web-dev-qa-db-fra.com

Comment un site Web peut-il vérifier que mon numéro de téléphone m'appartient?

Je me connectais à un site Web de carte de crédit Capital One que je n'avais pas utilisé depuis longtemps, et une fois que j'ai entré mon nom d'utilisateur et mon mot de passe, il a demandé mon numéro de téléphone portable pour une vérification supplémentaire.

J'ai entré mon numéro et on m'a donné un court écran d'attente de moins de 10 secondes qui disait "Nous contactons votre opérateur pour vérifier votre numéro de téléphone". Il a réussi quelle que soit cette validation, puis m'a envoyé un code de vérification de message texte typique que je devais entrer pour continuer.

Alors, ma question est, ont-ils vraiment contacté mon opérateur de téléphonie mobile pour vérifier mon nom ou mon adresse (la seule chose qu'ils connaissent de moi) en fonction de mon numéro de téléphone? S'agit-il uniquement d'un théâtre de sécurité ou existe-t-il une API ou une base de données permettant de vérifier qu'un numéro de téléphone a bien un certain nom?

Je n'ai jamais vu cela auparavant et j'aimerais comprendre comment ce système fonctionne et comment il est protégé contre les abus.

30
JPhi1618

Est-ce juste un théâtre de sécurité

Non.

ou existe-t-il une API ou une base de données permettant de vérifier qu'un numéro de téléphone a bien un certain nom?

Les compagnies de téléphone (ed: pas l'habitude, mais apparemment maintenant elles le font par @ceejayoz) rendent ces informations publiques (le registre des appelants n'est pas fiable, en particulier dans les cas où le nom sur la facture n'est pas le propriétaire du téléphone ), mais compte tenu de la richesse des agences de marketing de l'information et du trésor des bureaux de crédit, les informations sont absolument disponibles - il s'agit simplement de savoir si quelqu'un les vend encore. Enfer, même Facebook pourrait offrir un tel service s'ils étaient si enclins.

Mais étant donné ce que j'ai traité dans cet espace au cours des années passées, il est plus probable qu'ils vérifient pour vérifier le transporteur lui-même. Les fraudeurs utilisant des téléphones avec brûleur pour abuser des systèmes OTP étaient un problème énorme, énorme qui n'avait pas encore été résolu pendant que j'étais encore là et nous n'avions pas de moyen fiable de les filtrer à l'époque - tout en sachant simplement si nous avions affaire avec un client Verizon ou Boost Mobile et effectuer une vérification supplémentaire pour ce dernier avant d'envoyer des SMS aurait éliminé une quantité importante de fraude.

17
Ivan

Vérification du numéro

Suite à la conversation dans les commentaires:

jrtapsell : Je suppose que ce serait quelque chose comme ça pour se débarrasser des numéros virtuels -> https://www.twilio.com/lookup

JPhi1618 : @jrtapsell, cool. J'ai regardé Twilio il était une fois pour SMS envoi, mais je ne savais pas qu'ils avaient ce service. Mon nom apparaît quand j'entre mon numéro, donc c'est au moins plausible.

Ils peuvent simplement essayer de filtrer les numéros virtuels et les opérateurs à haut risque en utilisant un service comme Twillio, bien que leur site semble suggérer qu'aux États-Unis, vous pouvez obtenir le nom de l'utilisateur:

De nombreux numéros de téléphone locaux aux États-Unis s'enregistrent avec une base de données centrale CNAM (Caller ID Name). Cette base de données contient des informations d'identité sur l'entreprise ou la personne associée au numéro. Utilisez CNAM Lookup pour renvoyer par programme ces informations d'identité pour chaque numéro de téléphone. Les appels que vous passez et les messages que vous envoyez sont mieux informés afin que vous ne vous enlisions pas avec des questions initiales.

Cependant, essayer d'obtenir le nom de mon numéro est revenu avec rien, donc YMMV, mais ils semblent suggérer que vous pouvez réduire la fraude en signalant les numéros virtuels ici:

Bien que les numéros de téléphone aident les entreprises à identifier les utilisateurs finaux, le fait est que les numéros sont très faciles à obtenir auprès de certains opérateurs. Tout le monde peut obtenir plusieurs numéros de téléphone auprès d'un fournisseur en ligne gratuit, ce qui leur permet de créer de faux profils pour frauder ou spammer une entreprise. Pour relever ce défi, les entreprises peuvent identifier l'opérateur derrière le numéro de téléphone. De cette façon, les entreprises peuvent exiger une authentification d'identité supplémentaire pour les transporteurs associés à des cas de fraude plus élevés pour 0,005 $ par recherche.

Ils peuvent également utiliser une recherche locale, et si le même numéro est utilisé pour plusieurs comptes, ils peuvent le signaler, donc si un fraudeur utilise le même numéro pour essayer d'accéder à différents comptes, il peut être capturé, Amazon est connu pour le faire une chose similaire, mais avec des numéros de carte de crédit.

6
jrtapsell

Un appel à haut risque peut être signalé pour une vérification supplémentaire et un score calculé à partir d'un service tiers qui sait tout sur vous.

En voici un ... https://risk.lexisnexis.com/products/phone-Finder

2
wwwmarty

Ignorant les deux facteurs évidents (c'est-à-dire que le nombre est en votre possession), il existe des bases de données qu'ils utilisent pour prouver votre identité. Les grands sont des gens comme Experian qui ressemblent à des agences de notation de crédit lorsqu'ils ne font pas de contrôles d'identité, et parce que la plupart des contrats téléphoniques sont une source de crédit, c'est un bon moyen de le savoir.

Fondamentalement, il existe des entreprises qui achètent des données à d'autres sociétés et des références croisées. Donc, vous dites à quelqu'un "Je suis Joe Smith, je vis au 123 rue Main et au numéro de téléphone +0011231234567" et cela vous donne une probabilité d'avoir raison.

Jetez un œil à (par exemple): https://developer.experian.com/real-time-contact-data-validation/apis/post/sync/QueryResult/PhoneValidate/3. (portant dans attention, c'est sur un bac à sable, donc il pourrait y avoir des réponses aléatoires plutôt que réelles).

Fondamentalement, les banques et autres institutions financières (y compris les assurances, etc.) partagent des informations sur vous qui peuvent ensuite être utilisées pour réduire la fraude dans l'ensemble du secteur.

2
Jmons