Artificial Inflation of Traffic (AIT): Eine wachsende Bedrohung für das Messaging-Ökosystem

Die Welt der Application-to-Person-Nachrichten ist komplex. Sie umfasst verschiedene Akteure, Gateways und Protokolle, die alle dafür sorgen, dass die Nutzer die für sie bestimmten Mitteilungen erhalten. Es ist nicht einfach, sich in einem solch komplexen Ökosystem zurechtzufinden, was Betrügern viel Raum bietet, es auszunutzen.

Dabei gibt es eine Betrugsmasche, die unbemerkt an Bedeutung gewonnen hat, ohne dass es schien, als ob Unternehmen sich Sorgen machen müssten – bis jetzt. Es geht um die Artificial Inflation of Traffic bzw. Artificially Inflated Traffic (AIT), auch als SMS Traffic Pumping oder SMS Pumping bezeichnet.

AIT ist eine Art von SMS-Betrug, bei dem große Mengen an gefälschtem Datenverkehr über mobile Anwendungen oder Websites erzeugt werden. Aktuellen Erkenntnissen von Mobilesquared zufolge, die auf dem MEF Global Forum vorgestellt wurden, waren die größten Bedrohungen für das Messaging im Jahr 2022 Grey Routing, AIT und SMS-Phishing, wobei prognostiziert wurde, dass AIT im Jahr 2023 an der Spitze stehen wird.

Ein gängiges AIT-Szenario sieht in etwa so aus:

1. Ein Betrüger entwickelt einen Bot, um gefälschte Konten zu erstellen.
2. Der Bot sendet eine OTP-SMS, also einen Einmal-Zugangscode, an Mobilfunknummern.
3. Der Betrüger arbeitet mit einem anderen Betrugsakteur zusammen, der den erhöhten Datenverkehr abfängt, ohne die Nachrichten tatsächlich an die Endbenutzer zu übermitteln.
4. Gemeinsam beanspruchen sie die Einnahmen, teilen die Gewinne …
5. … und wiederholen den Prozess, um die Einnahmen weiter aufzublähen oder die Konversionsstatistiken zu verfälschen.

Als Eigentümer der Anwendung werden Sie wahrscheinlich die Rechnung für die zugestellten Nachrichten bezahlen müssen. Es ist üblich, dass Betrüger den Verkehr zu weit entfernten Orten aufblähen, da internationale Ziele mit hohen Sendekosten den größten Gewinn abwerfen.

Es gibt drei Hauptfaktoren, die die Zunahme dieser Art von SMS-Betrug erklären:

• Mit steigenden A2P-SMS-Kosten wird das Gewinnpotenzial von AIT für Betrüger immer attraktiver. Und da die Kosten für SMS hoch sein können, entscheiden sich einige dafür, die Gewinne aus AIT-Betrug zur Bezahlung ihres legitimen SMS-Traffics zu verwenden.
• AIT ist schwer zu identifizieren, da er nicht durch die üblichen SMS-Vereinbarungen und -Verordnungen kontrolliert wird. Er kann also MNO-Firewalls umgehen, da OTPs nicht als SMS-Spam angesehen werden.
• Die Betrugsakteure könnten betrügerische Mittel zur Generierung von Datenverkehr einsetzen, um der Konkurrenz voraus zu sein und ihren Wert auf einem überfüllten Markt zu steigern.

Die Auswirkungen von AIT sind in erster Linie finanzieller Natur. Mit AIT-Betrug sind für Unternehmen erhebliche Gewinneinbußen verbunden. Twitter zum Beispiel soll 60 Millionen Dollar pro Jahr wegen AIT verloren haben.

AIT-Betrug könnte völlig unentdeckt bleiben und erst nach einem Vergleich des Nachrichtenvolumens mit den prognostizierten Erträgen sichtbar werden.

Auch der Ruf eines Unternehmens kann Schaden nehmen, wenn das Unternehmen von Kunden als unseriös und nicht gesetzeskonform arbeitend wahrgenommen wird. Wenn ein Benutzer mehrere SMS-OTPs erhält, die er nicht angefordert hat, wird er wahrscheinlich die Integrität des Unternehmens in Frage stellen.

Doch nicht nur Unternehmen müssen aufpassen: AIT ist ein Problem für das gesamte Messaging-Ökosystem und bedroht Betreiber und Messaging-Anbieter gleichermaßen. Mit dem Anstieg der SMS-Tarife und neuen Regulierungsverfahren beginnen Unternehmen, andere Kanäle in Betracht zu ziehen. Die Mobilfunkbetreiber laufen zudem Gefahr, A2P-SMS-Einnahmen zu verlieren, weil Unternehmen auf andere Methoden anstelle der SMS-Verifizierung umsteigen.

Obwohl es keine spezifische bewährte Vorgehensweise zur Bekämpfung von AIT gibt, können Unternehmen einige Präventions- und Erkennungsmethoden anwenden, die die Zahl der betrügerischen Angriffe erheblich reduzieren können:

• Überwachen Sie es, wenn sehr große Mengen an ungewöhnlich wirkenden Nachrichten auftreten: Fügen Sie zusätzliche Prüfungen von IP-Adressen, Nutzer- oder Gerätekennungen hinzu, wenn ein neuer Nutzer ein Konto erstellt. Auf diese Weise können verdächtige Verhaltensweisen erkannt und Maßnahmen ergriffen werden, bevor der Betrüger die Möglichkeit hat, eine Nachricht zu versenden.
• Überwachen Sie die Konversionsraten von OTP-SMS: In vielen Fällen können die Täter mit hohen Konversionsraten nicht mithalten.

Unternehmen sollten folgende Maßnahmen ergreifen:

• Begrenzen Sie die Anzahl der Versuche, SMS über dieselbe IP-Adresse oder dasselbe Gerät anzufordern.
• Deaktivieren Sie die Option zum Senden von Nachrichten an nicht verwendete Ziele (die meisten Fälle treten in Ländern auf, in denen Unternehmen überhaupt nicht aktiv sind).
• Verwenden Sie CAPTCHA und ähnliche Tools, um Bots zu blockieren.
• Verwenden Sie die SMS-Verifizierung von Sinch, mit der Unternehmen ihre Konversionsraten in Echtzeit überwachen können, um SMS-Betrugsmaschen zu erkennen, Betrug zu verhindern und Konversionsraten zu steigern.

Betreiber sollten folgendermaßen vorgehen:

• Stellen Sie die rechtmäßige Nutzung der zugewiesenen Bereiche beim Leasing von Nummern und Nummernbereichen an Dritte sicher.
• Wählen Sie nur vertrauenswürdige und seriöse Partner für die Zustellung des SMS-Traffics an Netze mit Unternehmenskunden, um die Zahl der Vermittler zwischen Absendern und Abonnenten zu verringern.
• Seien Sie vorsichtig, bevor Sie zu ambitionierte Umsatzzusagen von Anbietern annehmen, die maßgeschneiderte Vereinbarungen wünschen. Wenn es zu schön klingt, um wahr zu sein, ist es das wahrscheinlich auch!

Als führendes Unternehmen im Bereich der Cloud-Kommunikation hat sich Sinch verpflichtet, die höchsten Standards für Transparenz und Verantwortlichkeit einzuhalten. Deshalb arbeiten wir mit unseren Kunden zusammen, um das Risiko von Artificial Inflation of Traffic zu verringern:

• Wir überwachen den Datenverkehr, um eine ungewöhnliche Nutzung zu erkennen, und informieren die Kunden, wenn wir dies feststellen.
• Wir blockieren aufgedeckten AIT-Betrug auf der Ebene des Zielnetzes und des MSISDN-Bereichs.
• Wir bieten die AIT-Erkennung als Teil der SMS-Verifizierung von Sinch an.
• Wir tragen zu einem saubereren Ökosystem bei:​​
  • Unsere Routing-Strategie gewährleistet, dass Betrüger ausgeschlossen werden.​​
  • Wir ergänzen Partnervereinbarungen um AIT-Klauseln.​
  • Wir führen ein Verzeichnis von Hochrisikozielen.
• Außerdem führen wir derzeit einen Proof of Concept für ein automatisches Warnsystem zur Betrugserkennung durch.

Sinch ist ein Unterzeichner des Business SMS Code of Conduct im Rahmen des Trust in Enterprise Messaging (TEM) des MEF. Das bedeutet, dass wir dazu beitragen, die Marktbereinigung zu beschleunigen und die Käufer von Business-Messaging-Lösungen über die Gefahren aufzuklären, die mit SMS-Betrug und schlechten Beschaffungsprozessen verbunden sind.

Außerdem halten wir unsere Vertrauenskette so kurz wie möglich: Wir haben über 600 direkte Betreiber-Verbindungen, überwachen aktiv die Konversionsraten und nehmen eine rechtliche Position ein, wenn wir genügend Beweise haben, um unsere Lieferanten zu informieren. Erfahren Sie mehr über unseren Kampf gegen SMS-Betrug.