Wat is A2P Messaging?
A2P, of application-to-person messaging, is elke vorm van communicatieverkeer waarbij een persoon berichten ontvangt van een applicatie. Klinkt vaag, maar geloof me, dat is het niet.
Voorbeelden van A2P messaging zijn marketingberichten, afspraakherinneringen, notificaties, chatbots en one time passwords (OTP's). Gebruikt jouw bedrijf een van deze functies? Dan maak je gebruik van A2P messaging! A2P Messaging kan op veel verschillende kanalen (messaging en voice) en op veel verschillende manieren plaatsvinden. Dat maakt het ook een kwetsbaar doelwit voor fraude.
Wat is A2P Messaging fraude?
Met elke nieuwe technologische vooruitgang, nieuw platform of nieuwe processen, zullen er criminelen zijn die er misbruik van proberen te maken. A2P Messaging fraude gebeurt vaak via grijze routes - routes voor berichtenverkeer die een telecommunicatienetwerk binnengaan dat niet is goedgekeurd door een MNO (mobiele netwerkoperator) - om legitieme kanalen voor berichtenverkeer te omzeilen. Deze grijze routes houden het midden tussen witte routes, waarbij zowel de bron als de ontvanger gesanctioneerd zijn, en zwarte routes, waarbij zowel de bron als de ontvangers illegaal zijn.
Zowel jij als bedrijf als je klanten kunnen doelwit zijn van fraude met A2P messaging. Het is belangrijk dat zowel je medewerkers als je klanten (consumenten) weten hoe ze A2P messaging fraude kunnen herkennen - en daarnaar kunnen handelen.
Lees hoe je jouw klanten kunt beschermen tegen fraude >
Om de bedreigingen voor je bedrijf en medewerkers beter te begrijpen, kijken we naar de meest voorkomende gevallen van fraude in A2P messaging en welke maatregelen je kunt nemen om de risico's te minimaliseren.
Veel voorkomende vormen van A2P Messaging fraude
Account Compromise
Een compromised account is een (bedrijfs)account waar onbevoegde gebruikers (hackers) toegang tot hebben gekregen met inloggegevens die ze hebben gestolen of gekraakt. Ze doen dit om accountinformatie, financiële informatie, persoonlijke gegevens of allerlei andere informatie die vertrouwelijk zou moeten zijn, te bemachtigen. Als je pech hebt, veranderen deze hackers zelfs de inloggegevens, waardoor je in feite wordt buitengesloten van je eigen accounts. Dit is natuurlijk een enorme privacyschending en de gevolgen kunnen zeer onaangenaam zijn. Fraudeurs kunnen een grote ravage aanrichten met een compromised account.
Token Compromise
Moderne applicaties en software maken vaak gebruik van JSON Web Tokens (JWTs) om gebruikerssessies en authenticatie te beheren - en dit token kan worden gestolen door hackers. Webtokens zijn een reeks cijfers of letters die een sessie-id vertegenwoordigen. Ze worden voornamelijk gebruikt om gebruikers te identificeren en te onthouden. JWTs zijn echter tokens die ook gebruikersgegevens bevatten. Dat betekent dat als je JSON Web Token wordt gestolen, dat een groot probleem is. Gestolen of compromised JSON Web Tokens geven hackers volledige toegang tot het account, op dezelfde manier als wanneer ze de inloggegevens zouden hebben gestolen.
SMS Pumping of Inflated Traffic
Bij SMS pumping, traffic pumping of Aritificially Inflated Traffic (AIT), maken fraudeurs gebruik van geautomatiseerde inlogsystemen om sterke pieken in het verkeer te veroorzaken naar nummers die zij bezitten of naar een reeks nummers die worden gecontroleerd door een specifieke mobiele netwerkoperator (MNO) waarmee zij samenspannen. De fraudeurs oogsten een deel van de aldus gegenereerde inkomsten, maar de eigenaar van het CM.com account betaalt de rekening.
Voice Toll Fraud
Bij toll fraud richten criminelen zich op telefoonverificatie om een groot aantal telefoongesprekken te genereren naar betaalnummers, die de bellers een prijs per gesprek of per minuut aanrekenen. Als dergelijke frauduleuze oproepen worden gegenereerd vanaf jouw website(s), dan zijn de kosten voor jou.
Hoe voorkom je A2P Messaging fraude?
Doelwit zijn van fraude, of erger nog, er het slachtoffer van worden, is ontzettend vervelend voor iedereen die erbij betrokken is, en het kan (de naam van) jouw bedrijf enorme schade toebrengen. Maar wanhoop niet - je kunt maatregelen nemen om de bedreigingen te beperken.
Informeer werknemers
Je kunt een lange lijst met beveiligingsmaatregelen opstellen, maar het zal tevergeefs zijn als je medewerkers aarzelen om deze (extra) beveiligingsstappen te nemen. Informeer je medewerkers over je beveiligingsbeleid en waarom deze noodzakelijk is, en geef richtlijnen over hoe ze de bovenstaande A2P bedreigingen kunnen herkennen. Laat ze weten dat je bedrijf bepaalde berichten nooit zal versturen (zoals berichten waarin om persoonlijke gegevens wordt gevraagd), en vertel ze waar ze verdachte berichten die ze krijgen kunnen melden.
Als werknemers de waarde van gegevensbescherming inzien - en als ze weten waar ze op moeten letten - zullen ze alerter zijn en meer bereid zijn om die extra (beveiligings)stappen te nemen.
Lees tips over het implementeren van beveiligingsmaatregelen >
Implementeer 2FA (Two-Factor Authentication)
Two-factor authentication (2FA) is een veelvoorkomende vorm van MFA (Multi-Factor Authentication), waarbij je twee authenticatiefactoren nodig zijn om iemands identiteit te verifiëren. De authenticatiefactoren zijn:
Iets wat een gebruiker weet, zoals een wachtwoord of een pincode.
Iets dat een gebruiker heeft, zoals een mobiele telefoon, die een verificatiecode kan ontvangen (zoals One Time Passwords) of fysieke tokens zoals USB-sleutels of productnummers.
Iets wat een gebruiker is, zoals vingerafdrukken en gezichtsherkenning.
2FA wordt gebruikt in verschillende sectoren en is beschikbaar voor een groot aantal verschillende (messaging) kanalen. Dit maakt het een effectieve tool tegen A2P messaging fraude. waardoor het een effectieve maatregel is tegen fraude met berichtenverkeer.
Lees alles over 2FA op verschillende messaging kanalen >
Het implementeren van 2FA voegt een extra beveiligingslaag toe voor zowel je werknemers als je klanten en verkleint de kans op ongeautoriseerde toegang in vergelijking met een account dat alleen beschermd is met een gebruikersnaam en wachtwoord.
Gebruik een vertrouwde messaging provider
Gerenommeerde messaging providers (zoals CM.com) hebben fraudepreventiemaatregelen in hun software geïmplementeerd. Dit garandeert de veiligheid van je zakelijke A2P messaging activiteiten.
Monitor je berichtenverkeer (traffic)
Door het berichtenverkeer te monitoren kun je ongebruikelijke patronen identificeren en aanpakken, zoals pieken in het verkeer en ongebruikelijke berichtinhoud. Gerenommeerde Business Service Providers (BSP's) zoals CM.com bieden ook ingebouwde waarschuwingen voor ongebruikelijke verkeersvolumes.
Gebruik rate limiting
Je kunt ook rate limiting toepassen, een strategie om netwerkverkeer te beperken. Hiermee wordt een limiet ingesteld op hoe vaak iemand een bepaalde actie kan herhalen binnen een bepaalde tijd - bijvoorbeeld proberen in te loggen op een account. Dit helpt kwaadwillende bots te voorkomen die toegang proberen te krijgen.
Voeg reCAPTCHA toe
Met reCAPTCHA (eigendom van Google) kun je onderscheid maken tussen menselijke en geautomatiseerde toegang tot websites. Het komt in veel verschillende variaties, van het vinden van vormen in een afbeelding en het matchen van afbeeldingen tot het ontcijferen van moeilijk leesbare tekst. reCAPTCHA zal de pogingen van hackers om toegang te krijgen tot je website of accounts via geautomatiseerde programma's belemmeren.
A2P Messaging via CM.com
CM.com biedt A2P business messaging aan meerdere kanalen via ons communicatieplatform of via onze geïntegreerde Mobile Service Cloud en Mobile Marketing Cloud software. Daarnaast hebben we ook een OTP-oplossing (one-time-password) om je te helpen je eigen 2FA-gegevensbescherming in te stellen. Wil je weten welke maatregelen we nemen om je gegevens te beschermen tegen (online) bedreigingen? Bezoek ons trust center.
We hopen dat dit blog je een idee heeft gegeven van de risico's in A2P Messaging en wat je kunt doen om ze te beperken. Als je vragen hebt, kun je contact opnemen met een van onze experts. We helpen je graag.