Recomandări cheie
- Atacul de schimb de SIM, care se bazează pe SIM-uri duplicate emise în mod fraudulos, costă cetățenii americani peste 68 de milioane USD în 2021.
- Africa de Sud intenționează să asocieze datele biometrice cu proprietarul unui SIM pentru a se asigura că un SIM duplicat poate fi eliberat numai proprietarului de drept.
- Experții în securitate cibernetică cred că utilizarea biometrică va introduce riscuri mai mari de confidențialitate, iar soluția reală se află în altă parte.
Folosirea datelor biometrice pentru a rezolva o problemă de securitate ar putea să nu ajute la eradicarea problemei, dar cu siguranță va introduce probleme mai grave de confidențialitate, sugerează experții în securitate cibernetică.
Africa de Sud a propus colectarea de informații biometrice de la oameni atunci când achiziționează carduri SIM pentru a contracara atacurile de schimb SIM. În aceste atacuri, escrocii solicită înlocuirea cardurilor SIM pe care le folosesc pentru a intercepta parolele unice (OTP) legitime și pentru a autoriza tranzacțiile. Potrivit FBI, aceste tranzacții frauduloase au totalizat peste 68 de milioane USD în 2021. Cu toate acestea, implicațiile privind confidențialitatea propunerii Africii de Sud nu se potrivesc experților.
„Compatibilesc cu furnizorii care caută o modalitate de a opri problema foarte reală a schimbului de SIM”, a declarat Tim Helming, evanghelist în domeniul securității la DomainTools, pentru Lifewire prin e-mail. „Dar nu sunt convins că [colectarea informațiilor biometrice] este răspunsul corect.”
Abordare greșită
Explicând pericolele atacurilor de schimb de SIM, Stephanie Benoit-Kurtz, expert în securitate cibernetică la Universitatea din Phoenix, a spus că un SIM deturnat ar putea permite actorilor răi să pătrundă în aproape toate conturile dvs. digitale, de la e-mailuri la servicii bancare online.
Provocarea culegerii datelor biometrice nu constă numai în procesul de colectare, ci și în asigurarea acestor informații odată ce acestea au fost colectate.
Înarmați cu un SIM deturnat, hackerii pot trimite solicitări „Parola uitată” sau „Recuperarea contului” către oricare dintre conturile dvs. online asociate cu numărul dvs. de telefon mobil și pot reseta parolele, în esență, deturnându-vă conturile.
Autoritatea Independentă de Comunicații din Africa de Sud (ICASA) speră acum să folosească biometria pentru a îngreuna hackerii să pună mâna pe un SIM duplicat, solicitând date biometrice pentru a verifica identitatea persoanei care solicită SIM-ul duplicat.
„În timp ce schimbarea SIM este, fără îndoială, o problemă majoră, acesta ar putea fi un caz în care vindecarea este mai gravă decât boala”, a subliniat Helming.
El a explicat că, odată ce datele biometrice sunt în mâinile furnizorilor de servicii, există un risc real ca o încălcare să pună datele biometrice în mâinile atacatorilor, care apoi le-ar putea abuza în diferite moduri extrem de problematice.
„Provocarea culegerii datelor biometrice nu constă numai în procesul de colectare, ci și în asigurarea acestor informații odată ce acestea au fost colectate”, a fost de acord Benoit-Kurtz.
Ea crede că biometria singură nu ajută la rezolvarea problemei în primul rând. Acest lucru se datorează faptului că actorii răi folosesc o varietate de metode pentru a obține carduri SIM duplicate, iar emiterea acestora direct de la furnizorul de servicii nu este singura opțiune pe care o au la dispoziție. De fapt, potrivit lui Benoit-Kurtz, există o piață neagră vibrantă pentru obținerea de duplicate ale SIM-urilor active.
Lătrat în copacul greșit
Benoit-Kurtz consideră că operatorii și producătorii de telefoane trebuie să își asume un rol mai activ în securizarea ecosistemului mobil.
„Există provocări semnificative asociate cu securitatea telefoanelor și a cartelelor SIM, care ar putea fi rezolvate de operatori care implementează controale mai puternice privind momentul și unde poate fi schimbat un SIM”, a sugerat Benoit-Kurtz.
Ea spune că industria trebuie să colaboreze pentru a introduce mecanisme de prevenire a tranzacțiilor fără a se baza pe mai mulți pași pentru a valida utilizatorul și telefonul la care este înregistrat noul SIM.
De exemplu, ea spune că unii operatori precum Verizon au început să folosească coduri PIN de transfer din șase cifre, care sunt necesare înainte ca un SIM să poată fi mutat. Dar acesta este doar un alt punct de date în tranzacție, iar escrocii își pot extinde trucurile de inginerie socială pentru a aduna și aceste informații suplimentare.
Până când industria va crește, depinde de oameni să fie pricepuți și să se protejeze împotriva atacurilor de schimb SIM. Un truc pe care îl sugerează este să activați autentificarea cu mai mulți factori pentru conturile dvs. online, asigurându-vă în același timp că unul dintre mecanismele de autentificare trimite codul de verificare la un cont de e-mail care nu este conectat la telefonul dvs.
Ea sugerează, de asemenea, să utilizați un PIN SIM - un cod din mai multe cifre pe care îl introduceți de fiecare dată când telefonul vă repornește. „Asigurați-vă că utilizați funcțiile de securitate încorporate pe telefon pentru a-l bloca, astfel încât să vă puteți reduce riscul și să vă protejați în mod proactiv SIM-ul.”