Zum Hauptinhalt springen

Versand von OTP per SMS

Wesentliche Sicherheitsempfehlungen

Es ist von entscheidender Bedeutung, Schutzmaßnahmen zu implementieren, um zu verhindern, dass Ihre Dienste für Einmalpasswörter (OTP) oder Zwei-Faktor-Authentifizierung (2FA) einen unerwarteten Anstieg von SMS-Anfragen verursachen.

Ein öffentlich zugängliches Eingabefeld für Telefonnummern ist ein Hauptziel für SMS-Pumping, eine Art von Betrug, bei der Angreifer absichtlich ein hohes Volumen an SMS-Anfragen generieren. Dies kann zu erheblichen, unerwarteten Kosten für Ihr Unternehmen führen, da Mobilfunkbetreiber jede über das Netzwerk versendete Nachricht berechnen.

Wir raten Ihnen dringend, sich mit verwandten Bedrohungen wie SMS-Pumping, SMS-Betrug und International Revenue Sharing Fraud (IRSF) vertraut zu machen, um die Risiken vollständig zu verstehen.

Wenn Sie einen 2FA- oder OTP-Dienst aufbauen oder integrieren, empfehlen wir dringend, alle, wenn nicht gar eine Kombination dieser Sicherheitsmaßnahmen zu implementieren, um Ihre Plattform zu schützen:

Empfehlung

Beschreibung

Weltweiten Versand überprüfen

Navigieren Sie zum weltweiten Versand, hier

Bestätigen Sie, dass die Länder, die Sie aktiviert haben, die einzigen sind, an die ausgehender SMS-Verkehr gesendet werden soll

Erfahren Sie mehr über den weltweiten Versand hier

Ratenbegrenzung implementieren

Verwenden Sie einen mehrschichtigen "Bucket"-Ansatz für eine effektivere Ratenbegrenzung, indem Sie mehrere Identifikatoren kombinieren.

  • Gehen Sie über die Begrenzung der IP-Adresse hinaus, da diese mit VPNs leicht umgangen werden kann. Binden Sie Limits stattdessen an eine eindeutige Kennung wie eine Kombination aus E-Mail + Telefonnummer.

  • Implementieren Sie Device-Fingerprinting, um das eindeutige Gerät eines Nutzers zu identifizieren und ihn zu blockieren, selbst wenn er seine IP-Adresse oder sein Konto ändert.

  • Fügen Sie eine zeitbasierte Drosselung hinzu, indem Sie eine maximale Anzahl von OTPs pro Minute festlegen oder Nutzer nach zu vielen fehlgeschlagenen Versuchen vorübergehend blockieren, um Missbrauch zu verhindern.

Anfrage-Verzögerungen einführen

Erzwingen Sie eine "Abkühlphase" zwischen aufeinanderfolgenden Anfragen von derselben Telefonnummer, indem Sie beispielsweise nur eine Anfrage alle 90 Sekunden zulassen.

Monitoring & Warnungen einrichten

Erstellen Sie automatische Warnungen, um Sie über ungewöhnliche Spitzen im SMS-Verkehr oder hochfrequente Anfragen aus bestimmten Regionen oder IP-Bereichen zu benachrichtigen.

Nutzungsschwellenwerte festlegen

Definieren Sie klare Nutzungslimits und wenden Sie automatisch Sperren an, sobald diese Schwellenwerte erreicht sind. Dies dient als entscheidende Absicherung, um aus dem Ruder laufende Kosten zu vermeiden.

Regionale Regeln berücksichtigen

Beachten Sie, dass Betrugsmuster und Rufnummernpläne je nach Land variieren. Ihre Sicherheitslogik muss möglicherweise an verschiedene Regionen angepasst werden.

Einen Sicherheits-Experten konsultieren

Wenn Sie sich über die beste Implementierung für Ihren Anwendungsfall unsicher sind, wenden Sie sich an einen Sicherheitsexperten, um Ihre Architektur überprüfen zu lassen.

Wie man ein OTP per SMS versendet

Sie können ClickSend verwenden, um die Zwei-Faktor-Authentifizierung für Ihre App/Website einzurichten. Gehen Sie dafür wie folgt vor:

  1. Generieren Sie das OTP in Ihrem Code, z. B. "1234", und speichern Sie es (in einer Datenbank auf Ihrem Server).

  2. Rufen Sie unseren POST sms/send Endpunkt auf.

  3. Erlauben Sie dem Nutzer, das OTP einzugeben.

  4. Ihr Skript sollte es gegen das gespeicherte OTP validieren.

Es wird empfohlen, Limits für die maximale Anzahl der Male festzulegen, die ein Nutzer ein OTP versenden kann, sowie dafür, wie oft er versuchen darf, das OTP zu erraten.

Hat dies deine Frage beantwortet?