Kľúčové poznatky
- Útoky na výmenu SIM kariet, ktoré sa spoliehajú na podvodne vydané duplicitné karty SIM, stoja občanov USA v roku 2021 viac ako 68 miliónov dolárov.
- Južná Afrika plánuje priradiť biometrické údaje k vlastníkovi SIM karty, aby sa zabezpečilo, že duplikát SIM karty bude možné vydať iba právoplatnému vlastníkovi.
- Odborníci na kybernetickú bezpečnosť sa domnievajú, že používanie biometrie prinesie väčšie riziká pre súkromie a skutočné riešenie je niekde inde.
Používanie biometrických údajov na vyriešenie bezpečnostného problému nemusí pomôcť odstrániť problém, ale určite prinesie vážnejšie obavy o súkromie, navrhujú odborníci na kybernetickú bezpečnosť.
Južná Afrika navrhla zhromažďovanie biometrických informácií od ľudí pri nákupe SIM kariet, aby zabránila útokom na výmenu SIM kariet. Pri týchto útokoch podvodníci požadujú výmenu SIM kariet, ktoré používajú na zachytenie legitímnych jednorazových hesiel (OTP) a autorizáciu transakcií. Podľa FBI dosiahli tieto podvodné transakcie v roku 2021 celkovo viac ako 68 miliónov dolárov. Dôsledky návrhu Juhoafrickej republiky na súkromie však expertom nesedia.
„Súcitím s poskytovateľmi, ktorí hľadajú spôsob, ako zastaviť skutočný problém výmeny SIM kariet,“povedal pre Lifewire e-mailom Tim Helming, bezpečnostný evanjelizátor z DomainTools. "Ale nie som presvedčený, že [zbieranie biometrických informácií] je správna odpoveď."
Chybný prístup
Stephanie Benoit-Kurtz, expertka na kybernetickú bezpečnosť z University of Phoenix, vysvetlila nebezpečenstvo útokov výmeny SIM kariet a povedala, že unesená SIM karta by mohla zlým hráčom umožniť preniknúť do prakticky všetkých vašich digitálnych účtov, od e-mailov po online bankovníctvo.
Výzva okolo zhromažďovania biometrických údajov nespočíva len v procese zberu, ale aj v zabezpečení týchto informácií po ich zozbieraní.
Vyzbrojení ukradnutou SIM kartou môžu hackeri posielať žiadosti „Zabudnuté heslo“alebo „Obnovenie účtu“na ktorýkoľvek z vašich online účtov priradených k vášmu mobilnému číslu a resetovať heslá, čím v podstate ukradnú vaše účty.
Independent Communications Authority of South Africa (ICASA) teraz dúfa, že pomocou biometrie sťaží hackerom získať duplicitnú SIM kartu tým, že bude vyžadovať biometrické údaje na overenie identity osoby žiadajúcej o duplikát SIM karty.
„Zatiaľ čo výmena SIM karty je nepopierateľne veľkým problémom, môže to byť prípad, keď je liečba horšia ako choroba,“zdôraznil Helming.
Vysvetlil, že akonáhle sú biometrické údaje v rukách poskytovateľov služieb, existuje reálne riziko, že ich porušenie by mohlo dostať biometrické údaje do rúk útočníkov, ktorí by ich potom mohli zneužiť rôznymi vysoko problematickými spôsobmi.
„Výzva týkajúca sa zberu biometrických údajov nespočíva len v procese zberu, ale aj v zabezpečení týchto informácií po ich zozbieraní,“súhlasil Benoit-Kurtz.
Verí, že samotná biometria nepomôže vyriešiť tento problém. Je to preto, že zlí aktéri používajú rôzne metódy na získanie duplicitných SIM kariet a nechať si ich vydať priamo od poskytovateľa služieb nie je jedinou možnosťou, ktorú majú k dispozícii. Podľa Benoita-Kurtza v skutočnosti existuje živý čierny trh na získanie duplikátov aktívnych SIM kariet.
Štekanie nesprávneho stromu
Benoit-Kurtz je presvedčený, že operátori a výrobcovia telefónov musia prevziať aktívnejšiu úlohu pri zabezpečovaní mobilného ekosystému.
„S bezpečnosťou telefónov a SIM kariet sú spojené významné výzvy, ktoré by mohli vyriešiť operátori implementovaním prísnejších kontrol, kedy a kde je možné SIM kartu vymeniť,“navrhol Benoit-Kurtz.
Hovorí, že odvetvie musí spolupracovať na zavedení mechanizmov na zabránenie transakciám bez spoliehania sa na viacero krokov na overenie používateľa a telefónu, na ktorý sa nová SIM karta registruje.
Povedala napríklad, že niektorí operátori, ako je Verizon, začali používať šesťmiestne prenosové kódy PIN, ktoré sú potrebné pred presunom SIM karty. Ale to je len jeden ďalší dátový bod v transakcii a podvodníci môžu rozšíriť svoje triky sociálneho inžinierstva, aby získali aj tieto dodatočné informácie.
Kým sa odvetvie nezvýši, je na ľuďoch, aby boli dôvtipní a chránili sa pred útokmi na výmenu SIM kariet. Jeden trik, ktorý navrhuje, je povoliť viacfaktorové overenie pre vaše online účty a zároveň zabezpečiť, aby jeden z overovacích mechanizmov odoslal overovací kód na e-mailový účet, ktorý nie je pripojený k vášmu telefónu.
Navrhuje tiež použiť PIN SIM karty – viacmiestny kód, ktorý zadávate pri každom reštartovaní telefónu. „Uistite sa, že na uzamknutie telefónu používate vstavané bezpečnostné funkcie, aby ste znížili riziko a proaktívne chránili svoju SIM kartu.“