Nutzt jemand anderes Ihr Twilio-Konto? Best Practices zum Schutz Ihres Authentifizierungstokens

Mit über 5 Milliarden Mobiltelefonnutzern weltweit suchen Angreifer ständig nach Möglichkeiten, leichtgläubige Menschen über ihre vernetzten Geräte auszunutzen. Smishing, also die Verwendung von SMS für Social Engineering zur Informationsgewinnung, ist ein weit verbreiteter Angriff, den Telekommunikationsanbieter zu bekämpfen versuchen. Dabei geben sich Cyberkriminelle in Textnachrichten als vertrauenswürdige Personen aus, um persönliche Informationen wie Kennwörter oder Kreditkartennummern abzufragen. Selbst wenn nur wenige Menschen auf den diesen Trick hereinfallen, kann sich die Masche lohnen, insbesondere, wenn der Angreifer gestohlene Twilio-Anmeldeinformationen zum Senden der Nachrichten verwendet.

Bei Twilio legen wir großen Wert auf Vertrauen. Deshalb möchten wir Sie und Ihre Nutzer:innen vor Smishing-Angriffen schützen. In diesem Beitrag zeigen wir Ihnen, wie Sie Ihr Konto am besten schützen können.

Best Practices zur Verhinderung von Betrug und Phishing mit Twilio

Wird Ihr Twilio-Authentifizierungstoken gestohlen, können sich Cyberkriminelle als Sie ausgeben und nach Belieben handeln, ohne Konsequenzen befürchten zu müssen. Mit ihrer vertrauenswürdigen Identität können sie Anrufe tätigen, Nachrichten senden, Protokolle herunterladen oder die URL-Einstellungen Ihrer Twilio-Telefonnummer ändern. 

Wenn Ihr Authentifizierungstoken missbraucht wird, kann Ihr Twilio-Konto in kürzester Zeit massiv belastet werden. Schlimmer noch: Gerät Ihr Authentifizierungstoken in die falschen Hände, kann dies Ihren Ruf irreparabel schädigen und das Vertrauen zwischen Ihnen und Ihre Kundschaft untergraben.

Um das zu verhindern, haben wir unsere Kontrollen zur Erkennung betrügerischer Kontoaktivitäten verstärkt. Wir möchten besonders auf Vorsichtsmaßnahmen hinweisen, mit denen Sie unbefugte Kontozugriffe von vornherein vermeiden können. Im Folgenden finden Sie einige grundlegende Sicherheitsvorkehrungen, die Ihnen helfen, Ihr Twilio-Authentifizierungstoken vor betrügerischer Nutzung zu schützen. 

Authentifizierungstoken sicher aufbewahren

Geben Sie Ihr Authentifizierungstoken niemals weiter, speichern Sie es nicht im Internet und lassen Sie es nicht frei zugänglich liegen. Behandeln Sie es genauso sorgfältig wie ein Kennwort, denn genau das ist es.

Schlüssel und Token nicht hartkodieren

Verwenden Sie niemals hartkodierte Schlüssel oder Token in Ihrer App. Solche Anmeldeinformationen können bei Dekompilierung der App ganz leicht abgerufen werden. Um solch ein Risiko während der App-Entwicklung zu vermeiden, sollten Sie die Twilio-API über Ihren Server und nicht über den Client aufrufen.

Keine Anmeldeinformationen an öffentliche Repositorys weitergeben

Veröffentlichen Sie Ihre Token unter keinen Umständen in öffentlichen Repos auf GitHub. Wenn Sie dies versehentlich tun, erneuern Sie sie sofort (siehe nächster Tipp). Legen Sie Ihr Authentifizierungstoken als eine Umgebungsvariable fest und verweisen Sie dann in Ihrem Code auf die Variable. Dadurch wird das Authentifizierungstoken vor Offenlegung geschützt und es wird verhindert, dass über den Code APIs aus einer nicht autorisierten Umgebung aufgerufen werden.

Token regelmäßig erneuern

Ändern Sie Ihre Authentifizierungstoken regelmäßig, damit sie bei Kompromittierung nicht mehr für Phishing oder andere kriminelle Aktivitäten verfügbar sind. Es wird empfohlen, Anmeldeinformationen wie eine Zahnbürste zu behandeln: alle drei Monate wechseln und nicht mit anderen teilen. 

Token mit begrenzter Geltung erstellen

Ziehen Sie für eine detailliertere Authentifizierung anstelle von SID und Authentifizierungscode zeitbasierte API-Zugriffstoken in Betracht.

Konto überwachen

Behalten Sie Ihr Konto im Auge und achten Sie auf merkwürdige Abbuchungen.

Der Schutz Ihres Authentifizierungstokens ist Bestandteil jeder guten Sicherheitsstrategie. Twilio setzt sich dafür ein, Vertrauen aufzubauen und zu erhalten. Wir möchten Ihnen die richtigen Tools und Tipps an die Hand geben, mit denen Sie Ihre Anwendungen angemessen schützen und Ihre Daten optimal verwalten können. Weitere Informationen finden Sie in der Dokumentation zur Nutzerauthentifizierung und -identität.

Betrug und Phishing konsequent vermeiden

Angemessene Sicherheit in Ihrer Webanwendung beginnt mit den einfachen Best Practices, die wir hier erläutert haben. Wenn Sie Ihre Kontodaten im Auge behalten und auf betrügerische Aktivitäten achten, können Sie Ihre Kundschaft, Ihren Ruf und Ihren Gewinn schützen.

Weitere Informationen zur Vermeidung von Betrug und zum Schutz Ihres Kontos finden Sie in unserem Entwicklerleitfaden zur Betrugsvermeidung.