Kulcs elvitelek
- A SIM-kártya-csere támadások, amelyek csalárd módon kibocsátott duplikált SIM-kártyákon alapulnak, 2021-ben több mint 68 millió dollárba kerülnek az amerikai állampolgároknak.
- Dél-Afrika azt tervezi, hogy társítja a biometrikus adatokat a SIM-kártya tulajdonosához, hogy biztosítsa, hogy a SIM-kártya másolatát csak a jogos tulajdonosnak lehessen kiállítani.
- A kiberbiztonsági szakértők úgy vélik, hogy a biometrikus adatok használata nagyobb adatvédelmi kockázatot jelent, és az igazi megoldás máshol van.
Biometrikus adatok használata egy biztonsági probléma megoldására nem biztos, hogy segít a probléma felszámolásában, de az biztos, hogy súlyosabb adatvédelmi aggályokat vet fel – javasolják a kiberbiztonsági szakértők.
Dél-Afrika azt javasolta, hogy biometrikus adatokat gyűjtsenek az emberektől, amikor SIM-kártyákat vásárolnak, hogy megakadályozzák a SIM-csere támadásait. Ezekben a támadásokban a csalók csere SIM-kártyákat kérnek, amelyeket a jogos egyszeri jelszavak (OTP) elfogására és a tranzakciók engedélyezésére használnak. Az FBI szerint ezek a csalárd tranzakciók összértéke meghaladta a 68 millió dollárt 2021-ben. Dél-Afrika javaslatának adatvédelmi vonatkozásai azonban nem tetszenek a szakértőknek.
"Együttérzek azokkal a szolgáltatókkal, akik keresik a módját, hogy megállítsák a SIM-kártya-csere nagyon is valós problémáját" - mondta Tim Helming, a DomainTools biztonsági evangélistája a Lifewire-nek e-mailben. "De nem vagyok meggyőződve arról, hogy [a biometrikus adatok gyűjtése] a helyes válasz."
Rossz megközelítés
A SIM-csere-támadások veszélyeit magyarázva Stephanie Benoit-Kurtz, a Phoenix Egyetem kiberbiztonsági szakértője elmondta, hogy egy eltérített SIM-kártya lehetővé teheti a rossz szereplők számára, hogy gyakorlatilag az összes digitális fiókjába betörjenek, az e-mailektől az online banki szolgáltatásokig.
A biometrikus adatok gyűjtése körüli kihívás nem csak a gyűjtési folyamatban rejlik, hanem az adatok gyűjtése utáni biztonságban is.
A feltört SIM-kártyával felvértezve a hackerek „Elfelejtett jelszó” vagy „Fiók-helyreállítás” kéréseket küldhetnek a mobiltelefonszámához társított bármely online fiókjába, és visszaállíthatják a jelszavakat, lényegében eltérítve a fiókokat.
A Dél-afrikai Független Kommunikációs Hatóság (ICASA) azt reméli, hogy biometrikus adatokkal megnehezíti a hackerek kezébe a SIM-másolat megkettőzését azáltal, hogy biometrikus adatokat kér a SIM-másolatot kérő személy kilétének ellenőrzéséhez..
"Bár a SIM-kártya cseréje tagadhatatlanul komoly probléma, ez egy olyan eset, amikor a gyógyítás rosszabb, mint a betegség" - hangsúlyozta Helming.
Elmagyarázta, hogy amint a biometrikus adatok a szolgáltatók kezébe kerülnek, fennáll annak a veszélye, hogy egy incidens a támadók kezébe kerülhet, akik aztán különféle, rendkívül problémás módon visszaélhetnek velük.
"A biometrikus adatok gyűjtése körüli kihívás nem csak a gyűjtési folyamatban rejlik, hanem az adatok gyűjtése utáni biztonságban is" - értett egyet Benoit-Kurtz.
Úgy véli, hogy a biometrikus adatok önmagukban nem segítik a probléma megoldását. Ennek az az oka, hogy a rossz szereplők többféle módszert alkalmaznak a duplikált SIM-kártyák beszerzésére, és nem az egyetlen lehetőség, hogy közvetlenül a szolgáltatótól állítsák ki őket. Benoit-Kurtz szerint valójában élénk feketepiac van az aktív SIM-kártyák másolatainak beszerzésében.
Ugatás a rossz fáról
Benoit-Kurtz úgy véli, hogy a szolgáltatóknak és a telefongyártóknak aktívabb szerepet kell vállalniuk a mobil ökoszisztéma biztosításában.
"A telefonok és a SIM-kártyák biztonságával kapcsolatban jelentős kihívások merülnek fel, amelyeket meg lehetne oldani, ha a szolgáltatók szigorúbb szabályozást vezetnének be a SIM-kártya cseréjének idejére és helyére" - javasolta Benoit-Kurtz.
Azt mondja, hogy az iparágnak együtt kell működnie olyan mechanizmusok bevezetésén, amelyek megakadályozzák a tranzakciókat anélkül, hogy több lépésre kellene támaszkodniuk a felhasználó és a telefon érvényesítéséhez, amelyre az új SIM-kártyát regisztrálják.
Például azt mondja, hogy egyes szolgáltatók, mint például a Verizon, elkezdték használni a hatjegyű átviteli PIN-kódokat, amelyek szükségesek a SIM-kártya áthelyezése előtt. De ez csak egy újabb adatpont a tranzakcióban, és a csalók kibővíthetik szociális tervezési trükkjeit, hogy begyűjtsék ezeket a további információkat is.
Amíg az iparág fel nem lép, az embereken múlik, hogy hozzáértőek legyenek, és megvédjék magukat a SIM-csere támadásaival szemben. Az egyik trükköt javasolja, hogy engedélyezze online fiókjaiban a többtényezős hitelesítést, miközben gondoskodik arról, hogy az egyik hitelesítési mechanizmus elküldje az ellenőrző kódot egy olyan e-mail fiókra, amely nem kapcsolódik a telefonjához.
Azt is javasolja, hogy használjon egy SIM PIN-kódot – egy többjegyű kódot, amelyet minden alkalommal megad, amikor a telefon újraindul. "Győződjön meg arról, hogy a telefon beépített biztonsági funkcióit használja a zároláshoz, így csökkentheti kockázatát és proaktívan védheti SIM-kártyáját."
