Предотвращение мошенничества с SIM-картами: Как верификация телефона блокирует захват учетной записи (RU)

Атака SIM-свопинга — это метод захвата учетной записи, при котором мошенник убеждает оператора мобильной связи перенести номер телефона жертвы на SIM-карту, контролируемую злоумышленником. Как только номер оказывается у них, каждый одноразовый SMS-пароль (OTP), отправленный на этот номер — для входа, сброса пароля или подтверждения транзакции — попадает к ним, а не к законному владельцу учетной записи.

Эта атака особенно эффективна, потому что она обходит уровень аутентификации, который большинство пользователей и многие платформы считают безопасным. Понимание того, как работает SIM-свопинг, почему одних SMS OTP недостаточно и как использовать более надежные средства контроля, является основой эффективной защиты от захвата учетной записи (ATO).

Ключевые выводы

• SIM-свопинг переводит номер телефона жертвы на SIM-карту, контролируемую злоумышленником, путем социальной инженерии команды обслуживания клиентов мобильного оператора.
• Как только злоумышленник получает номер, он может получать SMS OTP (одноразовые пароли) для входа, сброса пароля и подтверждения транзакций от имени жертвы.
• Одного SMS OTP недостаточно в качестве фактора аутентификации для ценных учетных записей — он уязвим для SIM-свопинга, перехвата SS7 и фишинговых атак с OTP.
• Многоуровневая проверка телефона с сигналами устройства и IP, а также требование биометрической аутентификации для конфиденциальных действий закрывает поверхность атаки, которую оставляет открытой SMS OTP.
• Didit предоставляет многоканальную проверку телефона (SMS, WhatsApp, Telegram, RCS, голосовая связь) наряду с IP-анализом (0,03 долл. США), пассивной проверкой живости (0,10 долл. США) и биометрической аутентификацией (0,10 долл. США), которые составляют стек для повышения уровня безопасности.

Как работает атака SIM-свопинга

Последовательность атаки проста:

1. Выбор цели — злоумышленник идентифицирует жертву, обычно с помощью записей о утечках данных или исследований в социальных сетях, и подтверждает номер телефона, связанный с ее учетной записью.
2. Выдача себя за оператора — злоумышленник звонит мобильному оператору жертвы, выдавая себя за владельца учетной записи. Используя персональные данные (PII), собранные из данных о утечках или общедоступных источников, они запрашивают перенос SIM-карты — «Я потерял свой телефон и мне нужно активировать мой номер на этой SIM-карте».
3. Номер перенесен — оператор, неспособный отличить мошенника от законного клиента, завершает перенос. Телефон жертвы теряет связь; SIM-карта злоумышленника принимает все входящие звонки и SMS.
4. Захват учетной записи — злоумышленник инициирует сброс пароля на целевой платформе. SMS OTP приходит на его устройство. Он устанавливает новый пароль и контролирует учетную запись.

Жертва обычно замечает это только тогда, когда ее телефон неожиданно теряет связь или она получает оповещения о действиях, которые она не совершала — часто после того, как ущерб уже нанесен.

Почему одного SMS OTP недостаточно

SMS OTP был разработан как второй фактор, который предполагает, что номер телефона надежно привязан к одному человеку. SIM-свопинг нарушает это предположение на уровне оператора, вне контроля платформы. Но это не единственная слабость:

Уязвимости протокола SS7 — протокол Signaling System 7 (SS7), который маршрутизирует телефонный трафик по всему миру, имеет задокументированные уязвимости, которые позволяют изощренным злоумышленникам перехватывать SMS-сообщения в пути без физического доступа к SIM-карте.

OTP-фишинг — фишинговые комплекты в режиме реального времени проксируют поток аутентификации, извлекая OTP, который жертва вводит на поддельном сайте злоумышленника, и воспроизводя его на реальной платформе в течение срока действия OTP.

SIM-фермерство — организованные мошеннические группировки используют большие запасы SIM-карт, зарегистрированных под вымышленными личностями, используя их для получения OTP для учетных записей, которые они уже скомпрометировали с помощью подбора учетных данных.

Закономерность постоянна: любая система, которая рассматривает SMS OTP как окончательную проверку безопасности, имеет единую точку отказа, которую можно обойти, не затрагивая собственные средства контроля безопасности платформы.

Стек защиты: слои, которые работают вместе

Эффективная защита от SIM-свопинга — это не один элемент контроля, а стек сигналов и шагов проверки, которые делают атаку невыгодной на каждом этапе.

Уровень 1: Анализ телефона при регистрации

Перед выдачей OTP соберите информацию о самом номере телефона. Полезные сигналы включают:

• Тип линии: это мобильный номер или номер VoIP (Voice over IP)? Номера VoIP могут быть мгновенно предоставлены без проверки оператора и обычно используются в мошеннических операциях.
• Оператор и страна: соответствует ли оператор заявленной стране пользователя? Номер, зарегистрированный у оператора в стране, которую пользователь не указывал, стоит отметить.
• Доступность: может ли OTP быть фактически доставлен? Многоканальная доставка — SMS, WhatsApp, Telegram, RCS или голосовая связь — проверяет доступность, а также предоставляет пользователю варианты.

Эти сигналы доступны до того, как вы отправите один OTP. Они позволяют применять более строгие средства контроля к номерам с более высоким риском, не влияя на опыт законных пользователей.

Уровень 2: Сигналы устройства и IP наряду с OTP

IP-анализ за 0,03 долл. США добавляет контекст, который не может предоставить только информация о телефоне: соответствует ли IP заявленному местоположению устройства? Поступает ли соединение с VPN, прокси или выходного узла Tor? Связан ли этот IP с предыдущими попытками мошенничества?

SIM-свопинг обычно совпадает с новой сессией устройства — у злоумышленника другое устройство, чем то, которое когда-либо использовал законный пользователь. Снятие отпечатков устройства, которое отслеживает согласованность сессии (тип устройства, отпечаток браузера/приложения, часовой пояс, языковые настройки), может пометить устройство, впервые получающее доступ к ценной учетной записи во время конфиденциального действия, даже до завершения OTP.

Уровень 3: Биометрическая аутентификация для конфиденциальных действий

Самый сильный контроль для моментов высокого риска — крупные снятия средств, новые способы оплаты, восстановление учетной записи, изменение адреса — это биометрическая аутентификация, которая требует от пользователя выполнения проверки живости, соответствующей его зарегистрированным биометрическим данным.

Биометрическая аутентификация — это то, что злоумышленник, совершающий SIM-свопинг, не может выполнить. У них есть номер телефона; у них нет лица. Пассивная проверка живости за 0,10 долл. США и биометрическая аутентификация за 0,10 долл. США — это проверки, которые останавливают захват учетной записи в точке, где он может нанести наибольший ущерб.

Принцип заключается в соразмерном трении: сессии с низким риском проходят нормально; действия с высоким риском вызывают быструю, мобильную биометрическую проверку, которую законный пользователь едва замечает, но которую злоумышленник не может пройти.

Как Didit помогает

Проверка телефона Didit доставляет OTP по нескольким каналам — SMS, WhatsApp, Telegram, RCS и голосовой связи — встречая пользователей там, где они находятся, и обеспечивая гибкость доставки, которую не может обеспечить одноканальный SMS. Многоканальная доставка также проверяет доступность номера по протоколам: номер, который не может получить сообщение WhatsApp, но только SMS, имеет другой профиль риска, чем тот, который доступен по всем каналам.

Наряду с проверкой телефона, компонуемый рабочий процесс Didit позволяет вам использовать:

• IP-анализ (0,03 долл. США) — обнаружение VPN/прокси/Tor, согласованность IP-адреса со страной, оценка риска мошенничества.
• Пассивная проверка живости (0,10 долл. США) — биометрическая проверка живости менее чем за 2 секунды, которая подтверждает, что пользователь реален и присутствует, а не статическое фото.
• Сопоставление лиц 1:1 (0,05 долл. США) — сравнение живого снимка с зарегистрированным портретом из процесса регистрации.
• Биометрическая аутентификация (0,10 долл. США) — полная проверка с повышением уровня безопасности, которая воспроизводит биометрическое сопоставление по требованию для конфиденциальных действий с учетной записью.

Все это объединяется в единый рабочий процесс без кода, настроенный в бизнес-консоли. Триггер повышения уровня — какой показатель риска или тип действия приводит к биометрической аутентификации — это конфигурация Workflow Builder, а не изменение кода.

Сценарии использования

Безопасность счетов необанков и EMI — запросы на крупное снятие средств и добавление новых бенефициаров являются наиболее рискованными моментами в финансовом счете. Биометрическая аутентификация в этих точках закрывает окно, которое используют SIM-свопы.

Восстановление учетной записи криптовалютной биржи — потоки восстановления учетной записи являются наиболее эксплуатируемым путем в ATO криптовалютной биржи. Требование биометрического сопоставления во время восстановления учетной записи делает поток защищенным от SIM-свопинга.

Управление учетными записями iGaming — изменения способов пополнения счета и запросы на вывод средств специально нацелены на ATO в играх, потому что выплаты быстрые и часто необратимые. Повышенная проверка в этих точках является регуляторным требованием на лицензированных рынках.

Потребительские маркетплейсы со сохраненными способами оплаты — платформы, которые хранят учетные данные для оплаты для учетных записей покупателей и продавцов, нуждаются в повышенной проверке, когда пользователь меняет свой банковский счет для выплат — общая цель в захвате учетной записи.

Часто задаваемые вопросы

Сколько стоит проверка телефона?

Цены на проверку телефона Didit варьируются и зависят от канала доставки и объема. IP-анализ стоит 0,03 долл. США; пассивная проверка живости — 0,10 долл. США; биометрическая аутентификация — 0,10 долл. США. Все включают 500 бесплатных проверок в месяц без минимальных требований.

Предотвращает ли проверка телефона все атаки SIM-свопинга?

Сама по себе проверка телефона не предотвращает — злоумышленник, который уже совершил SIM-свопинг, получает OTP. Защита обеспечивается многоуровневым использованием информации о телефоне, сигналами устройства и биометрической аутентификацией, так что доставка OTP не является окончательной проверкой.

В чем разница между пассивной проверкой живости и биометрической аутентификацией?

Пассивная проверка живости (0,10 долл. США) подтверждает, что пользователь реален и присутствует при регистрации. Биометрическая аутентификация (0,10 долл. США) выполняет сравнение лица с зарегистрированным портретом для повышения уровня безопасности во время сеанса — это проверка, которая останавливает ATO в критических точках действия.

Может ли злоумышленник обойти биометрическую аутентификацию?

Биометрическая аутентификация требует живого лица законного пользователя. У злоумышленника, совершающего SIM-свопинг, есть номер телефона, но нет лица. Пассивная проверка живости с более чем 200 сигналами мошенничества и сертификацией Didit iBeta Level 1 PAD (0% IAPAR / 360 атак) предназначена для обнаружения атак презентации — фотографий, видео, масок — на этапе повышения уровня безопасности.

Работает ли это для повторной проверки в середине сеанса?

Да. Механизм Didit AWAITING_USER — заимствованный из системы мониторинга транзакций — может приостановить конфиденциальное действие, запустить биометрическую аутентификацию и автоматически возобновить действие, как только пользователь его подтвердит.

Готовы начать?

Проверка телефона, IP-анализ, пассивная проверка живости и биометрическая аутентификация — это все компонуемые модули в унифицированной платформе Didit для идентификации и борьбы с мошенничеством — настройте их вместе в Workflow Builder без написания дополнительного кода интеграции.

• Ознакомьтесь с документацией → docs.didit.me
• Посмотрите на платформе → Страница продукта «Проверка пользователя»
• Проверьте цену → Цены — 500 бесплатных проверок в месяц, без минимальных требований
• Начните бесплатно → business.didit.me