Ključni podaci za van
- SIM swap napadi, koji se oslanjaju na lažno izdane duplicirane SIM kartice, koštaju građane SAD-a preko 68 milijuna dolara u 2021.
- Južna Afrika planira povezati biometriju s vlasnikom SIM-a kako bi osigurala da se duplikat SIM-a može izdati samo pravom vlasniku.
- Stručnjaci za kibernetičku sigurnost vjeruju da će korištenje biometrije uvesti veće rizike za privatnost, a pravo rješenje leži negdje drugdje.
Korištenje biometrije za rješavanje sigurnosnog problema možda neće pomoći u iskorjenjivanju problema, ali će sigurno dovesti do ozbiljnijih problema u vezi s privatnošću, predlažu stručnjaci za kibernetičku sigurnost.
Južna Afrika je predložila prikupljanje biometrijskih podataka od ljudi kada kupuju SIM kartice kako bi se spriječili napadi zamjene SIM kartica. U tim napadima prevaranti traže zamjenske SIM kartice koje koriste za presretanje legitimnih jednokratnih lozinki (OTP) i autorizaciju transakcija. Prema FBI-u, te lažne transakcije ukupno su iznosile preko 68 milijuna dolara u 2021. Međutim, implikacije južnoafričkog prijedloga na privatnost ne sviđaju se stručnjacima.
"Suosjećam s pružateljima koji traže način da zaustave vrlo stvaran problem zamjene SIM kartica," rekao je Tim Helming, evangelist sigurnosti s DomainTools, za Lifewire putem e-pošte. "Ali nisam uvjeren da je [prikupljanje biometrijskih podataka] pravi odgovor."
Pogrešan pristup
Objašnjavajući opasnosti napada zamjene SIM kartica, Stephanie Benoit-Kurtz, stručnjakinja za kibernetičku sigurnost na Sveučilištu u Phoenixu, rekla je da oteta SIM kartica može omogućiti lošim akterima da provale u gotovo sve vaše digitalne račune, od e-pošte do internetskog bankarstva.
Izazov oko prikupljanja biometrijskih podataka nije samo u procesu prikupljanja, već i u osiguravanju tih informacija nakon što se prikupe.
Naoružani otetom SIM karticom, hakeri mogu slati zahtjeve 'Zaboravljena lozinka' ili 'Oporavak računa' na bilo koji od vaših online računa povezanih s vašim brojem mobilnog telefona i poništiti lozinke, u biti otimajući vaše račune.
Nezavisno tijelo za komunikacije Južne Afrike (ICASA) sada se nada upotrijebiti biometriju kako bi hakerima otežali dolazak do duplikata SIM-a zahtijevajući biometrijske podatke za provjeru identiteta osobe koja traži duplikat SIM-a.
"Iako je zamjena SIM kartice nedvojbeno veliki problem, ovo bi mogao biti slučaj da je lijek gori od bolesti", naglasio je Helming.
Objasnio je da kada biometrijski podaci dođu u ruke davatelja usluga, postoji realan rizik da bi provala mogla staviti biometrijske podatke u ruke napadača, koji bi ih zatim mogli zloupotrijebiti na razne vrlo problematične načine.
"Izazov oko prikupljanja biometrijskih podataka nije samo u procesu prikupljanja, već i u osiguravanju tih informacija nakon što se prikupe," složio se Benoit-Kurtz.
Ona vjeruje da sama biometrija ne pomaže u rješavanju problema. To je zato što loši akteri koriste razne metode za dobivanje dupliciranih SIM kartica, a njihovo izdavanje izravno od davatelja usluga nije jedina opcija koja im je na raspolaganju. Zapravo, prema Benoit-Kurtz-u, postoji živopisno crno tržište za dobivanje duplikata aktivnih SIM kartica.
Lajanje na krivo drvo
Benoit-Kurtz vjeruje da operateri i proizvođači telefona moraju preuzeti aktivniju ulogu u osiguravanju mobilnog ekosustava.
"Postoje značajni izazovi povezani sa sigurnošću telefona i SIM kartica koji bi se mogli riješiti tako da operateri provode jače kontrole oko toga kada i gdje se SIM može promijeniti, " predložio je Benoit-Kurtz.
Ona kaže da industrija mora raditi zajedno na uvođenju mehanizama za sprječavanje transakcija bez oslanjanja na višestruke korake za provjeru valjanosti korisnika i telefona na koji je nova SIM kartica registrirana.
Na primjer, ona kaže da su neki operateri poput Verizona počeli koristiti šesteroznamenkasti PIN-ove za prijenos, koji su potrebni prije premještanja SIM kartice. Ali to je samo još jedna podatkovna točka u transakciji, a prevaranti mogu proširiti svoje trikove društvenog inženjeringa kako bi prikupili i ove dodatne informacije.
Dok se industrija ne pokrene, na ljudima je da budu pametni i zaštite se od napada zamjenom SIM kartice. Jedan od trikova koji ona predlaže jest omogućiti višefaktorsku autentifikaciju za vaše mrežne račune, istovremeno osiguravajući da jedan od mehanizama autentifikacije šalje kontrolni kod na račun e-pošte koji nije povezan s vašim telefonom.
Također predlaže korištenje SIM PIN-a - višeznamenkastog koda koji unosite svaki put kada se telefon ponovno pokrene. "Provjerite koristite li ugrađene sigurnosne značajke na svom telefonu da biste ga zaključali kako biste smanjili rizik i proaktivno zaštitili svoj SIM."
