){kind=small}
VonageネットワークAPIでSIMスワップ詐欺から守る方法
所要時間:1 分
このブログ記事では、SIMスワップ攻撃の可能性がある実際のユースケースと、次のようなソリューションを紹介します。 Identity Insights SIMスワップインサイト.
私は詐欺防止のワークショップを主催し、参加者に詐欺を考えるときに思い浮かぶことを考えるよう求めた。ブレインストーミングで出された言葉の中には、次のようなものがあった:
fraud examples不正行為を軽減するための解決策について尋ねると、次のような答えが返ってきた:
Fraud preventing solutionsこれらはすべて有効な回答であり、あなたの刺激になれば幸いです。このブログポストでは、不正行為のユースケースをいくつか紹介し、Identity Insights、特に SIM Swap Insight がユーザーにどのようなソリューションを提供できるかを探りたい。
SIMスワップ詐欺SIMスワップ詐欺とは、犯罪者がモバイル・プロバイダを騙して、被害者の電話番号を自分の管理するSIMカードにすり替える悪質な攻撃です。犯罪者があなたの電話番号を管理すると、二要素認証(2FA)を回避し、電子メール、ソーシャルメディア、銀行アプリなどの機密アカウントにアクセスすることができます。
攻撃者は、SIMスワップを実行する前に十分な個人情報を収集し、納得のいく形で被害者の携帯電話会社になりすます。以下に、そのような情報を得るために攻撃者が使う方法をいくつか紹介する。
私はデータ流出について目を光らせてきた。 からのメールを受け取ることもある。.しかし、ユーザーのことを考えると、携帯電話を通じて個人情報や企業情報が漏洩し、個人情報の盗難や深刻な風評被害を受ける可能性があります。このような情報漏えいは、多額の金銭的損失や規制上の罰則をもたらす可能性があります。
ゲーム内で仲の良いバーチャルフレンドができたと思ったら、彼は私の最初のペットの名前や小学校の先生の名前など、私のことをもっと知りたがっているような質問をしてきた。
このようなソーシャル・エンジニアリング攻撃は、SIMスワップを含め、さまざまな文脈で発生する可能性がある。攻撃者は多くの場合、ソーシャル・エンジニアリングを利用して被害者になりすまし、携帯キャリアに新しいSIMを発行するよう説得する。このような詐欺は通常、データ漏洩やソーシャルメディアを通じて入手した個人情報を収集し、その情報を使ってキャリアのセキュリティチェックを迂回することから始まる。被害者は通常、サービスを受けられなくなるまで気づかないが、残念なことに、被害はすでに終わっている。
十分な個人情報があれば、攻撃者はSIMスワップを実行し、被害者の電話番号を価値の高い幅広いターゲットに悪用することができる。
ソーシャルメディアはデリケートな話題だ。プラットフォームは、人々が個人情報を共有する場所であり、多くの企業もビジネス目的でソーシャルメディアを利用している。もし詐欺師が電話番号をコントロールできるようになれば、SMSベースの機能を使ってあなたの代わりに投稿したり、アカウントのパスワードをリセットしたりすることができる。また、SIMスワップされた番号から電話を受けたりかけたりすることもできる。つまり、自分がその番号やソーシャルメディア/銀行アカウントの「所有者」であることを確認するための電話を受けることができるのだ。これは風評被害をもたらし、さらなる詐欺や個人データの流出につながる可能性がある。
で エンタープライズ・レベルのセキュリティ・チェックで SIM スワップ詐欺を検知するで、典型的な銀行のウェブアプリケーションのログインページの例を示しました。SIM Swap Insight が、SIM の電話番号に最近変更が加えられたかどうかを携帯電話会社に確認するとき、そのような変更があった場合、ユーザはログインできません。そうでなければ、アカウントにログインできます。
ニュースでは暗号通貨盗難のユースケースを多く見かけるが、その影響は甚大である。暗号通貨取引所のユーザーは、SIMスワップ攻撃に対して特に脆弱である。攻撃者がユーザーの電話番号を掌握すると、二要素認証(2FA)を回避し、これらのプラットフォームに接続された暗号通貨ウォレットから資金を盗むことができる。こうした攻撃により、数十億ドルとは言わないまでも、数百万ドル相当のデジタル資産が危険にさらされる。
ブラジルでENEMの試験を受けに行く途中、ある男が財布をなくしたという話をしてきたのを鮮明に覚えている。彼は飛行機に乗り遅れそうで、とても心配そうに話し、いくらかのお金で見逃してほしいと頼んだ。彼は私を銀行まで送ってくれた。彼は私が彼を信用できると思わせ、約束を守ることを示すために携帯電話や結婚指輪を差し出した。私は彼を信じることができた。私は彼にお金を貸しただけでなく、二度とそのお金を見ることはなかった。願わくば、このことがテストの後にすべて効いてきて、その日テストに集中する能力に影響を及ぼさなければよかったのだが。
銀行詐欺、さらにはSIMスワップ攻撃の事例は非常に多い。これらの攻撃者は、被害者の電話番号にアクセスし、銀行からOTP(ワンタイムパスコード)を要求し、被害者の名前で取引を完了することができます。このような攻撃は、求職申込や賃貸契約などのオンライン本人確認ステップに続いて行われることが多く、書類が漏洩した場合、別のレイヤーが危険にさらされることになる。
銀行、金融機関、フィンテック企業、暗号取引所、サイバーセキュリティ・ベンダー、決済処理業者、eコマース・プラットフォーム、小売店、IT部門、チケット販売会社、ソーシャル・ネットワーク、モバイル事業者など、標的は多い。数え上げればきりがない。Identity Insights SIM Swap Insightを統合することで、こうした攻撃を防止・軽減するために必要なセキュリティを提供することができる。
SIM スワップ詐欺からユーザーを保護するために、Identity Insights は貴重な機能、SIM スワップインサイトを提供します。電話番号の SIM カードが最近変更されたかどうかをプログラムでチェックし、ログイン、アカウ ント回復、金融取引などの機密性の高いアクションに重要なセキュリティ層を追加することができます。SIMの変更が検出された場合、組織はステップアップ認証を起動したり、アクセスをブロックしたり、調査のためにセッションにフラグを立てることができます。
SIMスワップインサイトは、指定した電話番号にリンクされているSIMカードが最近変更されたかどうかを検証し、最新のSIMスワップのタイムスタンプを返すこともできます。また、最新の SIM 交換のタイムスタンプを返すこともできます。 期間パラメータを使います。
Identity Insights API は、すべてのインサイトリクエストを受け付ける単一のエンドポイントを介して利用できる:
POST /identity-insights/v1/requests
APIは複数の地域のエンドポイントで利用可能であり、データレジデンシー要件をサポートする:
エンドポイント | 地域 |
https://api-eu.vonage.com/identity-insights/v1/requests | EU |
https://api-us.vonage.com/identity-insights/v1/requests | 米国 |
レスポンスには is_swappedブール値が含まれます。 というタイムスタンプが含まれる。のタイムスタンプが含まれる。
SMSベースの認証だけに頼るのはもはや十分ではありません。以下をご覧ください。 アイデンティティ・インサイトをご覧ください。
質問や共有したいことがありますか?Vonageコミュニティ VonageコミュニティSlackまたは 開発者向けニュースレターでフォローしてください。 X(旧Twitter)YouTubeチャンネル YouTubeチャンネルビデオチュートリアルを購読する。 LinkedInのVonage開発者ページ開発者が学び、コミュニティとつながるためのスペースです。つながりを維持し、進捗状況を共有し、最新の開発者向けニュース、ヒント、イベントを把握してください!