Partager:
){kind=small}
Chris est le Developer Relations Tooling Manager et dirige l'équipe qui construit vos outils préférés. Il programme depuis plus de 15 ans dans différents langages et pour différents types de projets, depuis le travail avec les clients jusqu'aux systèmes à grande échelle et aux données volumineuses. Il vit dans l'Ohio, où il passe son temps avec sa famille et joue à des jeux vidéo et TTRPG.
Annonce de la solution de protection contre la fraude de Vonage sur le marché AWS
Temps de lecture : 11 minutes
Les attaques frauduleuses ne cessent d'augmenter et de se sophistiquer - et ces événements coûtent cher aux entreprises et peuvent gravement nuire à leur image de marque et à leur réputation. À mesure que les services et les transactions en ligne se multiplient, les entreprises ont besoin d'outils pour s'assurer que leurs utilisateurs sont des êtres humains bien intentionnés et non des robots malveillants ou des fraudeurs.
Pour faciliter la lutte contre la fraude, Vonage a lancé une solution de protection contre la fraude sur AWS Marketplace. solution de protection contre la fraude sur AWS Marketplace. Les clients AWS peuvent désormais s'abonner à cette solution et l'utiliser dans le cadre de leur facture AWS Cloud, tout en ayant accès aux puissantes API de protection contre la fraude fournies par Vonage.
La solution de protection contre la fraude comprend une gamme de capacités Vonage fournissant des API faciles à utiliser autour des outils 2FA omnicanaux, de la vérification du numéro global et du " SIM Swap ", ainsi que de la surveillance, de l'alerte et du blocage de la fraude dans les communications, et peut être complétée par l'utilisation d'Amazon Rekognition et de capacités d'IA générative pour une protection contre la fraude et un retour d'information avancés.
La solution de protection contre la fraude de Vonage se compose des API existantes de Vonage et des API de réseau de nouvelle génération que Vonage est en train de déployer en collaboration avec ses partenaires de réseau. Cela inclut notre Number Insight API qui vous donne des détails sur le numéro de téléphone d'un utilisateur, y compris des informations sur le réseau et le portage, et qui inclut désormais la possibilité de vérifier le statut de permutation SIM et le score de fraude. Le statut de permutation SIM vous permet de savoir si la carte SIM attribuée à un numéro de téléphone a récemment été installée sur un nouvel appareil. Le score de fraude est basé sur des paramètres relatifs à l'historique d'un numéro. Par exemple, a-t-il déjà été signalé comme envoyant des appels vocaux ou des SMS SPAM ?
Vonage's Verify API de Vonage de Vonage est une API d'authentification à deux facteurs préemballée qui peut envoyer des codes d'authentification par l'entremise de plusieurs canaux, y compris Authentification silencieuse qui peut être utilisée pour vérifier l'appareil d'un utilisateur sur le réseau cellulaire. Vonage Verify comprend un basculement automatique au cas où un canal sélectionné ne serait pas disponible. Par exemple, si l'authentification silencieuse est sélectionnée mais que l'utilisateur est en itinérance sur un opérateur cellulaire non pris en charge, vous pouvez vous rabattre sur SMS, WhatsApp ou Voice pour vous assurer que votre code PIN d'authentification à deux facteurs est transmis au client.
Nous avons également mis à disposition nos outils Fraud Defender afin que vous puissiez mettre en œuvre des règles de surveillance, d'alerte et de blocage en temps réel pour aider à stopper les activités suspectes sur les produits vocaux et de messagerie que vous utilisez. Vous pouvez également utiliser ces outils avec le retour d'information d'autres outils AWS tels que Amazon Bedrock afin de déterminer et d'élaborer des règles permettant d'affiner les règles de blocage du trafic.
Si vous êtes déjà dans l'espace AWS, vous pouvez également profiter de produits AWS supplémentaires tels que Amazon Rekognition pour les applications biométriques et de reconnaissance faciale afin de renforcer encore la sécurité. Non seulement vous pouvez vous assurer que l'appareil appartient à l'utilisateur, mais vous pouvez également faire correspondre ses informations biométriques pour vous assurer qu'il est bien celui qu'il prétend être.
Tout cela est soutenu par une documentation exceptionnelle destinée aux développeurs pour vous aider à intégrer ces outils directement dans votre application, qu'il s'agisse d'une application web, d'une application mobile ou de toute autre chose. En tant que client de Voice, vous aurez accès à l'ensemble des API de communication, ce qui vous permettra d'ajouter facilement la messagerie, la voix et la vidéo à n'importe quel produit que vous créez.
La solution de protection contre la fraude de Vonage est une suite d'API qu'un développeur peut utiliser et mettre en œuvre dans ses applications côté serveur ou ses applications et sites mobiles côté client. Bien que nous vous encouragions à utiliser toutes les couches pour assurer une couverture étendue, les développeurs peuvent choisir les outils de protection contre la fraude qui conviennent le mieux à leur situation.
Fraud Protection Workflow
La possibilité de vérifier et de bloquer des numéros en temps réel grâce à l'outil Fraud Defender de Vonage de Vonage.
Évaluez la légitimité d'un numéro en fonction de son historique grâce à l'API Vonage Fraud Score API.
Vérifier s'il y a eu vol d'identité avec l'API Vonage SIM Swap API.
Sachez qu'une demande légitime provient de l'appareil de l'utilisateur grâce à l'authentification silencieuse de Vonage. Authentification silencieuse de Vonage alimentée par l'API Verify de Vonage.
Ajoutez d'autres fonctions de sécurité telles que Amazon Rekognition ou la biométrie vocale avec Amazon Connect Voice ID.
Créez une boucle de rétroaction avec des données historiques, Amazon Bedrocket l'API de Vonage Fraud Enforcer.
Depuis 2016, Vonage est un leader dans le domaine des plateformes de communication en tant que service (CPaaS) grâce à l'acquisition de Nexmo, qui fournissait des services CPaaS depuis 2010. Dans l'intervalle, Vonage a étendu ses offres CPaaS des canaux SMS et Voice de base à de multiples services over-the-top, à des services de " connaissance du client ", à l'authentification multifactorielle, et plus encore.
Aujourd'hui, Vonage propose l'outil Fraud Defender qui peut être utilisé pour définir des règles permettant non seulement de bloquer automatiquement les messages vocaux et SMS entrants, mais aussi de permettre aux applications côté serveur de vérifier directement ces règles de blocage. Lorsqu'un utilisateur se connecte ou s'inscrit, vous pouvez vérifier les règles de Fraud Defender pour voir si vous avez déjà bloqué un numéro, un préfixe ou une région entière :
const resp = await fetch('https://api.nexmo.com/v0.1/fraud-defender/check', {
body: JSON.stringify({
from: data.phone,
to: data.to,
product: 'voice',
}),
headers: {
'Authorization': await this.vonage.credentials.createBasicHeader(),
'Content-Type': 'application/json'
},
method: 'POST'
})
.then(async (resp) => await resp.json())
Il s'agit d'un court-circuit rapide qui vous évite de gaspiller des ressources en essayant de vérifier un utilisateur que vous avez déjà bloqué ou une région que vous ne desservez pas.
Si vous avez un nouveau client et qu'il passe le premier niveau de détection des fraudes, vous pouvez alors choisir d'obtenir un score de fraude associé à son numéro de téléphone. Vonage utilise diverses ressources et données historiques pour déterminer si un numéro a déjà été utilisé dans le cadre d'une fraude ou s'il présente des signes d'activité frauduleuse.
// Using the Vonage Node SDK
const client = new NumberInsightV2(this.vonage.credentials);
const resp = await client.checkForFraud({
phone: data.phone,
type: 'phone',
insights: [
Insight.FRAUD_SCORE
]
});Cela renverra un score numérique sur la probabilité qu'un numéro ait déjà été utilisé dans le cadre d'une fraude. C'est un excellent indicateur à utiliser dans d'autres règles de gestion pour déterminer les mesures supplémentaires que votre application peut prendre, telles qu'une authentification multifactorielle plus stricte ou des alertes internes concernant un Account.
En février 2024, Vonage a annoncé qu'elle mettait à disposition ses API de réseau Vonage.
Ces API permettent à un écosystème diversifié de développeurs d'exploiter les propriétés spécifiques des réseaux des FSC, notamment les API de sécurité, la vérification des numéros et les fonctionnalités d'échange de cartes SIM. En exposant et en fournissant une agrégation de ces capacités de réseau, les développeurs peuvent créer des cas d'utilisation innovants, générant de la valeur pour les entreprises et encourageant l'innovation. Nos API de réseau sont conformes aux normes CAMARANos API de réseau adhèrent aux normes CAMARA, offrant aux développeurs une interface familière pour une intégration et un développement transparents.
Vonage simplifie la charge de travail du développeur lors de la mise en œuvre des services CAMARA et rationalise le processus de liaison avec plusieurs FSC simultanément. Avec Vonage, vous pouvez facilement vous interfacer avec les principaux fournisseurs tels que Deutsche Telekom, O2 Telefónica, Vodafone, Orange et Telefónica, couvrant l'Allemagne et l'Espagne. Les développeurs n'ont plus à construire des systèmes individuels pour chaque CSP ; ils peuvent au contraire créer un système unifié qui fonctionne de manière transparente pour tous. En outre, avec l'arrivée de nouveaux FSC, la portée et les capacités de la plateforme s'étendront encore davantage.
En faisant évoluer le CPaaS vers une plateforme de réseau qui fournit également des API de réseau, les fournisseurs de services peuvent capitaliser sur les opportunités de monétiser leurs investissements dans le réseau et donner à des millions de développeurs et d'entreprises les moyens de créer sans effort des applications et des services avancés. L'API de vérification du numéro de Vonage facilite l'authentification transparente des appareils mobiles en exploitant le réseau mobile, tandis que l'authentification silencieuse de Vonage offre un mécanisme de basculement supplémentaire en cas d'échec de l'authentification. Vonage propose cette fonction supplémentaire en tant que valeur ajoutée intégrée à notre plateforme. Cette solution améliore l'expérience de vérification pour les utilisateurs finaux. En outre, l'API de vérification des numéros de CAMARA permet également une authentification transparente des appareils mobiles par le biais du réseau mobile.
Imaginez un scénario dans lequel un développeur exploite la puissance de l'API de réseau de Vonage pour se prémunir contre les attaques et les fraudes par échange de cartes SIM. En utilisant l'API de réseau SIM Swap and Number Insight, les développeurs peuvent vérifier de manière proactive tout signe d'attaque par échange de carte SIM, une forme notoire d'usurpation d'identité. Ce stratagème infâme implique généralement un stratagème d'ingénierie sociale, dans lequel un imposteur manipule un opérateur mobile pour qu'il transfère le compte de la victime vers une carte SIM sous le contrôle de l'imposteur.
Notre API Number Insight v2 peut être utilisée pour déterminer si une carte SIM a été émise pour un compte au cours des sept derniers jours. Si c'est le cas, cela pourrait indiquer une attaque par échange de carte SIM, bien que cela n'exclue pas que l'utilisateur ait acheté un nouvel appareil et ait légitimement échangé sa carte SIM.
// Using the Vonage Node SDK
const client = new NumberInsightV2(this.vonage.credentials);
const resp = await client.checkForFraud({
phone: data.phone,
type: 'phone',
insights: [
Insight.SIM_SWAP
]
});Vonage a exposé l'API de vérification du numéro CAMARA par le biais de notre API Verify. Nous pouvons nous assurer que l'appareil à partir duquel l'utilisateur se connecte est l'appareil enregistré auprès de son opérateur mobile. Si vous utilisez une application mobile, vous pouvez forcer l'appareil à établir une connexion réseau via la connexion de données cellulaires pour vérifier la carte SIM par rapport à l'appareil enregistré connu.
// Using the Silent Auth Android SDK
import com.vonage.silentauth.VGSilentAuthClient
// instantiate the sdk during app startup
VGSilentAuthClient.initializeSdk(this.applicationContext)
val resp: JSONObject = GSilentAuthClient.getInstance().openWithDataCellular(URL(endpoint), false)
if (resp.optString("error") != "") {
// error
} else {
val status = resp.optInt("http_status")
if (status == 200) {
// 200 OK
} else {
// error
}
}La vérification du numéro CAMARA et l'API Verify peuvent contribuer à ajouter des couches supplémentaires de sécurité grâce à plusieurs facteurs d'authentification.
Toutes les données issues de l'interaction avec le client peuvent ensuite être stockées et utilisées pour prendre des décisions à l'avenir. Ces données collectives peuvent ensuite être utilisées pour générer de nouvelles règles de blocage. Puisque nous voulons réduire l'effort humain nécessaire pour prendre ces décisions, nous pouvons les transmettre à un modèle d'IA avec l'invite appropriée pour décider si une interaction donnée justifie un blocage à l'avenir.
Par exemple, nous pouvons avoir un résultat d'une connexion d'utilisateur avec les informations suivantes :
{
"date": "2024-02-01 11:15:22",
"from": <customer number>,
"to": <vonage virtual number>,
"success": false,
"results": {
{ stage: "enforcerDecision", status: 0 },
{ stage: "simSwap", status: 0 },
{ stage: "mfa", status: -1, retryAttempts: 3 },
}
}En soi, cela peut ne pas déclencher de règles supplémentaires. Le fait qu'un utilisateur ne saisisse pas son code PIN MFA ne signifie pas nécessairement qu'il y a fraude. Si nous combinons ce qui précède avec un résultat ultérieur :
{
"date": "2024-02-02 15:10:43",
"from": <customer number>,
"to": <vonage virtual number>,
"success": false,
"results": {
{ stage: "enforcerDecision", status: 0 },
{ stage: "simSwap", status: -1, message: "SIM recently swapped" },
{ stage: "mfa", status: 0, retryAttempts: 0 },
}
}Cela pourrait-il être le résultat d'une attaque par échange de cartes SIM ? La veille, l'utilisateur ne pouvait pas se connecter, mais après un échange de carte SIM, il peut se connecter immédiatement. Il est fort probable que le jour précédent, l'attaquant ne savait pas que le code PIN avait été envoyé par SMS, mais qu'après un peu d'ingénierie sociale, il a réussi à échanger la carte SIM contre son appareil, ce qui lui a permis d'usurper l'identité de sa cible et de se connecter.
Nous pouvons combiner des règles connexes qui peuvent être introduites dans Amazon Bedrock pour construire une invite qui demande à Bedrock si une série d'événements justifie une nouvelle règle de blocage, et pour générer le JSON nécessaire à la création d'une telle règle. Les résultats de cette invite personnalisée peuvent ensuite être utilisés pour créer une nouvelle règle à l'aide de l'API Fraud Defender Enforcer.
Bien que la solution de protection contre la fraude soit une suite d'API de Vonage, nous l'avons également mise à la disposition des développeurs pour qu'ils l'utilisent en tant que bibliothèque Node.js afin de fournir une interface pour déterminer les règles que vous souhaitez utiliser, ainsi que pour générer des résultats utilisables dans d'autres systèmes comme Amazon Bedrock.
const client = new fraudProtection({
apiKey: '<vonage api key>',
apiSecret: '<vonage api secret>',
applicationId: '<vonage application ID>',
privateKey: '<vonage private key>'
});
client.add(new FraudDefenderDecision());
client.add(new FraudScore({ maxScore: 60 }));
client.add(new SimSwap());
client.add(new TFA({ sendPin: true, from: '18005556666' }));
const existingContext = req.session.context || {};
const data = req.session.data || {phone: '15556661234', to: '18005556666'};
const context = await client.run(data, existingContext);Cette bibliothèque permet aux utilisateurs de définir les éléments de la solution de protection contre la fraude qu'ils souhaitent utiliser, l'ordre et les règles concernant les réussites et les échecs. Elle peut même être utilisée pour faire passer un utilisateur plusieurs fois avec des informations mises à jour. Par exemple, vous pouvez exiger une étape d'authentification à deux facteurs impliquant un code PIN. Lors de la première tentative, l'utilisateur échouera car le code PIN n'a pas été envoyé, mais le code PIN peut être ajouté ultérieurement et les étapes échouées exécutées à nouveau.
Des informations complètes sur l'utilisation de cette bibliothèque sont disponibles sur notre GitHub.
Si vous voulez commencer avec la solution de protection contre la fraude de la solution de protection contre la fraude de Vonage de Vonage par le biais d'AWS dès aujourd'hui, rendez-vous sur notre liste de la place de marché pour plus d'informations, ou contactez notre service commercial AWS à l'adresse suivante awssales@vonage.com. Notre équipe de vente peut vous aider à créer l'offre adaptée à vos besoins et vous permettre de commencer à facturer par le biais d'AWS.
Dans un premier temps, cette solution ne sera disponible que sur certains marchés. Contactez notre service commercial AWS pour plus d'informations.
Nous vous tiendrons au courant des nouvelles fonctionnalités que nous apporterons au produit dans les mois à venir. En attendant, n'hésitez pas à consulter notre page produit et nos blogs ainsi que nos blogs.
Rejoignez-moi sur notre Communauté Vonage Slack ou envoyez-nous un message sur X, anciennement connu sous le nom de Twitter.
Partager:
Chris est le Developer Relations Tooling Manager et dirige l'équipe qui construit vos outils préférés. Il programme depuis plus de 15 ans dans différents langages et pour différents types de projets, depuis le travail avec les clients jusqu'aux systèmes à grande échelle et aux données volumineuses. Il vit dans l'Ohio, où il passe son temps avec sa famille et joue à des jeux vidéo et TTRPG.