){kind=small}
Schutz vor SIM-Swap-Betrug mit Vonage Network APIs
Lesedauer: 6 Minuten
In diesem Blog-Beitrag werden reale Anwendungsfälle potenzieller SIM-Swap-Angriffe und Lösungen unter Verwendung der Identity Insights SIM-Swap-Einblick.
Ich habe einen Workshop zur Betrugsprävention veranstaltet und die Teilnehmer gebeten, darüber nachzudenken, was ihnen in den Sinn kommt, wenn sie an Betrug denken. Einige der Wörter, die ihnen einfielen, waren:
fraud examplesAuf die Frage nach Lösungen zur Eindämmung von Betrug antworteten sie wie folgt:
Fraud preventing solutionsDies sind alles berechtigte Antworten, und ich hoffe, sie inspirieren Sie. In diesem Blogbeitrag möchte ich einige Anwendungsfälle von Betrug untersuchen und zeigen, wie Identity Insights, insbesondere SIM Swap Insight, Lösungen für Ihre Nutzer bieten kann.
SIM-Swap-Betrug ist ein bösartiger Angriff, bei dem Kriminelle Mobilfunkanbieter austricksen, damit sie die Telefonnummer eines Opfers auf eine von ihnen kontrollierte SIM-Karte wechseln. Sobald sie die Kontrolle über Ihre Nummer haben, können sie die Zwei-Faktor-Authentifizierung (2FA) umgehen und auf sensible Konten wie E-Mail, soziale Medien und Banking-Apps zugreifen.
Angreifer sammeln genügend persönliche Informationen, bevor sie einen SIM-Tausch durchführen, um sich gegenüber ihrem Mobilfunkanbieter überzeugend als das Opfer auszugeben. Im Folgenden stelle ich einige der Methoden vor, die sie verwenden, um solche Informationen zu erhalten.
Ich habe ein Auge auf Datenlecks geworfen; manchmal erhalte ich E-Mails von Google oder Have I Been Pwned. Wenn Sie jedoch an Ihre Benutzer denken, können diese davon betroffen sein, dass ihre persönlichen oder Unternehmensdaten über ihre Telefone kompromittiert werden, was zu potenziellem Identitätsdiebstahl und schwerem Imageschaden führen kann. Solche Verstöße können zu erheblichen finanziellen Verlusten und behördlichen Sanktionen führen.
Ich habe früher ein Spiel namens Gunbound gespielt; ich dachte, ich hätte einen guten virtuellen Freund im Spiel, er stellte Fragen, die den Anschein erweckten, als wolle er mehr über mich wissen, wie z. B. den Namen meines ersten Haustiers und den Namen meines Grundschullehrers... nun, das waren zufällig die Fragen zur Wiederherstellung meines Passworts, ich verlor den Zugang zu meinem Account und hatte Schwierigkeiten, ihn wiederherzustellen.
Solche Social-Engineering-Angriffe können in vielen Kontexten vorkommen, auch beim SIM-Tausch. Die Angreifer nutzen häufig Social Engineering, um sich als Opfer auszugeben und Mobilfunkanbieter davon zu überzeugen, neue SIM-Karten auszugeben. Diese Betrügereien beginnen in der Regel mit dem Sammeln persönlicher Informationen, die oft durch Datenschutzverletzungen oder soziale Medien erlangt wurden, und nutzen diese Informationen, um die Sicherheitsprüfungen der Anbieter zu umgehen. Die Opfer bemerken dies in der Regel erst, wenn sie den Dienst verlieren, und dann ist der Schaden leider schon angerichtet.
Wenn die Angreifer über genügend persönliche Informationen verfügen, können sie einen SIM-Tausch durchführen und die Telefonnummer des Opfers für eine Vielzahl von hochwertigen Zielen nutzen
Soziale Medien sind ein sensibles Thema. Auf diesen Plattformen geben Menschen ihre persönlichen Daten preis, und viele Unternehmen nutzen soziale Medien auch für geschäftliche Zwecke. Wenn ein Betrüger die Kontrolle über eine Telefonnummer erlangt, kann er SMS-basierte Funktionen nutzen, um in Ihrem Namen zu posten oder Ihre Account-Passwörter zurückzusetzen. Außerdem können sie von der SIM-getauschten Nummer aus Anrufe empfangen und tätigen, d. h. sie können einen Anruf erhalten, um zu verifizieren, dass sie der "Besitzer" der Nummer oder des Social-Media-/Bankkontos sind. Dies kann den Ruf schädigen und zu weiteren Betrügereien oder zur Preisgabe privater Daten führen.
Unter SIM-Swap-Betrug mit Sicherheitsprüfungen auf Unternehmensebene erkennenzeige ich ein Beispiel für eine typische Anmeldeseite einer Bank-Webanwendung für den heutigen Lehrgang. Wenn SIM Swap Insight bei den Mobilfunkanbietern prüft, ob in letzter Zeit Änderungen an der SIM-Telefonnummer vorgenommen wurden, kann sich der Benutzer nicht anmelden, wenn solche Änderungen vorgenommen wurden. Andernfalls kann er sich bei seinem Konto anmelden.
Ich habe so viele Fälle von Krypto-Diebstahl in den Nachrichten gesehen, und die Auswirkungen sind enorm; diese Opfer haben zu viel Geld verloren. Nutzer von Kryptowährungsbörsen sind besonders anfällig für SIM-Swap-Angriffe. Wenn Angreifer die Kontrolle über die Telefonnummer eines Benutzers erlangen, können sie die Zwei-Faktor-Authentifizierung (2FA) umgehen und Gelder aus Kryptowährungs-Wallets stehlen, die mit diesen Plattformen verbunden sind. Diese Angriffe gefährden digitale Vermögenswerte im Wert von Millionen, wenn nicht Milliarden von Dollar.
Ich erinnere mich noch gut daran, wie ich auf dem Weg zu meiner ENEM-Prüfung in Brasilien war, als mich ein Mann mit einer Geschichte ansprach: Er hatte seine Brieftasche verloren. Er würde seinen Flug verpassen, sprach sehr besorgt und bat darum, mit etwas Geld entlassen zu werden. Er begleitete mich zur Bank. Er machte den Eindruck, als könne ich ihm vertrauen, bot mir sogar sein Telefon oder seinen Ehering an, damit ich wusste, dass er sein Wort halten würde. Ich konnte ihm vertrauen - das war das Ende der Geschichte. Ich habe ihm nicht nur mein Geld geliehen, sondern es auch nie wieder gesehen. Hoffentlich hat sich das alles erst nach meiner Prüfung ausgewirkt und meine Fähigkeit, mich an diesem Tag darauf zu konzentrieren, nicht beeinträchtigt.
Es gibt so viele Fälle von Bankbetrug und sogar SIM-Swap-Angriffe. Diese Angreifer können auf die Telefonnummer des Opfers zugreifen, OTPs (Einmal-Passcodes) von der Bank anfordern und Transaktionen unter dem Namen des Opfers durchführen. Diese Angriffe erfolgen oft nach einer Online-Identitätsüberprüfung, z. B. bei Bewerbungen oder Mietverträgen, was eine weitere Angriffsfläche bietet, wenn Dokumente kompromittiert werden.
Es gibt viele Angriffsziele, darunter Banken, Finanzinstitute, Fintech-Unternehmen, Kryptobörsen, Anbieter von Cybersicherheitslösungen, Zahlungsabwickler, E-Commerce-Plattformen, Einzelhandelsgeschäfte, IT-Abteilungen, Ticketing-Agenturen, soziale Netzwerke und Mobilfunkbetreiber. Die Liste ist endlos. Die Integration von Identity Insights SIM Swap Insight kann die notwendige Sicherheit bieten, um diese Angriffe zu verhindern und zu entschärfen.
Um Ihre Benutzer vor SIM-Swap-Betrug zu schützen, bietet Identity Insights eine wertvolle Funktion: den SIM Swap Insight. Sie können programmgesteuert prüfen, ob die SIM-Karte einer Telefonnummer kürzlich gewechselt wurde, und so eine wichtige Sicherheitsebene für sensible Aktionen wie Anmeldungen, Kontowiederherstellung und finanzielle Transaktionen hinzufügen. Wenn ein SIM-Wechsel festgestellt wird, können Unternehmen eine Step-up-Authentifizierung auslösen, den Zugriff sperren oder die Sitzung zur Untersuchung kennzeichnen.
SIM Swap Insight prüft, ob eine mit einer bestimmten Telefonnummer verknüpfte SIM-Karte kürzlich gewechselt wurde, und kann auch den Zeitstempel des letzten SIM-Wechsels zurückgeben. Sie können nach einem SIM-Wechsel innerhalb eines bestimmten Zeitfensters zwischen 1 und 2400 Stunden suchen, indem Sie die Option Zeitraum Parameter.
Die Identity Insights API ist über einen einzigen Endpunkt verfügbar, der alle Anfragen zu Einblicken annimmt:
POST /identity-insights/v1/requests
Die API ist über mehrere regionale Endpunkte verfügbar, um die Anforderungen an die Datenresidenz zu erfüllen:
Endpunkt | Region |
https://api-eu.vonage.com/identity-insights/v1/requests | EU |
https://api-us.vonage.com/identity-insights/v1/requests | US |
Die Antwort enthält eine is_swapped der angibt, ob ein Swap innerhalb des definierten Zeitraums stattgefunden hat, sowie eine latest_sim_swap_at Zeitstempel, der angibt, wann der letzte Swap stattgefunden hat.
Bösewichte werden weiterhin neue Betrugsmethoden entwickeln; sich allein auf die SMS-basierte Authentifizierung zu verlassen, reicht nicht mehr aus. Werfen Sie einen Blick auf Einblicke in die Identität und finden Sie Lösungen zur Eindämmung von Betrug.
Haben Sie eine Frage oder möchten Sie etwas mitteilen? Beteiligen Sie sich am Gespräch auf dem Vonage Community Slackund bleiben Sie auf dem Laufenden mit dem Entwickler-Newsletter, folgen Sie uns auf X (früher Twitter), abonnieren Sie unseren YouTube-Kanal für Video-Tutorials, und folgen Sie der Vonage Entwickler-Seite auf LinkedInein Raum für Entwickler, um zu lernen und sich mit der Community zu vernetzen. Bleiben Sie in Verbindung, teilen Sie Ihre Fortschritte und halten Sie sich über die neuesten Nachrichten, Tipps und Veranstaltungen für Entwickler auf dem Laufenden!