Twitter-Beispiel: Mit SMS-2-Faktor-Authentifizierung Millionen Euro erbeutet

An künstlichem SMS-Bot-Traffic verdient ein Netzwerk von Beteiligten: von virtuellen Netzbetreibern bis - womöglich - Twitter selbst. Ein Leser von Fefes Blog berichtet als Insider über ein unüberschaubares Geflecht beim SMS-Versand für Nutzer-Verifizierung, was ein weiterer Brancheninsider Golem.de bestätigte: "2FA-SMS werden in aller Regel nicht direkt an die Operatoren übermittelt, sondern an Service Provider – sogenannte Aggregatoren –, die die Nachrichten entweder direkt an die MNOs oder an weitere Aggregatoren senden."

Diese Aggregatoren arbeiten mitunter mit Bot-Konten und verdienen mit dem Traffic durch fiktive SMS-Verifizierungen Geld. In der Branche wird dieser Traffic als Generated Traffic oder Artificially Inflated Traffic, also als künstlich aufgebläht bezeichnet. Es sei auch möglich, dass ein Aggregator versuche, etwa durch attraktives Pricing oder exklusive Verträge, möglichst viel Traffic zu einem MNO, also einem Mobilfunknetzbetreiber, auf sich zu ziehen, schreibt der Leser von Fefes Blog weiter.

Parallel dazu suche er nach Services, die sich per Bot exploiten lassen. Das könnten große Firmen wie Twitter, aber auch "Marias Tanzschule" sein. "Wenn die getriggerten SMS von einem Service beim Aggregator ankommen, wird anschließend mit großen Bot-Kanonen auf den Service geschossen, um für massenhaft Traffic beim Aggregator zu sorgen, den dieser schön abrechnen kann."

Dass es diesen Markt für Aggregatoren überhaupt gibt, sei einerseits eine Konsequenz aus der Liberalisierung der Telekommunikationsmärkte, andererseits aber auch eine Frage der Effizienz, weil niemand den Aufwand treiben wolle, sich mit einer vierstelligen Anzahl an MNOs direkt zu verbinden, schreibt der Leser weiter.

Der MNO müsse von dem Bot-Traffic nicht unbedingt etwas mitbekommen. "Dazu kommt noch, dass nicht alle MNOs dem allgemeinen Bild mit Antennen auf Dächern und Kunden mit Telefonen in der Tasche entsprechen", schreibt der Insider. Es gebe eine unüberschaubare Anzahl von meist kleinen B2B-Firmen, die eine entsprechende Lizenz und eigene Rufnummernbereiche hätten, aber keine eigenen Endkunden.

Twitter-Verluste durch aufgeblähten Traffic

Dennoch könnten MNOs direkt oder indirekt, "durch großzügiges Wegschauen" beteiligt sein, erklärte der Insider. Bei manchen kleinen MNOs übersteige der Bot-Traffic locker 90 Prozent. "Seriöse Marktteilnehmer versuchen zwar, mit Mensch und Maschine den Bot-Traffic zu stoppen, aber der Schaden ist trotzdem enorm."

Der Leser kommentierte auch den aktuellen Twitter-Fall. Twitter hatte nämlich angekündigt, die Zwei-Faktor-Authentifizierung (2FA) mit SMS nach dem 20. März 2023 nur noch für Abonnenten von Twitter Blue zur Verfügung zu stellen. In einem Tweet bestätigte Twitter-Chef Elon Musk, dass die 2FA per SMS wegfalle, weil Twitter durch Scams von MNOs, die das SMS-Volumen künstlich aufblähten, pro Jahr 60 Millionen US-Dollar verliere. Eine Zwei-Faktor-Authentifizierung ist bei Twitter auch mit TOTP-Codes oder einem Sicherheitsschlüssel möglich.

Dass Twitter nichts mitbekommen habe, hält der Insider für unwahrscheinlich. "Es gibt schon länger Anzeichen in der Branche, dass börsennotierte Player gern etwas langsamer reagieren, wenn das für neue User sorgt und man der Börse Wachstum melden kann."