Atslēgas līdzņemšanai
- SIM apmaiņas uzbrukumi, kuru pamatā ir krāpnieciski izsniegtas SIM kartes dublikāti, ASV pilsoņiem 2021. gadā izmaksā vairāk nekā 68 miljonus ASV dolāru.
- Dienvidāfrika plāno saistīt biometriskos datus ar SIM kartes īpašnieku, lai nodrošinātu, ka SIM kartes dublikātu var izsniegt tikai likumīgajam īpašniekam.
- Kiberdrošības eksperti uzskata, ka biometrijas izmantošana radīs lielākus privātuma riskus, un īstais risinājums ir citur.
Biometrijas izmantošana drošības problēmas risināšanai, iespējams, nepalīdzēs novērst problēmu, taču tā noteikti radīs nopietnas bažas par privātumu, iesaka kiberdrošības eksperti.
Dienvidāfrika ir ierosinājusi vākt biometrisko informāciju no cilvēkiem, kad viņi iegādājas SIM kartes, lai novērstu SIM apmaiņas uzbrukumus. Šajos uzbrukumos krāpnieki pieprasa nomainīt SIM kartes, ko viņi izmanto, lai pārtvertu likumīgas vienreizējās paroles (OTP) un autorizētu darījumus. Saskaņā ar FIB datiem šo krāpniecisko darījumu kopējā summa 2021. gadā pārsniedza 68 miljonus ASV dolāru. Tomēr Dienvidāfrikas priekšlikuma ietekme uz privātumu ekspertiem nav piemērota.
"Es jūtu līdzi pakalpojumu sniedzējiem, kuri meklē veidu, kā apturēt ļoti reālo SIM nomaiņas problēmu," Lifewire pa e-pastu sacīja Tims Helmings, DomainTools drošības evaņģēlists. "Bet es neesmu pārliecināts, ka [biometriskās informācijas vākšana] ir pareizā atbilde."
Nepareiza pieeja
Skaidrojot SIM apmaiņas uzbrukumu briesmas, Fīniksas Universitātes kiberdrošības eksperte Stefānija Benuā-Kurca sacīja, ka nolaupīta SIM var ļaut sliktiem dalībniekiem ielauzties gandrīz visos jūsu digitālajos kontos, sākot no e-pastiem līdz tiešsaistes bankām.
Biometrisko datu vākšanas izaicinājums ir ne tikai savākšanas procesā, bet arī šīs informācijas nodrošināšanā, kad tā ir savākta.
Bruņojoties ar nolaupītu SIM karti, hakeri var nosūtīt aizmirstās paroles vai konta atkopšanas pieprasījumus uz jebkuru jūsu tiešsaistes kontu, kas saistīts ar jūsu mobilā tālruņa numuru, un atiestatīt paroles, būtībā nolaupot jūsu kontus.
Dienvidāfrikas Neatkarīgā komunikāciju iestāde (ICASA) tagad cer izmantot biometriju, lai hakeriem būtu grūtāk iegūt SIM kartes dublikātu, pieprasot biometrijas datus, lai pārbaudītu tās personas identitāti, kura pieprasa SIM kartes dublikātu..
"Lai gan SIM karšu apmaiņa nenoliedzami ir liela problēma, tas varētu būt gadījums, kad ārstēšana ir sliktāka par slimību," uzsvēra Helmings.
Viņš paskaidroja, ka tad, kad biometriskie dati nonāks pakalpojumu sniedzēju rokās, pastāv reāls risks, ka pārkāpuma rezultātā biometriskie dati var nonākt uzbrucēju rokās, kuri pēc tam varētu tos ļaunprātīgi izmantot dažādos ļoti problemātiskā veidā.
"Biometrisko datu vākšanas izaicinājums ir ne tikai savākšanas procesā, bet arī šīs informācijas nodrošināšanā, kad tā ir savākta," piekrita Benuā-Kurts.
Viņa uzskata, ka biometriskie dati vien nepalīdz atrisināt problēmu. Tas ir tāpēc, ka sliktie dalībnieki izmanto dažādas metodes, lai iegūtu SIM karšu dublikātus, un to izsniegšana tieši no pakalpojumu sniedzēja nav vienīgā viņu rīcībā esošā iespēja. Patiesībā, saskaņā ar Benuā-Kurtsa teikto, aktīvo SIM karšu dublikātu iegūšanai pastāv dinamisks melnais tirgus.
Nepareizā koka riešana
Benoits-Kurts uzskata, ka mobilo sakaru operatoriem un tālruņu ražotājiem ir jāuzņemas aktīvāka loma mobilās ekosistēmas nodrošināšanā.
"Ir nozīmīgas problēmas, kas saistītas ar tālruņu un SIM karšu drošību, ko varētu atrisināt mobilo sakaru operatori, ieviešot stingrāku kontroli attiecībā uz to, kad un kur var mainīt SIM karti," ieteica Benuā-Kurts.
Viņa saka, ka nozarei ir jāsadarbojas, lai ieviestu mehānismus darījumu novēršanai, nepaļaujoties uz vairākām darbībām, lai pārbaudītu lietotāju un tālruni, kurā tiek reģistrēta jaunā SIM karte.
Piemēram, viņa saka, ka daži mobilo sakaru operatori, piemēram, Verizon, ir sākuši izmantot sešciparu pārsūtīšanas PIN, kas ir nepieciešami pirms SIM kartes pārvietošanas. Taču tas ir tikai vēl viens datu punkts darījumā, un krāpnieki var paplašināt savus sociālās inženierijas trikus, lai apkopotu arī šo papildu informāciju.
Kamēr nozare nepalielināsies, cilvēkiem ir jābūt gudriem un jāaizsargājas pret SIM apmaiņas uzbrukumiem. Viens no viņas ieteiktajiem trikiem ir iespējot vairāku faktoru autentifikāciju jūsu tiešsaistes kontiem, vienlaikus nodrošinot, ka viens no autentifikācijas mehānismiem nosūta verifikācijas kodu uz e-pasta kontu, kas nav savienots ar jūsu tālruni.
Viņa arī iesaka izmantot SIM PIN - daudzciparu kodu, ko ievadāt katru reizi, kad tālrunis restartējas. "Pārliecinieties, ka izmantojat tālrunī iebūvētos drošības līdzekļus, lai to bloķētu, lai samazinātu risku un proaktīvi aizsargātu SIM karti."