Prevenció del Frau per SIM Swap: Com la Verificació Telefònica Atura la Presa de Control de Comptes (CA)

Un atac de SIM swap és una tècnica de presa de control de comptes on un estafador convenç un operador de telefonia mòbil de transferir el número de telèfon d'una víctima a una targeta SIM que l'atacant controla. Un cop tenen el número, cada contrasenya d'un sol ús (OTP) per SMS enviada a aquest número –per iniciar sessió, restablir la contrasenya o aprovar transaccions– arriba a les seves mans, no a les del titular legítim del compte.

L'atac és particularment efectiu perquè derrota la capa d'autenticació que la majoria d'usuaris i moltes plataformes consideren segura. Comprendre com funcionen els SIM swaps, per què els OTP per SMS sols són insuficients i com superposar controls més robustos és la base d'una defensa efectiva contra la presa de control de comptes (ATO).

Punts clau

• Un SIM swap transfereix el número de telèfon d'una víctima a una SIM controlada per un atacant mitjançant l'enginyeria social a l'equip d'atenció al client d'un operador de telefonia mòbil.
• Un cop un atacant posseeix el número, pot rebre OTP per SMS (contrasenyes d'un sol ús) per iniciar sessió, restablir la contrasenya i confirmar transaccions en nom de la víctima.
• L'OTP per SMS sol no és un factor d'autenticació suficient per a comptes d'alt valor: és vulnerable a SIM swap, intercepció SS7 i atacs de phishing d'OTP.
• La superposició de la verificació telefònica amb senyals de dispositiu i IP, i la sol·licitud d'autenticació biomètrica per a accions sensibles, tanca la superfície d'atac que deixa oberta l'OTP per SMS.
• Didit proporciona verificació telefònica multicanal (SMS, WhatsApp, Telegram, RCS, veu) juntament amb Anàlisi d'IP (0,03 $), Prova de Vida Passiva (0,10 $) i Autenticació Biomètrica (0,10 $) que es combinen en una pila d'autenticació en dos passos.

Com funciona un atac de SIM swap

La seqüència d'atac és senzilla:

1. Selecció de l'objectiu — l'atacant identifica una víctima, normalment mitjançant registres de violacions de dades o investigació en xarxes socials, i confirma el número de telèfon associat al seu compte.
2. Suplantació de l'operador — l'atacant truca a l'operador de telefonia mòbil de la víctima, fent-se passar pel titular del compte. Utilitzant informació d'identificació personal (PII) obtinguda de dades de violacions o fonts públiques, sol·liciten una transferència de SIM — "He perdut el meu telèfon i necessito activar el meu número en aquesta SIM".
3. Número portat — l'operador, incapaç de distingir l'estafador del client legítim, completa la transferència. El telèfon de la víctima perd el servei; la SIM de l'atacant rep totes les trucades entrants i SMS.
4. Presa de control del compte — l'atacant activa un restabliment de contrasenya a la plataforma objectiu. L'OTP per SMS arriba al seu dispositiu. Estableixen una nova contrasenya i controlen el compte.

La víctima normalment només s'adona quan el seu telèfon perd el servei inesperadament o rep alertes d'accions que no va realitzar, sovint després que el dany ja estigui fet.

Per què l'OTP per SMS no és suficient per si sol

L'OTP per SMS va ser dissenyat com un segon factor que assumeix que un número de telèfon està lligat de manera segura a una única persona. El SIM swapping trenca aquesta suposició a nivell de l'operador, fora del control de la plataforma. Però no és l'única debilitat:

Vulnerabilitats del protocol SS7 — el protocol Signaling System 7 (SS7) que enruta el trànsit telefònic global té vulnerabilitats documentades que permeten a actors sofisticats interceptar missatges SMS en trànsit sense accés físic a la SIM.

Phishing d'OTP — kits de phishing en temps real proxy un flux d'autenticació, extraient l'OTP que la víctima introdueix al lloc web fals de l'atacant i reproduint-lo contra la plataforma real dins de la finestra de validesa de l'OTP.

SIM-farming — xarxes de frau organitzades operen grans inventaris de targetes SIM registrades sota identitats sintètiques, utilitzant-les per rebre OTP per a comptes que ja han compromès mitjançant l'ompliment de credencials.

El patró és consistent: qualsevol sistema que tracti l'OTP per SMS com la comprovació de seguretat terminal té un únic punt de fallada que es pot eludir sense tocar els controls de seguretat propis de la plataforma.

La pila de defensa: capes que funcionen juntes

Una defensa efectiva contra el SIM-swap no és un control únic, sinó una pila de senyals i passos de verificació que fan que l'atac sigui antieconòmic en cada etapa.

Capa 1: Intel·ligència telefònica en el registre

Abans d'emetre un OTP, recopila intel·ligència sobre el número de telèfon. Els senyals útils inclouen:

• Tipus de línia: és un número de mòbil o un número de VoIP (Veu sobre IP)? Els números de VoIP es poden aprovisionar instantàniament sense verificació de l'operador i s'utilitzen habitualment en operacions de frau.
• Operador i país: l'operador coincideix amb el país declarat per l'usuari? Un número registrat a un operador d'un país que l'usuari no va declarar val la pena de ser assenyalat.
• Accessibilitat: l'OTP es pot lliurar realment? El lliurament multicanal — SMS, WhatsApp, Telegram, RCS o veu — prova l'accessibilitat alhora que ofereix opcions a l'usuari.

Aquests senyals estan disponibles abans d'enviar un sol OTP. Et permeten aplicar controls més estrictes als números de major risc sense afectar l'experiència dels usuaris legítims.

Capa 2: Senyals de dispositiu i IP juntament amb l'OTP

L'anàlisi d'IP per 0,03 $ afegeix un context que la intel·ligència telefònica per si sola no pot proporcionar: l'IP és coherent amb la ubicació declarada del dispositiu? La connexió prové d'una VPN, un proxy o un node de sortida de Tor? Aquesta IP s'ha associat amb intents de frau anteriors?

Un SIM swap normalment coincideix amb una nova sessió de dispositiu: l'atacant té un dispositiu diferent del que l'usuari legítim va utilitzar mai. L'empremta digital del dispositiu que rastreja la consistència de la sessió (tipus de dispositiu, empremta digital del navegador/aplicació, zona horària, configuració d'idioma) pot assenyalar un dispositiu per primera vegada que accedeix a un compte d'alt valor durant una acció sensible, fins i tot abans que l'OTP es completi.

Capa 3: Autenticació biomètrica per a accions sensibles

El control més fort per a moments d'alt risc — grans retirades, nous mètodes de pagament, recuperació de comptes, canvis d'adreça — és una autenticació biomètrica que requereix que l'usuari realitzi una comprovació de vida que coincideixi amb la seva biometria registrada.

Una autenticació biomètrica no és una cosa que un atacant de SIM-swap pugui satisfer. Tenen el número de telèfon; no tenen la cara. La Prova de Vida Passiva per 0,10 $ i l'Autenticació Biomètrica per 0,10 $ són les comprovacions que aturen la presa de control del compte en el punt on causaria més danys.

El principi és la fricció proporcional: les sessions de baix risc procedeixen amb normalitat; les accions d'alt risc activen una comprovació biomètrica ràpida i nativa per a mòbils que l'usuari legítim amb prou feines nota, però que l'atacant no pot superar.

Com ajuda Didit

La verificació telefònica de Didit lliura OTP a través de múltiples canals — SMS, WhatsApp, Telegram, RCS i veu — arribant als usuaris allà on són i proporcionant una flexibilitat de lliurament que un SMS d'un sol canal no pot igualar. El lliurament multicanal també prova l'accessibilitat del número a través de protocols: un número que no pot rebre un missatge de WhatsApp però només SMS té un perfil de risc diferent d'un que és accessible a tots els canals.

Juntament amb la verificació telefònica, el flux de treball componible de Didit et permet superposar:

• Anàlisi d'IP (0,03 $) — detecció de VPN/proxy/Tor, consistència d'IP a país, puntuació de risc de frau.
• Prova de Vida Passiva (0,10 $) — una comprovació de vida biomètrica de menys de 2 segons que verifica que l'usuari és real i present, no una foto estàtica.
• Coincidència Facial 1:1 (0,05 $) — compara la captura en viu amb el retrat registrat des de l'alta.
• Autenticació Biomètrica (0,10 $) — una verificació completa en dos passos que reprodueix la coincidència biomètrica sota demanda per a accions de compte sensibles.

Tots aquests es combinen en un únic flux de treball sense codi configurat a la Business Console. El disparador de l'autenticació en dos passos — quina puntuació de risc o tipus d'acció s'escala a biomètrica — és una configuració de Workflow Builder, no un canvi de codi.

Casos d'ús

Seguretat de comptes de neobancs i EMI — les sol·licituds de retirada d'alt valor i les noves incorporacions de beneficiaris són els moments de major risc en un compte financer. L'autenticació biomètrica en aquests punts tanca la finestra que exploten els SIM swaps.

Recuperació de comptes d'intercanvi de criptomonedes — els fluxos de recuperació de comptes són el camí més explotat en l'ATO d'intercanvi de criptomonedes. Requerir una coincidència biomètrica durant la recuperació del compte fa que el flux sigui a prova de SIM-swap.

Gestió de comptes d'iGaming — els canvis de mètode de dipòsit i les sol·licituds de retirada s'orienten específicament en l'ATO de jocs perquè els pagaments són ràpids i sovint irreversibles. La verificació en dos passos en aquests punts de contacte és una expectativa reguladora en mercats amb llicència.

Mercats de consum amb mètodes de pagament emmagatzemats — les plataformes que emmagatzemen credencials de pagament per a comptes de comprador i venedor necessiten una verificació en dos passos quan un usuari canvia el seu compte bancari de pagament — un objectiu comú en la presa de control de comptes.

Preguntes freqüents

Quant costa la verificació telefònica?

El preu de la verificació telefònica de Didit és variable i depèn del canal de lliurament i del volum. L'anàlisi d'IP costa 0,03 $; la Prova de Vida Passiva costa 0,10 $; l'Autenticació Biomètrica costa 0,10 $. Tots inclouen 500 comprovacions gratuïtes al mes sense mínims.

La verificació telefònica prevé tots els atacs de SIM-swap?

La verificació telefònica per si sola no ho fa — un atacant que ja ha completat un SIM swap rep l'OTP. La defensa prové de superposar la intel·ligència telefònica, els senyals del dispositiu i l'autenticació biomètrica perquè el lliurament d'OTP no sigui la comprovació terminal.

Quina diferència hi ha entre la Prova de Vida Passiva i l'Autenticació Biomètrica?

La Prova de Vida Passiva (0,10 $) verifica que l'usuari és real i present en l'alta. L'Autenticació Biomètrica (0,10 $) realitza una comparació facial amb coincidència de vida amb el retrat registrat per a una autenticació en dos passos a mitja sessió — la comprovació que atura l'ATO en punts d'acció sensibles.

Un atacant pot vèncer l'autenticació biomètrica?

Una autenticació biomètrica requereix la cara en viu de l'usuari legítim. Un atacant de SIM-swap té el número de telèfon, no la cara. La Prova de Vida Passiva amb més de 200 senyals de frau i la certificació iBeta Nivell 1 PAD de Didit (0% IAPAR / 360 atacs) està dissenyada per detectar atacs de presentació — fotos, vídeos, màscares — a la porta de l'autenticació en dos passos.

Això funciona per a la reverificació a mitja sessió?

Sí. El mecanisme AWAITING_USER de Didit — manllevat del motor de monitorització de transaccions — pot posar en pausa una acció sensible, activar una autenticació biomètrica i reprendre l'acció automàticament un cop l'usuari l'aprova.

Preparat per començar?

La verificació telefònica, l'anàlisi d'IP, la Prova de Vida Passiva i l'Autenticació Biomètrica són tots mòduls componibles a la plataforma unificada d'identitat i frau de Didit — configura'ls junts al Workflow Builder sense escriure codi d'integració addicional.

• Llegeix la documentació → docs.didit.me
• Consulta-ho a la plataforma → Pàgina del producte de Verificació d'Usuaris
• Consulta el preu → Preus — 500 comprovacions gratuïtes/mes, sense mínims
• Comença gratis → business.didit.me