巴西电信业的KYC：如何遏制SIM换卡等欺诈

Key takeaways
 

SIM换卡（SIM swap）与“Mão Fantasma（幽灵之手）”已成为巴西移动欺诈的主要方式；作为链条第一环的电信运营商若不保护号码与关键流程，将面临损失、监管处罚与信任流失。

传统验证之所以失效，是因为依赖已外泄的静态数据、在可能被攻陷的渠道发送SMS验证码（OTP），以及易受骗的人工作业；携号转网与SIM补卡/复制是最关键环节，需采用强身份（证件+自拍+活体）、号码级信号、备用渠道确认与冷静期。

监管：Anatel要求携号转网必须通过SMS确认（有回复时限）；更新后的RGST与RGC强化透明度与可追溯性。SMS虽属强制，但在高风险情境下不足以构成强认证。

有效策略与Didit角色：实时KYC（证件、自拍与活体检测）、在高影响流程中引入生物识别与MFA，并以号码级信号驱动决策；自动化且灵活的平台可减少人工审核依赖、提升拦截效果，并提供易集成与透明定价。

巴西正经历一波数字犯罪高峰，移动号码成为薄弱环：SIM换卡让攻击者接管号码并拦截短信OTP（一次性密码），从而进入银行账户与其他敏感金融App。结果如何？据FEBRABAN（巴西银行联合会）称，2024年银行损失达R$ 10,1 bilhões。

受影响的不止金融机构。电信运营商作为链条起点，同样因身份欺诈而承受直接损失、监管处罚与用户信任受损。

骗子的作案手法已相对清晰：借助社会工程学，利用运营商流程薄弱处，以在暗网泄露（或被窃）的数据“通过”验证。另一方面，Mão Fantasma（幽灵之手）也日益常见：它通过诱导受害者安装远程控制应用，随后在受害者无感的情况下接管手机并操纵欺诈交易。银行与FEBRABAN建议：不要因电话指示安装App，也不要向第三方开放远程访问。

什么是SIM换卡，为何在巴西增长？

SIM换卡是巴西电信业面临的主要威胁之一。其手法为：攻击者说服运营商为受害者号码 补发/换发SIM卡，并结合社会工程与暗网泄露数据完成冒名。

一旦控制号码，攻击者便可拦截合法用户的短信OTP（用于登录或找回账户），导致账号接管（Account Takeover）。

SIM换卡问题持续升级，业内报告显示其成功率不可小觑，因此始终是风控与安全团队的优先事项。

为何传统身份验证在电信场景失效？

巴西面临全球最严峻的网络犯罪环境之一。几乎每2秒就发生一次身份欺诈尝试，而企业往往难以及时发现、阻止与处置。

虽无官方统计精确披露SIM换卡欺诈数量，但估计每年有数以万计用户受到影响。

问题核心在于既有工具与流程薄弱。巴西常见方案依赖静态校验、人工审核与僵硬流程，效果有限；更重要的是很多思路与方法也不到位。

数据外泄与运营商脆弱点

大量个人数据在暗网外泄意味着，仅靠静态数据（如CPF或出生日期），攻击者即可绕过基础初筛。当这些信息已属公开，“知识型”验证不再能证明真实身份。

同时，许多电信内部流程仍高度依赖人工（门店或呼叫中心），缺少对实时风险信号的分析。

其结果是一个生态：

• 合法用户承受摩擦，却未必能挡住攻击者；
• 不法分子利用泄露信息进行SIM补卡、账号找回或强制携号转网；
• 决策依据仍是弱证据（静态数据），而非强证明（带活体的人脸生物识别、号码/线路级信号、设备信誉）。

数据泄露与携号转网：盲点

跨运营商携号转网与SIM补卡/复制是风险最高的环节。一旦被绕过，攻击者即掌控号码，进而劫持后续所有基于号码的认证。

要应对，运营商应采用高保证级别标准：

• 受理瞬间实现强身份校验（证件+自拍+活体），覆盖App/网页、呼叫中心与门店。
• 在选择认证渠道前读取号码级信号（号码类型、SIM卡使用时长、近期是否有换卡迹象）。
• 通过备用渠道（推送或已验证邮箱）进行二次确认，并对敏感变更设置冷静期。

巴西监管怎么说（实用要点）

Anatel（巴西国家电信局）要求携号转网必须通过SMS确认，发送到用户当前在网号码上。号主需在最多6小时内回复；若不回复或回复“否”，则自动取消。上述措施并不能替代强认证（在高风险场景中仍应叠加），但属于所有电信企业必须遵守的监管底线。

该机构还通过了《电信服务通用规章（RGST）》，以整合并更新行业规范。

此外，《消费者权利通用规章（RGC）》也在2025年9月完成更新与整合，强化透明度、服务质量与可逆性义务。这将影响携号转网、SIM补卡与资料变更的告知与执行方式，以及争议解决的可追溯性。

2025年巴西电信运营商的KYC策略

通过恰当工具与流程，运营商可以显著降低身份欺诈：

• 开户（onboarding）期间的实时KYC。 证件校验、人脸1:1比对与活体检测，杜绝合成身份或冒名开户。
• 在SIM补卡与携号转网中引入人脸生物识别与MFA。 将生物识别纳入关键流程的多因素认证，可有效对抗社会工程学攻击。
• 基于风险信号的流程编排。 发送短信OTP前先评估风险：号码类型、SIM卡时长、近期是否换卡。如风险高，则改走生物识别、已验证推送/邮箱等替代路径；风险低则保持顺畅。
• AI与行为分析。 通过时间、位置、请求节奏等，识别异常并前置阻断非典型操作。

Didit如何帮助运营商降低身份欺诈

在巴西这一高欺诈量环境下，运营商的首要任务是减少因SIM换卡、恶意携号转网与敏感资料变更带来的损失。Didit是一套以此为核心目标打造的身份验证平台。

它如何转化为运营成效？

• 更少人工依赖。 Didit降低人工复核负担，在高量场景下提升识别能力，同时保留可控性与审计追踪。
• 全球欺诈情报。 以全球数千案例为底座，识别模式并即时处置。
• 对接政府来源。 集成政府数据库，完成必要的反欺诈校验。
• 端到端自动化。 规避因人工复核导致的瓶颈，加速开户/服务处理，同时不牺牲管控。
• 灵活可定制工作流。 无需提单即可调整规则；在风险提示时自动插入额外步骤。
• 透明且易集成。 提供API与零代码模块，快速上线流程，价格清晰透明。

为什么Didit能突破常见市场限制

当传统供应商仍依赖静态校验、人工审核与呆板流程时，Didit提供一层可自动化编排的能力，并联通政府来源，减少人工依赖、提升检测，同时把握体验。它将完整的身份验证与全球欺诈模式库相结合，在新开户、携号转网与SIM补卡等场景中实时决策。