मुख्य कंटेंट पर जाएं
Didit ने पहचान और धोखाधड़ी के लिए इंफ्रास्ट्रक्चर बनाने हेतु $7.5M जुटाए
Didit
ब्लॉग पर वापस जाएँ
ब्लॉग · 13 जून 2026

सिम स्वैप धोखाधड़ी से बचाव: फ़ोन सत्यापन कैसे खाता अधिग्रहण को रोकता है (HI-1)

एक सिम स्वैप हमलावर को आपके उपयोगकर्ता के फ़ोन नंबर और उसके बाद आने वाले हर एसएमएस वन-टाइम पासकोड पर नियंत्रण देता है। जानें कि फ़ोन सत्यापन, डिवाइस और आईपी संकेतों तथा बायोमेट्रिक स्टेप-अप को मिलाकर इस हमले को कैसे रोका जा सकता.

द्वारा Diditअपडेट किया गया
sim-swap-fraud-prevention.png

एक सिम स्वैप हमला एक खाता अधिग्रहण तकनीक है जहाँ एक धोखेबाज मोबाइल कैरियर को यह विश्वास दिलाता है कि वह पीड़ित के फ़ोन नंबर को हमलावर द्वारा नियंत्रित एक सिम कार्ड पर स्थानांतरित कर दे। एक बार जब उनके पास नंबर आ जाता है, तो उस नंबर पर भेजे गए हर एसएमएस वन-टाइम पासकोड (ओटीपी) — लॉगिन, पासवर्ड रीसेट या लेनदेन अनुमोदन के लिए — वैध खाताधारक के बजाय उनके हाथों में पहुँच जाता है।

यह हमला विशेष रूप से प्रभावी है क्योंकि यह प्रमाणीकरण परत को विफल कर देता है जिसे अधिकांश उपयोगकर्ता और कई प्लेटफ़ॉर्म सुरक्षित मानते हैं। यह समझना कि सिम स्वैप कैसे काम करता है, एसएमएस ओटीपी अकेले क्यों अपर्याप्त हैं, और मजबूत नियंत्रणों को कैसे जोड़ा जाए, एक प्रभावी खाता अधिग्रहण (एटीओ) रक्षा की नींव है।

मुख्य बातें

  • एक सिम स्वैप एक मोबाइल कैरियर की ग्राहक सेवा टीम को सोशल-इंजीनियरिंग करके पीड़ित के फ़ोन नंबर को हमलावर-नियंत्रित सिम में स्थानांतरित करता है।
  • एक बार जब हमलावर के पास नंबर आ जाता है, तो वे पीड़ित की ओर से लॉगिन, पासवर्ड रीसेट और लेनदेन पुष्टि के लिए एसएमएस ओटीपी (वन-टाइम पासकोड) प्राप्त कर सकते हैं।
  • अकेले एसएमएस ओटीपी उच्च-मूल्य वाले खातों के लिए पर्याप्त प्रमाणीकरण कारक नहीं है — यह सिम स्वैप, एसएस7 अवरोधन और ओटीपी-फ़िशिंग हमलों के प्रति संवेदनशील है।
  • फ़ोन सत्यापन को डिवाइस और आईपी संकेतों के साथ जोड़ना, और संवेदनशील कार्यों के लिए बायोमेट्रिक स्टेप-अप की आवश्यकता, उस हमले की सतह को बंद कर देता है जिसे एसएमएस ओटीपी खुला छोड़ देता है।
  • डिडिट मल्टी-चैनल फ़ोन सत्यापन (एसएमएस, व्हाट्सएप, टेलीग्राम, आरसीएस, वॉयस) के साथ आईपी विश्लेषण ($0.03), पैसिव लाइवनैस ($0.10), और बायोमेट्रिक प्रमाणीकरण ($0.10) प्रदान करता है जो एक स्टेप-अप स्टैक में संयोजित होते हैं।

एक सिम स्वैप हमला कैसे काम करता है

हमले का क्रम सीधा है:

  1. लक्ष्य चयन — हमलावर एक पीड़ित की पहचान करता है, आमतौर पर डेटा उल्लंघन रिकॉर्ड या सोशल मीडिया शोध के माध्यम से, और उनके खाते से जुड़े फ़ोन नंबर की पुष्टि करता है।
  2. कैरियर का प्रतिरूपण — हमलावर पीड़ित के मोबाइल कैरियर को कॉल करता है, खाताधारक होने का दिखावा करता है। उल्लंघन डेटा या सार्वजनिक स्रोतों से एकत्र की गई व्यक्तिगत पहचान योग्य जानकारी (पीआईआई) का उपयोग करके, वे सिम स्थानांतरण का अनुरोध करते हैं — "मेरा फोन खो गया है और मुझे इस सिम पर अपना नंबर सक्रिय करने की आवश्यकता है।"
  3. नंबर पोर्ट किया गया — कैरियर, धोखेबाज और वैध ग्राहक के बीच अंतर करने में असमर्थ, स्थानांतरण को पूरा करता है। पीड़ित के फोन की सेवा समाप्त हो जाती है; हमलावर का सिम सभी आने वाली कॉल और एसएमएस प्राप्त करता है।
  4. खाता अधिग्रहण — हमलावर लक्ष्य प्लेटफॉर्म पर पासवर्ड रीसेट को ट्रिगर करता है। एसएमएस ओटीपी उनके डिवाइस पर आता है। वे एक नया पासवर्ड सेट करते हैं और खाते को नियंत्रित करते हैं।

पीड़ित आमतौर पर तभी ध्यान देता है जब उनका फोन अप्रत्याशित रूप से सेवा खो देता है या उन्हें उन कार्यों के लिए अलर्ट प्राप्त होते हैं जो उन्होंने नहीं किए थे — अक्सर नुकसान होने के बाद।

एसएमएस ओटीपी अकेले पर्याप्त क्यों नहीं है

एसएमएस ओटीपी को एक दूसरे कारक के रूप में डिज़ाइन किया गया था जो मानता है कि एक फ़ोन नंबर एक व्यक्ति से सुरक्षित रूप से जुड़ा हुआ है। सिम स्वैपिंग कैरियर स्तर पर उस धारणा को तोड़ देती है, प्लेटफ़ॉर्म के नियंत्रण से बाहर। लेकिन यह एकमात्र कमजोरी नहीं है:

एसएस7 प्रोटोकॉल कमजोरियां — सिग्नलिंग सिस्टम 7 (एसएस7) प्रोटोकॉल जो विश्व स्तर पर टेलीफोन यातायात को रूट करता है, में प्रलेखित कमजोरियां हैं जो परिष्कृत अभिनेताओं को सिम तक भौतिक पहुंच के बिना पारगमन में एसएमएस संदेशों को इंटरसेप्ट करने की अनुमति देती हैं।

ओटीपी फ़िशिंग — वास्तविक समय फ़िशिंग किट एक प्रमाणीकरण प्रवाह को प्रॉक्सी करती हैं, हमलावर की नकली साइट पर पीड़ित द्वारा दर्ज किए गए ओटीपी को निकालती हैं और ओटीपी की वैधता विंडो के भीतर वास्तविक प्लेटफ़ॉर्म के खिलाफ इसे फिर से चलाती हैं।

सिम-फार्मिंग — संगठित धोखाधड़ी रिंग सिंथेटिक पहचान के तहत पंजीकृत सिम कार्ड की बड़ी सूची संचालित करती हैं, उनका उपयोग उन खातों के लिए ओटीपी प्राप्त करने के लिए करती हैं जिन्हें उन्होंने पहले ही क्रेडेंशियल-स्टफिंग के माध्यम से समझौता कर लिया है।

पैटर्न सुसंगत है: कोई भी प्रणाली जो एसएमएस ओटीपी को टर्मिनल सुरक्षा जांच के रूप में मानती है, उसमें विफलता का एक एकल बिंदु होता है जिसे प्लेटफ़ॉर्म के अपने सुरक्षा नियंत्रणों को छुए बिना बाईपास किया जा सकता है।

रक्षा स्टैक: परतें जो एक साथ काम करती हैं

प्रभावी सिम-स्वैप रक्षा एक एकल नियंत्रण नहीं है — यह संकेतों और सत्यापन चरणों का एक स्टैक है जो प्रत्येक चरण में हमले को अलाभकारी बनाता है।

परत 1: पंजीकरण पर फ़ोन इंटेलिजेंस

एक ओटीपी जारी करने से पहले, फ़ोन नंबर पर ही खुफिया जानकारी एकत्र करें। उपयोगी संकेतों में शामिल हैं:

  • लाइन प्रकार: क्या यह एक मोबाइल नंबर है या एक वीओआईपी (वॉयस ओवर आईपी) नंबर है? वीओआईपी नंबर बिना कैरियर सत्यापन के तुरंत प्रावधान किए जा सकते हैं और आमतौर पर धोखाधड़ी संचालन में उपयोग किए जाते हैं।
  • कैरियर और देश: क्या कैरियर उपयोगकर्ता के बताए गए देश से मेल खाता है? एक ऐसे देश में कैरियर के लिए पंजीकृत एक नंबर जिसे उपयोगकर्ता ने दावा नहीं किया था, उसे चिह्नित करने लायक है।
  • पहुँच योग्यता: क्या ओटीपी वास्तव में वितरित किया जा सकता है? मल्टी-चैनल डिलीवरी — एसएमएस, व्हाट्सएप, टेलीग्राम, आरसीएस, या वॉयस — पहुँच योग्यता का परीक्षण करती है जबकि उपयोगकर्ता को विकल्प भी देती है।

ये संकेत आपके एक ओटीपी भेजने से पहले उपलब्ध होते हैं। वे आपको वैध उपयोगकर्ताओं के अनुभव को प्रभावित किए बिना उच्च-जोखिम वाले नंबरों पर सख्त नियंत्रण लागू करने की अनुमति देते हैं।

परत 2: ओटीपी के साथ डिवाइस और आईपी सिग्नल

आईपी विश्लेषण $0.03 पर संदर्भ जोड़ता है जो अकेले फ़ोन इंटेलिजेंस प्रदान नहीं कर सकता है: क्या आईपी डिवाइस के घोषित स्थान के अनुरूप है? क्या कनेक्शन वीपीएन, प्रॉक्सी या टोर एग्जिट नोड से आ रहा है? क्या यह आईपी पिछली धोखाधड़ी के प्रयासों से जुड़ा हुआ है?

एक सिम स्वैप आमतौर पर एक नए डिवाइस सत्र के साथ मेल खाता है — हमलावर के पास एक अलग डिवाइस होता है जिसका वैध उपयोगकर्ता ने कभी उपयोग नहीं किया था। डिवाइस फ़िंगरप्रिंटिंग जो सत्र की संगति (डिवाइस प्रकार, ब्राउज़र/ऐप फ़िंगरप्रिंट, समय क्षेत्र, भाषा सेटिंग्स) को ट्रैक करती है, एक उच्च-मूल्य वाले खाते तक पहुंचने वाले पहली बार डिवाइस को एक संवेदनशील कार्रवाई के दौरान चिह्नित कर सकती है, यहां तक कि ओटीपी पूरा होने से पहले भी।

परत 3: संवेदनशील कार्यों के लिए बायोमेट्रिक स्टेप-अप

उच्च-जोखिम वाले क्षणों के लिए सबसे मजबूत नियंत्रण — बड़ी निकासी, नई भुगतान विधियाँ, खाता पुनर्प्राप्ति, पता परिवर्तन — एक बायोमेट्रिक स्टेप-अप है जिसके लिए उपयोगकर्ता को अपने नामांकित बायोमेट्रिक से मेल खाने वाली लाइवनैस जांच करने की आवश्यकता होती है।

एक बायोमेट्रिक स्टेप-अप ऐसा कुछ नहीं है जिसे एक सिम-स्वैप हमलावर संतुष्ट कर सकता है। उनके पास फ़ोन नंबर है; उनके पास चेहरा नहीं है। पैसिव लाइवनैस $0.10 पर और बायोमेट्रिक प्रमाणीकरण $0.10 पर वे जांचें हैं जो खाता अधिग्रहण को उस बिंदु पर रोकती हैं जहाँ यह सबसे अधिक नुकसान पहुंचाएगा।

सिद्धांत आनुपातिक घर्षण है: कम-जोखिम वाले सत्र सामान्य रूप से आगे बढ़ते हैं; उच्च-जोखिम वाले कार्य एक तेज़, मोबाइल-देशी बायोमेट्रिक जांच को ट्रिगर करते हैं जिसे वैध उपयोगकर्ता शायद ही नोटिस करता है लेकिन हमलावर पास नहीं कर सकता है।

डिडिट कैसे मदद करता है

डिडिट का फ़ोन सत्यापन कई चैनलों — एसएमएस, व्हाट्सएप, टेलीग्राम, आरसीएस और वॉयस — पर ओटीपी वितरित करता है, उपयोगकर्ताओं को वहीं मिलता है जहाँ वे हैं और वितरण लचीलापन प्रदान करता है जिसकी एकल-चैनल एसएमएस बराबरी नहीं कर सकता है। मल्टी-चैनल डिलीवरी प्रोटोकॉल में नंबर की पहुँच योग्यता का भी परीक्षण करती है: एक नंबर जो व्हाट्सएप संदेश प्राप्त नहीं कर सकता है लेकिन केवल एसएमएस ही प्राप्त कर सकता है, एक अलग जोखिम प्रोफ़ाइल है जो सभी चैनलों पर पहुँच योग्य है।

फ़ोन सत्यापन के साथ, डिडिट का कंपोजेबल वर्कफ़्लो आपको परत करने की अनुमति देता है:

  • आईपी विश्लेषण ($0.03) — वीपीएन/प्रॉक्सी/टोर डिटेक्शन, आईपी-टू-कंट्री संगति, धोखाधड़ी-जोखिम स्कोरिंग।
  • पैसिव लाइवनैस ($0.10) — एक सब-2-सेकंड बायोमेट्रिक लाइवनैस जांच जो सत्यापित करती है कि उपयोगकर्ता वास्तविक और उपस्थित है, स्थिर फोटो नहीं।
  • फेस मैच 1:1 ($0.05) — ऑनबोर्डिंग से नामांकित पोर्ट्रेट के खिलाफ लाइव कैप्चर की तुलना करें।
  • बायोमेट्रिक प्रमाणीकरण ($0.10) — एक पूर्ण स्टेप-अप सत्यापन जो संवेदनशील खाता कार्यों के लिए मांग पर बायोमेट्रिक मैच को फिर से चलाता है।

ये सभी बिजनेस कंसोल में कॉन्फ़िगर किए गए एक ही नो-कोड वर्कफ़्लो में संयोजित होते हैं। स्टेप-अप ट्रिगर — कौन सा जोखिम स्कोर या कार्रवाई प्रकार बायोमेट्रिक में बढ़ता है — एक वर्कफ़्लो बिल्डर कॉन्फ़िगरेशन है, कोड परिवर्तन नहीं।

उपयोग के मामले

नियोबैंक और ईएमआई खाता सुरक्षा — उच्च-मूल्य की निकासी अनुरोध और नए लाभार्थी जोड़ एक वित्तीय खाते में सबसे अधिक जोखिम वाले क्षण होते हैं। इन बिंदुओं पर बायोमेट्रिक स्टेप-अप उस विंडो को बंद कर देता है जिसका सिम स्वैप फायदा उठाते हैं।

क्रिप्टो एक्सचेंज खाता पुनर्प्राप्ति — खाता पुनर्प्राप्ति प्रवाह क्रिप्टो एक्सचेंज एटीओ में सबसे अधिक शोषित मार्ग हैं। खाता पुनर्प्राप्ति के दौरान बायोमेट्रिक मिलान की आवश्यकता प्रवाह को सिम-स्वैप-प्रूफ बनाती है।

आईगेमिंग खाता प्रबंधन — जमा विधि परिवर्तन और निकासी अनुरोध गेमिंग एटीओ में विशेष रूप से लक्षित होते हैं क्योंकि भुगतान तेज़ और अक्सर अपरिवर्तनीय होते हैं। इन टचपॉइंट्स पर स्टेप-अप सत्यापन लाइसेंस प्राप्त बाजारों में एक नियामक अपेक्षा है।

संग्रहीत भुगतान विधियों वाले उपभोक्ता बाजार — जो प्लेटफ़ॉर्म खरीदार और विक्रेता खातों के लिए भुगतान क्रेडेंशियल संग्रहीत करते हैं, उन्हें स्टेप-अप सत्यापन की आवश्यकता होती है जब कोई उपयोगकर्ता अपने भुगतान बैंक खाते को बदलता है — खाता अधिग्रहण में एक सामान्य लक्ष्य।

अक्सर पूछे जाने वाले प्रश्न

फ़ोन सत्यापन की लागत कितनी है?

डिडिट के फ़ोन सत्यापन की कीमत परिवर्तनीय है और वितरण चैनल और मात्रा पर निर्भर करती है। आईपी विश्लेषण $0.03 है; पैसिव लाइवनैस $0.10 है; बायोमेट्रिक प्रमाणीकरण $0.10 है। सभी में कोई न्यूनतम नहीं, प्रति माह 500 मुफ्त जांच शामिल हैं।

क्या फ़ोन सत्यापन सभी सिम-स्वैप हमलों को रोकता है?

अकेले फ़ोन सत्यापन नहीं करता है — एक हमलावर जिसने पहले ही सिम स्वैप पूरा कर लिया है, उसे ओटीपी प्राप्त होता है। रक्षा फ़ोन इंटेलिजेंस, डिवाइस संकेतों और बायोमेट्रिक स्टेप-अप को परत करने से आती है ताकि ओटीपी वितरण टर्मिनल जांच न हो।

पैसिव लाइवनैस और बायोमेट्रिक प्रमाणीकरण में क्या अंतर है?

पैसिव लाइवनैस ($0.10) सत्यापित करता है कि उपयोगकर्ता वास्तविक और ऑनबोर्डिंग पर उपस्थित है। बायोमेट्रिक प्रमाणीकरण ($0.10) संवेदनशील खाता कार्यों के लिए मांग पर नामांकित पोर्ट्रेट के खिलाफ एक लाइवनैस-मिलानित चेहरे की तुलना चलाता है — वह जांच जो संवेदनशील कार्रवाई बिंदुओं पर एटीओ को रोकती है।

क्या कोई हमलावर बायोमेट्रिक स्टेप-अप को विफल कर सकता है?

एक बायोमेट्रिक स्टेप-अप के लिए वैध उपयोगकर्ता के लाइव चेहरे की आवश्यकता होती है। एक सिम-स्वैप हमलावर के पास फ़ोन नंबर होता है, चेहरा नहीं। 200+ धोखाधड़ी संकेतों और डिडिट के आईबीटा लेवल 1 पीएडी प्रमाणीकरण (0% आईएपीएआर / 360 हमले) के साथ पैसिव लाइवनैस को स्टेप-अप गेट पर प्रस्तुति हमलों — फोटो, वीडियो, मास्क — को पकड़ने के लिए डिज़ाइन किया गया है।

क्या यह मध्य-सत्र पुनर्प्रमाणीकरण के लिए काम करता है?

हाँ। डिडिट का AWAITING_USER तंत्र — लेनदेन निगरानी इंजन से उधार लिया गया — एक संवेदनशील कार्रवाई को रोक सकता है, एक बायोमेट्रिक स्टेप-अप को ट्रिगर कर सकता है, और उपयोगकर्ता द्वारा इसे साफ़ करने के बाद कार्रवाई को स्वचालित रूप से फिर से शुरू कर सकता है।

शुरू करने के लिए तैयार हैं?

फ़ोन सत्यापन, आईपी विश्लेषण, पैसिव लाइवनैस और बायोमेट्रिक प्रमाणीकरण सभी डिडिट के एकीकृत पहचान और धोखाधड़ी प्लेटफ़ॉर्म में कंपोजेबल मॉड्यूल हैं — उन्हें अतिरिक्त एकीकरण कोड लिखे बिना वर्कफ़्लो बिल्डर में एक साथ कॉन्फ़िगर करें।

पहचान और धोखाधड़ी के लिए इंफ्रास्ट्रक्चर।

KYC, KYB, ट्रांज़ैक्शन मॉनिटरिंग और वॉलेट स्क्रीनिंग के लिए एक API। 5 मिनट में इंटीग्रेट करें।

मुफ़्त में शुरू करेंहमसे बात करें
इस पेज को समराइज़ करने के लिए AI से पूछें
सिम स्वैप धोखाधड़ी से बचाव: फ़ोन सत्यापन ATO को रोकता है | डिडिट.