previous icon Terug naar blog
Feb 13, 2023
5 minutes read

Tips om fraude te helpen voorkomen in SMS en Voice verkeer

Met elke technologische vooruitgang vinden criminelen nieuwe manieren om bedrijven te bedriegen. Helaas is CPaaS (Communications-platform-as-a-Service) daar geen uitzondering op. Organisaties als de Formule 1, het Nederlandse Rode Kruis en DHL profiteren van de customer experience en omzetvoordelen die het CM.com platform biedt, en fraudeurs willen daar ook graag wat meepikken. Hoewel we er alles aan doen om jouw veiligheid te garanderen, weerhoudt dat criminelen er niet van om het toch te proberen! Je kunt ons helpen om fraude tegen te gaan met een paar extra stappen.

Allereerst verzoeken wij je dringend om contact met ons op te nemen als je ongewone of verdachte activiteiten op jouw CM.com-account ervaart. Wij nemen alle nodige maatregelen om gegevens en accounts te beschermen, maar je kunt ons een handje helpen met preventieve maatregelen. In deze blog zetten we een aantal van de meest voorkomende vormen van fraude op een rijtje, en vertellen we wat je kunt doen om de risico's te minimaliseren.

Fraudeurs willen op grote schaal communiceren met hun potentiële slachtoffers, en als ze dit gratis kunnen doen door mee te liften op jouw CM.com account, dan is dat des te beter - voor hen! Het risico van een compromised of gehackt account kan op verschillende manieren worden aangepakt.

Waarom willen criminelen mijn CM.com account hacken?

We zijn allemaal bekend met de dreiging van phishing: frauduleuze e-mails en websites die zijn ontworpen om ontvangers te verleiden tot het verstrekken van gevoelige informatie, met name bankgegevens. SMS berichten en telefoongesprekken worden ook gebruikt om gegevens te "vissen", en deze technieken worden "smishing" (met de "s" van SMS) en "vishing" (met de "v" van Voice) genoemd.

fraud-monitoring-compromised-account

Jouw CM.com account is om twee redenen aantrekkelijk voor fraudeurs: ze kunnen gratis berichten versturen en ze kunnen hun identiteit verbergen. Als jouw account gehackt is, zijn de frauduleuze berichten van jou afkomstig.

Naast phishing, smishing en vishing kunnen fraudeurs ook proberen jouw account te gebruiken om telefoongesprekken naar betaalnummers te initiëren - waarvoor degene met het CM.com account dan moet betalen.

Natuurlijk zijn er dingen die je kunt - en moet - doen om te voorkomen dat criminelen jouw accountgegevens kraken of jouw API-token stelen. We zetten deze hieronder op een rijtje.

Wat kun je doen om te voorkomen dat jouw account wordt misbruikt?

  • Zorg dat je twee-factor authenticatie (2FA) ingeschakelt op jouw CM.com account. Deze functie vermindert de kans op ongeoorloofde toegang aanzienlijk!

  • Gebruik een complex wachtwoord, of zelfs een wachtwoordzin, met een combinatie van woorden, cijfers, symbolen en hoofdletters en kleine letters. Vermijd het gebruik van persoonlijke informatie of woorden die in het woordenboek staan.

  • Deel jouw token nooit online of met iemand die het niet nodig heeft. Jouw token moet beveiligd blijven op jouw eigen servers; onder geen enkele voorwaarde mag het getoond worden aan de eindgebruikers van de website, zelfs niet in versleutelde vorm. Het token mag ook niet worden opgenomen in de broncode van de website of mobiele app.

  • Stel een limiet in op jouw maandelijkse kredietbedrag en verhoog het wanneer dat nodig is voor een campagne door contact op te nemen met de CM.com account manager. Wanneer je 75% van het krediet bereikt, wordt je daar automatisch per e-mail van op de hoogte gebracht. Wanneer 100% is bereikt, wordt jouw account tijdelijk opgeschort en opnieuw geactiveerd zodra de openstaande facturen zijn voldaan.

SMS pumping en toll Fraud

Een gehackt account is niet het enige frauderisico bij conversational commerce; je moet jezelf ook beschermen tegen zogenaamde SMS pumping of Artificially Inflated Traffic (AIT)-fraude en toll fraud waarbij de fraudeur misbruik maakt van jouw website en de verificatiemogelijkheden.

Wat is SMS pumping (AIT)?

Bij SMS pumping, traffic pumping of Aritificially Inflated Traffic (AIT), maken fraudeurs gebruik van geautomatiseerde inlogsystemen om sterke pieken in het verkeer te veroorzaken naar nummers die zij bezitten of naar een reeks nummers die worden gecontroleerd door een specifieke mobiele netwerkoperator (MNO) waarmee zij samenspannen. De fraudeurs oogsten een deel van de aldus gegenereerde inkomsten, maar de eigenaar van het CM.com account betaalt de rekening.

fraud-monitoring-sms-pumping

Kijk uit naar een piek van berichten verzonden naar een blok van opeenvolgende nummers (bijv. +1234567890, +1234567891, +1234567892, +1234567893 enzovoort). Deze nummers worden hoogstwaarschijnlijk door dezelfde MNO beheerd. Een duidelijk teken van frauduleus gebruik van een eenmalige SMS-code is een onvolledige verificatiecyclus. Helaas beschikken geavanceerde fraudeurs zelfs over de middelen om een voltooide verificatiecyclus te vervalsen.

Wat is toll fraud?

Bij toll fraud richten criminelen zich op telefoonverificatie om een groot aantal telefoongesprekken te genereren naar betaalnummers, die de bellers een prijs per gesprek of per minuut aanrekenen. Als dergelijke frauduleuze oproepen worden gegenereerd vanaf jouw website(s), dan zijn de kosten voor jou.

fraud-monitoring-toll-fraud

Wat kun je doen om SMS pumping en toll fraud te ontdekken en voorkomen?

  • Detecteer en ontmoedig botaanvallen door bibliotheken zoals BOTD of CAPTCHA's op de website te implementeren.

  • Bewaak de conversiepercentages van eenmalige wachtwoorden (OTP's) en stel waarschuwingsnotificaties in als de percentages dalen.

  • Implementeer (exponentiële) vertragingen tussen verificatie-aanvragen met hetzelfde telefoonnummer.

  • Bied alternatieve kanalen aan, zoals stemverificatie. Dit hoeft niet de eerste verificatie te zijn, maar bijvoorbeeld bij de derde verificatiepoging.

  • Bouw een bestemming "toestaan" of "blokkeren" lijst op jouw website.

  • Analyseer IP en detecteer VPN's op jouw website.

  • Implementeer rate limits op het aantal verzoeken. Beperk bijvoorbeeld het aantal verzoeken per telefoonnummer/IP-adres gedurende een bepaalde periode op de website.

  • Stel een limiet in op het maandelijkse kredietbedrag zoals hierboven beschreven.

Fraude is een triest feit, en criminelen zijn altijd op zoek naar nieuwe manieren om innovatieve technologieën uit te buiten. Als je wilt weten wat CM.com doet om je te beschermen tegen inbreuken op de beveiliging, bezoek dan ons Trust Center.

We hopen dat deze korte blog je een beter beeld heeft gegeven van de frauderisico's bij conversational commerce, en wat jij kunt doen om ze te beperken. Als je denkt dat jouw account gehackt zou kunnen zijn of als je een ander soort misdrijf vermoedt, neem dan contact op.

Vragen? Neem gerust contact op met jouw account manager of ons fraudepreventieteam!

Was dit artikel interessant?
Deel het!
CM.com
verbindt dagelijks tienduizenden bedrijven met miljoenen consumenten via hun mobiele telefoon. Achter de schermen vanaf ons innovatieve platform zorgt CM.com ervoor dat bedrijven via deze miljoenen berichten, telefoongesprekken en betalingen onderdeel zijn van het leven van mensen.

Laatste artikelen

what is smishing
Jan 10, 2023 • Compliance

Wat is smishing en hoe kun je je bedrijf ertegen beschermen?

Zelfs als je nog nooit van "smishing" hebt gehoord, ben je vrijwel zeker wel eens het doelwit geweest van deze vorm van cyberfraude. Smishing maakt gebruik van sms-berichten om ontvangers op te lichten zodat ze gevoelige persoonlijke informatie vrijgeven of onbewust een mobiele telefoon met malware infecteren.

Opt-In Policies for SMS Messaging
Jun 06, 2022 • SMS

Opt-in beleid voor SMS: voldoe aan de regels

Toestemming krijgen om je klanten per SMS te benaderen is een van de basisregels van SMS-marketing. SMS-marketing met opt-in beschermt de consument door ongewenste spam te verminderen en ervoor te zorgen dat hij alleen berichten ontvangt van bedrijven waarvan hij werkelijk wil horen. Deze opt-ins zijn nodig voor SMS-compliance maar hoe kun je deze wettelijke toestemming krijgen om je klanten te bereiken via SMS?

intro-to-rcs-messaging-for-marketers
Nov 05, 2018 • Marketing

GDPR voor mobiele marketing? Vraag toestemming op de juiste manier

Is 25 mei 2018 - de dag waarop de GDPR van kracht ging - een dag waar nu niet persé met veel enthousiasme op terugkijkt? Veel bedrijven denken nog altijd dat het lastig is om GDPR compliant marketingberichten te versturen. Niet nodig. Met behulp van deze praktische gids zul je zien dat het eigenlijk vrij eenvoudig is om GDPR compliant te zijn.

Dec 19, 2017 • Compliance

GDPR: IT beveiliging en databescherming bij CM

In 2018 zullen enkele belangrijke aanpassingen in het privacy recht worden doorgevoerd. Eén van deze veranderingen is de General Data Protection Regulation (GDPR), oftewel de Algemene Verordening Gegevensbescherming, die op 25 mei 2018 in werking treedt. Wat doet CM om compliant te zijn met deze regelgeving?

Is this region a better fit for you?
Go
close icon