Fragen? Antworten! Siehe auch: Alternativlos
ich habe beruflich mit (2FA-) SMS zu tun und kann hier etwas Kontext liefern:Den PS-Teil habe ich schon vermutet, wollte das aber nicht einfach so behaupten, weil das eben reine Spekulation gewesen wäre.390 Mobile Network Operator (MNO) klingen natürlich erst mal viel.
2FA-SMS werden in aller Regel nicht direkt an die Operatoren übermittelt, sondern werden an Service Provider übermittelt(sogenannte Aggregatoren), welche die Nachrichten entweder direkt an die MNOs oder an weitere Aggregatoren senden. Das ist einerseits eine Konsequenz aus der Liberalisierung der Telco-Märkte, andererseits aber auch eine Frage der Effizienz, weil niemand den Aufwand treiben will, sich mit einer vierstelligen Anzahl an MNOs direkt zu verbinden.
Dieses Konstrukt ist von außen natürlich nicht sichtbar und kann zu Fehlschlüssen führen. Der bloße Umstand, dass einMNO von Bot-Traffic betroffen ist (in der Branche wird von Generated Traffic oder Artificially Inflated Traffic gesprochen) heißt nicht zwangsläufig, dass der MNO davon etwas mitbekommt.
Es ist auch möglich, dass ein Aggregator, etwa durch attraktives Pricing oder exklusive Verträge, versucht möglichst viel Traffic zu einem MNO auf sich zu ziehen. Parallel dazu wird (wahrscheinlich) via Cybergangs nach Services gesucht, die sich per Bot exploiten lassen. Das kann von den großen Fischen wie Twitter bis zu Marias Tanzschule alles sein. Wenndie getriggerten SMS von einem Service beim Aggregator ankommen, wird anschließend mit großen Bot-Kanonen auf den Service geschossen um für massenhaft Traffic beim Aggregator zu sorgen, den dieser schön abrechnen kann.
Da der Aggregator weiß, welche Rufnummern er vorher beim Service eingeworfen hat, kann die SMS auf seiner Seite bequem wegwerfen. Das hat den Vorteil, dass er den MNO nicht bezahlen muss und keine schlafenden Hunde beim MNO weckt.
Das soll natürlich nicht heißen, dass alle MNOs frei von Schuld sind. Auch diese können natürlich direkt oder indirekt, durch großzügiges Wegschauen, beteiligt sein. Es gibt unzählige Pfade, um mit dieser Methode Geld zu verdienen.
Dazu kommt noch, dass nicht alle MNOs dem allgemeinen Bild mit Antennen auf Dächern und Kunden mit Telefonen in der Tasche entsprechen. Dazu kommt noch eine unüberschaubare Anzahl von meist kleinen B2B-Firmen, die zwar eine entsprechende Lizenz und bspw. eigene Rufnummernbereiche aber keine eigenen Endkunden haben.
Trotzdem ist die Anzahl an beteiligten Parteien groß und das Ausmaß erschreckend. Zu manchen kleinen MNOs übersteigt derBot-Traffic locker die 90%. Seriöse Marktteilnehmer versuchen zwar mit Mensch und Maschine den Bot-Traffic zu stoppen aber der Schaden ist trotzdem enorm.
Daher ein eindringlicher Tipp an alle, die öffentliche Services betreiben, die SMS auslösen: Überlegt euch genau, wie ihr euren Service gegen Bots sichert und ob ihr es wirklich erlauben müsst 100.000 SMS pro Stunde in ein Land zu schicken, in dem noch niemand von eurem Service gehört hat ;-)
PS: Ich halte es für wenig wahrscheinlich, dass Twitter nichts mitbekommen haben will. Es gibt schon länger Anzeichen inder Branche, dass börsennotierte Player gerne etwas langsamer reagieren, wenn der Bot-Traffic für neue "User" sorgt und man der Börse Wachstum melden kann.