Ključni izsledki
- Napadi zamenjave SIM, ki temeljijo na goljufivo izdanih podvojenih karticah SIM, stanejo državljane ZDA več kot 68 milijonov $ leta 2021.
- Južna Afrika namerava povezati biometrične podatke z lastnikom kartice SIM, da bi zagotovila, da se podvojena kartica SIM lahko izda samo zakonitemu lastniku.
- Strokovnjaki za kibernetsko varnost verjamejo, da bo uporaba biometrije povzročila večja tveganja za zasebnost, prava rešitev pa je drugje.
Uporaba biometrije za reševanje varnostne težave morda ne bo pomagala odpraviti težave, vendar bo zagotovo povzročila resnejše pomisleke glede zasebnosti, predlagajo strokovnjaki za kibernetsko varnost.
Južna Afrika je predlagala zbiranje biometričnih podatkov od ljudi, ko kupijo kartice SIM, da bi preprečili napade zamenjave SIM. V teh napadih prevaranti zahtevajo nadomestne kartice SIM, ki jih uporabljajo za prestrezanje legitimnih enkratnih gesel (OTP) in avtorizacijo transakcij. Po podatkih FBI so te goljufive transakcije v letu 2021 znašale več kot 68 milijonov dolarjev. Vendar pa posledice predloga Južne Afrike glede zasebnosti strokovnjakom niso najbolj všeč.
"Sočustvujem s ponudniki, ki iščejo način, kako preprečiti zelo resnično težavo zamenjave SIM," je za Lifewire po e-pošti povedal Tim Helming, evangelist varnosti pri DomainTools. "Nisem pa prepričan, da je [zbiranje biometričnih podatkov] pravi odgovor."
Napačen pristop
Ob razlagi nevarnosti napadov zamenjave kartice SIM je Stephanie Benoit-Kurtz, strokovnjakinja za kibernetsko varnost na Univerzi v Phoenixu, dejala, da lahko ugrabljena kartica SIM omogoči zlobnim akterjem, da vdrejo v tako rekoč vse vaše digitalne račune, od e-pošte do spletnega bančništva.
Izziv pri zbiranju biometričnih podatkov ni samo v postopku zbiranja, temveč tudi v zaščiti teh informacij, ko so že zbrani.
Oboroženi z ugrabljeno kartico SIM lahko hekerji pošljejo zahteve 'Pozabljeno geslo' ali 'Obnovitev računa' na katerega koli od vaših spletnih računov, povezanih z vašo mobilno številko, in ponastavijo gesla, kar v bistvu ugrabi vaše račune.
Neodvisni urad za komunikacije Južne Afrike (ICASA) zdaj upa, da bo uporabil biometrijo, da bi hekerjem otežil dostop do podvojene kartice SIM, tako da zahteva biometrične podatke za preverjanje identitete osebe, ki zahteva podvojeno kartico SIM.
"Čeprav je zamenjava SIM nedvomno velika težava, je to lahko primer, ko je zdravilo hujše od bolezni," je poudaril Helming.
Pojasnil je, da ko so biometrični podatki v rokah ponudnikov storitev, obstaja resnično tveganje, da bi kršitev dala biometrične podatke v roke napadalcem, ki bi jih lahko nato zlorabili na različne zelo problematične načine.
»Izziv pri zbiranju biometričnih podatkov ni le v procesu zbiranja, ampak tudi v zaščiti teh informacij, ko so zbrani,« se je strinjal Benoit-Kurtz.
Prepričana je, da sama biometrija ne pomaga rešiti težave. To je zato, ker zlobni akterji uporabljajo različne metode za pridobitev podvojenih kartic SIM in izdaja le-teh neposredno pri ponudniku storitev ni edina možnost, ki jim je na voljo. Benoit-Kurtz pravi, da dejansko obstaja živahen črni trg za pridobivanje dvojnikov aktivnih kartic SIM.
Lajanje na napačno drevo
Benoit-Kurtz meni, da morajo operaterji in proizvajalci telefonov prevzeti dejavnejšo vlogo pri varovanju mobilnega ekosistema.
"Obstajajo pomembni izzivi, povezani z varnostjo telefonov in kartic SIM, ki bi jih lahko rešili tako, da bi operaterji uvedli strožji nadzor nad tem, kdaj in kje je mogoče zamenjati kartico SIM," je predlagal Benoit-Kurtz.
Pravi, da mora industrija sodelovati pri uvedbi mehanizmov za preprečevanje transakcij, ne da bi se zanašala na več korakov za preverjanje uporabnika in telefona, na katerega je registrirana nova kartica SIM.
Na primer, pravi, da so nekateri operaterji, kot je Verizon, začeli uporabljati šestmestne kode PIN za prenos, ki so potrebne, preden je mogoče premakniti kartico SIM. Toda to je samo še ena podatkovna točka v transakciji in prevaranti lahko razširijo svoje trike socialnega inženiringa, da zberejo tudi te dodatne informacije.
Dokler se industrija ne okrepi, morajo ljudje biti pametni in se zaščititi pred napadi zamenjave kartice SIM. En trik, ki ga predlaga, je omogočiti večfaktorsko avtentikacijo za vaše spletne račune, hkrati pa zagotoviti, da eden od mehanizmov avtentikacije pošlje kodo za preverjanje na e-poštni račun, ki ni povezan z vašim telefonom.
Predlaga tudi uporabo PIN-a SIM – večmestne kode, ki jo vnesete ob vsakem ponovnem zagonu telefona. "Prepričajte se, da uporabljate vgrajene varnostne funkcije v telefonu, da ga zaklenete, da zmanjšate tveganje in proaktivno zaščitite svojo kartico SIM."