Biometrie gebruiken om misbruik van simkaarten te voorkomen, kan grotere problemen veroorzaken

March 29, 2022
InNieuws Internet Beveiliging

Sim-swap-aanvallen, die afhankelijk zijn van frauduleus uitgegeven dubbele simkaarten, kosten Amerikaanse burgers in 2021 meer dan $ 68 miljoen.
Zuid-Afrika is van plan de biometrische gegevens te koppelen aan de eigenaar van een simkaart om ervoor te zorgen dat een duplicaat-simkaart alleen aan de rechtmatige eigenaar kan worden verstrekt.
Cybersecurity-experts zijn van mening dat het gebruik van biometrie grotere privacyrisico's met zich meebrengt, en de echte oplossing ligt elders.

Iemand die een vingerafdruk scan doet voor biometrische beveiliging. — Teera Konakan / Getty Images

Het gebruik van biometrische gegevens om een beveiligingsprobleem op te lossen, helpt misschien niet om het probleem uit te bannen, maar het zal zeker grotere privacyproblemen met zich meebrengen, suggereren cyberbeveiligingsexperts.

Zuid-Afrika heeft voorgesteld: het verzamelen van biometrische informatie van mensen wanneer ze simkaarten kopen om sim-swap-aanvallen te verijdelen. Bij deze aanvallen vragen oplichters om vervangende simkaarten die ze gebruiken om legitieme eenmalige wachtwoorden (OTP's) te onderscheppen en transacties te autoriseren. Volgens de FBI bedroegen deze frauduleuze transacties in totaal

meer dan $68 miljoen in 2021. De privacyimplicaties van het voorstel van Zuid-Afrika vallen echter niet goed bij experts.

"Ik leef mee met de providers die op zoek zijn naar een manier om het zeer reële probleem van sim-swapping te stoppen", Tim Helming, veiligheidsevangelist met DomeinTools, vertelde Lifewire via e-mail. "Maar ik ben er niet van overtuigd dat [biometrische informatie verzamelen] het juiste antwoord is."

Verkeerde aanpak

De gevaren van SIM-swap-aanvallen uitleggen, Stephanie Benoit-Kurtz, Cybersecurity Expert aan de Universiteit van Phoenix, zei dat een gekaapte simkaart kwaadwillenden in staat zou kunnen stellen om in te breken in vrijwel al je digitale accounts, van e-mails tot online bankieren.

"De uitdaging bij het verzamelen van biometrische gegevens zit niet alleen in het verzamelproces, maar ook in het beveiligen van die informatie zodra deze is verzameld."

Gewapend met een gekaapte simkaart kunnen de hackers 'Wachtwoord vergeten'- of 'Accountherstel'-verzoeken naar al uw online accounts die aan uw mobiele nummer zijn gekoppeld en de wachtwoorden opnieuw instellen, waardoor in wezen uw rekeningen.

De Independent Communications Authority of South Africa (ICASA) hoopt nu biometrie te gebruiken om het hackers moeilijker te maken om een duplicaat-simkaart te bemachtigen door biometrische gegevens te vragen om de identiteit te verifiëren van de persoon die het duplicaat aanvraagt simkaart.

"Hoewel het wisselen van simkaarten onmiskenbaar een groot probleem is, kan het zijn dat het middel erger is dan de kwaal", benadrukt Helming.

Hij legde uit dat zodra de biometrische gegevens in handen zijn van de dienstverleners, er een reëel risico bestaat dat inbreuk kan de biometrische gegevens in handen van aanvallers brengen, die deze vervolgens kunnen misbruiken in verschillende zeer problematische manieren.

"De uitdaging bij het verzamelen van biometrische gegevens zit niet alleen in het verzamelproces, maar ook in het beveiligen van die informatie zodra deze is verzameld", beaamt Benoit-Kurtz.

Ze is van mening dat biometrie alleen niet helpt om het probleem op te lossen. Dat komt omdat kwaadwillenden verschillende methoden gebruiken om dubbele simkaarten te bemachtigen, en ze rechtstreeks van de serviceprovider laten uitgeven is niet de enige optie die ze tot hun beschikking hebben. Volgens Benoit-Kurtz is er zelfs een levendige zwarte markt voor het verkrijgen van duplicaten van actieve simkaarten.

Blaffen in de verkeerde boom

Benoit-Kurtz is van mening dat providers en telefoonfabrikanten een actievere rol moeten spelen bij het beveiligen van het mobiele ecosysteem.

"Er zijn aanzienlijke uitdagingen in verband met de beveiliging van telefoons en simkaarten die kunnen worden opgelost door: de providers implementeren strengere controles over wanneer en waar een simkaart kan worden gewijzigd, "suggereerde Benoit-Kurtz.

Ze zegt dat de industrie moet samenwerken om mechanismen te introduceren om transacties te voorkomen zonder te vertrouwen op meerdere stappen om de gebruiker en de telefoon te valideren dat de nieuwe simkaart wordt gebruikt ingeschreven bij.

Een stapel gloednieuwe simkaarten. — ra-foto's / Getty Images

Ze zegt bijvoorbeeld dat sommige providers zoals Verizon zijn begonnen met het gebruik van zescijferige overdrachtspincodes, die nodig zijn voordat een simkaart kan worden verplaatst. Maar dat is slechts een extra datapunt in de transactie, en oplichters kunnen hun social engineering-trucs uitbreiden om ook deze aanvullende informatie te verzamelen.

Totdat de industrie opkomt, is het aan de mensen om slim te zijn en zichzelf te beschermen tegen SIM-swap-aanvallen. Een truc die ze voorstelt, is om multi-factor authenticatie voor uw online accounts in te schakelen en ervoor te zorgen dat er een is van de authenticatiemechanismen stuurt de verificatiecode naar een e-mailaccount dat niet is verbonden met uw telefoon.

Ze stelt ook voor om een SIM-pincode te gebruiken: een meercijferige code die u invoert telkens wanneer uw telefoon opnieuw wordt opgestart. "Zorg ervoor dat u de ingebouwde beveiligingsfuncties van uw telefoon gebruikt om deze te vergrendelen, zodat u uw risico kunt verkleinen en uw simkaart proactief kunt beschermen."