Empêcher ou limiter la fraude téléphonique
La fraude au partage des revenus internationaux (IRSF) ou fraude téléphonique, consiste à utiliser un produit ou service de télécommunications sans intention de payer pour celui-ci. Ces fraudent impliquent le plus souvent des personnes malveillantes qui se servent d'un système téléphonique afin de générer un volume important d'appels internationaux sur des lignes particulièrement coûteuses. La fraude téléphonique peut coûter très cher et perturber les opérations commerciales.
Dans le cadre d'une attaque par fraude téléphonique, les fraudeurs appellent des numéros surtaxés et prélèvent une partie des revenus issus de ces appels. Le fournisseur de télécommunications facture au client les frais associés à cette activité frauduleuse. Par conséquent, il est important de rendre des mesures pour prévenir ou réduire les risques de telles attaques.
Avant de commencer
Vérifiez ces recommandations et bonnes pratiques si l'une des situations suivantes s'applique à votre org :
- Vous utilisez l'OTP SMS pour l'authentification multifacteur.
- Vous avez activé l'enregistrement en libre-service sur une ou plusieurs de vos org Okta.
- Vous utilisez un Sign-In Widget hébergé par Okta ou personnalisé sur l'une de vos org Okta.
- Vous utilisez l'API Okta Authentification ou l'API Factors pour des cas d'utilisation téléphoniques.
- Vous avez activé un approvisionnement utilisateur personnalisé ou une solution d'enregistrement en libre-service.
Mon org Okta est-elle vulnérable à la fraude téléphonique ?
Il est possible que votre org Okta soit vulnérable aux attaques par fraude téléphonique si celle-ci autorise certaines activités.
- Vous autorisez les utilisateurs à s'inscrire automatiquement sans exiger de preuve d'identité forte. Par exemple, si vous avez activé un approvisionnement utilisateur personnalisé ou une inscription en libre-service pour votre org.
- Vous autorisez les appels ou SMS comme facteurs d'authentification pour l'enregistrement ou l'activité de connexion.
Okta met en œuvre des mesures de sécurité pour l'authentification multifacteur (MFA) par appel en back-end. Cependant, Okta n'impose pas de logique commerciale pour la création de comptes pour donner de la souplesse à votre org. Okta ne met pas en œuvre de vérification d'identité ou de désactivation des utilisateurs suspects.
Pourquoidevez-vous protéger votre organisation des attaques par fraude téléphonique?
Il existe de nombreuses raisons à la protection de votre org des attaques par fraude téléphonique. Par exemple, les attaques par fraude téléphonique créent de faux comptes dans votre service. Une prolifération de faux comptes peut entraîner les problèmes suivants :
- Des coûts opérationnels plus élevés pour identifier et supprimer les faux comptes
- Une dévaluation de votre base utilisateur et de la fiabilité de vos informations utilisateur
- Une activité de vente frauduleuse (le cas échéant).
- Lle blocage du trafic légitime par les fournisseurs si les numéros d'envoi sont identifiés comme générant des communications à faible engagement.
Une attaque par fraude téléphonique peut avoir les conséquences négatives suivantes :
- Des volumes élevés de trafic téléphonique peuvent entraîner des retards, voire une non-réception des appels et SMS pour les utilisateurs légitimes.
- Le blocage des numéros de certains pays par les fournisseurs peut entraîner un blocage des réceptions d'appels et de SMS pour les comptes légitimes.
- Une augmentation des coûts pour les utilisations dépassant la valeur du contrat acheté et pour les API de téléphonie.
Comment Okta vous aide à limiter la fraude téléphonique
Okta a mis en place les mesures suivantes afin de limiter l'impact de la fraude téléphonique :
- Plafond de service pour le trafic des appels et SMS : Si votre organisation Okta atteint la valeur du plafond de service, tout le trafic des appels et SMS d'authentification multifacteur (MFA) est bloqué pendant 24 heures. Dans ce cas, les demandeurs reçoivent un message d'erreur HTTP 429.
- Limites d'utilisation des appels et SMS : Les limites d'utilisation des inscriptions par personne sont mises en œuvre pour empêcher qu'un utilisateur unique surcharge votre org d'appels malveillants.
- Alertes lors d'une attaque en cours : l'équipe d'assistance Okta vous informe en cas d'attaque de fraude téléphonique en cours sur votre org Okta.
Étapes pour limiter la fraude téléphonique
Okta recommande de suivre les étapes suivantes pour protéger votre org de l'activité de fraude téléphonique et limiter ses effets.
Utiliser des zones réseau pour bloquer le trafic malveillant préauthentification
Si vous avez connaissance d'adresses IP malveillantes essayant d'accéder à votre org Okta, vous pouvez vous servir des zones réseau afin de bloquer le trafic avant l'authentification. De cette façon, les attaques accèdent à vos pages de connexion et d'inscription Okta. Voir Créer une zone d'IP.
Désactiver la MFA par appel ou la contrôler par groupe
Désactivez la MFA par appel dans votre org Okta si vous n'en avez pas besoin.
Consultez Authentification par appel vocal (MFA)
Si vous avez besoin de MFA par appel, n'autorisez pas l'inscription pour les nouveaux comptes tant qu'une vérification d'identité n'a pas été effectuée, afin de vous assurer que le compte n'est pas frauduleux.
Vérifier vos méthodes d'approvisionnement
Réévaluez la création et l'approvisionnement des comptes utilisateur afin de déterminer si des mesures de sécurité supplémentaires pourraient empêcher la création de faux comptes. Ajoutez les méthodes de sécurité suivantes à vos méthodes existantes de création et d'approvisionnement de compte :
- Blocage de création de comptes pour les emplacements géographiques potentiellement ou identifiés comme suspects.
- Validation de l'inscription utilisateur avec vérification par e-mail.
- Intégration d'outils de vérification d'identité pour déterminer si l'adresse e-mail peut provenir d'un faux domaine.
- Mise en œuvre de limites d'utilisation sur les pages d'inscription personnalisées pour empêcher les fraudeurs de générer des volumes importants de faux comptes.
- Désactivation des faux utilisateurs sur votre org afin d'empêcher les fraudeurs de passer d'un faux compte à l'autre pour générer des appels.
Surveiller les activités malveillantes et désactiver les acteurs malveillants
Vous pouvez utiliser la requête suivante pour surveiller les activités vocales suspectes dans le journal système.
event_type="system.voice.send_phone_verification_call"
stats count values(client_geographical_context_country)
as Country dc(target1_alternate_id)
as unique_count_phone_numbers
by actor_alternate_id, client_ip_address, client_user_agent_raw_user_agent
where count > 20
table actor_alternate_id, client_ip_address, client_user_agent_raw_user_agent, Country, unique_count_phone_numbersCes champs sont également disponibles en utilisant le module d'extension Okta Identity Cloud pour Splunk.
Cette demande vérifie le champ system.voice.send_phone_verification_call et analyse si le nombre de combinaisons de champs Utilisateur, Adresse IP et Agent utilisateur est plus grand qu'un certain seuil. Dans cet exemple, 20. Vous pouvez paramétrer le seuil en fonction de la période de temps de la recherche. Si la recherche est effectuée toutes les heures, vous pouvez paramétrer le seuil à une valeur supérieure à l'activité normale sur une heure.
Cet exemple de demande utilise les champs suivants :
| Champ | Description |
|---|---|
| event_type | Un événement enregistré par Okta d'après l'action utilisateur. L'événement indique que la vérification de l'appel téléphonique a été lancée. |
| actor_alternate_id | L'adresse e-mail de l'utilisateur. |
| client_ip_address |
L'adresse IP de l'utilisateur. |
| client_user_agent_raw_user_agent | La chaîne identifiant l'agent utilisateur. |
| target1_alternate_id | Le numéro de téléphone portable vers lequel l'appel de vérification a été émis. |
| client_geographical_context_country | La géolocalisation de l'adresse IP de l'utilisateur. |
D'après les résultats de la recherche, vous pouvez identifier et supprimer n'importe quel acteur malveillant ou faux utilisateur de votre organisation.
Contacter le service d'assistance pour recevoir une liste des pays autorisés
Si vous avez confiance en une certaine liste de pays assurant un service à vos clients, bloquez les appels pour l'authentification multifacteur (MFA) dans tous les autres pays. Vous pouvez également modifier les limites d'utilisation pour votre org.
Si vous rencontrez une augmentation des attaques par fraude téléphonique ou des faux comptes, créez des limites d'utilisation strictes sur les points de terminaison d'inscription par SMS et appel. Cela réduit la fréquence de création de nouveaux comptes pour votre org.
Intégrer des solutions de vérification d'identité à la création d'un nouveau compte
Vous pouvez activer l'autovérification des utilisateurs à l'aide de systèmes de vérification par document ou par connaissance afin d'augmenter la confiance dans l'identité et d'approuver l'accès pour les individus autorisés. Pour en savoir plus, voir Vérification d'identité.
Effectuez une rotation des clés de compte de votre fournisseur de téléphonie
Modifiez régulièrement les clés de votre fournisseur de téléphonie. La rotation régulière des clés du fournisseur de téléphonie est une bonne pratique de sécurité importante. Elle minimise la fenêtre d'opportunité d'accès non autorisé si une clé est compromise.
Effectuez la rotation des clés auprès de votre fournisseur de téléphonie, puis ajoutez vos nouvelles clés dans l'Admin Console afin de maintenir la continuité du service et d'éviter toute interruption. Voir Configurer les fournisseurs de téléphonie via l'Admin Console.