AIT – was es ist und warum es wichtig ist

AIT – was es ist und warum es wichtig ist

Bis zu diesem Jahr hatten nur wenige Menschen außerhalb von technischen Nischenkreisen überhaupt von AIT gehört – jetzt ist es so etwas wie ein Modewort.

Der wichtigste Grund ist – Elon Musk.

Die profilierteste Figur des Tech-Sektors – der freimütige, performative Mann hinter PayPal, Tesla, SpaceX und Weltraumraketen – hat sie in den ersten Tagen seiner neuen Rolle als Eigentümer von Twitter schreiend ins Rampenlicht gezerrt .

“Ich habe herausgefunden, dass Twitter um 60 Millionen Dollar pro Jahr für SMS-Texte betrogen wurde”, wütete er. “Im Grunde genommen gibt es Telekommunikationsunternehmen, die nicht besonders ehrlich sind, in anderen Teilen der Welt, die im Grunde genommen das System ausnutzen und immer und immer wieder SMS-Texte mit Zwei-Faktor-Authentifizierung verschicken und einfach eine Zillion Bot-Konten erstellen, um die Rechnung buchstäblich in die Höhe zu treiben, damit Twitter ihnen eine SMS schickt und ihnen Millionen von Dollar zahlt, ohne überhaupt danach zu fragen.”

Elon – willkommen beim künstlich aufgeblähten Verkehr.

Wie bei vielen Dingen in der digitalen Welt wird dieser langatmige Begriff meist auf sein Akronym AIT reduziert. Manchmal wird es auch als AGT – Artificially Generated Traffic – bezeichnet, aber es läuft auf dasselbe hinaus.

Und die Beschreibung von Musk war ziemlich genau, obwohl sie normalerweise etwas weniger offen beschrieben wird.

Dabei handelt es sich im Wesentlichen um ein Szenario, bei dem böswillige Akteure Bots einsetzen, um neue Konten auf Websites zu registrieren, wobei jede neue Anwendung automatisch den Versand eines einmaligen Passcodes (OTP) per SMS generiert.

Der Grund dafür ist, dass der eigentliche Kunde – in Musks Fall Twitter – die Rechnung für die an all diese Bot-Konten gesendeten OTP-Nachrichten bezahlen wird. Und obwohl der Betrag, der für jede einzelne gesendete Nachricht berechnet wird, relativ niedrig ist, kann die Gesamtsumme für den Betrüger sehr lukrativ sein, wenn die Bots Hunderttausende oder sogar Millionen von neuen Anträgen bearbeiten können.

Indem sie die Besucherzahlen künstlich in die Höhe treiben, generieren sie Einnahmen, ohne auch nur einen einzigen echten Neukunden zu haben.

Und, wie Musk sagt – da die Zahlung fast automatisch erfolgt – kann das Geld verschwinden, bevor jemand es überhaupt bemerkt hat. Die Betrüger nutzen diesen Aspekt der Unauffälligkeit absichtlich aus. Sie starten zum Beispiel gerne eine Welle von Anträgen an einem Freitagabend, wenn die Wahrscheinlichkeit, dass sie entdeckt – und bearbeitet – werden, geringer ist als an einem anderen Tag.

Aber wo Musk zu sehr vereinfacht, ist bei seinen Schuldzuweisungen: “Es gibt Telekommunikationsunternehmen, die nicht super ehrlich sind”.

Diese verkürzte Aussage suggeriert, dass es für jeden AIT-Betrug einen einzigen sichtbaren Schuldigen gibt – in Wirklichkeit gibt es das ärgerlicherweise fast immer nicht, was es so schwierig macht, den Täter zu benennen und den Handel mit ihm einzustellen.

Der Grund dafür ist die Komplexität der digitalen Ketten, die in diese Prozesse involviert sind, wobei mehrere Agenturen miteinander interagieren und jede von ihnen Gebühren in kleinen Beträgen zahlt und erhält.

Der Versuch, den Täter zu ermitteln und Sanktionen gegen ihn einzuleiten, nachdem er es getan hat, ist also in der Regel ein zum Scheitern verurteiltes Unterfangen: Es ist sehr schwierig herauszufinden, wer der Schuldige ist, und wenn Sie die bestehenden Verbindungen spekulativ unterbrechen, könnten Sie echte neue Kunden abschneiden, die Sie natürlich unbedingt gewinnen wollen.

Es ist viel sinnvoller, die modernsten Verfahren zum Zeitpunkt des Onboardings einzusetzen. Durch den Einsatz von datengesteuerten Screening-Prozessen der Telekom können Host-Unternehmen in Sekundenschnelle feststellen, ob die bei der Anmeldung verwendete Nummer echt und mit einer echten Person verbunden ist. Unsere Version dieses Verfahrens heißt TMT Authenticate – aber es gibt auch andere Produkte, wie man bei der BBC sagt. Der springende Punkt bei diesen Verfahren ist, dass Sie Ihre Plattform nicht mit gefälschten Kunden überschwemmen lassen, so dass Sie nicht mehr wissen, wer echt ist und wer nicht – und Sie brauchen überhaupt keine OTPs zu senden, weil die Verifizierungssicherheit so hoch ist, dass sie einfach nicht erforderlich sind. Es besteht also überhaupt kein Risiko von AIT-Angriffen.

Aber natürlich sind Sie manchmal einfach nicht in der Lage, Ihre Onboarding-Verfahren zu zerreißen und neu anzufangen. Wenn Sie im Moment noch SMS-gestützte OTPs als Kundenkommunikationsmittel verwenden müssen, haben wir ein alternatives Produkt, TMT TeleShield, das mit dem, was Sie haben, arbeiten kann und es viel sicherer macht. Es filtert Bot-Nummern aus und stellt sicher, dass nur echte, aktive Nummern, die mit einer echten Person an dem Ort verbunden sind, für den sie sich ausgeben, die OTPs empfangen können – und blockiert zum Beispiel Mehrwertdienstnummern oder ungültige Nummern, die mit versuchten AIT verbunden sind.

Musk versuchte bezeichnenderweise, eine eigene Lösung zu finden: “Ich habe gesagt, dass wir jedem Telekommunikationsunternehmen, das mehr als 10 Prozent Betrug begeht, den Geldhahn zudrehen sollten. Das hat in vielen Teilen der Welt für Verwüstung gesorgt. Jetzt gehen wir zurück zu den Telekommunikationsunternehmen und sagen: ‘Hören Sie, wenn Sie aufhören, uns zu betrügen, dann zahlen wir Ihnen gerne einen gewissen Betrag für SMS, aber Sie dürfen kein Auge zudrücken’. Wir nehmen 10 Prozent Betrug hin, aber wir werden nicht 90 Prozent Betrug hinnehmen.”

Ich bin mir nicht sicher, ob dieser Ansatz jemals funktional oder gar kosteneffektiv sein könnte. Es ist viel billiger, in Protokolle zu investieren, um das Problem zu vermeiden. Aber Musk wird Musk sein.

Für den Rest von uns geht es eher um praktische Wege nach vorn. Denn natürlich ist dieses Problem global. Twitter ist nur die Spitze eines sehr lukrativen und schlüpfrigen AIT-Eisbergs.