Hva er AIT, og hvordan kan bedrifter bekjempe svindel-SMS?

Blue graphic with text on combating artificially inflated traffic via A2P SMS, featuring icons of alerts and communication.
author
LINK Mobility AS2025-06-20

A2P (applikasjon-til-person) SMS-bransjen og kundene deres står overfor en ny type svindelangrep som involverer uønsket generert SMS-trafikk, også kalt Artificially Inflated Traffic (AIT). Utilstrekkelig sikrede webtjenester brukes til å utløse denne typen SMS-meldinger. Det er for tiden nesten umulig å identifisere de som står bak angrepene. Vi ser en tydelig økning i AIT-angrep og opplever ukentlig at selskaper rammes. Derfor tar vi i LINK Mobility dette på største alvor, og ønsker å gjøre deg oppmerksom på hvordan du kan redusere risikoen og beskytte din bedrift mot denne typen trusler.

Hva er Artificially Inflated Traffic?

Artificially Inflated Traffic( AIT) er en ny type SMS-svindel der aktører genererer store mengder falsk trafikk via apper eller nettsteder. Svindelen utføres vanligvis via såkalt OTP SMS (One-time password SMS) der svindleren bruker roboter som genererer falske kontoer for å utløse OTP SMS til flere mobilnumre. Det er flere parter involvert i denne typen angrep, én som utfører selve angrepet og en useriøs aktør som deretter avlytter den Artificially Inflated Traffic uten å faktisk levere meldinger til sluttbrukeren. Store mengder uønsket SMS-trafikk genereres ved gjentatte oppringninger av tjenesten. Begge aktørene genererer til slutt store fortjenester fra angrepene.

Ordliste: forklaring av forkortelser som brukes

  • AIT: Artificially Inflated Traffic er en type SMS-svindel som genererer falsk SMS-trafikk via apper og nettsteder der angriperne tjener store økonomiske gevinster

  • A2P: Application-to-person er enhver type trafikk der en person mottar meldinger fra en applikasjon

  • OTP: One-time password, det vil si engangspassord som bare er gyldige under en påloggingsøkt

  • MSISDN: Mobile Station International Subscriber Dirctory Number er det fullstendige nummeret en bruker har (f.eks. et mobiltelefonnummer).

  • CAPTCHA: Det står for Completely Automated Public Turing test to tell Computers and Humans Apart og er et verktøy du kan bruke til å identifisere virkelige brukere og automatiserte brukere, f.eks. roboter

Trafikksvindel skjer gjennom sluttbrukere og mot svakt beskyttede webtjenester, som nettskjemaer og apper som kan generere A2P SMS. Trafikken sendes fra en kundes vanlige system, og meldingene har ikke noe avvikende innhold. Et angrep og resultatet av en markedsføringskampanje eller ekspansjon til et nytt marked kan ha nesten identiske trafikkmønstre.

Slik kan LINK hjelpe deg med å unngå AIT-angrep

Vi jobber for å hjelpe deg med å håndtere og redusere risikoen for trafikksvindel. Det er imidlertid viktig å understreke at angrepene ikke skyldes feil eller mangler i LINK Mobilitys sikkerhetsoppsett, nettverk, plattformer, API-er eller applikasjoner. For å motvirke denne typen angrep overvåker LINKs NOC systemene våre døgnet rundt og kan derfor gripe inn og stoppe et angrep når det oppdages. Men selv når et angrep pågår, kan det være vanskelig å oppdage det fra leverandørens side. For å forbedre beskyttelsen oppfordrer vi derfor kundene våre til å øke sikkerheten til sine kunderettede tjenester som kan generere A2P SMS, slik at risikoen for uønsket trafikk kan minimeres.

Hvordan skjer AIT-angrep?

Nedenfor lister vi opp tilfellene der AIT-angrep primært har blitt oppdaget. De skjer gjerne via nettskjemaer og smarttelefonapper som kan utløse A2P SMS:

  • Varsling via SMS.

  • Registrering via SMS med tofaktorautentisering.

  • Endre MSISDN til tofaktorautentisering.

  • SMS med AppStore-URL for mobil.

  • Send SMS med AppStore-lenke til mobil.

Nettskjemaangrep kan enkelt utløses av roboter, mens smarttelefonappangrep kan utløses av roboter på smarttelefonemulatorer og av utvunnede API-data fra appen.

Dette kan du gjøre for å motvirke angrep

For å motvirke denne typen angrep finnes det flere tiltak du kan iverksette, og dermed minimere risikoen for at de oppstår. Du kan blant annet:

  • Blokker eller "whitelist" markeder for å begrense sending til land utenfor markedene dine.

  • Implementer pristak for sending til land utenfor markedene dine.

  • Implementer en sofistikert CAPTCHA (f.eks. Google reCaptcha).

  • Gjennomgå SMS-statistikk manuelt eller automatisk etter land.

  • Iverksett mottiltak på alle prosesser som inkluderer SMS (registrering, pålogging, oppdatering av brukerdata, avmelding osv.).

Derfor holder ikke enkelte tiltak mot avanserte angrep

Vi vil også gjøre deg oppmerksom på tiltak som angripere lett kan omgå, og som derfor ikke gir et fullgodt sikkerhetsvern. Det betyr likevel ikke at disse tiltakene er verdiløse eller ubrukelige – de kan fortsatt bidra til å redusere risiko og hindre enkelte angrep. Men de gir ingen garanti mot målrettede og vedvarende trusler. Nedenfor har vi listet opp slike tiltak, samt hvordan angripere vanligvis omgår dem:

  • Begrensning av antall forespørsler per IP-adresse – angriperne bruker botnettverk for å benytte flere forskjellige IP-adresser.

  • Blokkering av IP-adresser og IP-intervaller – angriperne bruker botnettverk for å benytte flere ulike IP-adresser og intervaller.

  • Blokkering av flere SMS-meldinger sendt til samme MSISDN – angriperne genererer flere tilfeldige MSISDN-numre.

  • Blokkering av mange forskjellige MSISDN fra én IP-adresse – angriperne sirkulerer ulike MSISDN-er gjennom forskjellige IP-adresser.

  • Bruk av enkle CAPTCHAs – angriperne benytter tekstgjenkjenning eller billig arbeidskraft for å løse CAPTCHAs.

  • Overvåking av høyt antall ikke-leverte meldinger per land – angriperne returnerer falske DLR-er.

Angripernes oppførsel for å unngå blokkering

Det finnes et mønster i hvordan angripere oppfører seg for å omgå blokkering av angrep som kan være lurt å vurdere når du øker sikkerheten til systemene dine:

  • Angrepet starter med uønsket trafikk om natten, før helger og helligdager, dvs. i perioder når systemene er mindre overvåket.

  • De sender sakte for å holde seg under radaren og dokumentere SMS-volumer når trafikken er blokkert.

  • De sender uønsket trafikk med en lavere hastighet enn den dokumenterte blokkeringshastigheten.

  • De sender SMS til mange destinasjonsland som ikke kan blokkeres fullstendig. Størstedelen av trafikken kan være indirekte skade for å skjule SMS-meldinger til angripernes ønskede destinasjoner eller markeder.

Vårt beste råd er å vurdere sikkerheten til dine webtjenester som kan generere A2P SMS-trafikk, slik at du kan redusere risikoen for Artificially Inflated Traffic. Hvis du har spørsmål, kan du gjerne kontakte vår support!