschutz, und die Folgen können sehr unangenehm sein. Betrüger können mit einem kompromittierten Konto verheerenden Schaden anrichten.
Moderne Anwendungen und Software verwenden häufig JSON-Web-Tokens (JWTs) zur Verwaltung von Benutzersitzungen und zur Authentifizierung - und dieses Token kann von Hackern missbraucht werden. Web-Entwicklungs-Tokens sind eine Reihe von Zahlen oder Buchstaben, die eine Sitzungs-ID darstellen. Sie werden verwendet, um Benutzer zu identifizieren und sich an sie zu erinnern. JWT hingegen sind Token, die auch Benutzerdaten enthalten. Das bedeutet auch, dass es ein großes Problem darstellt, wenn Ihr JSON-Web-Token gestohlen wird. Gestohlene oder kompromittierte JSON-Web-Tokens geben den Hackern vollen Zugriff auf das Konto, so wie sie es auch tun würden, wenn sie stattdessen das Konto kompromittiert hätten.
Beim SMS-Pumping, Traffic-Pumping oder Artificially Inflated Traffic (AIT) nutzen Betrüger automatisierte Anmeldesysteme, um den Datenverkehr zu Nummern, die ihnen gehören, oder zu einer Reihe von Nummern, die von einem bestimmten Mobilfunknetzbetreiber (MNO) kontrolliert werden, mit dem sie konspirieren, stark ansteigen zu lassen. Die Kriminellen erhalten einen Anteil an den auf diese Weise erzielten Einnahmen, aber der Inhaber des CM.com-Kontos muss die Rechnung bezahlen.
Beim Mautbetrug zielen Kriminelle auf Telefonverifikationssysteme ab, um ein hohes Volumen an Anrufen zu Mehrwertdienstnummern zu generieren, die den Anrufern einen Preis pro Anruf oder pro Minute in Rechnung stellen. Wenn solche Anrufe in betrügerischer Absicht von Ihrer(n) Website(s) aus getätigt werden, fallen die Kosten auf Sie und Ihr Unternehmen zurück.
Zielscheibe oder, schlimmer noch, Opfer eines Betrugs zu werden, ist für alle Beteiligten äußerst unangenehm und kann dem (Namen) eines Unternehmens wirklich schaden. Aber verzweifeln Sie nicht gleich - Sie können Maßnahmen ergreifen, um die Gefahren zu minimieren.
Sie können eine lange Liste von Sicherheitsmaßnahmen aufstellen, aber es wird vergeblich sein, wenn Ihre Mitarbeiter zögern, diese (zusätzlichen) Sicherheitsmaßnahmen zu ergreifen. Klären Sie Ihre Mitarbeiter über Ihre Sicherheitsrichtlinien auf und geben Sie ihnen Hinweise, wie sie die oben genannten A2P-Bedrohungen erkennen können. Lassen Sie sie wissen, dass Ihr Unternehmen bestimmte Nachrichten (z. B. solche, in denen nach persönlichen Daten gefragt wird) niemals verschicken würde, und sagen Sie ihnen, wo sie verdächtige Nachrichten melden können, die sie erhalten.
Wenn die Mitarbeiter den Wert des Datenschutzes erkennen - und wenn sie wissen, worauf sie achten müssen -, werden sie aufmerksamer und bereit sein, diese zusätzlichen (Sicherheits-)Schritte zu unternehmen.
Die Zwei-Faktor-Authentifizierung (2FA) ist eine gängige Art der MFA (Multi-Faktor-Authentifizierung), bei der zwei Identifikationsfaktoren erforderlich sind, um die Identität des Benutzers zu überprüfen. Die Faktoren der Identifizierung sind:
Etwas, das ein Benutzer weiß, wie eine PIN oder eine Antwort auf eine geheime Frage
Etwas, das ein Benutzer besitzt, wie ein Einmal-Passwort (OTP), das per SMS zugestellt wird
Etwas, das ein Benutzer ist, z. B. Fingerabdrücke und Gesichtserkennung
2FA wird in verschiedenen Branchen und über eine Vielzahl von (Messaging-)Kanälen eingesetzt und ist damit eine wirksame Maßnahme gegen Messaging-Betrug.
Die Implementierung von 2FA fügt sowohl für Ihre Mitarbeiter als auch für Ihre Kunden eine zusätzliche Sicherheitsebene hinzu und verringert die Wahrscheinlichkeit eines unbefugten Zugriffs im Vergleich zu einem Konto, das nur durch einen Benutzernamen und ein Passwort geschützt ist.
Seriöse Messaging-Anbieter (wie CM.com) haben in ihrer Software Maßnahmen zur Betrugsprävention implementiert. Dies gewährleistet die Sicherheit Ihrer geschäftlichen A2P-Messaging-Bemühungen.
Die Überwachung des Messaging-Verkehrs hilft Ihnen, ungewöhnliche Muster, wie z. B. Verkehrsspitzen und ungewöhnliche Nachrichteninhalte, zu erkennen und zu behandeln. Seriöse Business Service Provider (BSP) wie CM.com bieten auch integrierte Warnmeldungen für ungewöhnliche Verkehrsvolumen.
Sie können auch die Ratenbegrenzung einsetzen, eine Strategie zur Begrenzung des Netzwerkverkehrs. Dabei wird eine Obergrenze dafür festgelegt, wie oft jemand eine bestimmte Aktion innerhalb eines bestimmten Zeitraums wiederholen kann - zum Beispiel den Versuch, sich bei einem Konto anzumelden. So wird verhindert, dass bösartige Bot-Aktivitäten versuchen, Zugang zu erhalten.
reCAPTCHA (Eigentum von Google) ermöglicht es Ihnen, zwischen menschlichem und automatisiertem Zugriff auf Websites zu unterscheiden. Es gibt viele verschiedene Varianten, von der Suche nach Formen in einem Bild und passenden Bildern bis hin zur Entschlüsselung von schwer lesbarem Text. reCAPTCHA verhindert die Versuche von Hackern, über automatisierte Programme auf Ihre Website oder Konten zuzugreifen.
Wir bieten (A2P) Business Messaging auf mehreren Kanälen über unsere Kommunikationsplattform oder über unsere integrierte Mobile Service Cloud und Mobile Marketing Cloud Software. Wir bieten auch eine OTP-Lösung (One-Time-Password) an, mit der Sie Ihre eigenen 2FA-Datenschutzmaßnahmen einrichten können. Möchten Sie wissen, welche Maßnahmen wir ergreifen, um Ihre Daten vor (Online-)Bedrohungen zu schützen? Besuchen Sie unser Trust Center.
Wir hoffen, dass dieser Blog Ihnen einen Eindruck von den Risiken im A2P Messaging vermittelt hat und was Sie tun können, um diese zu mindern. Wenn Sie noch Fragen haben, wenden Sie sich bitte an einen unserer Experten. Wir helfen Ihnen gerne weiter.
Select a region to show relevant information. This may change the language.
+49 32 221 09 6288
