長い間使用していなかったCapital OneクレジットカードのWebサイトにサインインしていて、ユーザー名とパスワードを入力すると、追加の確認のために携帯電話番号を要求しました。
電話番号を入力したところ、10秒未満の短い待機画面が表示され、「携帯電話会社に連絡して電話番号を確認しています」と表示されました。検証が通過した後、続行するために入力しなければならない一般的なテキストメッセージの確認コードが送信されました。
それで、私の質問は、彼らは本当に私の携帯電話会社に連絡して、私の電話番号に基づいて私の名前または住所(私について知っている唯一のこと)を確認しましたか?これは単なるセキュリティシアターですか、それとも電話番号に特定の名前が付いていることを確認できるAPIまたはデータベースがありますか?
これまでに見たことがないので、このシステムがどのように機能し、どのように乱用から保護されているかを理解したいと思います。
これはただの安全劇場ですか
番号。
または、電話番号に実際に特定の名前が付いていることを確認できるAPIまたはデータベースはありますか?
電話会社(ed:慣れていませんでしたが、現在は@ceejayozによって行われているようです)がこの情報を公開しています(特に請求書の名前が電話の所有者でない場合、発信者のレジストリは信頼できません)。 )、しかし、豊富な情報マーケティング代理店と信用調査機関の貯蔵所を考えると、情報は完全にそこにあります-それは誰かがまだそれを販売しているかどうかの問題です。地獄、フェイスブックでさえも、そうした傾向があれば、そのようなサービスを提供することができます。
しかし、私がここ数年この分野で扱ってきたことを考えると、彼らはキャリア自体を確認するためにチェックしている可能性が高いです。バーナー電話を使用してOTPシステムを悪用する詐欺師は、私がまだそこにいる間は解決する必要のある、非常に大きな問題であり、その時点でそれらを除外するための信頼できる方法がありませんでした。 VerizonまたはBoost Mobileの顧客の場合、テキストを送信する前に後者の追加の検証を実行すると、かなりの量の詐欺が排除されます。
コメントでの会話に続いて:
jrtapsell :仮想番号を取り除くには、このようなものになると思います-> https://www.twilio.com/lookup
JPhi1618 :@jrtapsell、クール。 SMSを送信するために昔々Twilioを調べましたが、彼らがこのサービスを持っていることを知りませんでした。私の番号を入力すると私の名前が表示されるので、少なくとももっともらしく思います。
彼らはTwillioのようなサービスを使用して仮想番号とリスクの高いキャリアを除外しようとしているだけかもしれませんが、彼らのサイトは米国ではユーザー名を取得できると示唆しているようです:
米国内の多くの市内電話番号は、中央の発信者ID名(CNAM)データベースに登録されます。このデータベースには、番号に関連付けられたビジネスまたは個人に関するID情報が含まれています。 CNAMルックアップを使用して、各電話番号のID情報をプログラムで返します。発信する電話や送信するメッセージの情報が豊富なので、事前の質問に悩まされることはありません。
私の番号の名前を取得しようとしても何も返されなかったので、YMMVですが、ここで仮想番号にフラグを付けることで詐欺を減らすことができるようです:
電話番号は企業がエンドユーザーを特定するのに役立ちますが、一部のキャリアから番号を取得するのは非常に簡単です。誰もが無料のオンラインプロバイダーから複数の電話番号を取得できるため、偽のプロファイルを作成して、ビジネスを詐欺またはスパムすることができます。この課題に対処するために、企業は電話番号の背後にあるキャリアを特定できます。このようにして、企業は、ルックアップごとに0.005ドルで、より高い詐欺インスタンスに関連付けられたキャリアに対して追加のID認証を要求できます。
また、ローカル検索を使用している可能性があり、複数のアカウントに同じ番号が使用されている場合は、フラグを立てている可能性があります。そのため、詐欺師が同じ番号を使用して、捕捉できる別のアカウントにアクセスしようとすると、Amazonはそのことを知っています。似たようなものですが、クレジットカード番号があります。
リスクの高い通話は、追加の確認のためのフラグが付けられ、あなたについてすべて知っているサードパーティのサービスから計算されたスコアになる場合があります。
これが1つです... https://risk.lexisnexis.com/products/phone-Finder
明白な2つの要素(つまり、その数があなたの所有物にある)を無視すると、IDを証明するために使用するデータベースがあります。大きなものはExperianのような人物であり、アイデンティティチェックを行っていないときはクレジットスコア機関のように見えます。ほとんどの電話契約はクレジットのソースであるため、それを見つけるのに良い方法です。
基本的には、他の企業からデータを購入して相互参照する企業があります。それで、あなたは誰かに「私はメインストリート123に住んでいて、電話番号+0011231234567に住んでいるジョー・スミスです」と言って、それはあなたが正しい確率をあなたに返します。
(例)を見てください: https://developer.experian.com/real-time-contact-data-validation/apis/post/sync/QueryResult/PhoneValidate/3. (bearing inこれはサンドボックス上にあるので、実際ではなくランダムな回答になる可能性があることに注意してください)。
基本的に、銀行と他の金融機関(保険などを含む)はあなたに関する情報を共有し、業界全体の詐欺を減らすために使用できます。