Prévention de la fraude

Comme dans d'autres secteurs d'activité, certains tentent de profiter de moyens frauduleux dans le domaine de la téléphonie. Vonage entreprend une série d'actions et de processus automatiques et manuels pour vous protéger contre les activités frauduleuses. Néanmoins, il existe certaines pratiques qui, si elles sont respectées, peuvent vous aider à éviter l'impact commercial et les pertes potentielles.

Les schémas de fraude typiques sont basés sur la génération d'appels sortants vers des numéros de téléphone spécifiques appelés "destinations premium" ou "numéros à revenus partagés", de sorte que les fraudeurs reçoivent de l'argent pour chaque seconde de l'appel. Pour ce faire, les fraudeurs peuvent soit connaître votre clé et votre secret d'API, soit utiliser l'interface utilisateur/API de votre service, qui permet aux utilisateurs finaux de saisir le numéro de téléphone de destination. Les services typiques qui nécessitent cette entrée de numéro de téléphone comprennent une page de connexion ou de réinitialisation de mot de passe qui utilise l'authentification à deux facteurs avec un appel vocal. Suivez les instructions ci-dessous pour réduire le risque d'être affecté par ces types de stratagèmes.

Rotation des pouvoirs

Si vous soupçonnez que vos informations d'identification du tableau de bord ou votre clé/secret API ont été compromis, mettez-les à jour dès que possible. Vous pouvez modifier votre mot de passe dans le tableau de bord. Modifier le profil et demander un nouveau secret API sur la page Paramètres page. Voir aussi Meilleures pratiques de sécurité pour votre Account Vonage.

Filtrage des destinations

Si votre entreprise n'opère que dans certains pays, vous pouvez choisir de créer une "liste d'autorisation" pour limiter les appels à ces pays. Vous pouvez également créer une "liste de blocage" qui autorise les appels partout sauf vers les pays figurant sur la liste.

Certains utilisateurs choisissent d'empêcher les appels vers des pays perçus comme étant à haut risque.

Afin d'autoriser/bloquer les destinations, vous pouvez vérifier le numéro de destination avant d'effectuer une requête API Vonage pour la création d'un appel sortant (POST /calls demande ou connect Action NCCO) soit par :

• les premiers chiffres du numéro - vérifiez s'il fait partie des destinations autorisées/bloquées,
• pays de destination à l'aide de Number Insight API,

et renvoie un message approprié si la destination n'est pas prise en charge par votre service.

Si vous souhaitez autoriser les appels vers, par exemple, les États-Unis et le Canada uniquement, vous pouvez utiliser cette construction en JavaScript :

if (phoneNumber.startsWith('1'))
{
    vonage.calls.create({ // ...
    })
} else {
    alert("Sorry, the destination is not supported.")
}

Le défaut de cette approche est que le +1 L'indicatif de pays d'un téléphone permet d'appeler non seulement les États-Unis et le Canada, mais aussi, par exemple, les Bahamas ou Antigua-et-Barbuda, ce qui n'est peut-être pas votre intention. Vous pouvez cibler les pays plus précisément en utilisant l'API Number Insight :

vonage.numberInsight.get({level: 'basic', number: phoneNumber}, (error, result) => {
  if (result.country_code == 'US' || result.country_code == 'CA') {
    vonage.calls.create({ // ...
    })
  } else {
    alert('Sorry, the destination is not supported.')
  }
})

Voir aussi Nombre Insight Basic extrait de code.

Vérification de l'origine du webhook

D'autres types d'attaques peuvent tenter d'accéder à votre application ou aux données privées de vos clients. Dans ces attaques, un fraudeur se fait passer pour la plateforme Vonage en effectuant des requêtes webhook à votre application. Celles-ci peuvent révéler le texte du message vocal, qui peut contenir des données sensibles. Pour vous assurer que les demandes adressées à vos webhooks proviennent bien de Vonage, vous pouvez :

• Configurer un pare-feu pour accepter les demandes provenant de Plages IP de Vonage seulement ;
• Vérifier signature du rappel.