Biometrinių duomenų naudojimas siekiant užkirsti kelią piktnaudžiavimui SIM kortele gali sukelti didesnių problemų

March 29, 2022
ĮŽinios Interneto Apsauga

SIM keitimo atakos, kurios remiasi apgaule išduotomis pasikartojančiomis SIM kortelėmis, 2021 m. JAV piliečiams kainuoja daugiau nei 68 mln.
Pietų Afrika planuoja susieti biometrinius duomenis su SIM savininku, kad būtų užtikrinta, jog dublikatas SIM gali būti išduotas tik teisėtam savininkui.
Kibernetinio saugumo ekspertai mano, kad biometrinių duomenų naudojimas sukels didesnę privatumo riziką, o tikrasis sprendimas slypi kitur.

Kažkas nuskaito pirštų atspaudus, kad užtikrintų biometrinių duomenų saugumą. — Teera Konakan / Getty Images

Biometrinių duomenų naudojimas sprendžiant saugumo problemą gali nepadėti šios problemos, tačiau tai tikrai sukels rimtesnių privatumo problemų, teigia kibernetinio saugumo ekspertai.

Pietų Afrika pasiūlė rinkti biometrinę informaciją iš žmonių, kai jie perka SIM korteles, kad būtų užkirstas kelias SIM keitimo atakoms. Šių atakų metu sukčiai prašo pakeisti SIM korteles, kurias naudoja teisėtiems vienkartiniams slaptažodžiams (OTP) perimti ir sandoriams patvirtinti. Pasak FTB, šių nesąžiningų sandorių sudarė bendra suma daugiau nei 68 mln. USD 2021 m. Tačiau Pietų Afrikos pasiūlymo privatumas nėra tinkamas ekspertams.

„Užjaučiu paslaugų teikėjus, ieškančius būdo, kaip sustabdyti labai realią SIM keitimo problemą“, Timas Helmingas, saugumo evangelistas su Domeno įrankiai, sakė Lifewire el. paštu. „Bet aš nesu įsitikinęs, kad [biometrinės informacijos rinkimas] yra teisingas atsakymas.

Klaidingas požiūris

Aiškindamas SIM keitimo atakų pavojų, Stephanie Benoit-Kurtz, Finikso universiteto kibernetinio saugumo ekspertas, teigė, kad užgrobta SIM gali padėti blogiems veikėjams įsilaužti į beveik visas jūsų skaitmenines paskyras – nuo el. laiškų iki internetinės bankininkystės.

„Biometrinių duomenų rinkimo iššūkis yra ne tik rinkimo procesas, bet ir tos informacijos saugumas, kai ji buvo surinkta.

Ginkluoti užgrobta SIM kortele, įsilaužėliai gali siųsti „Pamiršau slaptažodį“ arba „Paskyros atkūrimo“ užklausas bet kuriai jūsų internetines paskyras, susietas su jūsų mobiliojo telefono numeriu, ir iš naujo nustatykite slaptažodžius, iš esmės užgrobdami jūsų sąskaitas.

Nepriklausoma Pietų Afrikos ryšių institucija (ICASA) dabar tikisi panaudoti biometrinius duomenis, kad apsunkintų įsilaužėlių veiklą. gauti SIM kortelės dublikatą, reikalaudami biometrinių duomenų, kad būtų galima patikrinti asmens, prašančio dublikato, tapatybę. SIM.

„Nors SIM keitimas neabejotinai yra didelė problema, tai gali būti atvejis, kai gydymas yra blogesnis nei liga“, - pabrėžė Helmingas.

Jis paaiškino, kad biometriniams duomenims patekus į paslaugų teikėjų rankas, kyla reali rizika, kad a dėl pažeidimo biometriniai duomenys gali patekti į užpuoliko rankas, o jie gali jais piktnaudžiauti įvairiais labai probleminiais atvejais. būdai.

„Biometrinių duomenų rinkimo iššūkis yra ne tik rinkimo procesas, bet ir šios informacijos saugumas, kai ji bus surinkta“, - sutiko Benoit-Kurtz.

Ji mano, kad vien biometriniai duomenys nepadeda išspręsti problemos. Taip yra todėl, kad blogi veikėjai naudoja įvairius būdus, kad gautų pasikartojančias SIM korteles, o jų išdavimas tiesiogiai iš paslaugų teikėjo nėra vienintelė galimybė. Tiesą sakant, pasak Benoit-Kurtz, egzistuoja gyvybinga juodoji rinka aktyvių SIM kortelių dublikatams gauti.

Lojimas ant neteisingo medžio

Benoit-Kurtz mano, kad operatoriai ir telefonų gamintojai turi imtis aktyvesnio vaidmens užtikrinant mobiliąją ekosistemą.

„Yra didelių iššūkių, susijusių su telefonų ir SIM kortelių saugumu, kuriuos būtų galima išspręsti vežėjai įdiegia griežtesnę kontrolę, kada ir kur galima pakeisti SIM kortelę“, – siūlė Benoit-Kurtz.

Ji sako, kad pramonė turi dirbti kartu, kad įdiegtų mechanizmus, užkertančius kelią sandoriams nepasitikėdami keliais veiksmais, kad vartotojas ir telefonas patvirtintų, ar yra naujoji SIM kortelė užregistruotas į.

Krūva visiškai naujų SIM kortelių. — ra-photos / Getty Images

Pavyzdžiui, ji sako, kad kai kurie operatoriai, tokie kaip „Verizon“, pradėjo naudoti šešių skaitmenų perdavimo PIN kodus, kurių reikia norint perkelti SIM kortelę. Tačiau tai tik dar vienas sandorio duomenų taškas, o sukčiai gali išplėsti savo socialinės inžinerijos gudrybes, kad surinktų ir šią papildomą informaciją.

Kol pramonė nepagerės, žmonės turi būti nuovokūs ir apsisaugoti nuo SIM keitimo atakų. Vienas iš jos siūlomų gudrybių yra įjungti kelių veiksnių autentifikavimą jūsų internetinėms paskyroms, tuo pačiu užtikrinant tai autentifikavimo mechanizmų siunčia patvirtinimo kodą į el. pašto paskyrą, kuri nėra prijungta prie jūsų telefonas.

Ji taip pat siūlo naudoti SIM PIN kodą – kelių skaitmenų kodą, kurį įvedate kiekvieną kartą, kai telefonas paleidžiamas iš naujo. „Įsitikinkite, kad naudojate savo telefone integruotas saugos funkcijas, kad jį užrakintumėte, kad sumažintumėte riziką ir aktyviai apsaugotumėte SIM kortelę.