){kind=small}
Comment se protéger contre la fraude par échange de cartes SIM avec les API du réseau Vonage
Temps de lecture : 7 minutes
Ce billet de blog présentera des cas d'utilisation réels d'attaques potentielles par échange de cartes SIM et des solutions utilisant le logiciel Identity Insights SIM Swap Insight.
J'ai organisé un atelier sur la prévention de la fraude et j'ai demandé aux participants de réfléchir à ce qui leur venait à l'esprit lorsqu'ils pensaient à la fraude. Voici quelques-uns des mots qu'ils ont trouvés :
fraud examplesLorsqu'on leur a demandé d'évoquer des solutions pour atténuer la fraude, voici ce qu'ils ont répondu :
Fraud preventing solutionsCes réponses sont toutes valables et j'espère qu'elles vous inspireront. Dans ce billet de blog, j'aimerais explorer quelques cas d'utilisation de la fraude et la façon dont Identity Insights, en particulier SIM Swap Insight, peut offrir des solutions à vos utilisateurs.
La fraude par échange de cartes SIM est une attaque malveillante dans laquelle les criminels trompent les fournisseurs de services mobiles en changeant le numéro de téléphone d'une victime pour une carte SIM qu'ils contrôlent. Une fois qu'ils ont le contrôle de votre numéro, ils peuvent contourner l'authentification à deux facteurs (2FA) et accéder à des comptes sensibles, tels que les e-mails, les médias sociaux et les apps bancaires.
Les attaquants recueillent suffisamment d'informations personnelles avant d'effectuer un échange de cartes SIM pour pouvoir se faire passer pour la victime auprès de son opérateur de téléphonie mobile. Je vous présente ci-dessous quelques-unes des méthodes qu'ils utilisent pour obtenir ces informations.
J'ai suivi de près les fuites de données ; il m'arrive de recevoir des courriels de Google ou d'autres sociétés... Ai-je été piraté ?. Cependant, si l'on considère vos utilisateurs, ils peuvent être affectés par la compromission de leurs données personnelles ou de celles de leur entreprise par le biais de leur téléphone, ce qui peut entraîner une usurpation d'identité et une grave atteinte à leur réputation. De telles violations peuvent entraîner des pertes financières considérables et des sanctions réglementaires.
Je jouais à un jeu appelé Gunbound ; je pensais que je me faisais un bon ami virtuel dans le jeu, il posait des questions qui semblaient vouloir en savoir plus sur moi, comme le nom de mon premier animal de compagnie et le nom de mon professeur à l'école primaire... eh bien, il se trouve que ce sont les questions de récupération de mon mot de passe, j'ai perdu l'accès à mon Account et j'ai eu beaucoup de mal à le récupérer.
De telles attaques par ingénierie sociale peuvent se produire dans de nombreux contextes, y compris ceux de l'échange de cartes SIM. Les attaquants utilisent souvent l'ingénierie sociale pour se faire passer pour des victimes et convaincre les opérateurs de téléphonie mobile d'émettre de nouvelles cartes SIM. Ces escroqueries commencent généralement par la collecte d'informations personnelles, souvent obtenues par le biais de violations de données ou des médias sociaux, et l'utilisation de ces informations pour contourner les contrôles de sécurité de l'opérateur. Les victimes ne s'en aperçoivent généralement que lorsqu'elles perdent le service, alors que le mal est déjà fait.
Avec suffisamment de renseignements personnels en main, les attaquants peuvent exécuter un échange de cartes SIM et exploiter ensuite le numéro de téléphone de la victime sur un large éventail de cibles de grande valeur
Les médias sociaux sont un sujet sensible. Les plateformes permettent aux gens de partager leurs informations personnelles, et de nombreuses entreprises utilisent également les médias sociaux à des fins professionnelles. Si un escroc prend le contrôle d'un numéro de téléphone, il peut utiliser des fonctions basées sur les SMS pour publier des messages en votre nom ou réinitialiser les mots de passe de votre Account. Ils peuvent également recevoir et passer des appels téléphoniques à partir du numéro SIM-swapé, c'est-à-dire leur permettant de recevoir un appel téléphonique pour vérifier qu'ils sont bien le "propriétaire" du numéro ou du compte de médias sociaux/banque. Cela peut nuire à la réputation et conduire à d'autres escroqueries ou à la fuite de données privées.
En Détecter la fraude à l'échange de cartes SIM grâce à des contrôles de sécurité au niveau de l'entrepriseje montre un exemple de page de connexion d'une application web bancaire typique pour le tutoriel d'aujourd'hui. Lorsque SIM Swap Insight vérifie auprès des opérateurs de téléphonie mobile si le numéro de téléphone de la carte SIM a été modifié récemment, l'utilisateur ne peut pas se connecter si de tels changements ont eu lieu. Dans le cas contraire, il pourra se connecter à son Account.
J'ai vu tant de cas de vols de crypto-monnaies dans les nouvelles, et l'impact est énorme ; ces victimes ont perdu trop d'argent. Les utilisateurs de bourses de crypto-monnaies sont particulièrement vulnérables aux attaques par échange de cartes SIM. Lorsque les attaquants prennent le contrôle du numéro de téléphone d'un utilisateur, ils peuvent contourner l'authentification à deux facteurs (2FA) et voler les fonds des portefeuilles de crypto-monnaies connectés à ces plateformes. Ces attaques mettent en péril des millions, voire des milliards, de dollars d'actifs numériques.
Je me souviens très bien qu'alors que j'étais en route pour passer mon test ENEM au Brésil, un homme m'a abordé pour me raconter son histoire : il avait perdu son portefeuille. Il allait rater son vol, parlait avec beaucoup d'anxiété et demandait qu'on le laisse partir avec un peu d'argent. Il m'a accompagné jusqu'à la banque. Il m'a donné l'impression que je pouvais lui faire confiance, allant jusqu'à me proposer son téléphone ou son alliance pour m'assurer qu'il tiendrait parole. Je pouvais lui faire confiance - c'était la fin de l'histoire. Je lui ai non seulement prêté mon argent, mais je ne l'ai jamais revu ; heureusement, tout cela s'est mis en place après mon examen, et cela n'a pas affecté ma capacité à me concentrer sur celui-ci ce jour-là.
Il existe de nombreux cas de fraude bancaire et même d'attaques par échange de cartes SIM. Ces attaquants peuvent accéder au numéro de téléphone d'une victime, demander des OTP (codes de passe à usage unique) à la banque et effectuer des transactions sous le nom de la victime. Ces attaques suivent souvent des étapes de vérification d'identité en ligne, comme pour les applications d'emploi ou les contrats de location, ce qui laisse une autre couche d'exposition si les documents sont compromis.
Les cibles sont nombreuses : banques, institutions financières, entreprises fintech, bourses de cryptomonnaies, fournisseurs de cybersécurité, processeurs de paiement, plateformes de commerce électronique, magasins de détail, services informatiques, agences de billetterie, réseaux sociaux et opérateurs de téléphonie mobile. La liste est longue. L'intégration d'Identity Insights SIM Swap Insight peut fournir la sécurité nécessaire pour prévenir et atténuer ces attaques.
Pour aider à protéger vos utilisateurs contre la fraude par échange de cartes SIM, Identity Insights offre une fonctionnalité précieuse : SIM Swap Insight. Vous pouvez vérifier de manière programmatique si la carte SIM d'un numéro de téléphone a été récemment changée, ce qui ajoute une couche de sécurité essentielle aux actions sensibles telles que les connexions, la récupération de comptes et les transactions financières. Si un changement de carte SIM est détecté, les entreprises peuvent déclencher une authentification renforcée, bloquer l'accès ou signaler la session pour enquête.
La fonction SIM Swap Insight permet de vérifier si une carte SIM liée à un numéro de téléphone donné a récemment changé. Elle peut également indiquer l'horodatage du dernier changement de carte SIM. Vous pouvez vérifier si une carte SIM a été échangée dans une fenêtre spécifiée entre 1 et 2400 heures à l'aide de l'option période pour vérifier s'il y a eu échange de cartes SIM dans une fenêtre spécifiée entre 1 et 2400 heures.
L'API Identity Insights est disponible via un point d'accès unique qui accepte toutes les demandes d'informations :
POST /identity-insights/v1/requests
L'API est disponible sur plusieurs points d'accès régionaux afin de répondre aux exigences en matière de résidence des données :
Point final | Région |
https://api-eu.vonage.com/identity-insights/v1/requests | L'UE |
https://api-us.vonage.com/identity-insights/v1/requests | ÉTATS-UNIS |
La réponse comprend un champ is_swapped indiquant si une permutation a eu lieu au cours de la période définie, ainsi qu'une valeur de latest_sim_swap_at indiquant le moment où la dernière permutation a eu lieu.
Les mauvais acteurs continueront à développer de nouvelles méthodes de fraude ; s'appuyer uniquement sur l'authentification par SMS n'est plus suffisant. Jetez un coup d'œil à Identité en bref et trouvez des solutions pour réduire la fraude.
Vous avez une question ou souhaitez partager ce que vous construisez ?
Rejoignez la conversation sur le Communauté Vonage Slack
S'abonner à la Bulletin d'information du développeur
Suivez-nous sur X (anciennement Twitter) pour les mises à jour
Regardez les tutoriels sur notre chaîne YouTube
Connectez-vous avec nous sur la page Vonage Developer sur LinkedIn
Restez connecté et tenez-vous au courant des dernières nouvelles, astuces et événements concernant les développeurs.