Rilevare e prevenire le frodi tramite SMS

Questo documento spiega come utilizzare la protezione antifrode tariffaria SMS di reCAPTCHA per rilevare e prevenire gli attacchi di tipo SMS pumping nelle attività che si basano sugli SMS per l'autenticazione a due fattori (2FA) o la verifica telefonica, che sono potenziali bersagli di frodi tariffarie SMS.

L'autenticazione basata su SMS (autenticazione a due fattori e accesso) è uno standard di settore per la sicurezza di accesso e registrazione, ma non fornisce protezione contro le frodi tariffarie SMS o le frodi di tipo SMS pumping. Prima di inviare un SMS, la protezione antifrode tariffaria SMS di reCAPTCHA ti fornisce un punteggio di rischio che indica la probabilità che il numero di telefono commi frodi tariffarie relative agli SMS. In base a questo punteggio, puoi consentire o bloccare i messaggi SMS fraudolenti prima che vengano inviati al tuo provider di servizi SMS.

Per ulteriori informazioni, consulta il blog sulla protezione antifrode tariffaria SMS di reCAPTCHA.

Prima di iniziare

A seconda che tu sia già un utente di reCAPTCHA o se non lo hai mai utilizzato, segui le istruzioni nella scheda appropriata:

Utente reCAPTCHA esistente

Se sei già un utente di reCAPTCHA, attiva la protezione antifrode tariffaria SMS di reCAPTCHA nel tuo progetto Google Cloud:

  1. Nella console Google Cloud, vai alla pagina reCAPTCHA.

    Vai a reCAPTCHA

  2. Verifica che il nome del progetto venga visualizzato nel selettore di risorse.

    Se non vedi il nome del progetto, fai clic sul selettore di risorse, quindi seleziona il progetto.

  3. Fai clic su Impostazioni.

  4. Se l'account defender di reCAPTCHA non è abilitato per il tuo progetto, procedi nel seguente modo:

    1. Nel riquadro Account Defender, fai clic su Attiva.
    2. Nella finestra di dialogo Configura Account Defender, fai clic su Attiva.

  5. Nel riquadro Protezione antifrode tariffaria SMS, fai clic su Configura.

  6. Fai clic sul pulsante di attivazione/disattivazione Attiva e poi su Salva.

    Potrebbero essere necessari alcuni minuti prima che l'attivazione della protezione antifrode tariffaria SMS di reCAPTCHA si propaghi ai nostri sistemi. Una volta propagata l'attivazione della funzionalità ai nostri sistemi, dovresti iniziare a ricevere risposte relative alla protezione antifrode tariffaria SMS di reCAPTCHA nell'ambito delle valutazioni.

Nuovo utente reCAPTCHA

Se non hai mai utilizzato reCAPTCHA:

  1. A seconda che tu voglia utilizzare la protezione antifrode tariffaria SMS di reCAPTCHA su un sito web o su un'applicazione mobile, segui questi passaggi per integrare reCAPTCHA:

    Sito web

    1. Crea una chiave basata sul punteggio per il tuo sito web.
    2. Installa la chiave basata sul punteggio nelle pagine web.

    App per dispositivi mobili

    1. Crea una chiave basata su punteggi per la tua app mobile.
    2. Integra reCAPTCHA con un'app per iOS o un'app per Android
  2. Attiva la protezione antifrode tariffaria SMS di reCAPTCHA nel tuo progetto Google Cloud:

    1. Nella console Google Cloud, vai alla pagina reCAPTCHA.

      Vai a reCAPTCHA

    2. Verifica che il nome del progetto venga visualizzato nel selettore di risorse.

      Se non vedi il nome del progetto, fai clic sul selettore di risorse, quindi seleziona il progetto.

    3. Fai clic su Impostazioni.

    4. Se l'account defender di reCAPTCHA non è abilitato per il tuo progetto, procedi nel seguente modo:

      1. Nel riquadro Account Defender, fai clic su Attiva.
      2. Nella finestra di dialogo Configura Account Defender, fai clic su Attiva.

    5. Nel riquadro Protezione antifrode tariffaria SMS, fai clic su Configura.

    6. Fai clic sul pulsante di attivazione/disattivazione Attiva e poi su Salva.

      Potrebbero essere necessari alcuni minuti prima che l'attivazione della protezione antifrode tariffaria SMS di reCAPTCHA si propaghi ai nostri sistemi. Una volta propagata l'attivazione della funzionalità ai nostri sistemi, dovresti iniziare a ricevere risposte relative alla protezione antifrode tariffaria SMS di reCAPTCHA nell'ambito delle valutazioni.

Creare una valutazione con il numero di telefono

Per la protezione antifrode per gli SMS di reCAPTCHA, crea valutazioni con il token generato dalla funzione execute() e dal numero di telefono utilizzando le librerie client reCAPTCHA o l'API REST dal tuo backend.

Questo documento mostra come creare una valutazione utilizzando l'API REST. Per scoprire come creare una valutazione utilizzando le librerie client, consulta Creare valutazioni.

Prima di creare una valutazione, segui questi passaggi:

  • Configura l'autenticazione a reCAPTCHA.

    Il metodo di autenticazione che scegli dipende dall'ambiente in cui è configurato reCAPTCHA. La seguente tabella ti aiuta a scegliere il metodo di autenticazione appropriato e l'interfaccia supportata per configurare l'autenticazione:

    Ambiente Interfaccia Metodo di autenticazione
    Google Cloud
    • REST
    • Librerie client
    		 Utilizza gli account di servizio collegati.
    On-premise o un altro provider cloud REST Utilizza le chiavi API o la federazione delle identità per i carichi di lavoro.

    Se vuoi utilizzare le chiavi API, ti consigliamo di proteggerle applicando le restrizioni delle chiavi API.
    Librerie client

    Utilizza quanto segue:

  • Scegli un identificatore account stabile accountId che non viene modificato di frequente dall'utente e forniscilo alla valutazione nel metodo projects.assessments.create. Questo identificatore account stabile deve avere lo stesso valore per tutti gli eventi relativi allo stesso utente. Puoi fornire quanto segue come identificatore account:

    Identificatori degli utenti

    Se ogni account può essere associato in modo univoco a un nome utente, un indirizzo email o un numero di telefono stabile, puoi utilizzarlo come accountId. Quando fornisci questi identificator cross-site (identificatori che possono essere riutilizzati su più siti), reCAPTCHA utilizza queste informazioni per migliorare la protezione dei tuoi account utente in base a modelli cross-site, segnalando gli identificatori di account illeciti e utilizzando la conoscenza dei pattern di abusi cross-site correlati a questi identificatori.

    In alternativa, se hai un ID utente interno associato in modo univoco a ogni account, puoi fornirlo come accountId.

    Sottoposte ad hashing o criptate

    Se non disponi di un ID utente interno associato in modo univoco a ogni account, puoi trasformare qualsiasi identificativo stabile in un identificativo account opaco e specifico per il sito. Questo identificatore è ancora necessario per il difensore dell'account reCAPTCHA per comprendere i pattern di attività utente e rilevare comportamenti anomali, ma non viene condiviso con altri siti.

    Scegli un identificatore account stabile e rendilo opaco prima di inviarlo a reCAPTCHA utilizzando la crittografia o l'hashing:

    • crittografia (consigliata): cripta l'identificatore dell'account utilizzando un metodo di crittografia deterministico che produce un testo cifrato stabile. Per istruzioni dettagliate, consulta Criptare i dati in modo deterministico. Se scegli la crittografia simmetrica anziché l'hashing, non devi mantenere una mappatura tra i tuoi identificatori utente e gli identificatori utente opachi corrispondenti. Decripta gli identificatori opachi restituiti da reCAPTCHA per trasformarli nell' identificatore utente.

    • hashing: ti consigliamo di eseguire l'hashing dell'identificatore dell'account utilizzando il metodo SHA256-HMAC con un valore salt personalizzato a tua scelta. Poiché gli hash sono unidirezionali, devi mantenere una mappatura tra gli hash generati e gli identificatori utente in modo da poter mappare l'identificatore account sottoposto ad hashing restituito agli account originali.

Aggiungi il parametro accountId e il numero di telefono in formato E.164 come UserId da verificare nella valutazione nel metodo projects.assessments.create.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • PROJECT_ID: il tuo ID progetto Google Cloud.
  • TOKEN: token restituito dalla chiamata grecaptcha.enterprise.execute().
  • KEY_ID: la chiave basata su punteggi che hai installato sul tuo sito web.
  • ACCOUNT_ID: un identificatore per un account utente univoco per il tuo sito web.
  • PHONE_NUMBER: il numero di telefono da verificare per rilevare eventuali attività dannose. Il numero di telefono deve essere nel formato E.164 e non deve essere sottoposto ad hashing o crittografia.

Metodo HTTP e URL: 

POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments

Corpo JSON della richiesta: 


{
  "event": {
    "token": "TOKEN",
    "siteKey": "KEY_ID",
    "userInfo": {
      "accountId": "ACCOUNT_ID",
      "userIds": [
        {
          "phoneNumber": "PHONE_NUMBER"
        }
      ]
    }
  }
}

Per inviare la richiesta, scegli una delle seguenti opzioni:

curl

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments"

PowerShell

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:


{
  "event": {
     …
  },
  "name": "ASSESSMENT_ID",
  "smsFraudAssessment": {
    "smsFraudRisk": 0.3
  }
}

La risposta che ricevi include il punteggio smsFraudRisk nel smsFraudAssessment campo . Più alto è il punteggio, più è probabile che il numero di telefono sia rischioso; più basso è il punteggio, più è probabile che il numero di telefono sia legittimo.

Sei responsabile delle azioni intraprese in base alla valutazione. Per l'integrazione più semplice, puoi impostare soglie su smsFraudRisk per contribuire alla tua decisione.

Annotare la valutazione

Per tenere traccia del traffico SMS e migliorare il rilevamento delle attività fraudolente, devi annotare le valutazioni entro 10 minuti dall'invio dell'SMS o dalla verifica del numero di telefono.

Puoi annotare una valutazione inviando una richiesta al metodo projects.assessments.annotate con l'ID valutazione. Nel corpo della richiesta, includi il numero di telefono in formato E.164 nel campo phoneAuthenticationEvent.

Per aggiungere annotazioni a una valutazione:

  1. Determina le informazioni e le etichette da aggiungere nel corpo JSON della richiesta in base al tuo caso d'uso.

    La tabella seguente elenca le etichette e i valori che puoi utilizzare per annotare gli eventi:

    Etichetta Descrizione Esempio di richiesta
    reasons

    Obbligatorio. Un'etichetta a supporto delle tue valutazioni.

    Fornisci i dettagli degli eventi in tempo reale nell'etichetta reasons entro pochi secondi o minuti dall'evento, in quanto influiscono sul rilevamento in tempo reale.

    Valori possibili:

    • INITIATED_TWO_FACTOR: viene inviato un codice di verifica via SMS.
    • PASSED_TWO_FACTOR: il codice di verifica è stato verificato correttamente.
    • FAILED_TWO_FACTOR: il codice di verifica non è valido.
    		 
        {
    "reasons": ["INITIATED_TWO_FACTOR"],
    "phoneAuthenticationEvent": {
      "phoneNumber": "+18005550175"
    }
  }
    annotation

    Facoltativo. Un'etichetta per indicare la legittimità delle valutazioni.

    Fornisci informazioni sugli eventi di accesso e registrazione per convalidare o correggere le valutazioni del rischio nell'etichetta annotation.

    Valori possibili: LEGITIMATE o FRAUDULENT.

    Ti consigliamo di inviare queste informazioni pochi secondi o minuti dopo l'evento perché influiscono sul rilevamento in tempo reale.

    		 
      {
   "annotation": "LEGITIMATE"
  }

  2. Crea una richiesta di annotazione con le etichette appropriate.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • ASSESSMENT_ID: valore del campo name restituito dalla chiamata projects.assessments.create.
    • ANNOTATION: facoltativo. Un'etichetta per indicare se la valutazione è legittima o fraudolenta.
    • REASONS: i motivi alla base della tua annotazione. Per l'elenco dei valori possibili, consulta valori reasons.
    • PHONE_NUMBER: il numero di telefono valutato. Il numero di telefono deve essere nel formato E.164 e non deve essere sottoposto ad hashing o crittografia.

    Metodo HTTP e URL: 

    POST https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate

    Corpo JSON della richiesta: 

    {
  "annotation": ANNOTATION,
  "reasons": REASONS,
  "phoneAuthenticationEvent": {
    "phoneNumber": "PHONE_NUMBER"
  }
}

    Per inviare la richiesta, scegli una delle seguenti opzioni:

    curl

    Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente: 

    curl -X POST \
         -H "Authorization: Bearer $(gcloud auth print-access-token)" \
         -H "Content-Type: application/json; charset=utf-8" \
         -d @request.json \
         "https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate"

    PowerShell

    Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente: 

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
        -Method POST `
        -Headers $headers `
        -ContentType: "application/json; charset=utf-8" `
        -InFile request.json `
        -Uri "https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate" | Select-Object -Expand Content

    Dovresti ricevere un codice di stato di operazione riuscita (2xx) e una risposta vuota.

Passaggi successivi