SIM-Wechsel

Mit SIM Swap Insight können Sie feststellen, ob die mit einer bestimmten Telefonnummer verknüpfte SIM-Karte kürzlich gewechselt wurde. Es wurde entwickelt, um die Auswirkungen von Account-Takeover (SIM-Swap-Angriff) abzuschwächen und den Entwicklern die Gewissheit zu geben, dass die Telefonnummer für mehrere Anwendungsfälle verwendet werden kann, z. B. für die Zwei-Faktor-SMS-Authentifizierung oder als sicherer Kommunikationskanal.

SIM-Swap-Betrug verschafft einem Angreifer die Kontrolle über die Mobiltelefonnummer eines Opfers und ermöglicht es ihm möglicherweise, diese zu nutzen:

Identitätsdiebstahl: Angreifer können die SIM-Karte austauschen, um sich als die Identität des Opfers auszugeben, während sie die Kontrolle über die Telefonnummer des Opfers erlangen.
Account-Übernahme: Viele Online-Konten, darunter E-Mail-, Social-Media- und Finanzkonten, verwenden Telefonnummern für die Zwei-Faktor-Authentifizierung (2FA) oder die Wiederherstellung von Konten. Durch den Austausch der SIM-Karte können Angreifer die per SMS gesendeten Authentifizierungscodes abfangen und sich unbefugten Zugang zu den Konten des Opfers verschaffen.
Finanzieller Betrug: Sobald die Angreifer Zugriff auf die Konten des Opfers haben, können sie verschiedene Formen des Finanzbetrugs durchführen, z. B. Überweisungen vornehmen, unberechtigte Einkäufe tätigen oder Kredite im Namen des Opfers aufnehmen.
Verletzung der Privatsphäre: Angreifer können auf persönliche Mitteilungen, Kontakte und andere sensible Informationen zugreifen, die auf den Geräten oder Accounts des Opfers gespeichert sind.

Einer der Hauptzwecke der SIM-Swap-Einblicke besteht darin, eine Bewertung des Betrugsrisikos durch die Identifizierung von SIM-Swap-Ereignissen zu ermöglichen. Die Integration von SIM-Swap kann verschiedene Szenarien ergänzen, darunter:

Hinzufügen eines Risikofaktors zu einer Person
Stärkung traditioneller 2FA-Methoden auf der Grundlage der von SIM Swap berichteten jüngsten Ereignisse
Überwachung betrügerischer Aktivitäten unter den Telefonnummern der Kunden
Die Einhaltung gesetzlicher Vorschriften kann Prüfungen gegen SIM-Swap erfordern.

Voraussetzungen

Um Identity Insights nutzen zu können, müssen Sie sicherstellen, dass Ihr Account korrekt konfiguriert ist; siehe die Erste Schritte Leitfaden für weitere Informationen über:

Erstellen Sie Ihren Account,
Erstellen einer Vonage-Anwendung zur Verwendung mit der Identity Insights API,
Die verschiedenen verfügbaren Umgebungen und wie Sie Ihren Account für deren Nutzung konfigurieren,
Und wie Sie die Dashboard-Einstiegs-UI verwenden, um die API zu nutzen, ohne Code zu schreiben.

In dieser Anleitung wird erklärt, wie Sie SIM Swap Insight programmatisch mit cURL verwenden können.

Die Identity Insights API ist über mehrere regionale Endpunkte verfügbar. Die Beispiele in diesem Leitfaden verwenden den EU-Endpunkt, aber Sie finden die vollständige Liste unter Technische Details.

Einen API-Aufruf tätigen

Die Authentifizierung für die Identity Insights API erfolgt über JWTs, ein kompaktes und in sich geschlossenes JSON-Token. Um ein JWT zu generieren, können Sie unser Online-Generatoroder verwenden Sie alternativ die Vonage CLI. Sie benötigen Ihre Anwendungs-ID und Ihren privaten Schlüssel, um das JWT zu erzeugen. Sobald Sie Ihr JWT haben, können Sie eine Anfrage an die API senden.

Dieses Beispiel zeigt eine cURL-Anfrage für den SIM-Swap-Einblick, um zu prüfen, ob innerhalb der letzten 240 Stunden ein SIM-Swap stattgefunden hat; dies wird durch die Option period der auf einen Wert zwischen 1 und 2400 Stunden eingestellt werden kann:

curl -X POST https://api-eu.vonage.com/v0.1/identity-insights \
  -H "Authorization: Bearer $JWT" \
  -H "Content-Type: application/json" \
  -d '{
    "phone_number": "14040000000",
    "purpose": "FraudPreventionAndDetection",
    "insights": {
        "sim_swap": {
         "period": 240
          }
        }
    }'

Die API vergleicht dann die mit dem jeweiligen Mobiltelefonbenutzer verknüpften Informationen mit den gespeicherten (und überprüften) Informationen aus den Aufzeichnungen des Mobiltelefonbetreibers und gibt für jedes angegebene Attribut einen Übereinstimmungswert zurück:

{
  "request_id": "c2cc7a65-9b10-493f-9c0a-1c86751a91c4",
  "insights": {
    "sim_swap": {
        "latest_sim_swap_at": "2024-07-08T09:30:27.504Z",
        "is_swapped": true,
        "status": {
          "code": "NO_COVERAGE",
          "message": "Success"
        }
    }
  }
}

Sie sehen die folgenden Felder im Fenster sim_swap Array:

Feld	Beschreibung
`latest_sim_swap_at`	Datum und Uhrzeit in UTC ISO 8601 des zuletzt durchgeführten SIM-Tauschs.
`is_swapped`	Zeigt an, ob die SIM-Karte während des laufenden Betriebs gewechselt wurde. `period` zur Verfügung gestellt.
`status`	Gibt den Status der Informationen an, die für die angegebene Telefonnummer zurückgegeben werden.
`code`	Code, der den Status der Anfrage angibt. Muss einer der folgenden sein: `NO_COVERAGE`: Das Land oder das Mobilfunknetz wird von den verfügbaren Anbietern nicht unterstützt. `INVALID_PURPOSE`: Der verwendete Zweck ist für diese Einsicht nicht gültig oder zulässig. `UNAUTHORIZED`: Die Anfrage konnte für die Kombination aus Antrag, Lieferant und Telefonnummer nicht autorisiert werden. `INTERNAL_ERROR`: Bei der Bearbeitung der Anfrage ist ein interner Fehler aufgetreten. `SUPPLIER_ERROR`: Der Anbieter hat bei der Bearbeitung der Anfrage einen Fehler gemeldet. `NOT_FOUND`: Die Rufnummer konnte für diese Einsicht nicht gefunden werden. `INVALID_NUMBER_FORMAT`: Das Format der Telefonnummern ist für die Zuweisung durch die Netzbetreiber an die Benutzer nicht gültig. `PARTIAL_SUCCESS`: Einige Antwortattribute wurden weggelassen, weil sie nicht anwendbar oder nicht verfügbar waren. `OK`: Alle Insight-Attribute sind verfügbar und in der Antwort enthalten.
`message`	Ausführlichere Statusbeschreibung.

Weitere Lektüre

Lesen Sie mehr über die Identity Insights API in der API-Referenz.
Wenn Sie Fragen haben, können Sie sich an uns wenden unter Vonage Gemeinschaft Slack.