Échange de cartes SIM
Le SIM Swap Insight permet de déterminer si la carte SIM liée à un numéro de téléphone donné a récemment changé. Il est conçu pour atténuer l'impact de la prise de contrôle des comptes (attaque par SIM swap), en donnant aux développeurs l'assurance que le numéro de téléphone peut être utilisé pour de multiples cas d'utilisation, comme la possibilité de procéder à une authentification à deux facteurs par SMS ou comme canal de communication sécurisé.
La fraude par échange de cartes SIM permet à un pirate de contrôler le numéro de téléphone mobile d'une victime, ce qui peut lui permettre de l'utiliser :
- L'usurpation d'identité : Les attaquants peuvent utiliser l'échange de cartes SIM pour usurper l'identité de la victime alors qu'ils prennent le contrôle de son numéro de téléphone.
- Reprise de compte : De nombreux comptes en ligne, notamment les comptes de messagerie, de médias sociaux et financiers, utilisent des numéros de téléphone pour l'authentification à deux facteurs (2FA) ou la récupération de comptes. En échangeant la carte SIM, les attaquants peuvent intercepter les codes d'authentification envoyés par SMS et obtenir un accès non autorisé aux comptes de la victime.
- Fraude financière : Une fois que les attaquants ont accédé aux comptes de la victime, ils peuvent mener diverses formes de fraude financière, comme transférer des fonds, effectuer des achats non autorisés ou contracter des prêts au nom de la victime.
- Violation de la vie privée : Les attaquants peuvent accéder aux communications personnelles, aux contacts et à d'autres informations sensibles stockées sur les appareils ou les comptes de la victime.
L'un des principaux objectifs de l'aperçu SIM Swap est de fournir une évaluation du risque de fraude en identifiant les événements SIM Swap. L'intégration de SIM Swap peut compléter divers scénarios, notamment :
- Ajouter un facteur de risque à un individu
- Renforcement des méthodes 2FA traditionnelles sur la base d'événements récents rapportés par SIM Swap
- Surveillance des activités frauduleuses sur les numéros de téléphone des clients
- Le respect de la réglementation peut nécessiter des contrôles sur le SIM Swap
Conditions préalables
Pour utiliser Identity Insights, vous devez vous assurer que votre Account est correctement configuré. Pour commencer pour plus d'informations :
- Création de votre Account,
- Création d'une application Vonage à utiliser avec l'API Identity Insights,
- Les différents environnements disponibles et comment configurer votre Account pour les utiliser,
- Et comment utiliser l'interface utilisateur du tableau de bord pour utiliser l'API sans écrire de code.
Ce guide explique comment utiliser SIM Swap Insight de manière programmatique à l'aide de cURL.
L'API Identity Insights est disponible via plusieurs points de terminaison régionaux. Les exemples de ce guide utilisent le point de terminaison de l'UE, mais vous pouvez en trouver la liste complète à l'adresse suivante Détails techniques.
Faire un appel à l'API
L'authentification pour l'API Identity Insights se fait par le biais de JWT, un jeton JSON compact et autonome. Pour générer un JWT, vous pouvez utiliser notre outil générateur en ligneou bien utiliser la fonction CLI Vonage. Vous aurez besoin de votre identifiant d'application et de votre clé privée pour générer le JWT. Une fois que vous avez votre JWT, vous pouvez envoyer une demande à l'API.
Cet exemple montre une requête cURL pour l'aperçu de l'échange de cartes SIM afin de vérifier si un échange de cartes SIM a eu lieu au cours des 240 dernières heures ; ceci est défini par l'attribut period qui peut être réglé entre 1 et 2400 heures :
curl -X POST https://api-eu.vonage.com/identity-insights/v1/requests \
-H "Authorization: Bearer $JWT" \
-H "Content-Type: application/json" \
-d '{
"phone_number": "14040000000",
"purpose": "FraudPreventionAndDetection",
"insights": {
"sim_swap": {
"period": 240
}
}
}'
L'API renvoie alors les dernières informations relatives à l'échange de cartes SIM disponibles dans les dossiers de l'opérateur pour le numéro de téléphone interrogé, ainsi que l'horodatage de l'échange de cartes SIM le plus récent :
{
"request_id": "c2cc7a65-9b10-493f-9c0a-1c86751a91c4",
"insights": {
"sim_swap": {
"latest_sim_swap_at": "2024-07-08T09:30:27.504Z",
"is_swapped": true,
"status": {
"code": "OK",
"message": "Success"
}
}
}
}
Vous verrez les champs suivants dans la fenêtre sim_swap objet :
| Champ d'application | Description |
|---|---|
latest_sim_swap_at | Date et heure en UTC ISO 8601 du dernier échange de cartes SIM effectué. |
is_swapped | Indique si la carte SIM a été échangée au cours de l'appel. period fourni. |
status | Indique l'état des informations renvoyées pour le numéro de téléphone spécifié. |
code | Code indiquant l'état de la demande. Doit être l'un des suivants : NO_COVERAGE: Le pays ou le réseau mobile n'est pas pris en charge par les fournisseurs disponibles. INVALID_PURPOSE: L'objectif utilisé n'est pas valide ou autorisé pour cet Insight. UNAUTHORIZED: La demande n'a pas pu être autorisée pour la combinaison de l'application, du fournisseur et du numéro de téléphone. INTERNAL_ERROR: Une erreur interne s'est produite lors du traitement de la demande. SUPPLIER_ERROR: Le fournisseur a renvoyé une erreur lors du traitement de la demande. NOT_FOUND: Le numéro de téléphone n'a pas pu être trouvé pour ce Numbers. INVALID_NUMBER_FORMAT: Le format du numéro de téléphone n'est pas valide pour être attribué par les opérateurs aux utilisateurs. OK: L'insight a été traité avec succès. |
message | Description plus détaillée de l'état. |
Pour en savoir plus
- Pour en savoir plus sur l'API Identity Insights, consultez la page Référence API.
- Si vous avez des questions, vous pouvez nous contacter à l'adresse suivante Communauté Vonage Slack.