במאמר הזה מוסבר איך להשתמש בהגנה על SMS כדי לזהות ולמנוע מתקפות של הונאת SMS בעסקים שמסתמכים על SMS לאימות דו-שלבי (2SV) או לאימות טלפוני, שהם יעד פוטנציאלי להונאת SMS.
אימות מבוסס-SMS (2FA וכניסה) הוא תקן בתעשייה לאבטחת כניסה והרשמה, אבל הוא לא מספק הגנה מפני הונאת תשלום על הודעות SMS או הונאת הצפת הודעות SMS. לפני ששולחים SMS, הגנה על SMS מספקת לכם ציון סיכון שמציין את הסבירות לכך שמספר הטלפון הזה יבצע הונאת תשלום קבוע ב-SMS. על סמך הניקוד הזה, אתם יכולים לאשר או לחסום הודעות SMS הונאה לפני שהן נשלחות לספק ה-SMS.
ציון הסיכון של הגנה על SMS פועל באופן הפוך בהשוואה לציון הגלובלי של reCAPTCHA. ציון סיכון של 0.0 להגנה על הודעות SMS מצביע על רמת ודאות נמוכה לגבי הונאת חיובים על הודעות SMS; ציון סיכון של 1.0 מצביע על רמת ודאות גבוהה לגבי הונאת חיובים על הודעות SMS. מידע נוסף על ניקוד reCAPTCHA זמין במאמר הסבר על הערכות לאתרים. אם אתם משתמשים באימות ב-Firebase או ב-Identity Platform, תוכלו לעיין במסמכי התיעוד של Identity Platform.
מידע נוסף זמין בבלוג בנושא הגנה על הודעות SMS.
לפני שמתחילים
בהתאם לכך שאתם משתמשים קיימים ב-reCAPTCHA או שאתם משתמשים חדשים, פועלים לפי ההוראות בכרטיסייה המתאימה:
משתמש קיים ב-reCAPTCHA
אם אתם משתמשים קיימים ב-reCAPTCHA, אתם צריכים להפעיל את התכונה הגנה על SMS בפרויקט שלכם ב- Google Cloud :
נכנסים לדף reCAPTCHA במסוף Google Cloud .
מוודאים ששם הפרויקט מופיע בבורר המשאבים.
אם שם הפרויקט לא מופיע, לוחצים על בורר המשאבים ובוחרים את הפרויקט.
לוחצים על הגדרות.
בחלונית הגנה על SMS, לוחצים על הגדרה.
לוחצים על המתג הפעלה ואז על שמירה.
יכול להיות שיעברו כמה דקות עד שהפעלת ההגנה על SMS תתעדכן במערכות שלנו. אחרי שהפעלת התכונה תתעדכן במערכות שלנו, אמורות להתקבל תגובות שקשורות להגנה על SMS כחלק מההערכות.
משתמש חדש ב-reCAPTCHA
אם אתם חדשים ב-reCAPTCHA, אתם צריכים:
-
בהתאם לשאלה אם ברצונך להשתמש בהגנה על SMS באתר או באפליקציה לנייד, פועלים לפי השלבים הבאים כדי לשלב את reCAPTCHA:
אתר
אפליקציה לנייד
- יצירת מפתח מבוסס-ניקוד לאפליקציה לנייד
- הטמעה של reCAPTCHA באפליקציית iOS או באפליקציית Android
- מפעילים את ההגנה על SMS בפרויקט Google Cloud :
נכנסים לדף reCAPTCHA במסוף Google Cloud .
מוודאים ששם הפרויקט מופיע בבורר המשאבים.
אם שם הפרויקט לא מופיע, לוחצים על בורר המשאבים ובוחרים את הפרויקט.
לוחצים על הגדרות.
בחלונית הגנה על SMS, לוחצים על הגדרה.
לוחצים על המתג הפעלה ואז על שמירה.
יכול להיות שיעברו כמה דקות עד שהפעלת ההגנה על SMS תתעדכן במערכות שלנו. אחרי שהפעלת התכונה תתעדכן במערכות שלנו, אמורות להתקבל תגובות שקשורות להגנה על SMS כחלק מההערכות.
יצירת בדיקה עם מספר הטלפון
כדי להגן על SMS, צריך ליצור בדיקות באמצעות האסימון שנוצר על ידי הפונקציה execute() ומספר הטלפון, באמצעות ספריות הלקוח של reCAPTCHA או ה-API בארכיטקטורת REST מהקצה העורפי.
במסמך הזה מוסבר איך ליצור הערכה באמצעות REST API. כדי ללמוד איך ליצור הערכה באמצעות ספריות לקוח, אפשר לעיין במאמר יצירת הערכות.
לפני שיוצרים כלי הערכה, צריך לבצע את הפעולות הבאות:
מגדירים אימות ל-reCAPTCHA.
שיטת האימות שתבחרו תלויה בסביבה שבה מוגדר reCAPTCHA. הטבלה הבאה עוזרת לכם לבחור את שיטת האימות המתאימה ואת הממשק הנתמך להגדרת האימות:
סביבה ממשק שיטת אימות Google Cloud - REST
- ספריות לקוח
להשתמש בחשבונות שירות שמצורפים. באחסון מקומי או אצל ספק אחר של שירותי ענן REST משתמשים במפתחות API או באיחוד שירותי אימות הזהות של עומסי עבודה. אם אתם רוצים להשתמש במפתחות API, מומלץ לאבטח אותם על ידי החלת הגבלות על מפתחות API.
ספריות לקוח מומלץ להשתמש במשאבים הבאים:
- ב-Python או ב-Java, משתמשים במפתחות API או באיחוד שירותי אימות הזהות של עומסי עבודה.
אם אתם רוצים להשתמש במפתחות API, מומלץ לאבטח אותם על ידי החלת הגבלות על מפתחות API.
- בשפות אחרות, אפשר להשתמש באיחוד שירותי אימות הזהויות של עומסי עבודה.
צריך לבחור מזהה חשבון יציב
accountIdשהמשתמש לא משנה לעיתים קרובות, ולספק אותו להערכה בשיטהprojects.assessments.create. למזהה החשבון הקבוע הזה צריך להיות אותו ערך בכל האירועים שקשורים לאותו משתמש. אפשר לספק את הפרטים הבאים כמזהה החשבון:מזהי משתמשים
אם אפשר לשייך כל חשבון באופן ייחודי לשם משתמש, לכתובת אימייל או למספר טלפון יציבים, אפשר להשתמש בהם כ
accountId. כשאתם מספקים מזהים כאלה חוצי-אתרים (מזהים שאפשר לעשות בהם שימוש חוזר באתרים שונים), reCAPTCHA משתמש במידע הזה כדי לשפר את ההגנה על חשבונות המשתמשים שלכם על סמך מודלים חוצי-אתרים. המערכת מסמנת מזהים של חשבונות שמשמשים להתנהלות פוגעת, ומשתמשת בידע על דפוסי התנהלות פוגעת חוצי-אתרים שקשורים למזהים האלה.לחלופין, אם יש לכם מזהה משתמש פנימי שמשויך באופן ייחודי לכל חשבון, אתם יכולים לספק אותו כ
accountId.גיבוב או הצפנה
אם אין לכם מזהה משתמש פנימי שמשויך באופן ייחודי לכל חשבון, אתם יכולים להפוך כל מזהה יציב למזהה חשבון אטום שספציפי לאתר. עדיין נדרש מזהה כזה כדי שהכלי reCAPTCHA הגנה על החשבון יוכל להבין את דפוסי פעילות המשתמשים ולזהות התנהגות חריגה, אבל הוא לא משותף בין אתרים אחרים.
בוחרים מזהה חשבון יציב והופכים אותו לאטום לפני השליחה אל reCAPTCHA באמצעות הצפנה או גיבוב:
הצפנה (מומלץ): מצפינים את מזהה החשבון באמצעות שיטת הצפנה דטרמיניסטית שמפיקה טקסט מוצפן יציב. הוראות מפורטות זמינות במאמר בנושא הצפנת נתונים באופן דטרמיניסטי. כשבוחרים בהצפנה סימטרית במקום בגיבוב, לא צריך לשמור מיפוי בין מזהי המשתמשים לבין מזהי המשתמשים האטומים התואמים. צריך לפענח את המזהים האטומים שמוחזרים על ידי reCAPTCHA כדי להפוך אותם למזהה המשתמש.
גיבוב: מומלץ לגבב את מזהה החשבון באמצעות שיטת SHA256-HMAC עם מלח מותאם אישית לפי בחירתכם. מכיוון שגיבוב הוא חד-כיווני בלבד, צריך לשמור מיפוי בין הגיבובים שנוצרו לבין מזהי המשתמשים, כדי שתוכלו למפות את מזהה החשבון המגובב שמוחזר בחזרה לחשבונות המקוריים.
מוסיפים את הפרמטר accountId ואת מספר הטלפון בפורמט E.164 כUserId כדי לאמת בהערכה בשיטה projects.assessments.create.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
- TOKEN: האסימון שמוחזר מהקריאה
grecaptcha.enterprise.execute(). - KEY_ID: המפתח שמבוסס על ניקוד שהתקנתם באתר.
- ACCOUNT_ID: מזהה של חשבון משתמש שהוא ייחודי לאתר שלכם.
- PHONE_NUMBER: מספר הטלפון שצריך לבדוק אם הוא זדוני. מספר הטלפון חייב להיות בפורמט E.164, ואסור שהוא יהיה מגובב או מוצפן.
ה-method של ה-HTTP וכתובת ה-URL:
POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments
גוף בקשת JSON:
{
"event": {
"token": "TOKEN",
"siteKey": "KEY_ID",
"userInfo": {
"accountId": "ACCOUNT_ID",
"userIds": [
{
"phoneNumber": "PHONE_NUMBER"
}
]
}
}
}
כדי לשלוח את הבקשה עליכם לבחור אחת מהאפשרויות הבאות:
curl
שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments"
PowerShell
שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments" | Select-Object -Expand Content
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"event": {
…
},
"name": "ASSESSMENT_ID",
"phoneFraudAssessment": {
"smsTollFraudVerdict": {
"risk": 0.3
}
}
}
התשובה שתקבלו כוללת את הציון risk בשדה phoneFraudAssessment.smsTollFraudVerdict. ככל שהציון גבוה יותר, כך גדל הסיכון שמספר הטלפון מסוכן. ככל שהציון נמוך יותר, כך גדל הסיכוי שמספר הטלפון לגיטימי.
הפעולות שתבצעו על סמך ההערכה הן באחריותכם.
כדי לבצע את השילוב הפשוט ביותר, אפשר להגדיר ערכי סף ב-phoneFraudAssessment.smsTollFraudVerdict.risk כדי לתרום להחלטה.
הוספת הערה למבדק
כדי לעקוב אחרי תנועת ה-SMS ולשפר את זיהוי ההונאות, אתם צריכים להוסיף הערות להערכות תוך 10 דקות אחרי שליחת ה-SMS או אחרי שמספר הטלפון אומת בהצלחה.
כדי להוסיף הערה להערכה, שולחים בקשה לשיטה projects.assessments.annotate עם מזהה ההערכה. בגוף הבקשה צריך לכלול את מספר הטלפון בפורמט E.164 בשדה phoneAuthenticationEvent.
כדי להוסיף הערה להערכה:
קובעים את המידע והתוויות שרוצים להוסיף בגוף הבקשה ב-JSON, בהתאם לתרחיש השימוש.
בטבלה הבאה מפורטים התוויות והערכים שאפשר להשתמש בהם כדי להוסיף הערות לאירועים:
תווית תיאור דוגמה לבקשה reasonsחובה. תווית שתעזור לכם בבדיקות.
פרטי האירוע בזמן אמת מוצגים בתווית
reasonsתוך כמה שניות או דקות אחרי האירוע, כי הם משפיעים על הזיהוי בזמן אמת.ערכים אפשריים:
-
INITIATED_TWO_FACTOR: נשלח קוד אימות באמצעות SMS. -
PASSED_TWO_FACTOR: קוד האימות אומת בהצלחה. -
FAILED_TWO_FACTOR: קוד האימות לא תקין.
{ "reasons": ["INITIATED_TWO_FACTOR"], "phoneAuthenticationEvent": { "phoneNumber": "+18005550175" } }annotationזה שינוי אופציונלי. תווית שמציינת את הלגיטימיות של ההערכות.
צריך לספק עובדות לגבי אירועי כניסה ורישום כדי לאמת או לתקן את הערכות הסיכון בתווית
annotation.הערכים האפשריים:
LEGITIMATEאוFRAUDULENT.מומלץ לשלוח את המידע הזה כמה שניות או דקות אחרי האירוע, כי הוא משפיע על הזיהוי בזמן אמת.
{ "annotation": "LEGITIMATE" }-
יוצרים בקשת הערה עם התוויות המתאימות. <0
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
- ASSESSMENT_ID: הערך של השדה
nameשמוחזר מהקריאהprojects.assessments.create. - ANNOTATION: אופציונלי. תווית שמציינת אם הבדיקה לגיטימית או שמקורה בתרמית.
- REASONS: סיבות שתומכות בהערה. רשימת הערכים האפשריים מופיעה במאמר ערכי הסיבות.
- PHONE_NUMBER: מספר הטלפון שנבדק. מספר הטלפון חייב להיות בפורמט E.164, ואסור שהוא יהיה מגובב או מוצפן.
ה-method של ה-HTTP וכתובת ה-URL:
POST https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate
גוף בקשת JSON:
{ "annotation": ANNOTATION, "reasons": REASONS, "phoneAuthenticationEvent": { "phoneNumber": "PHONE_NUMBER" } }כדי לשלוח את הבקשה עליכם לבחור אחת מהאפשרויות הבאות:
curl
שומרים את גוף הבקשה בקובץ בשם
request.jsonומריצים את הפקודה הבאה:curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate"PowerShell
שומרים את גוף הבקשה בקובץ בשם
request.jsonומריצים את הפקודה הבאה:$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate" | Select-Object -Expand Contentאמורים לקבל קוד סטטוס של הצלחה (2xx) ותגובה ריקה.
- ASSESSMENT_ID: הערך של השדה