Key Takeaways
- Napadi zamjene SIM-a, koji se oslanjaju na lažno izdate duplikate SIM-ova, koštaju građane SAD-a preko 68 miliona dolara u 2021.
- Južna Afrika planira povezati biometriju s vlasnikom SIM-a kako bi osigurala da se duplikat SIM-a može izdati samo zakonitom vlasniku.
- Stručnjaci za kibernetičku sigurnost vjeruju da će korištenje biometrije uvesti veće rizike za privatnost, a pravo rješenje leži negdje drugdje.
Upotreba biometrije za rješavanje sigurnosnog problema možda neće pomoći u otklanjanju problema, ali će sigurno uvesti ozbiljnije brige o privatnosti, predlažu stručnjaci za kibernetičku sigurnost.
Južna Afrika je predložila prikupljanje biometrijskih podataka od ljudi kada kupuju SIM kartice kako bi se spriječili napadi zamjene SIM kartica. U ovim napadima, prevaranti traže zamjenske SIM kartice koje koriste za presretanje legitimnih jednokratnih lozinki (OTP) i autorizaciju transakcija. Prema FBI-u, ove lažne transakcije su iznosile preko 68 miliona dolara u 2021. Međutim, implikacije na privatnost prijedloga Južne Afrike ne odgovaraju stručnjacima.
"Suosjećam s provajderima koji traže način da zaustave vrlo stvarni problem zamjene SIM-a, " rekao je Tim Helming, evanđelista sigurnosti u DomainTools, za Lifewire putem e-pošte. "Ali nisam uvjeren da je [prikupljanje biometrijskih informacija] pravi odgovor."
Pogrešan pristup
Objašnjavajući opasnosti napada zamjene SIM kartica, Stephanie Benoit-Kurtz, stručnjakinja za sajber sigurnost na Univerzitetu u Phoenixu, rekla je da bi oteta SIM kartica mogla omogućiti lošim akterima da provale u gotovo sve vaše digitalne račune, od e-pošte do internet bankarstva.
Izazov oko prikupljanja biometrijskih podataka nije samo u procesu prikupljanja, već i osiguravanje tih informacija nakon što se prikupe.
Naoružani otetom SIM karticom, hakeri mogu poslati zahtjeve 'Zaboravljena lozinka' ili 'Oporavak računa' na bilo koji od vaših online naloga povezanih s vašim brojem mobilnog telefona i resetirati lozinke, u suštini otimajući vaše račune.
Nezavisna uprava za komunikacije Južne Afrike (ICASA) sada se nada da će koristiti biometriju kako bi otežala hakerima da se dočepaju duplikata SIM-a tako što će zahtijevati biometrijske podatke kako bi potvrdili identitet osobe koja je zatražila duplikat SIM-a.
"Iako je zamjena SIM kartice neosporno veliki problem, ovo bi mogao biti slučaj da je lijek gori od bolesti", naglasio je Helming.
Objasnio je da kada biometrijski podaci budu u rukama pružalaca usluga, postoji realan rizik da bi kršenje biometrijskih podataka moglo staviti u ruke napadača, koji bi ih zatim mogli zloupotrebiti na različite vrlo problematične načine.
"Izazov oko prikupljanja biometrijskih podataka nije samo u procesu prikupljanja, već i osiguravanje tih informacija nakon što se prikupe", složio se Benoit-Kurtz.
Ona vjeruje da biometrija sama po sebi ne pomaže u rješavanju problema. To je zato što loši akteri koriste različite metode da bi dobili duple SIM kartice, a izdavanje ih direktno od provajdera nije jedina opcija koja im je na raspolaganju. Zapravo, prema Benoit-Kurtz-u, postoji živo crno tržište za dobijanje duplikata aktivnih SIM-ova.
Lajanje na pogrešno drvo
Benoit-Kurtz vjeruje da operateri i proizvođači telefona moraju preuzeti aktivniju ulogu u osiguravanju mobilnog ekosistema.
"Postoje značajni izazovi povezani sa sigurnošću telefona i SIM kartica koje bi operateri mogli riješiti primjenom jače kontrole oko toga kada i gdje se SIM može promijeniti", predložio je Benoit-Kurtz.
Ona kaže da industrija treba da radi zajedno na uvođenju mehanizama za sprečavanje transakcija bez oslanjanja na više koraka za provjeru valjanosti korisnika i telefona na koji je nova SIM kartica registrirana.
Na primjer, ona kaže da su neki operateri poput Verizona počeli koristiti šestocifreni transfer PIN-ove, koji su potrebni prije nego što se SIM kartica može premjestiti. Ali to je samo još jedna tačka podataka u transakciji, a prevaranti mogu proširiti svoje trikove društvenog inženjeringa kako bi prikupili i ove dodatne informacije.
Dok se industrija ne pojača, na ljudima je da budu pametni i da se zaštite od napada zamjene SIM kartice. Jedan trik koji ona predlaže je da omogućite višefaktorsku autentifikaciju za vaše online račune, istovremeno osiguravajući da jedan od mehanizama za provjeru autentičnosti pošalje verifikacioni kod na račun e-pošte koji nije povezan s vašim telefonom.
Ona takođe predlaže korišćenje SIM PIN-a - višecifrenog koda koji unosite svaki put kada se telefon ponovo pokrene. "Pobrinite se da koristite ugrađene sigurnosne funkcije na svom telefonu da ga zaključate kako biste smanjili rizik i proaktivno zaštitili svoj SIM."
