Ключови изводи
- Атаките за размяна на SIM карти, които разчитат на измамно издадени дублирани SIM карти, струват на гражданите на САЩ над $68 милиона през 2021 г.
- Южна Африка планира да свърже биометричните данни със собственика на SIM картата, за да гарантира, че дублирана SIM карта може да бъде издадена само на законния собственик.
- Експертите по киберсигурност вярват, че използването на биометрични данни ще доведе до по-големи рискове за поверителността и истинското решение е другаде.
Използването на биометрични данни за разрешаване на проблем със сигурността може да не помогне за премахването на проблема, но със сигурност ще доведе до по-сериозни опасения за поверителността, предполагат експерти по киберсигурност.
Южна Африка предложи да се събира биометрична информация от хора, когато купуват SIM карти, за да се осуетят атаки за размяна на SIM карти. При тези атаки измамниците изискват резервни SIM карти, които използват за прихващане на легитимни еднократни пароли (OTP) и разрешаване на транзакции. Според ФБР тези измамни транзакции възлизат на над 68 милиона долара през 2021 г. Въпреки това последиците за поверителността на предложението на Южна Африка не се харесват добре на експертите.
"Симпатизирам на доставчиците, които търсят начин да спрат много реалния проблем със смяната на SIM карти", каза Тим Хелминг, евангелист на сигурността с DomainTools, за Lifewire по имейл. „Но не съм убеден, че [събирането на биометрична информация] е правилният отговор.“
Грешен подход
Обяснявайки опасностите от атаките за размяна на SIM карти, Стефани Беноа-Курц, експерт по киберсигурност в Университета на Финикс, каза, че отвлечена SIM карта може да даде възможност на лоши актьори да проникнат във всички ваши цифрови акаунти, от имейли до онлайн банкиране.
Предизвикателството около събирането на биометрични данни не е само в процеса на събиране, но и в осигуряването на тази информация, след като бъде събрана.
Въоръжени с отвлечена SIM карта, хакерите могат да изпращат заявки „Забравена парола“или „Възстановяване на акаунт“до всеки от вашите онлайн акаунти, свързани с вашия мобилен номер, и да нулират паролите, като по същество отвличат вашите акаунти. йени
Независимият орган за комуникации на Южна Африка (ICASA) сега се надява да използва биометрични данни, за да направи по-трудно за хакерите да се сдобият с дублираща се SIM карта, като изисква биометрични данни за потвърждаване на самоличността на лицето, поискало дублиращата се SIM карта.
"Докато смяната на SIM карти безспорно е основен проблем, това може да е случай, че лечението е по-лошо от болестта", подчерта Хелминг.
Той обясни, че след като биометричните данни са в ръцете на доставчиците на услуги, съществува реален риск пробивът да постави биометричните данни в ръцете на нападатели, които след това биха могли да злоупотребят с тях по различни силно проблематични начини.
„Предизвикателството около събирането на биометрични данни не е само в процеса на събиране, но и в осигуряването на тази информация, след като вече е събрана“, съгласи се Беноа-Курц.
Тя вярва, че биометричните данни сами по себе си не помагат за решаването на проблема. Това е така, защото лошите актьори използват различни методи за получаване на дублиращи се SIM карти и издаването им директно от доставчика на услуги не е единствената опция, с която разполагат. Всъщност, според Benoit-Kurtz, съществува оживен черен пазар за получаване на дубликати на активни SIM карти.
Облайване на грешното дърво
Benoit-Kurtz вярва, че операторите и производителите на телефони трябва да поемат по-активна роля в осигуряването на мобилната екосистема.
"Има значителни предизвикателства, свързани със сигурността на телефоните и SIM картите, които могат да бъдат решени от операторите, които прилагат по-строги контроли около това кога и къде може да се смени SIM картата", предложи Беноа-Курц.
Тя казва, че индустрията трябва да работи заедно, за да въведе механизми за предотвратяване на транзакции, без да разчита на множество стъпки за валидиране на потребителя и телефона, на който е регистрирана новата SIM карта.
Например, тя казва, че някои оператори като Verizon са започнали да използват шестцифрени ПИН кодове за прехвърляне, които са необходими, преди SIM да може да бъде преместена. Но това е само още една точка от данни в транзакцията и измамниците могат да разширят своите трикове за социално инженерство, за да съберат и тази допълнителна информация.
Докато индустрията не се активизира, зависи от хората да бъдат разумни и да се предпазят от атаки за размяна на SIM карти. Един трик, който тя предлага, е да активирате многофакторно удостоверяване за вашите онлайн акаунти, като същевременно гарантирате, че един от механизмите за удостоверяване изпраща кода за потвърждение до имейл акаунт, който не е свързан с вашия телефон.
Тя също предлага да използвате ПИН на SIM картата – многоцифрен код, който въвеждате всеки път, когато телефонът ви се рестартира. „Уверете се, че използвате вградените функции за сигурност на телефона си, за да го заключите, така че да намалите риска и да защитите проактивно вашата SIM карта.“
