API SIM Swap

À l'ère du numérique, où l'identité et les transactions sont de plus en plus authentifiées via le téléphone mobile, protéger l'intégrité de la carte SIM de vos clients est fondamental. L'API SIM Swap de Plusmo est votre outil essentiel pour la vérification d'identité en temps réel, agissant comme un bouclier protecteur contre l'une des techniques de fraude les plus sophistiquées et difficiles à détecter : le SIM Swapping.
Plus d'informations

Qu'est-ce que la fraude SIM Swap et pourquoi est-elle une menace critique ?

Le SIM Swapping (ou « échange de SIM ») est un type d'attaque d'ingénierie sociale où un criminel parvient à convaincre un opérateur de téléphonie mobile de transférer le numéro de téléphone de la victime vers une nouvelle carte SIM sous son contrôle. Une fois que l'escroc possède le numéro, il peut intercepter les appels, les messages texte et, surtout, les codes de vérification à usage unique (OTP) utilisés pour l'authentification à deux facteurs (2FA) sur les comptes bancaires, les portefeuilles numériques et les plateformes de commerce électronique.

Ce type de fraude est particulièrement dangereux car l'attaquant possède déjà des identifiants d'accès volés (comme le nom d'utilisateur et le mot de passe) et n'a besoin que du contrôle du numéro de téléphone pour prendre le contrôle total du compte.

Informer et vérifier : l'API SIM Swap de Plusmo

Notre API ne fait pas que vous informer, elle vérifie directement et instantanément l'historique récent de la carte SIM de tout numéro de téléphone mobile.

Cette action de vérification en temps réel est la clé pour contrecarrer une attaque de SIM Swapping au moment même où elle est exécutée.
Quelles données clés notre API fournit-elle ?
L'API SIM Swap de Plusmo exécute une requête directe et sécurisée auprès des opérateurs mobiles, fournissant une réponse concise et déterminante qui s'intègre immédiatement dans votre flux de validation. Les trois points d'information critiques que vous recevez sont :
Informer
Indique si la carte SIM associée à ce numéro a été changée ou remplacée au cours des 90 derniers jours. Si un changement récent est détecté, c'est un signal d'alerte maximal.
Portabilité
Confirme si le client a changé d'opérateur mobile (portabilité) au cours de la même période. Bien qu'il s'agisse d'une opération légitime, sa combinaison avec d'autres facteurs de risque peut indiquer une activité suspecte.
Validité
Vérifie si le numéro de téléphone mobile interrogé est valide et actif sur le réseau.
*L'API fournit ces informations instantanément.
Plus d'informations

Comment fonctionne la validation en temps réel

L'intégration de l'API SIM Swap de Plusmo est fluide et s'exécute silencieusement sur le backend de votre application ou plateforme, sans générer de friction dans l'expérience de l'utilisateur légitime.

Scénario d'attaque et de défense:

  • Démarrage d'une opération à haut risque : L'escroc se connecte avec succès à l'application de la banque (par exemple, en utilisant des identifiants volés) et tente d'effectuer une opération critique comme un virement bancaire ou un changement de la clé d'accès.

  • Activation de la validation : Au moment où l'escroc clique sur « Confirmer », votre système déclenche une requête vers l'API SIM Swap de Plusmo, envoyant le numéro de téléphone du client associé au compte.

  • Requête aux opérateurs mobiles : L'API se connecte aux systèmes des opérateurs mobiles pour obtenir les informations les plus récentes sur l'historique de la carte SIM pour ce numéro.

  • Réponse instantanée : L'API de Plusmo renvoie la réponse. Si la réponse indique un SIM Swap détecté au cours des 90 derniers jours, le drapeau rouge est levé.

  • Refus de la fraude : Votre système, en recevant le signal de risque, refuse l'opération (même si l'escroc tente de saisir un code OTP qu'il a intercepté) et la marque comme frauduleuse, protégeant les fonds de votre client.

Avantages clés de l'intégration de Plusmo
Réduction des pertes dues à la fraude : Minimisez les pertes financières associées à la fraude de prise de contrôle de compte (Account Takeover - ATO).
Amélioration du taux de détection : Identifie les attaques de SIM Swapping que les validations 2FA traditionnelles ne parviennent pas à détecter.
:Conformité réglementaire : Renforce vos protocoles de sécurité et votre conformité aux réglementations anti-fraude.
Meilleure expérience client : Protégez vos utilisateurs sans introduire d'étapes de vérification fastidieuses ou de CAPTCHAs supplémentaires.

Frequent asked questions

Que fait exactement l'API SIM Swap ?
L'API interroge directement l'opérateur de téléphonie mobile pour vérifier si le numéro de téléphone associé à un compte a changé de carte SIM (SIM Swap) ou d'opérateur (portabilité) au cours des 90 derniers jours. Elle vérifie également que le numéro est valide et actif.
Pourquoi 90 jours ? Est-ce une période configurable ?
La période de 90 jours est la norme de l'industrie et la fenêtre de temps la plus critique pour détecter la fraude SIM Swap. Dans la plupart des cas, un escroc tentera d'utiliser le numéro volé peu de temps après l'avoir obtenu. Cette période n'est pas configurable, car c'est l'information fournie par les opérateurs.
L'API exige-t-elle que mon client installe quelque chose ou donne une autorisation ?
Non. L'API SIM Swap de Plusmo fonctionne au niveau du backend, interrogeant les informations du numéro de téléphone directement auprès des opérateurs. Elle est totalement invisible pour l'utilisateur final et ne nécessite aucune action, installation ou autorisation supplémentaire de la part de votre client.
Est-elle compatible avec tous les opérateurs mobiles ?
L'API de Plusmo travaille avec un réseau vaste et croissant d'opérateurs mobiles dans diverses régions du monde. Au moment de l'intégration, vous recevrez une liste détaillée de la couverture pour votre marché cible.
En quoi l'API SIM Swap diffère-t-elle de l'authentification 2FA traditionnelle ?
L'authentification à deux facteurs (2FA) par SMS suppose que seul le client légitime a le contrôle de son téléphone mobile. Cependant, la fraude SIM Swap annule le 2FA, car l'escroc intercepte le code OTP. L'API SIM Swap agit avant d'envoyer l'OTP, en vérifiant l'intégrité du numéro pour s'assurer que l'appareil qui recevra le code est bien celui du client légitime.
Que se passe-t-il si le client a légitimement changé sa carte SIM ?
Si un client a signalé la perte de son téléphone et a reçu un remplacement de SIM légitime, l'API le signalera. Dans ce cas, l'institution peut choisir d'appliquer une politique de risque temporaire, comme une limite de virement inférieure ou une période d'attente de 24 heures pour les opérations à haut risque, jusqu'à ce que la période de risque du SIM Swap ait expiré. Cela équilibre la sécurité et la convivialité.