Published on 2023-05-31

Huomioi mahdolliset huijaukset A2P-liikenteessä

Uudenlainen petollinen hyökkäys vaivaa sovelluksesta loppukäyttäjille toimitettavaa viestiliikennettä eli A2P-viestiliikennettä. Hyökkäyksessä aiheutetaan ei-toivottua tekstiviestiliikennettä, joka jalkautetaan puutteellisesti suojattuihin verkkopalveluihin.

Hyökkäyksiä aiheuttavia tahoja on todella vaikeaa tunnistaa. Hyökkäysten kohteeksi joutuneiden suomalaisyritysten määrä on minimaalinen, eikä A2P-tekstiviestipalveluntarjoajiin, järjestelmiin, alustoihin tai asiakastileihin kohdistuvissa hyökkäyksissä ole havaittavissa selkeää kaavaa.

Haluamme korostaa, että hyökkäykset eivät johdu LINK Mobilityn ratkaisujen, verkkojen, alustojen, rajapintojen tai järjestelmien tietoturvaheikkouksista. Liikennehuijaukset tapahtuvat loppukäyttäjille tarkoitettujen ja heikosti suojattujen verkkopalvelujen, kuten tekstiviestejä lähettävien verkkolomakkeiden, kautta. Näiden kautta huijarit pystyvät halutessaan lähettämään suuria määriä ei-toivottua viestiliikennettä ilman rajoituksia.

Hyökkäyksen havaitseminen etenkin reaaliajassa on erittäin haastavaa palveluntarjoajan puolelta. Liikenne toteutetaan asiakkaan normaaleista järjestelmistä ja se on sisällöltään täysin samanlaista kuin muukin viestiliikenne. Kokemuksemme osoittaa, että hyökkäykset toteutetaan tilaustöinä. Osapuolina ovat usein rikolliset, jotka haluavat aiheuttaa vahinkoa ja tekevät ”toimeksiannon” hakkereille, jotka sitten toteuttavat hyökkäykset.

Oletamme, että hakkerit tarjoavat dataa hyödynnettävissä olevista loppukäyttäjien verkkopalveluista ja toteuttavat hyökkäykset rikollisen osapuolen puolesta. On myös mahdollista, että hyökkäyksiä käytetään DDoS-hyökkäysten tapaan lunnasvaatimuksiin, mutta meille ei kuitenkaan ole raportoitu tämäntyyppisestä toiminnasta.

Kehotamme asiakkaitamme lisäämään tekstiviestejä lähettävien asiakaskohtaisten palvelujensa turvallisuutta, jotta ei-toivotun liikenteen riski olisi mahdollisimman pieni.

Tunnistetut hyökkäysalueet

Verkkolomakkeet, jotka lähettävät tekstiviestejä

Käyttötavat:

  • Kirjautuminen palveluun tekstiviestillä

  • Tekstiviestillä toteutettu vahva tunnistautuminen palveluun kirjautuessa (2FA)

  • Asiakastietojen päivittäminen (verkkolomake)

  • Tekstiviesti, jossa sovellus jakaa käyttäjälle vaikkapa linkin AppStoreen

  • Älypuhelinsovellukset, jotka voivat lähettää A2P-tekstiviestejä

Botit voivat laukaista edellä mainitut toiminnot älypuhelinemulaattorilla tai viestejä voidaan lähettää sovelluksesta otetuilla API tunnuksilla.

Toimenpiteet hyökkäyksiä vastaan:

  • Estäminen tai White Listing, joilla estetään tekstiviestiliikenne maihin, joihin sitä ei ole tarkoitus suunnata.

  • Tehokkaan captchan, kuten Google reCaptchan tai vastaavan, käyttöönotto.

  • Viestimäärien huolellinen seuranta ja maakohtaisten määrien analysointi.

  • Tekstiviestejä hyödyntävien prosessien kokonaisvaltainen hallinta ja aktiivinen seuranta (rekisteröityminen, kirjautuminen, käyttäjätietojen päivittäminen, opt-out jne.)

Toimenpiteet, joita hyökkääjät voivat kiertää:

  • Lähetyspyyntöjen määrä on rajoitettu IP-osoitetta kohti

    • Hyökkääjät käyttävät bottiverkkoja hyödyntääkseen monia eri IP-osoitteita.

  • IP-osoitteiden ja IP-alueiden estäminen

    • Hyökkääjät käyttävät useiden eri IP-osoitteiden/avaruuksien bottiverkkoja.

  • Useiden tekstiviestien lähettäminen samaan puhelinumeroon on estetty

    • Hyökkääjät luovat satunnaisia puhelinnumeroita.

  • Liian yksinkertaisten captchojen käyttö

    • Hyökkääjät käyttävät tekstintunnistusta tai halpaa työvoimaa captchojen ratkaisemiseen.

Tämä ei kuitenkaan tarkoita, että ennaltaehkäisevät toimenpiteet olisivat hyödyttömiä tai etteikö ne voisi torjua mahdollisia hyökkäyksiä. Ne eivät kuitenkaan takaa, että ne pysäyttäisivät hakkereita.

Näin hakkerit pyrkivät toimimaan estoyritysten välttämiseksi:

  • Hyökkäykset alkavat ei-toivotulla liikenteellä yöllä/ennen viikonloppuja/juhlapyhiä, jolloin järjestelmien valvonta voi olla vähäisempää.

  • Ei-toivottua liikennettä lähetetään aluksi vähemmän/hitaammin jotta toiminta pysyy mahdollisimman huomaamattomana.

  • Ei-toivotun liikenteen lähettämisen aikana kerätään tietoa asiakkaan palvelun estoista ja rajoituksista.

  • Ei-toivottua liikennettä lähetään hitaammin kuin dokumentoitu estonopeus.

  • Ei-toivottua liikennettä lähetetään kohdemaihin, joita asiakas ei liiketoimintansa takia voi kokonaan asettaa estetyksi. Suuri osa liikenteestä voi olla epäsuoraa vahinkoa, jolla piilotetaan ei-toivottu liikenne hakkereiden haluamiin kohteisiin tai markkinoille.

Neuvomme asiakkaitamme tarkastelemaan sellaisten asiakaskohtaisten verkkopalveluiden turvallisuutta, jotka tuottavat tekstiviestiliikennettä sekä aktiivisesti seuraamaan tekstiviestien määrän kehitystä. Mikäli sinulla heräsi kysymyksiä niin voit olla yhteydessä tukeemme – olemme täällä sinua varten.