AIT-angrep (SMS-flooding)

Å ligge et hode foran AIT: Hvordan beskytte
kontoen din mot kunstig oppblåst trafikk

Hva er AIT?

I dagens verden brukes SMS mer enn noensinne – til massekommunikasjon, varsler, påminnelser, markedsføring, alarmer og sikkerhet. Men trusselbildet har også utviklet seg. En ny stor trussel er Artificially Inflated Traffic (AIT), også kjent som traffic pumping, der svindlere genererer kunstig trafikk ved hjelp av SMS-engangspassord (OTP). Dette er verken spam eller phishing, som ofte er det man først tenker på når man hører om SMS-svindel.

For bare noen år siden var AIT en perifer trussel. I dag er det et hett tema i telebransjen—selv media har omtalt det, blant annet da Elon Musk uttalte at Twitter (nå X) tapte så mye som 60 millioner dollar i året på grunn av bot-generert SMS-trafikk. Risikoen er heldigvis fortsatt lav, men skadeomfanget kan løpe opp i titusenvis av euro, så det er viktig å være oppmerksom og beskyttet.

Hvordan fungerer AIT?

AIT skjer slik:

  1. En svindler lager eller skaffer seg en bot som kan opprette falske kontoer.

  2. Bot’en finner et sårbart registrerings- eller påloggingsflyt og genererer en strøm OTP-meldinger til et sett med mobilnumre (for eksempel 10 000 numre) som svindleren har økonomisk insentiv til å sende til.

  3. Svindleren høster inntektene.

  4. Svindelen gjentas kontinuerlig.

Som eier av kontoen fra hvilken OTP-meldingene sendes, må du sannsynligvis stå for kostnadene, spesielt hvis meldingene går til mobilnettverk i avsidesliggende regioner med høye priser per SMS.

Hvor brukes OTP-er typisk?

  • Verifisering av ny bruker: Et mobilnummer legges inn, en engangskode sendes, brukeren taster inn koden for å fullføre registrering.

  • Gjenoppretting av konto: Ved glemt passord sendes OTP til registrert nummer for identitetsbekreftelse.

  • Avstemningssystemer: For én stemme per deltaker, for eksempel i tv-show.

  • Pasientverifisering: For eksempel ved booking av legetime eller tilgang til helseinformasjon.

  • Bekreftelse av brukeromtaler: En kode sendes før en anmeldelse kan publiseres.

  • Betalinger: OTP brukt av betalingstjenester for å bekrefte transaksjoner.

Hvordan beskytte seg mot AIT?

Det finnes ingen én strategi som stopper all AIT, men disse tiltakene reduserer risikoen betydelig:

1. Geo Permissions

Begrens hvilke landskoder tjenesten din kan sende SMS til. Du bør blokkere alle landskoder unntatt de du faktisk sender til – eller, om du har global dekning, tillate alle bortsett fra spesifikke høyrisikoland. Dette gjelder spesielt åpne registreringsskjemaer. Har du et åpen løsning med registreringsskjema og OTP uten å begrense landskodene som kan brukes vil du garantert før eller senere bli utsatt for et AIT-angrep.

2. Captcha-løsninger

Legg til reCAPTCHA (f.eks. «I’m not a robot»), hCAPTCHA (velg bilder med trafikklys) eller KeyCAPTCHA (puslespill) i flyten som genererer OTP-meldinger, for å hindre bot-aktivitet.

3. Begrensninger og tidsforsinkelser

I ditt system kan du begrense antall forespørsler per sekund/minutt/time og introdusere tidsforsinkelser som øker eksponentielt mellom tillatte forespørsler – en effektiv måte å stoppe bots på. Dette blir også kalt rate-limiting og er vanlig å implementere i APIer og spesielt registreringsflyter.

Hvordan oppdage AIT?

Svindlere starter ofte med små sendinger før de akselererer—ofte i helger eller etter arbeidstid når oppmerksomheten er lav. Følgende indikatorer kan hjelpe deg å fange svindel tidlig:

  • Følg OTP-konverteringsraten: Et fall kan tyde på bot-aktivitet.

  • Se etter sammenhengende nummersekvenser: For eksempel +xx42688353, +xx42688354, +xx42688355, +xx42688356.

  • Vær oppmerksom på mistenkelige mønstre: SMS’er sendt til land dere ikke opererer i, til uvanlige tider, eller trafikkøkning uten forklaring.

  • Økning i volum av sendt sms: En voldsom økning i antall SMS uten at en er forberedt på det indikerer et avvik som bør følges opp.

Fokus på trusler og respons

Vi som leverandør overvåker kontinuerlig trusselbildet og informerer om nye risikoer. Vi har nulltoleranse for SMS-svindel og utvikler stadig nye verktøy. Vi kan også sette volumgrenser tilpasset hver konto for å begrense mulig skade— samtidig som legitim SMS-trafikk ikke blir påvirket. Les mer om dette her.

Hvis du mistenker at kontoen din er utsatt for AIT, kontakt support umiddelbart—vi jobber raskt for å beskytte deg og bevare tilliten i A2P-SMS-bransjen.

KeySMS er en ledende leverandør av smarte SMS-løsninger for bedrifter som ønsker å kommunisere effektivt med sine kunder. Vi tilbyr pålitelige, raske og brukervennlige tjenester for alt fra markedsføring til påminnelser, og sørger for at ditt budskap når frem.

Produktet

Guider og brukerstøtte

© KeySMS 2025. Alle rettigheter.