Waarom de ‘fake DLR’ de SMS-markt kapotmaakt

4 minutes read

Waarom de ‘fake DLR’ de SMS-markt kapotmaakt

Verzenden en ontvangen van SMS lijkt vrij eenvoudig, maar is in feite iedere keer weer een wondertje dat veel technische tussenstations kent.

Recent is de SMS in toenemende mate slachtoffer van het fenomeen Fake DLR (nep-ontvangstbevestigingen), een nepvariant op het Delivery Receipt dat het mobiele netwerk op verzoek bij elk individueel SMS-bericht terugstuurt.

3 miljoen berichten per dag

Alleen al door de servers van CM gaan per minuut ruim 2000 SMS-berichten. 125.000 per uur, drie miljoen per dag. Dat zijn onder andere SMS-berichten voor mobile marketing, eenmalige wachtwoorden (One Time Passwords) SMS-herinneringen etc. Al die SMS-berichten moeten hun weg vinden van de verzender, die voor B2B-SMS doorgaans applicaties gebruikt als MailSMS, GroupSMS of met een eigen applicatie en een API direct aansluit op CM’s SMS Gateway.

SMS-routes en Delivery Receipts

De route die een SMS aflegt, is afhankelijk van een aantal factoren. De meest logische route is van een mobiele telefoon (P2P) of een applicatie (A2P) naar een aggregator (SMS-dienstverlener) waarna het bericht wordt afgeleverd op de SMSC van een telecomoperator. Die stuurt het door naar de operator waar degene voor wie het bericht is bedoeld, is aangesloten. Vrijwel ieder SMS-bericht leidt tevens tot twee DLR’s, een Delivery Receipt of Delivery Report. Het ene Delivery Receipt vertelt of het SMS-bericht is aangenomen of geweigerd, het tweede toont aan of het bericht is afgeleverd dan wel gefaald. Dergelijke statusupdates zijn cruciaal, omdat SMS wordt gebruikt bij bedrijfskritische processen. Het DLR bevat informatie over de afleverroute en tijdstip, in een wachtrij is beland of – in het slechtste geval – de SMS niet is aangekomen. Het Retry Systeem van CM, dat een SMS-bericht opnieuw verstuurt indien aflevering faalt, is afhankelijk van de DLR’s van SMS-berichten (Lees ook de uitleg over het retry Systeem).

Het Delivery Receipt

De beschikbaarheid van DLR’s is afhankelijk van of het netwerk DLR’s ondersteunt. In principe werken operators en SMS-dienstverleners louter met netwerken voorzien van deze functie. Als de SMS Gateway een SMS verstuurt, krijgt deze een verzoek mee om een DLR terug te sturen. Dienstverleners en hun klanten willen en moeten op de hoogte zijn van de afleverstatus van vaak bedrijfskritische berichten. Juist het controleproces van afleveren wordt ernstig verstoord door de zogenaamde Fake DLR’s. Fake DLR’s zijn – zoals de naam al zegt – namaakontvangstbevestigingen. Die pretenderen via een DLR dat een SMS-bericht is afgeleverd op de mobiele telefoon, terwijl in realiteit de operator of aggregator niets met het SMS-bericht doet en deze in feite simpelweg in de prullenbak verdwijnt.

Tegenmaatregelen

SMS-dienstverleners hebben veel moeite de verantwoordelijke(n) van een Fake DLR te achterhalen. De routes die SMS-berichten bewandelen, leiden soms naar verschillende operators en/of SMS-aggregators. Binnen die route kan het voorkomen dat er een fake DLR opduikt. Voor de verzender van de SMS is het dan niet duidelijk of zijn directe partner verantwoordelijk is voor de fake DLR, omdat die partner vaak met een derde partij samenwerkt om bijvoorbeeld een Bulk SMS-zending af te leveren. Daarnaast toont een Fake DLR dat een SMS-bericht correct is afgeleverd terwijl het tegendeel waar is. Bij een ‘normale’ gefaalde aflevering, geeft het DLR duidelijk aan dat de SMS niet kon worden afgeleverd, om welke reden dan ook. De enige die feitelijk achter de doorgaans opzettelijke en bovendien fraudeuleuze methode van valse melding van SMS-aflevering kan komen, is de klant die de opdracht van de SMS-zending zelf gaf en in contact staat met de eindgebruiker die het bericht niet heeft gekregen.

Een real-time logging waarin precies is te zien welk SMS-bericht is afgeleverd met een controle-SMS naar een door de klant gecontroleerde mobiele telefoon, is de methode om te controleren of SMS aankomt. Als er geen SMS-bericht op de mobiele telefoon verschijnt, maar dit toch als afgeleverd in de logging staat, weet je dat met Fake DLR’s te maken hebt. Een andere methode om Fake DLR’s op te sporen is het gebruik van zogenaamde testboxen voor voice en SMS. Daarmee kunnen operators real-time testen of spraak- en SMS-berichten aankomen. Hiermee worden testberichten gestuurd naar simboxen. CM werkt met andere bedrijven en dienstverleners aan een wereldwijd testnetwerk. Inmiddels staan er al 400 bestemmingen live. 

Strafbankje

Een andere methode om enigszins invloed uit te oefenen op de Fake DLR’s is de uiteindelijke verantwoordelijke op het strafbankje te zetten. CM is bezig pro-actief fraudeurs op te sporen die met opzet Fake DLR’s terugsturen. Dat houdt in dat – na daadwerkelijke bevestiging van opzettelijke kwade wil en de fraude – de verantwoordelijke voor een bepaalde periode geen verkeer te verwerken krijgt van CM. Geen verkeer betekent geen werk en dus minder inkomsten. Fake DLR-verzenders verdienen immers aan de valse rapporten doordat zij bepaalde hoeveelheden SMS-berichten nooit verwerken en afleveren; inspanningen waar de verzender ze wel voor betaalt.

Een goedwerkende markt wordt kapotgemaakt

Helaas zijn bovenstaande methoden niet waterdicht. Dat en het gegeven dat een fraudeur moeilijk is op te sporen en aan te spreken op zijn gedrag, maken dat de SMS-markt hiermee waarde verliest. Een markt die zich in de historie toch al gebukt ging onder het door sommige SMS-dienstverleners gecreëerde imago van een intransparante en destijds veel bekritiseerde markt. Door de opkomst van mobiel internet, de smartphone en apps komen marges op SMS onder druk te staan. De fake DLR levert de verantwoordelijke op korte termijn waarschijnlijk meer geld op. Op de lange termijn laten SMS-gebruikers de markt door deze manier van werken onherroepelijk links liggen. Immers: wat niet werkt, gebruikt men niet. Het gedrag van sommigen leidt er toe dat de wereld van communiceren via SMS op B2B en B2C-niveau kapot wordt gemaakt.

Fake DLR's is een fenomeen dat recent aan terrein wint en geldt als een vorm van cyber threat. Het meeste recente probleem van spoofing lost CM in samenwerking met operators op. CM is ervan overtuigd dat ook Fake DLR een probleem is dat snel uit de wereld kan worden geholpen. 




Verder lezen

Vorige Rode Kruis test donaties met nieuwe collecte-app
Volgende Notifire app live in de Google Play Store
Terug Terug naar nieuwsoverzicht

Interessant? Deel het met je netwerk!

Over de auteur

Erik Eggens

Connect met Erik via

LinkedIn, Twitter.