Biometriikan käyttö SIM-kortin väärinkäytön estämiseen voi aiheuttaa suurempia ongelmia

March 29, 2022
SisäänUutiset Internet Turvallisuus

SIM-swap-hyökkäykset, jotka perustuvat vilpillisesti myönnettyihin kaksois-SIM-kortteihin, maksavat Yhdysvaltain kansalaisille yli 68 miljoonaa dollaria vuonna 2021.
Etelä-Afrikka aikoo liittää biometriset tiedot SIM-kortin omistajaan varmistaakseen, että SIM-kortin kaksoiskappale voidaan myöntää vain lailliselle omistajalle.
Kyberturvallisuusasiantuntijat uskovat, että biometristen tietojen käyttö lisää tietosuojariskejä, ja todellinen ratkaisu on muualla.

Joku tekee sormenjälkien skannauksen biometristen tietojen turvallisuuden vuoksi. — Teera Konakan / Getty Images

Biometristen tietojen käyttäminen tietoturvaongelman ratkaisemiseen ei ehkä auta poistamaan ongelmaa, mutta se aiheuttaa varmasti vakavampia tietosuojaongelmia, ehdottavat kyberturvallisuusasiantuntijat.

Etelä-Afrikka on ehdottanut keräämällä biometrisiä tietoja ihmisiltä, kun he ostavat SIM-kortteja SIM-korttien vaihtohyökkäysten estämiseksi. Näissä hyökkäyksissä huijarit pyytävät korvaavia SIM-kortteja, joita he käyttävät siepatakseen laillisia kertaluonteisia salasanoja (OTP) ja valtuuttaakseen tapahtumia. FBI: n mukaan nämä petolliset liiketoimet olivat yhteensä

yli 68 miljoonaa dollaria vuonna 2021. Etelä-Afrikan ehdotuksen yksityisyyteen liittyvät vaikutukset eivät kuitenkaan sovi asiantuntijoille.

"Olen myötätuntoisia palveluntarjoajia kohtaan, jotka etsivät tapaa lopettaa SIM-kortin vaihtamisen todellinen ongelma." Tim Helming, turvallisuusevankelista DomainTools, kertoi Lifewirelle sähköpostitse. "Mutta en ole vakuuttunut siitä, että [biometristen tietojen kerääminen] on oikea vastaus."

Väärä lähestymistapa

SIM-swap-hyökkäysten vaarojen selittäminen, Stephanie Benoit-Kurtz, Phoenixin yliopiston kyberturvallisuusasiantuntija, sanoi, että kaapatun SIM-kortin avulla huonot toimijat voivat murtautua käytännössä kaikille digitaalisille tileillesi sähköpostista verkkopankkiin.

"Biometristen tietojen keräämisen haaste ei ole vain keräysprosessissa, vaan tietojen turvaamisessa sen jälkeen, kun ne on kerätty."

Kaapatulla SIM-kortilla varustetut hakkerit voivat lähettää "Unohtunut salasana"- tai "tilin palautus" -pyyntöjä mihin tahansa matkapuhelinnumeroosi liittyvät online-tilit ja nollaa salasanat, mikä käytännössä kaappaa sinun tilit.

Etelä-Afrikan riippumaton viestintäviranomainen (ICASA) toivoo nyt voivansa käyttää biometriikkaa vaikeuttaakseen hakkereiden toimintaa saada käsiinsä kaksois-SIM vaatimalla biometrisiä tietoja kopiota pyytävän henkilön henkilöllisyyden varmistamiseksi SIM.

"Vaikka SIM-kortin vaihto on kiistatta suuri ongelma, tämä voi olla tapaus, jossa parannuskeino on sairautta pahempi", Helming painotti.

Hän selitti, että kun biometriset tiedot ovat palveluntarjoajien käsissä, on olemassa todellinen riski, että a Rikkomus voi asettaa biometriset tiedot hyökkääjien käsiin, jotka voivat sitten käyttää niitä väärin erilaisissa erittäin ongelmallisissa tavoilla.

"Biometristen tietojen keräämisen haaste ei ole vain keräysprosessissa, vaan tietojen turvaamisessa, kun ne on kerätty", Benoit-Kurtz myönsi.

Hän uskoo, että biometriset tiedot eivät yksin auta ratkaisemaan ongelmaa. Tämä johtuu siitä, että huonot toimijat käyttävät useita tapoja hankkia päällekkäisiä SIM-kortteja, ja niiden myöntäminen suoraan palveluntarjoajalta ei ole ainoa heidän käytettävissään oleva vaihtoehto. Itse asiassa Benoit-Kurtzin mukaan aktiivisten SIM-korttien kaksoiskappaleiden hankinnassa on vilkas musta markkina.

Haukkua väärää puuta

Benoit-Kurtz uskoo, että operaattoreiden ja puhelinvalmistajien on otettava aktiivisempi rooli mobiiliekosysteemin turvaamisessa.

"Puhelinten ja SIM-korttien turvallisuuteen liittyy merkittäviä haasteita, jotka voitaisiin ratkaista operaattorit ottavat käyttöön vahvemman valvonnan sen suhteen, milloin ja missä SIM-kortti voidaan vaihtaa", ehdotti Benoit-Kurtz.

Hän sanoo, että alan on työskenneltävä yhdessä ottaakseen käyttöön mekanismeja transaktioiden estämiseksi luottamatta useisiin vaiheisiin uuden SIM-kortin vahvistamiseksi käyttäjän ja puhelimen osalta rekisteröity.

Kasa upouusia SIM-kortteja. — ra-photos / Getty Images

Hän esimerkiksi sanoo, että jotkut operaattorit, kuten Verizon, ovat alkaneet käyttää kuusinumeroisia siirto-PIN-koodeja, joita tarvitaan ennen SIM-kortin siirtämistä. Mutta se on vain yksi lisätietopiste tapahtumassa, ja huijarit voivat laajentaa sosiaalisen manipuloinnin temppujaan kerätäkseen myös nämä lisätiedot.

Ennen kuin teollisuus tehostaa toimintaansa, ihmisten on oltava taitavia ja suojautua SIM-vaihtohyökkäyksiltä. Yksi hänen ehdottamansa temppu on ottaa käyttöön monitekijäinen todennus verkkotileillesi varmistaen samalla, että se on yksi todennusmekanismeista lähettää vahvistuskoodin sähköpostitiliin, jota ei ole yhdistetty tiliisi puhelin.

Hän ehdottaa myös SIM-kortin PIN-koodin käyttöä – moninumeroista koodia, jonka annat aina, kun puhelin käynnistyy uudelleen. "Varmista, että käytät puhelimesi sisäänrakennettuja suojausominaisuuksia sen lukitsemiseen, jotta voit vähentää riskiäsi ja suojata SIM-korttisi ennakoivasti."