Allereerst verzoeken wij je dringend om contact met ons op te nemen als je ongewone of verdachte activiteiten op jouw CM.com-account ervaart. Wij nemen alle nodige maatregelen om gegevens en accounts te beschermen, maar je kunt ons een handje helpen met preventieve maatregelen. In deze blog zetten we een aantal van de meest voorkomende vormen van fraude op een rijtje, en vertellen we wat je kunt doen om de risico's te minimaliseren.
Fraudeurs willen op grote schaal communiceren met hun potentiële slachtoffers, en als ze dit gratis kunnen doen door mee te liften op jouw CM.com account, dan is dat des te beter - voor hen! Het risico van een compromised of gehackt account kan op verschillende manieren worden aangepakt.
Waarom willen criminelen mijn CM.com account hacken?
We zijn allemaal bekend met de dreiging van phishing: frauduleuze e-mails en websites die zijn ontworpen om ontvangers te verleiden tot het verstrekken van gevoelige informatie, met name bankgegevens. SMS berichten en telefoongesprekken worden ook gebruikt om gegevens te "vissen", en deze technieken worden "smishing" (met de "s" van SMS) en "vishing" (met de "v" van Voice) genoemd.
Jouw CM.com account is om twee redenen aantrekkelijk voor fraudeurs: ze kunnen gratis berichten versturen en ze kunnen hun identiteit verbergen. Als jouw account gehackt is, zijn de frauduleuze berichten van jou afkomstig.
Naast phishing, smishing en vishing kunnen fraudeurs ook proberen jouw account te gebruiken om telefoongesprekken naar betaalnummers te initiëren - waarvoor degene met het CM.com account dan moet betalen.
Natuurlijk zijn er dingen die je kunt - en moet - doen om te voorkomen dat criminelen jouw accountgegevens kraken of jouw API-token stelen. We zetten deze hieronder op een rijtje.
Wat kun je doen om te voorkomen dat jouw account wordt misbruikt?
Zorg dat je twee-factor authenticatie (2FA) ingeschakelt op jouw CM.com account. Deze functie vermindert de kans op ongeoorloofde toegang aanzienlijk!
Gebruik een complex wachtwoord, of zelfs een wachtwoordzin, met een combinatie van woorden, cijfers, symbolen en hoofdletters en kleine letters. Vermijd het gebruik van persoonlijke informatie of woorden die in het woordenboek staan.
Deel jouw token nooit online of met iemand die het niet nodig heeft. Jouw token moet beveiligd blijven op jouw eigen servers; onder geen enkele voorwaarde mag het getoond worden aan de eindgebruikers van de website, zelfs niet in versleutelde vorm. Het token mag ook niet worden opgenomen in de broncode van de website of mobiele app.
Stel een limiet in op jouw maandelijkse kredietbedrag en verhoog het wanneer dat nodig is voor een campagne door contact op te nemen met de CM.com account manager. Wanneer je 75% van het krediet bereikt, wordt je daar automatisch per e-mail van op de hoogte gebracht. Wanneer 100% is bereikt, wordt jouw account tijdelijk opgeschort en opnieuw geactiveerd zodra de openstaande facturen zijn voldaan.
SMS pumping en toll Fraud
Een gehackt account is niet het enige frauderisico bij conversational commerce; je moet jezelf ook beschermen tegen zogenaamde SMS pumping of Artificially Inflated Traffic (AIT)-fraude en toll fraud waarbij de fraudeur misbruik maakt van jouw website en de verificatiemogelijkheden.
Wat is SMS pumping (AIT)?
Bij SMS pumping, traffic pumping of Aritificially Inflated Traffic (AIT), maken fraudeurs gebruik van geautomatiseerde inlogsystemen om sterke pieken in het verkeer te veroorzaken naar nummers die zij bezitten of naar een reeks nummers die worden gecontroleerd door een specifieke mobiele netwerkoperator (MNO) waarmee zij samenspannen. De fraudeurs oogsten een deel van de aldus gegenereerde inkomsten, maar de eigenaar van het CM.com account betaalt de rekening.
Kijk uit naar een piek van berichten verzonden naar een blok van opeenvolgende nummers (bijv. +1234567890, +1234567891, +1234567892, +1234567893 enzovoort). Deze nummers worden hoogstwaarschijnlijk door dezelfde MNO beheerd. Een duidelijk teken van frauduleus gebruik van een eenmalige SMS-code is een onvolledige verificatiecyclus. Helaas beschikken geavanceerde fraudeurs zelfs over de middelen om een voltooide verificatiecyclus te vervalsen.
Wat is toll fraud?
Bij toll fraud richten criminelen zich op telefoonverificatie om een groot aantal telefoongesprekken te genereren naar betaalnummers, die de bellers een prijs per gesprek of per minuut aanrekenen. Als dergelijke frauduleuze oproepen worden gegenereerd vanaf jouw website(s), dan zijn de kosten voor jou.
Wat kun je doen om SMS pumping en toll fraud te ontdekken en voorkomen?
Detecteer en ontmoedig botaanvallen door bibliotheken zoals BOTD of CAPTCHA's op de website te implementeren.
Bewaak de conversiepercentages van eenmalige wachtwoorden (OTP's) en stel waarschuwingsnotificaties in als de percentages dalen.
Implementeer (exponentiële) vertragingen tussen verificatie-aanvragen met hetzelfde telefoonnummer.
Bied alternatieve kanalen aan, zoals stemverificatie. Dit hoeft niet de eerste verificatie te zijn, maar bijvoorbeeld bij de derde verificatiepoging.
Bouw een bestemming "toestaan" of "blokkeren" lijst op jouw website.
Analyseer IP en detecteer VPN's op jouw website.
Implementeer rate limits op het aantal verzoeken. Beperk bijvoorbeeld het aantal verzoeken per telefoonnummer/IP-adres gedurende een bepaalde periode op de website.
Stel een limiet in op het maandelijkse kredietbedrag zoals hierboven beschreven.
Fraude is een triest feit, en criminelen zijn altijd op zoek naar nieuwe manieren om innovatieve technologieën uit te buiten. Als je wilt weten wat CM.com doet om je te beschermen tegen inbreuken op de beveiliging, bezoek dan ons Trust Center.
We hopen dat deze korte blog je een beter beeld heeft gegeven van de frauderisico's bij conversational commerce, en wat jij kunt doen om ze te beperken. Als je denkt dat jouw account gehackt zou kunnen zijn of als je een ander soort misdrijf vermoedt, neem dan contact op.