Vad är A2P-meddelanden?
A2P, eller application-to-person messaging, är alla typer av trafik där en person tar emot meddelanden från en applikation. Det låter vagt, men tro mig, det är det inte! Exempel på A2P-meddelanden är marknadsföringsmeddelanden, påminnelser om möten, aviseringar, chatbots och engångslösenord (OTP). Använder ditt företag någon av dessa funktioner? Då använder du A2P-meddelanden med dina kunder! A2P-meddelanden kan skickas via en mängd olika kanaler (meddelanden och röst) och på många olika sätt. Vilket också gör det till ett sårbart mål för bedrägerier.
Vad är bedrägeri med A2P-meddelanden?
Med varje ny teknisk utveckling, plattform och process kommer det att finnas brottslingar som försöker utnyttja den. Bedrägerier med A2P-meddelanden sker ofta via gråa vägar - vägar för meddelandetrafik som går via ett telekommunikationsnätverk som inte är godkänt av en MNO (mobilnätsoperatör) - för att kringgå legitima meddelandekanaler. Dessa gråa vägar är ett mellanting mellan vita vägar, där både källa och mottagare är sanktionerade, och svarta vägar, där både källa och mottagare är olagliga.
Både du som företag och dina kunder kan vara måltavlor för bedrägerier med A2P-meddelanden. Det är viktigt att både dina anställda och dina kunder (konsumenter) vet hur man känner igen bedrägerier med A2P-meddelanden - och agerar därefter.
Läs om hur du skyddar dina kunder från bedrägerier >
För att bättre förstå hoten mot ditt företag och dina anställda ska vi ta en titt på de vanligaste fallen av bedrägeri i A2P-meddelanden och vilka åtgärder som kan vidtas för att minimera hotet.
Vanliga bedrägerityper vid A2P-meddelanden
Kompromittering av konto
Ett komprometterat konto är ett konto som nås av obehöriga användare med inloggningsuppgifter. I princip har en bedragare antingen fått tillgång till inloggningsuppgifter eller lyckats "knäcka" dem för att få tillgång till (ett av) dina företagskonton. De gör detta för att komma över kontoinformation, finansiell information, personuppgifter eller alla andra typer av information som bör vara konfidentiell. Om du har riktig otur kan hackarna till och med ändra inloggningsuppgifterna så att du i princip blir utelåst från dina egna konton. Detta är naturligtvis ett enormt integritetsintrång, och konsekvenserna kan vara mycket obehagliga. Bedragare kan skapa förödelse med ett komprometterat konto.
Token kompromittering
Moderna applikationer och program använder ofta JSON Web Tokens (JWT) för att hantera användarsessioner och autentisering - och detta token kan äventyras av hackare. Webbtokens är en sträng med siffror eller bokstäver som representerar ett sessions-ID. Det används för att identifiera och komma ihåg användare. JWT är dock tokens som även innehåller användardata. Det innebär också att om din JSON Web Token blir stulen är det ett stort problem. Stulna eller komprometterade JSON Web Tokens ger hackarna full åtkomst till kontot, på samma sätt som om de istället hade komprometterat kontot.
SMS Pumping eller Inflated Traffic
Vid SMS pumping, traffic pumping eller Artificially Inflated Traffic (AIT) utnyttjar bedragare automatiserade inloggningssystem för att utlösa kraftiga trafikökningar till nummer som de äger eller till en rad nummer som kontrolleras av en viss mobiloperatör (MNO) som de konspirerar med. Brottslingarna får en del av de intäkter som genereras på detta sätt, men CM.com-kontoinnehavaren får stå för notan.
Läs mer om SMS Pumping >
Bedrägeri med Voice-avgifter
Vid avgiftsbedrägerier använder sig kriminella av telefonverifieringssystem för att generera en stor mängd Voice-samtal till betalnummer, där de som ringer debiteras ett pris per samtal eller per minut. Om sådana samtal på ett bedrägligt sätt genereras från din(a) webbplats(er) är det du och ditt företag som får stå för kostnaderna
Läs mer om avgiftsbedrägerier >
Hur förhindrar man bedrägerier med A2P-meddelanden?
Att bli utsatt för bedrägeri är oerhört obehagligt för alla inblandade, och det kan verkligen skada (namnet på) ett företag. Men misströsta inte ännu - du kan vidta åtgärder för att minimera hoten.
Utbilda medarbetarna
Du kan upprätta en lång lista med säkerhetsåtgärder, men det kommer att vara förgäves om dina anställda är tveksamma till att anta dessa (extra) säkerhetsåtgärder. Utbilda dina anställda om din säkerhetspolicy och ge dem riktlinjer för hur de ska identifiera ovanstående A2P-hot. Låt dem veta att ditt företag aldrig skulle skicka ut vissa meddelanden (t.ex. meddelanden med begäran om personuppgifter) och berätta var de ska rapportera misstänkta meddelanden som de får.
När medarbetarna inser värdet av dataskydd - och när de vet vad de ska vara uppmärksamma på - kommer de att bli mer alerta och villiga att vidta de extra (säkerhets)åtgärderna.
Läs bästa praxis för implementering av säkerhetsåtgärder >
Implementera 2FA (tvåfaktorsautentisering)
Tvåfaktorsautentisering (2FA) är en vanlig typ av MFA (Multi-Factor Authentication) som kräver två identifieringsfaktorer för att verifiera användarens identitet. Identifieringsfaktorerna är:
Något som användaren vet, t.ex. en PIN-kod eller ett svar på en hemlig fråga
Något som användaren har, t.ex. ett engångslösenord (OTP) som skickas via SMS
Något som en användare är, vilket kan inkludera fingeravtryck och ansiktsigenkänning
2FA används i flera olika branscher och i en mängd olika (meddelande)kanaler, vilket gör det till en effektiv åtgärd mot meddelandebedrägerier.
Läs om 2FA på alla de olika meddelandekanalerna >
Genom att implementera 2FA får både dina anställda och dina kunder ett extra lager av säkerhet, vilket minskar sannolikheten för obehörig åtkomst jämfört med ett konto som endast skyddas med ett användarnamn och lösenord.
Använd en betrodd leverantör av meddelandetjänster
Välrenommerade leverantörer av meddelandetjänster (som CM.com) kommer att ha åtgärder för att förebygga bedrägerier implementerade i sin programvara. Detta kommer att garantera säkerheten för ditt företags A2P-meddelanden.
Övervaka trafiken
Genom att övervaka meddelandetrafiken kan ni identifiera och åtgärda eventuella ovanliga mönster, t.ex. trafiktoppar och ovanligt innehåll i meddelanden. Välrenommerade Business Service Providers (BSP) som CM.com erbjuder också inbyggda varningar för ovanliga trafikvolymer.
Använd hastighetsbegränsning
Du kan också använda hastighetsbegränsning, vilket är en strategi för att begränsa nätverkstrafiken. Den sätter ett tak för hur ofta någon kan upprepa en viss åtgärd inom en viss tidsram - t.ex. försöka logga in på ett konto. Det hjälper till att stoppa skadlig botaktivitet från att försöka få åtkomst.
Lägg till reCAPTCHA
reCAPTCHA (ägs av Google) gör att du kan skilja mellan mänsklig och automatiserad åtkomst till webbplatser. Den finns i många olika varianter, från att hitta former i en bild och matcha bilder till att dechiffrera svårläst text. reCAPTCHA hindrar hackare från att försöka komma åt din webbplats eller dina konton via automatiserade program.
A2P-meddelanden via CM.com
Vi erbjuder (A2P) affärsmeddelanden i flera kanaler via vår kommunikationsplattform, eller via våra integrerade programvaror Mobile Service Cloud och Mobile Marketing Cloud. Vi erbjuder också en OTP-lösning (engångslösenord) som hjälper dig att konfigurera dina egna 2FA-dataskyddsåtgärder. Vill du veta vilka åtgärder vi vidtar för att skydda dina uppgifter från (online)hot? Besök vårt Trust Center.
Vi hoppas att den här bloggen har gett dig en uppfattning om riskerna med A2P-meddelanden och vad du kan göra för att minska dem. Om du har några frågor är du välkommen att kontakta en av våra experter. Vi hjälper gärna till.