Korištenje biometrije za sprječavanje zlouporabe SIM kartice moglo bi dovesti do većih problema

March 29, 2022
UVijesti Sigurnost Na Internetu

Napadi zamjene SIM-a, koji se oslanjaju na lažno izdane duplikate SIM-ova, koštaju građane SAD-a više od 68 milijuna dolara u 2021.
Južna Afrika planira povezati biometriju s vlasnikom SIM-a kako bi osigurala da se duplikat SIM-a može izdati samo pravom vlasniku.
Stručnjaci za kibernetičku sigurnost vjeruju da će korištenje biometrije uvesti veće rizike za privatnost, a pravo rješenje leži negdje drugdje.

Netko radi skeniranje otiska prsta radi sigurnosti biometrije. — Teera Konakan / Getty Images

Korištenje biometrije za rješavanje sigurnosnog problema možda neće pomoći u iskorjenjivanju problema, ali će zasigurno uvesti ozbiljnije brige o privatnosti, predlažu stručnjaci za kibernetičku sigurnost.

Južna Afrika je predložila prikupljanje biometrijskih podataka od ljudi kada kupuju SIM kartice kako bi se spriječili napadi zamjene SIM kartica. U tim napadima prevaranti traže zamjenske SIM kartice koje koriste za presretanje legitimnih jednokratnih lozinki (OTP) i autorizaciju transakcija. Prema FBI-ju, ove lažne transakcije su se zbrojile preko 68 milijuna dolara u 2021

. Međutim, implikacije prijedloga Južne Afrike na privatnost ne odgovaraju stručnjacima.

"Suosjećam s pružateljima usluga koji traže način da zaustave vrlo stvarni problem zamjene SIM-a", Tim Helming, sigurnosni evanđelist s DomainTools, rekao je za Lifewire putem e-pošte. "Ali nisam uvjeren da je [prikupljanje biometrijskih podataka] pravi odgovor."

Pogrešan pristup

Objašnjavajući opasnosti napada zamjene SIM-a, Stephanie Benoit-Kurtz, stručnjak za kibernetičku sigurnost na Sveučilištu Phoenix, rekao je da bi oteti SIM mogao omogućiti lošim akterima da provale u gotovo sve vaše digitalne račune, od e-pošte do internetskog bankarstva.

"Izazov oko prikupljanja biometrijskih podataka nije samo u procesu prikupljanja već i osiguravanje tih informacija nakon što se prikupe."

Naoružani otetom SIM karticom, hakeri mogu poslati zahtjeve 'Zaboravljena lozinka' ili 'Oporavak računa' bilo kojem od vaših mrežne račune povezane s vašim brojem mobilnog telefona i poništiti lozinke, u biti otimajući vaš račune.

Nezavisno komunikacijsko tijelo Južne Afrike (ICASA) sada se nada da će koristiti biometriju kako bi otežavalo hakerima da se dočepaju duplikata SIM-a zahtijevajući biometrijske podatke za provjeru identiteta osobe koja je zatražila duplikat SIM.

"Iako je zamjena SIM kartice nedvojbeno veliki problem, ovo bi mogao biti slučaj da je lijek gori od bolesti", naglasio je Helming.

Objasnio je da kada biometrijski podaci budu u rukama pružatelja usluga, postoji stvarni rizik da a kršenje bi moglo staviti biometrijske podatke u ruke napadača, koji bi ih potom mogli zloupotrijebiti u raznim vrlo problematičnim slučajevima načine.

"Izazov oko prikupljanja biometrijskih podataka nije samo u procesu prikupljanja, već i osiguravanje tih informacija nakon što se prikupe", složio se Benoit-Kurtz.

Ona vjeruje da biometrija sama po sebi ne pomaže u rješavanju problema. To je zato što loši akteri koriste različite metode za dobivanje dupliciranih SIM kartica, a njihovo izdavanje izravno od davatelja usluga nije jedina opcija koja im je na raspolaganju. Zapravo, prema Benoit-Kurtz-u, postoji živo crno tržište za dobivanje duplikata aktivnih SIM-ova.

Lajanje na krivo drvo

Benoit-Kurtz vjeruje da operateri i proizvođači telefona moraju preuzeti aktivniju ulogu u osiguravanju mobilnog ekosustava.

„Postoje značajni izazovi povezani sa sigurnošću telefona i SIM kartica koji bi se mogli riješiti operateri koji provode jače kontrole oko toga kada i gdje se SIM može promijeniti", predložio je Benoit-Kurtz.

Ona kaže da industrija treba surađivati na uvođenju mehanizama za sprječavanje transakcija bez oslanjanja na više koraka za provjeru valjanosti korisnika i telefona da je nova SIM kartica registriran.

Hrpa potpuno novih SIM kartica. — ra-fotografije / Getty Images

Na primjer, ona kaže da su neki operateri poput Verizona počeli koristiti šesteroznamenkasti prijenos PIN-ova, koji su potrebni prije nego što se SIM kartica može premjestiti. Ali to je samo još jedna podatkovna točka u transakciji, a prevaranti mogu proširiti svoje trikove društvenog inženjeringa kako bi prikupili i ove dodatne informacije.

Dok se industrija ne pojača, na ljudima je da budu pametni i zaštite se od napada zamjene SIM kartice. Jedan trik koji ona predlaže jest da omogućite višefaktorsku provjeru autentičnosti za vaše mrežne račune, istovremeno osiguravajući da mehanizama provjere autentičnosti šalje kontrolni kod na račun e-pošte koji nije povezan s vašim telefon.

Ona također predlaže korištenje SIM PIN-a — višeznamenkastog koda koji unosite svaki put kada se telefon ponovno pokrene. "Pobrinite se da koristite ugrađene sigurnosne značajke na svom telefonu da biste ga zaključali kako biste smanjili rizik i proaktivno zaštitili svoj SIM."