Kluczowe dania na wynos
- Ataki wymiany kart SIM, które opierają się na nieuczciwie wydanych duplikatach kart SIM, kosztują obywateli USA ponad 68 milionów dolarów w 2021 r.
- Republika Południowej Afryki planuje powiązać dane biometryczne z właścicielem karty SIM, aby zapewnić, że duplikat karty SIM może zostać wydany tylko prawowitemu właścicielowi.
- Eksperci ds. cyberbezpieczeństwa uważają, że korzystanie z danych biometrycznych spowoduje większe ryzyko dla prywatności, a prawdziwe rozwiązanie leży gdzie indziej.
Wykorzystywanie danych biometrycznych do rozwiązywania problemów związanych z bezpieczeństwem może nie pomóc w wyeliminowaniu problemu, ale z pewnością wprowadzi większe obawy dotyczące prywatności, sugerują eksperci ds. cyberbezpieczeństwa.
Republika Południowej Afryki zaproponowała zbieranie informacji biometrycznych od osób, które kupują karty SIM, aby udaremnić ataki polegające na zamianie karty SIM. Podczas tych ataków oszuści żądają wymiany kart SIM, których używają do przechwytywania legalnych haseł jednorazowych (OTP) i autoryzacji transakcji. Według FBI te oszukańcze transakcje wyniosły ponad 68 milionów dolarów w 2021 r. Jednak implikacje dla prywatności wynikające z propozycji Republiki Południowej Afryki nie podobają się ekspertom.
„Współczuję dostawcom szukającym sposobu na powstrzymanie bardzo realnego problemu wymiany kart SIM” – powiedział Lifewire Tim Helming, ewangelista ds. bezpieczeństwa w DomainTools. „Ale nie jestem przekonany, że [zbieranie informacji biometrycznych] jest właściwą odpowiedzią”.
Złe podejście
Wyjaśniając niebezpieczeństwa związane z atakami typu SIM swap, Stephanie Benoit-Kurtz, ekspert ds. cyberbezpieczeństwa z University of Phoenix, powiedziała, że porwana karta SIM może umożliwić złym podmiotom włamanie się do praktycznie wszystkich Twoich kont cyfrowych, od e-maili po bankowość internetową.
Wyzwanie związane z gromadzeniem danych biometrycznych polega nie tylko na procesie ich gromadzenia, ale także na zabezpieczeniu tych informacji po ich zebraniu.
Uzbrojeni w przechwyconą kartę SIM hakerzy mogą wysyłać żądania „Zapomniałem hasła” lub „Odzyskanie konta” na dowolne z Twoich kont internetowych powiązanych z Twoim numerem telefonu komórkowego i resetować hasła, zasadniczo przejmując Twoje konta.
Niezależny Urząd Komunikacji Republiki Południowej Afryki (ICASA) ma teraz nadzieję na wykorzystanie danych biometrycznych, aby utrudnić hakerom zdobycie duplikatu karty SIM, wymagając danych biometrycznych w celu zweryfikowania tożsamości osoby żądającej duplikatu karty SIM.
"Podczas gdy zamiana kart SIM jest niezaprzeczalnie poważnym problemem, może to oznaczać, że wyleczenie jest gorsze niż choroba" - podkreślił Helming.
Wyjaśnił, że gdy dane biometryczne znajdą się w rękach usługodawców, istnieje realne ryzyko, że naruszenie może umieścić dane biometryczne w rękach atakujących, którzy mogą następnie nadużywać ich na różne bardzo problematyczne sposoby.
„Wyzwanie związane z gromadzeniem danych biometrycznych polega nie tylko na procesie ich gromadzenia, ale także na zabezpieczeniu tych informacji po ich zebraniu” – zgodził się Benoit-Kurtz.
Uważa, że sama biometria w ogóle nie pomoże rozwiązać problemu. Dzieje się tak, ponieważ źli aktorzy używają różnych metod, aby uzyskać duplikaty kart SIM, a ich wydanie bezpośrednio od usługodawcy nie jest jedyną opcją, jaką mają do dyspozycji. W rzeczywistości, według Benoit-Kurtz, istnieje tętniący życiem czarny rynek pozyskiwania duplikatów aktywnych kart SIM.
Szczekanie niewłaściwego drzewa
Benoit-Kurtz uważa, że operatorzy i producenci telefonów muszą odgrywać bardziej aktywną rolę w zabezpieczaniu ekosystemu mobilnego.
„Istnieją poważne wyzwania związane z bezpieczeństwem telefonów i kart SIM, które mogą zostać rozwiązane przez operatorów wdrażających silniejsze kontrole dotyczące tego, kiedy i gdzie można zmienić kartę SIM”, zasugerował Benoit-Kurtz.
Mówi, że branża musi współpracować, aby wprowadzić mechanizmy zapobiegające transakcjom bez polegania na wielu krokach w celu weryfikacji użytkownika i telefonu, na którym zarejestrowana jest nowa karta SIM.
Na przykład mówi, że niektórzy operatorzy, tacy jak Verizon, zaczęli używać sześciocyfrowych kodów PIN transferu, które są wymagane przed przeniesieniem karty SIM. Ale to tylko jeden dodatkowy punkt danych w transakcji, a oszuści mogą rozszerzyć swoje sztuczki socjotechniczne, aby zebrać również te dodatkowe informacje.
Dopóki branża nie rozwinie się, to od ludzi zależy, czy będą mądrzy i chronią się przed atakami typu SIM swap. Jedną z sugerowanych przez nią sztuczek jest włączenie uwierzytelniania wieloskładnikowego dla kont internetowych, przy jednoczesnym upewnieniu się, że jeden z mechanizmów uwierzytelniania wyśle kod weryfikacyjny na konto e-mail, które nie jest połączone z telefonem.
Sugeruje też użycie kodu PIN karty SIM – wielocyfrowego kodu, który wpisujesz przy każdym ponownym uruchomieniu telefonu. „Upewnij się, że korzystasz z wbudowanych funkcji zabezpieczeń w telefonie, aby go zablokować, aby zmniejszyć ryzyko i proaktywnie chronić swoją kartę SIM”.