Compartir:
){kind=small}
Chris es el director de herramientas de relaciones con los desarrolladores y dirige el equipo que crea sus herramientas favoritas. Lleva más de 15 años programando en varios lenguajes y tipos de proyectos, desde trabajos para clientes hasta sistemas de big data a gran escala. Vive en Ohio, donde pasa el tiempo con su familia y jugando a Video y TTRPG.
Anunciamos la solución de protección contra el fraude de Vonage en AWS Marketplace
Tiempo de lectura: 10 minutos
Los ataques fraudulentos siguen aumentando y son cada vez más sofisticados, y estos sucesos cuestan dinero a las empresas y pueden afectar gravemente a su marca y reputación. A medida que aumentan los servicios y las transacciones en línea, las empresas necesitan herramientas para validar que sus usuarios son seres humanos bienintencionados y no bots o estafadores malintencionados.
Para facilitar la lucha contra el fraude, Vonage ha lanzado una solución de solución de protección contra el fraude en AWS Marketplace. Los clientes de AWS ahora pueden suscribirse y utilizar esta solución como parte de su factura de AWS Cloud y, al mismo tiempo, obtener acceso a las potentes API de protección contra fraudes proporcionadas por Vonage.
La solución de protección contra el fraude incluye una serie de capacidades de Vonage que proporcionan API fáciles de usar en torno a herramientas 2FA omnicanal, comprobación global de números y "SIM Swap", y monitorización, alerta y bloqueo de fraude en las comunicaciones, y puede aumentarse mediante el uso de Amazon Rekognition y capacidades de IA generativa para una protección y retroalimentación avanzadas contra el fraude.
La solución de protección contra fraudes de Vonage consiste en API de Vonage existentes y API de red de última generación que Vonage está implementando junto con nuestros socios de red. Esto incluye nuestra Number Insight API que te brinda detalles sobre el número de teléfono de un usuario, incluida la información de red y transferencia, y ahora incluye la capacidad de verificar el estado de intercambio de SIM y la puntuación de fraude. El estado de intercambio de SIM le permite saber si la tarjeta SIM asignada a un número de teléfono se ha instalado recientemente en un nuevo dispositivo. La puntuación de fraude se basa en parámetros sobre el historial de un número. Por ejemplo, ¿se ha denunciado anteriormente el envío de llamadas de voz o SMS SPAM?
API de Verify API de Vonage es una API de autenticación de dos factores preempaquetada que puede enviar códigos de autenticación a través de múltiples canales, incluyendo Autenticación silenciosa que puede usarse para verificar el dispositivo de un usuario en la red celular. Vonage Verify incluye conmutación automática en caso de que un canal seleccionado no esté disponible. Por ejemplo, en el caso de que se seleccione la autenticación silenciosa pero el usuario esté en roaming en un proveedor de telefonía móvil no compatible, puedes recurrir a SMS, WhatsApp o Voice para asegurarte de que tu PIN de autenticación de dos factores llegue al cliente.
También hemos puesto a su disposición nuestras herramientas Fraud Defender para que pueda implementar reglas de monitorización, alerta y bloqueo en tiempo real que le ayuden a detener la actividad sospechosa en los productos de voz y mensajería que utiliza. También puede utilizar esto con información de otras herramientas de AWS como Amazon Bedrock para ayudar a determinar y crear reglas para refinar las reglas de bloqueo de tráfico.
Si ya está en el espacio de AWS, también puede aprovechar productos adicionales de AWS como Amazon Rekognition para aplicaciones biométricas y de reconocimiento facial con el fin de mejorar aún más la seguridad. No solo puede asegurarse de que el dispositivo pertenece al usuario, sino que puede cotejar su información biométrica para garantizar que es quien dice ser.
Todo esto está respaldado por una excelente documentación para desarrolladores que te ayudará a integrar estas herramientas directamente en tu aplicación, ya sea una aplicación web, una aplicación móvil o cualquier otra. Como cliente de Vonage, obtendrás acceso al conjunto completo de API de comunicación, lo que facilita la incorporación de mensajería, voz y video a cualquier producto que estés creando.
La solución de protección contra fraudes de Vonage es un conjunto de API que un desarrollador puede usar e implementar en sus aplicaciones del lado del servidor o aplicaciones y sitios móviles del lado del cliente. Si bien te alentamos a usar todas las capas para brindar una amplia cobertura, los desarrolladores pueden elegir cuáles de las herramientas de protección contra fraudes tienen más sentido para sus situaciones.
Fraud Protection Workflow
La capacidad de verificar y bloquear Numbers en tiempo real usando herramienta Fraud Defender de Vonage.
Evalúa la legitimidad de un número en función de su historial con la API de puntaje de fraude de Vonage.
Comprueba un posible robo de identidad con la API de intercambio de SIM de Vonage.
Sepa que una solicitud legítima proviene del dispositivo del usuario con autenticación silenciosa de Vonage con Verify API de Vonage.
Añade otras características de seguridad como Amazon Rekognition o biometría de voz con ID de voz de Amazon Connect.
Crear un bucle de retroalimentación con datos históricos, Amazon Bedrocky la API de Vonage Fraud Enforcer.
Desde 2016, Vonage es líder en el sector de las plataformas de comunicación como servicio (CPaaS) gracias a la adquisición de Nexmo, que ofrecía servicios de CPaaS desde 2010. En los años transcurridos, Vonage ha ampliado su oferta de CPaaS desde canales básicos de SMS y Voice a múltiples servicios over-the-top, servicios de "conozca a su cliente", autenticación multifactor y mucho más.
En la actualidad, Vonage ofrece la herramienta Fraud Defender que se puede usar para configurar reglas no sólo para bloquear automáticamente los mensajes de voz y SMS entrantes, sino que se puede ampliar para permitir que las aplicaciones del lado del servidor verifiquen directamente esas reglas de bloqueo. Cuando un usuario inicia sesión o se registra, puedes verificar las reglas de Fraud Defender para ver si ya tienes un bloqueo duro contra un número, prefijo o región completa:
const resp = await fetch('https://api.nexmo.com/v0.1/fraud-defender/check', {
body: JSON.stringify({
from: data.phone,
to: data.to,
product: 'voice',
}),
headers: {
'Authorization': await this.vonage.credentials.createBasicHeader(),
'Content-Type': 'application/json'
},
method: 'POST'
})
.then(async (resp) => await resp.json())
Esto proporciona un cortocircuito rápido para que ya no tenga que malgastar recursos intentando verificar un usuario que ya ha bloqueado o una región a la que no presta servicio.
Si tienes un cliente nuevo y pasa la primera capa de detección de fraude, puedes optar por obtener una puntuación de fraude asociada a su número de teléfono. Vonage utiliza una variedad de recursos y datos históricos para determinar si un número ha sido utilizado en fraudes anteriormente o si presenta signos de actividad fraudulenta.
// Using the Vonage Node SDK
const client = new NumberInsightV2(this.vonage.credentials);
const resp = await client.checkForFraud({
phone: data.phone,
type: 'phone',
insights: [
Insight.FRAUD_SCORE
]
});Esto devolverá una puntuación numérica sobre la probabilidad de que un número haya sido utilizado previamente en un fraude. Se trata de un buen indicador para utilizar en otras reglas de negocio y determinar qué otras medidas puede tomar tu aplicación, como una autenticación multifactor más estricta o alertas internas sobre una cuenta.
En febrero de 2024, Vonage anunció que pondríamos a disposición nuestras API de red de Vonage.
Estas API permiten a un variado ecosistema de desarrolladores aprovechar propiedades específicas de las redes de CSP, como las API de seguridad, la verificación de números y las funcionalidades de intercambio de SIM. Al exponer y proporcionar agregación a estas capacidades de red, los desarrolladores pueden crear casos de uso innovadores, generando valor para las empresas y fomentando la innovación. Nuestras API de red cumplen las normas normas CAMARAproporcionando a los desarrolladores una interfaz familiar para una integración y desarrollo sin fisuras.
Vonage simplifica la carga de trabajo del desarrollador a la hora de implementar servicios CAMARA y agiliza el proceso de conexión simultánea con varios CSP. Con Vonage, puedes interactuar fácilmente con proveedores líderes como Deutsche Telekom, O2 Telefónica, Vodafone, Orange y Telefónica, que abarcan Alemania y España. Los desarrolladores ya no tienen que construir sistemas individuales para cada CSP; en su lugar, pueden crear un sistema unificado que funcione sin problemas en todos ellos. Además, a medida que se incorporen nuevos CSP, el alcance y las capacidades de la plataforma se ampliarán aún más.
Al convertir la CPaaS en una plataforma de red que también proporciona API de red, los proveedores de servicios pueden aprovechar las oportunidades para rentabilizar sus inversiones en red y permitir a millones de desarrolladores y empresas crear aplicaciones y servicios avanzados sin esfuerzo. La API de verificación de números de Vonage facilita la autenticación sin problemas de dispositivos móviles aprovechando la red móvil, mientras que la autenticación silenciosa de Vonage ofrece un mecanismo adicional de conmutación por error en caso de fallo de autenticación. Vonage ofrece esta función complementaria como un valor añadido integrado a nuestra plataforma. Esta solución mejora la experiencia de verificación para los usuarios finales. Además, la API de verificación de números de CAMARA también permite la autenticación perfecta de dispositivos móviles a través de la red móvil.
Imagina un escenario en el que un desarrollador aprovecha el poder de la API de red de Vonage para protegerse contra los ataques y fraudes por intercambio de SIM. Al utilizar la API de red SIM Swap y Number Insight, los desarrolladores pueden comprobar de forma proactiva cualquier indicio de un ataque de intercambio de SIM, una forma notoria de robo de identidad. Este nefasto esquema suele implicar una estratagema de ingeniería social, en la que un impostor manipula a un operador de telefonía móvil para que transfiera la cuenta de la víctima a una tarjeta SIM bajo el control del impostor.
Nuestra Number Insight API v2 puede utilizarse para determinar si se ha emitido una tarjeta SIM para una cuenta en los últimos siete días. De ser cierto, esto podría ser indicativo de un ataque de intercambio de SIM, aunque no descarta que el usuario haya comprado un nuevo dispositivo y haya intercambiado legítimamente su SIM.
// Using the Vonage Node SDK
const client = new NumberInsightV2(this.vonage.credentials);
const resp = await client.checkForFraud({
phone: data.phone,
type: 'phone',
insights: [
Insight.SIM_SWAP
]
});Vonage ha expuesto la API de verificación de CAMARA Number a través de nuestra Verify API. Podemos asegurarnos de que el dispositivo desde el cual el usuario inicia sesión sea el dispositivo que está registrado en su proveedor de telefonía móvil. Si estás usando una aplicación móvil, puedes forzar al dispositivo a realizar una conexión de red a través de la conexión de datos celulares para verificar la SIM con el dispositivo registrado conocido.
// Using the Silent Auth Android SDK
import com.vonage.silentauth.VGSilentAuthClient
// instantiate the sdk during app startup
VGSilentAuthClient.initializeSdk(this.applicationContext)
val resp: JSONObject = GSilentAuthClient.getInstance().openWithDataCellular(URL(endpoint), false)
if (resp.optString("error") != "") {
// error
} else {
val status = resp.optInt("http_status")
if (status == 200) {
// 200 OK
} else {
// error
}
}CAMARA Number Verification y Verify API pueden ayudar a añadir capas adicionales de seguridad a través de múltiples factores de autenticación.
Todos los datos de la interacción con el cliente pueden almacenarse y utilizarse para tomar decisiones en el futuro. Estos datos colectivos pueden utilizarse para ayudar a generar nuevas reglas de bloqueo. Dado que queremos reducir el esfuerzo humano necesario para tomar estas decisiones, podemos introducirlas en un modelo de IA con la indicación adecuada para decidir si una determinada interacción merece ser bloqueada en el futuro.
Por ejemplo, podemos tener un resultado del inicio de sesión de un usuario con la siguiente información:
{
"date": "2024-02-01 11:15:22",
"from": <customer number>,
"to": <vonage virtual number>,
"success": false,
"results": {
{ stage: "enforcerDecision", status: 0 },
{ stage: "simSwap", status: 0 },
{ stage: "mfa", status: -1, retryAttempts: 3 },
}
}Por sí solo, esto puede no activar ninguna regla adicional. El hecho de que un usuario no introduzca su PIN MFA no significa necesariamente que se esté produciendo un fraude. Si combinamos lo anterior con un resultado posterior:
{
"date": "2024-02-02 15:10:43",
"from": <customer number>,
"to": <vonage virtual number>,
"success": false,
"results": {
{ stage: "enforcerDecision", status: 0 },
{ stage: "simSwap", status: -1, message: "SIM recently swapped" },
{ stage: "mfa", status: 0, retryAttempts: 0 },
}
}¿Podría ser el resultado de un ataque de intercambio de SIM? El día anterior, el usuario no pudo iniciar sesión, pero ahora, tras un intercambio de SIM, puede hacerlo de inmediato. Es muy probable que el día anterior el atacante no supiera que el PIN se había enviado por SMS, pero tras un poco de ingeniería social, consiguió cambiar la SIM a su dispositivo, lo que le permitió hacerse pasar por su objetivo e iniciar sesión.
Podemos combinar reglas relacionadas que introducir en Amazon Bedrock para crear un aviso que pregunte a Bedrock si una serie de eventos justifica una nueva regla de bloqueo, y para generar el JSON necesario para crear dicha regla. Los resultados de esa consulta personalizada se pueden utilizar para crear una nueva regla mediante la API Fraud Defender Enforcer.
Si bien la solución de protección contra fraudes es un conjunto de API de Vonage, también la hemos puesto a disposición de los desarrolladores para que la utilicen como una biblioteca Node.js para proporcionar una interfaz para determinar qué reglas te gustaría usar, así como generar resultados que podrían usarse en otros sistemas como Amazon Bedrock.
const client = new fraudProtection({
apiKey: '<vonage api key>',
apiSecret: '<vonage api secret>',
applicationId: '<vonage application ID>',
privateKey: '<vonage private key>'
});
client.add(new FraudDefenderDecision());
client.add(new FraudScore({ maxScore: 60 }));
client.add(new SimSwap());
client.add(new TFA({ sendPin: true, from: '18005556666' }));
const existingContext = req.session.context || {};
const data = req.session.data || {phone: '15556661234', to: '18005556666'};
const context = await client.run(data, existingContext);Esta biblioteca permitirá a los usuarios definir qué partes de la solución de protección contra el fraude les gustaría utilizar, el orden y las reglas en torno a lo que constituye un aprobado y un suspenso. Incluso se puede utilizar para ejecutar un usuario varias veces con información actualizada. Por ejemplo, puede requerir un paso de autenticación de dos factores que implique un PIN. En el primer intento, el usuario fallaría porque el PIN no se ha enviado, pero el PIN se puede añadir más tarde y volver a ejecutar los pasos fallidos.
Toda la información sobre el uso de esta biblioteca está disponible en nuestro GitHub.
Si deseas comenzar con la solución de protección contra fraudes de Vonage a través de AWS hoy mismo, dirígete a nuestro Lista de mercado para obtener más información, o comunícate con nuestras ventas de AWS en awssales@vonage.com. Nuestro equipo de ventas puede ayudarle a crear el paquete adecuado para sus necesidades y configurarlo para comenzar a facturar a través de AWS.
Inicialmente, esta solución sólo estará disponible en determinados mercados, así que póngase en contacto con nuestro departamento de ventas de AWS para obtener más información.
Esté atento a más actualizaciones a medida que incorporemos nuevas funciones al producto en los próximos meses. Mientras tanto, no dude en consultar nuestra página del producto y blogs también.
Únete a mí en nuestro Slack de la comunidad de Vonage o envíanos un mensaje en X, antes conocido como Twitter.
Compartir:
Chris es el director de herramientas de relaciones con los desarrolladores y dirige el equipo que crea sus herramientas favoritas. Lleva más de 15 años programando en varios lenguajes y tipos de proyectos, desde trabajos para clientes hasta sistemas de big data a gran escala. Vive en Ohio, donde pasa el tiempo con su familia y jugando a Video y TTRPG.