Keeawayt
- SIM-korttien vaihtohyökkäykset, jotka perustuvat vilpillisesti myönnettyihin päällekkäisiin SIM-kortteihin, maksavat Yhdysv altain kansalaisille yli 68 miljoonaa dollaria vuonna 2021.
- Etelä-Afrikka aikoo liittää biometriset tiedot SIM-kortin omistajaan varmistaakseen, että SIM-kortin kaksoiskappale voidaan myöntää vain lailliselle omistajalle.
- Kyberturvallisuusasiantuntijat uskovat, että biometristen tietojen käyttö lisää tietosuojariskejä, ja todellinen ratkaisu on muualla.
Biometristen tietojen käyttäminen tietoturvaongelman ratkaisemiseen ei ehkä auta poistamaan ongelmaa, mutta se aiheuttaa varmasti vakavampia tietosuojaongelmia, ehdottavat kyberturvallisuusasiantuntijat.
Etelä-Afrikka on ehdottanut biometristen tietojen keräämistä ihmisiltä, kun he ostavat SIM-kortteja SIM-korttien vaihtohyökkäysten estämiseksi. Näissä hyökkäyksissä huijarit pyytävät korvaavia SIM-kortteja, joita he käyttävät siepatakseen laillisia kertaluonteisia salasanoja (OTP) ja v altuuttaakseen tapahtumia. FBI:n mukaan näiden vilpillisten liiketoimien yhteisarvo oli yli 68 miljoonaa dollaria vuonna 2021. Etelä-Afrikan ehdotuksen yksityisyyteen liittyvät vaikutukset eivät kuitenkaan sovi asiantuntijoille.
"Olen myötätuntoisia palveluntarjoajia, jotka etsivät tapaa lopettaa SIM-kortin vaihtamisen todellinen ongelma", Tim Helming, DomainToolsin turvallisuusevankelista, kertoi Lifewirelle sähköpostitse. "Mutta en ole vakuuttunut siitä, että [biometristen tietojen kerääminen] on oikea vastaus."
Väärä lähestymistapa
Biometristen tietojen keräämisen haaste ei ole vain keruuprosessissa, vaan tietojen turvaamisessa, kun ne on kerätty.
Kaapatun SIM-kortin avulla hakkerit voivat lähettää "Unohtunut salasana"- tai "tilin palautus" -pyyntöjä mille tahansa matkapuhelinnumeroosi liitetylle online-tilille ja nollata salasanat, mikä käytännössä kaappaa tilisi.
Etelä-Afrikan riippumaton viestintäviranomainen (ICASA) toivoo nyt voivansa käyttää biometrisiä tietoja, jotta hakkereiden on vaikeampaa saada käsiinsä kaksois-SIM, koska se vaatii biometrisiä tietoja SIM-kopiota pyytävän henkilön henkilöllisyyden tarkistamiseksi..
"Vaikka SIM-kortin vaihtaminen on kiistatta suuri ongelma, tämä voi olla tapaus, jossa parannuskeino on pahempi kuin sairaus", painotti Helming.
Hän selitti, että kun biometriset tiedot ovat palveluntarjoajien käsissä, on olemassa todellinen riski, että tietomurron seurauksena biometriset tiedot joutuvat hyökkääjien käsiin, jotka voivat sitten käyttää niitä väärin useilla erittäin ongelmallisilla tavoilla.
"Biometristen tietojen keräämisen haaste ei ole vain keräysprosessissa, vaan tietojen turvaamisessa, kun ne on kerätty", myönsi Benoit-Kurtz.
Hän uskoo, että biometriset tiedot eivät yksin auta ratkaisemaan ongelmaa. Tämä johtuu siitä, että huonot toimijat käyttävät useita tapoja hankkia päällekkäisiä SIM-kortteja, ja niiden myöntäminen suoraan palveluntarjoaj alta ei ole ainoa heidän käytettävissään oleva vaihtoehto. Itse asiassa Benoit-Kurtzin mukaan aktiivisten SIM-korttien kaksoiskappaleiden hankinnassa on vilkas musta markkina.
Väärän puun haukkuminen
Benoit-Kurtz uskoo, että operaattorien ja puhelinvalmistajien on otettava aktiivisempi rooli mobiiliekosysteemin turvaamisessa.
"Puhelinten ja SIM-korttien turvallisuuteen liittyy merkittäviä haasteita, jotka operaattorit voisivat ratkaista ottamalla käyttöön vahvemman valvonnan sen suhteen, milloin ja missä SIM-kortti voidaan vaihtaa", Benoit-Kurtz ehdotti.
Hän sanoo, että alan on työskenneltävä yhdessä ottaakseen käyttöön mekanismeja, joilla estetään tapahtumat turvautumatta useisiin vaiheisiin käyttäjän ja puhelimen validoimiseksi, johon uusi SIM-kortti rekisteröidään.
Hän esimerkiksi sanoo, että jotkin operaattorit, kuten Verizon, ovat alkaneet käyttää kuusinumeroisia siirto-PIN-koodeja, joita tarvitaan ennen kuin SIM-korttia voidaan siirtää. Mutta tämä on vain yksi lisätieto tapahtumassa, ja huijarit voivat laajentaa manipulointitemppujaan kerätäkseen myös nämä lisätiedot.
Kunnes teollisuus tehoaa, ihmisten on oltava taitavia ja suojautua SIM-vaihtohyökkäyksiltä. Yksi hänen ehdottamansa temppu on ottaa käyttöön verkkotileillesi monivaiheinen todennus ja varmistaa samalla, että jokin todennusmekanismeista lähettää vahvistuskoodin sähköpostitiliin, jota ei ole yhdistetty puhelimeesi.
Hän ehdottaa myös SIM-kortin PIN-koodin käyttöä. Tämä on moninumeroinen koodi, jonka annat aina, kun puhelin käynnistyy uudelleen. "Varmista, että käytät puhelimesi sisäänrakennettuja suojausominaisuuksia sen lukitsemiseen, jotta voit vähentää riskiäsi ja suojata SIM-korttisi ennakoivasti."