Wesentliche Sicherheitsempfehlungen
Es ist von entscheidender Bedeutung, Schutzmaßnahmen zu implementieren, um zu verhindern, dass Ihre Dienste für Einmalpasswörter (OTP) oder Zwei-Faktor-Authentifizierung (2FA) einen unerwarteten Anstieg von SMS-Anfragen verursachen.
Ein öffentlich zugängliches Eingabefeld für Telefonnummern ist ein Hauptziel für SMS-Pumping, eine Art von Betrug, bei der Angreifer absichtlich ein hohes Volumen an SMS-Anfragen generieren. Dies kann zu erheblichen, unerwarteten Kosten für Ihr Unternehmen führen, da Mobilfunkbetreiber jede über das Netzwerk versendete Nachricht berechnen.
Wir raten Ihnen dringend, sich mit verwandten Bedrohungen wie SMS-Pumping, SMS-Betrug und International Revenue Sharing Fraud (IRSF) vertraut zu machen, um die Risiken vollständig zu verstehen.
Wenn Sie einen 2FA- oder OTP-Dienst aufbauen oder integrieren, empfehlen wir dringend, alle, wenn nicht gar eine Kombination dieser Sicherheitsmaßnahmen zu implementieren, um Ihre Plattform zu schützen:
Empfehlung | Beschreibung |
Weltweiten Versand überprüfen | |
Ratenbegrenzung implementieren | Verwenden Sie einen mehrschichtigen "Bucket"-Ansatz für eine effektivere Ratenbegrenzung, indem Sie mehrere Identifikatoren kombinieren.
|
Anfrage-Verzögerungen einführen | Erzwingen Sie eine "Abkühlphase" zwischen aufeinanderfolgenden Anfragen von derselben Telefonnummer, indem Sie beispielsweise nur eine Anfrage alle 90 Sekunden zulassen. |
Monitoring & Warnungen einrichten | Erstellen Sie automatische Warnungen, um Sie über ungewöhnliche Spitzen im SMS-Verkehr oder hochfrequente Anfragen aus bestimmten Regionen oder IP-Bereichen zu benachrichtigen. |
Nutzungsschwellenwerte festlegen | Definieren Sie klare Nutzungslimits und wenden Sie automatisch Sperren an, sobald diese Schwellenwerte erreicht sind. Dies dient als entscheidende Absicherung, um aus dem Ruder laufende Kosten zu vermeiden. |
Regionale Regeln berücksichtigen | Beachten Sie, dass Betrugsmuster und Rufnummernpläne je nach Land variieren. Ihre Sicherheitslogik muss möglicherweise an verschiedene Regionen angepasst werden. |
Einen Sicherheits-Experten konsultieren | Wenn Sie sich über die beste Implementierung für Ihren Anwendungsfall unsicher sind, wenden Sie sich an einen Sicherheitsexperten, um Ihre Architektur überprüfen zu lassen. |
Wie man ein OTP per SMS versendet
Sie können ClickSend verwenden, um die Zwei-Faktor-Authentifizierung für Ihre App/Website einzurichten. Gehen Sie dafür wie folgt vor:
Generieren Sie das OTP in Ihrem Code, z. B. "1234", und speichern Sie es (in einer Datenbank auf Ihrem Server).
Rufen Sie unseren POST sms/send Endpunkt auf.
Erlauben Sie dem Nutzer, das OTP einzugeben.
Ihr Skript sollte es gegen das gespeicherte OTP validieren.
Es wird empfohlen, Limits für die maximale Anzahl der Male festzulegen, die ein Nutzer ein OTP versenden kann, sowie dafür, wie oft er versuchen darf, das OTP zu erraten.
