){kind=small}
VonageネットワークAPIでSIMスワップ詐欺から守る方法
所要時間:1 分
このブログ記事では、SIMスワップ攻撃の可能性のある実際のユースケースと、次のようなソリューションを紹介します。 Vonage SIM Swap API.
私はネットワークAPIのワークショップを主催し、参加者に不正を考えるときに何が思い浮かぶかを考えてもらった。彼らがブレインストーミングした言葉のいくつかは次のようなものだった:
fraud examples不正行為を軽減するための解決策について尋ねると、次のような答えが返ってきた:
Fraud preventing solutionsこれらはすべて有効な回答であり、あなたにインスピレーションを与えることを願っています。このブログポストでは、いくつかの詐欺のユースケースと、Vonage Network API、特にSIM Swap APIがどのようにユーザにソリューションを提供できるかを探りたい。
SIMスワップ詐欺SIMスワップ詐欺とは、犯罪者がモバイル・プロバイダを騙して、被害者の電話番号を自分の管理するSIMカードにすり替える悪質な攻撃です。犯罪者があなたの電話番号を管理すると、二要素認証(2FA)を回避し、電子メール、ソーシャルメディア、銀行アプリなどの機密アカウントにアクセスすることができます。
SIMスワップ詐欺の日常的な使用例
ソーシャルメディアはデリケートな話題だ。プラットフォームは人々が個人情報を共有する場所であり、多くの企業もビジネス目的でソーシャルメディアを利用している。詐欺師が電話番号をコントロールできるようになると、SMSベースの機能を使って、あなたの代わりに投稿したり、アカウントのパスワードをリセットしたりすることができる。これは風評被害をもたらし、さらなる詐欺や個人データの流出につながる可能性がある。
で エンタープライズ・レベルのセキュリティ・チェックで SIM スワップ詐欺を検知するで、典型的な銀行のウェブアプリケーションのログインページの例を示しました。SIM スワップ API は、SIM の電話番号に最近変更が加えられたかどうかを携帯電話会社に確認するため、そのような変更があった場合、ユーザはログインできません。そうでなければ、アカウントにログインできる。
私はデータ流出について目を光らせてきた。 からのメールを受け取ることもある。.しかし、ユーザーのことを考えると、携帯電話を通じて個人情報や企業情報が漏洩し、個人情報の盗難や深刻な風評被害を受ける可能性があります。このような情報漏えいは、多額の金銭的損失や規制上の罰則をもたらす可能性があります。
ゲーム内で仲の良いバーチャルフレンドができたと思ったら、彼は私の最初のペットの名前や小学校の先生の名前など、私のことをもっと知りたがっているような質問をしてきた。
このようなソーシャル・エンジニアリング攻撃は、SIMスワップを含め、さまざまな文脈で発生する可能性がある。攻撃者は多くの場合、ソーシャル・エンジニアリングを利用して被害者になりすまし、携帯キャリアに新しいSIMを発行するよう説得する。このような詐欺は通常、データ漏洩やソーシャルメディアを通じて入手した個人情報を収集し、その情報を使ってキャリアのセキュリティチェックを迂回することから始まる。被害者は通常、サービスを受けられなくなるまで気づかないが、残念なことに、被害はすでに終わっている。
ニュースでは暗号通貨盗難のユースケースを多く見かけるが、その影響は甚大である。暗号通貨取引所のユーザーは、SIMスワップ攻撃に対して特に脆弱である。攻撃者がユーザーの電話番号を掌握すると、二要素認証(2FA)を回避し、これらのプラットフォームに接続された暗号通貨ウォレットから資金を盗むことができる。このような攻撃により、数十億ドルとは言わないまでも、数百万ドルのデジタル資産が危険にさらされる。
以前、ブラジルでENEMの試験を受けに行く途中、財布をなくしたという男が近づいてきたのを鮮明に覚えている。彼は飛行機に乗り遅れそうで、とても心配そうに話し、お金を貸してくれと言った。お金を貸してくれと言う。.彼は私を銀行まで送ってくれた。彼は私が彼を信頼できるように見せ、約束を守ることを示すために携帯電話や結婚指輪を差し出した。私は彼を信じることができた。私は彼にお金を貸しただけでなく、二度とそのお金を見ることはなかった。願わくば、このことがすべてテストの後に効いてきて、その日にテストを受ける私の注意力に影響がなかったことを。
銀行詐欺、さらにはSIMスワップ攻撃の事例は非常に多い。これらの攻撃者は、被害者の電話番号にアクセスし、銀行からOTP(ワンタイムパスコード)を要求し、被害者の名前で取引を完了することができます。このような攻撃は、求職申し込みや賃貸契約など、オンラインで行われる本人確認の手順を踏んで行われることが多く、書類が漏洩した場合、別のレイヤーが危険にさらされることになる。
YouTubeのショートビデオをチェック ダイアナ・ファム銀行のユースケースを説明しています:
銀行、金融、フィンテック、暗号取引所、サイバーセキュリティベンダー、決済処理業者、eコマース、小売店、IT部門、チケット販売会社、ソーシャルネットワーク、モバイルオペレーターなど、標的は多い。数え上げればきりがない。VonageのSIMスワップAPIを統合することで、これらの攻撃を防止・軽減するために必要なセキュリティを提供することができます。
SIMスワップ詐欺からユーザーを守るために、Vonageは貴重なAPIを提供しています:SIM Swap API。電話番号の SIM カードが最近変更されたかどうかをプログラムでチェックすることができ、ログイン、アカウントの回復、金融取引などの機密性の高いアクションに重要なセキュリティ層を追加します。SIMの変更が検出された場合、組織はステップアップ認証をトリガーしたり、アクセスをブロックしたり、調査のためにセッションにフラグを立てることができます。 SIMスワップ詐欺からユーザーを守る.
SIM Swap APIは、2つのエンドポイントを通じて、テレコム・モバイル・ネットワーク上のSIMカードのアクティベーション日を確認します。今後実装される機能をお楽しみに。現時点では、以下のことが可能です:
過去n時間以内にSIM交換が行われたかどうかを検出する:
POST /camara/sim-swap/v040/check
最後のSIM変更の正確なタイムスタンプを取得する:
POST /camara/sim-swap/v040/retrieve-date
SMSベースの認証だけに頼るのはもはや十分ではありません。ネットワークAPI ネットワークAPIをご覧いただき、不正行為を軽減するためのソリューションを見つけてください。
質問や共有したいことがありますか?Vonageコミュニティ VonageコミュニティSlackまたは 開発者向けニュースレターでフォローしてください。 X(旧Twitter)YouTubeチャンネル YouTubeチャンネルビデオチュートリアルを購読する。 LinkedInのVonage開発者ページ開発者が学び、コミュニティとつながるためのスペースです。つながりを維持し、進捗状況を共有し、最新の開発者向けニュース、ヒント、イベントを把握してください!