Får du SMS-koder du ikke ba om? Slik fungerer SMS-pumping

Hva SMS-pumping er, kort fortalt

SMS-pumping, også kjent som AIT (Artificially Inflated Traffic), fungerer slik: kriminelle bruker automatiserte roboter til å fylle ut registrerings- eller innloggings-skjemaer på legitime nettsider. Hver gang skjemaet sendes inn med et nytt telefonnummer, utløser tjenesten en SMS med engangskode (OTP).

Robotene bryr seg ikke om koden. Hele poenget er å få bedriften til å sende SMS-en.

Hvorfor? Fordi SMS-trafikken som genereres havner hos mobiloperatører, og en del av dem deler inntektene med tredjeparts-leverandører nedover i kjeden. Kriminelle som har infiltrert, eller har avtaler med skyggeselgere i denne kjeden, tjener penger på hver SMS som leveres. For Parqio, Ruter, Møller og de andre rammede selskapene betyr det at de betaler per SMS for trafikk som ikke fører til noe. Ingen ny kunde, ingen innlogging, bare regning.

Hvorfor det rammer bedriftene, ikke brukerne

Aamlid er tydelig overfor Nettavisen: «Mottakerne trenger ikke være bekymret. Ingen personopplysninger er på avveie, og det er ikke nødvendig å foreta seg noe.»

Det stemmer. Hvis du mottar en SMS med en engangskode du ikke har bedt om, betyr det at noen prøvde å registrere ditt telefonnummer hos den tjenesten. Kontoene dine andre steder er ikke i fare, og du trenger ikke å trykke på koden. Slett SMS-en og gå videre.

Den faktiske skaden ligger hos bedriftene som sender SMS-ene:

• Direkte kostnader. SMS-er koster penger per stykk, særlig de transaksjonelle. Når trafikken multipliseres med 100 i et angreps-vindu, blir det fort hundretusenvis av kroner i tapt margin.
• Driftsstans. Parqio har midlertidig stanset SMS-utsending mens nye sikkerhetstiltak implementeres. Det betyr at også legitime brukere blir berørt under opprydning.
• Omdømme. Når brukere får uforklarte SMS-er, vokser mistilliten til avsender, selv om bedriften ikke har gjort noe galt.

Hva norske bedrifter kan gjøre nå

Hvis bedriften din sender SMS-koder ved innlogging eller registrering, er du et potensielt mål. Tiltakene som faktisk fungerer:

1. Rate-limiting per nummer og IP. Hvis det samme nummeret eller IP-en prøver å trigge SMS-koder gjentatte ganger, blokker etter et håndfullt forsøk. Standard, men ofte feilkonfigurert.
2. CAPTCHA foran SMS-utsending. En reCAPTCHA v3 eller hCaptcha-utfordring foran skjemaet stopper de fleste enkle pump-botter. Liten friksjon for brukeren, mye friksjon for boten.
3. Geografisk filtrering. Hvis tjenesten din kun er for norske brukere, blokker non-NO-nummer på inngangen. Mye SMS-pumping kommer fra obskure utlands-prefiks der inntekts-fordelingen er mest fordelaktig for svindleren.
4. Pris-tak per nummer per dag. Sett en hard grense for hvor mange SMS et enkelt nummer kan utløse i løpet av 24 timer. Selv legitime brukere trenger sjelden mer enn 2-3.
5. Bruk SMS-leverandører med AIT-deteksjon. Twilio, Sinch og noen andre tilbyr automatisk pumping-deteksjon basert på trafikkmønstre. Spør leverandøren din direkte om hva som er aktivert.
6. Vurder å droppe SMS-OTP helt. TOTP-apper (Google Authenticator, Authy) eller passkeys er både sikrere og billigere. SMS-2FA er på vei ut uansett, og pumping-angrep akselererer den overgangen.

Hvis du selv mottar koder du ikke ba om

For deg som privatperson:

• Ikke skriv inn koden noe sted. Den er kun gyldig i tjenesten som sendte den, og ingen annen.
• Slett SMS-en. Du trenger ikke å varsle bedriften, de vet om det allerede.
• Hvis du faktisk har konto hos tjenesten og er usikker, bytt passordet. Det er ikke at noen prøver å logge inn, men det skader ikke.
• Aktiver TOTP-app eller passkey i stedet for SMS-2FA der det er mulig. Da slipper du å være avhengig av at en bedrift i utlandet faktisk får levert SMS-en sin.

Den underliggende lærdommen er ikke ny: SMS som autentiserings-kanal er sårbar både for brukeren (SIM-swap, sniffing) og for avsenderen (pumping, fraud). Bransjen vet det. Det tar bare tid før flere tjenester bytter ut SMS som standard.