Používanie biometrických údajov na zabránenie zneužitiu SIM karty môže spôsobiť väčšie problémy

March 29, 2022
VNovinky Internetová Bezpečnosť

Útoky na výmenu SIM kariet, ktoré sa spoliehajú na podvodne vydané duplicitné karty SIM, stoja občanov USA v roku 2021 viac ako 68 miliónov dolárov.
Južná Afrika plánuje priradiť biometrické údaje k vlastníkovi SIM karty, aby sa zabezpečilo, že duplikát SIM karty bude možné vydať iba oprávnenému vlastníkovi.
Odborníci na kybernetickú bezpečnosť sa domnievajú, že používanie biometrie prinesie väčšie riziká pre súkromie a skutočné riešenie je niekde inde.

Niekto robí skenovanie odtlačkov prstov pre biometrické zabezpečenie. — Teera Konakan / Getty Images

Použitie biometrie na vyriešenie bezpečnostného problému nemusí pomôcť odstrániť problém, ale určite prinesie vážnejšie obavy o súkromie, navrhujú odborníci na kybernetickú bezpečnosť.

Južná Afrika navrhla zhromažďovanie biometrických informácií od ľudí pri nákupe SIM kariet s cieľom zabrániť útokom na výmenu SIM kariet. Pri týchto útokoch podvodníci požadujú výmenu SIM kariet, ktoré používajú na zachytenie legitímnych jednorazových hesiel (OTP) a autorizáciu transakcií. Podľa FBI sa tieto podvodné transakcie spočítali

viac ako 68 miliónov dolárov v roku 2021. Dôsledky návrhu Juhoafrickej republiky na súkromie však expertom nesedia.

„Súcitím s poskytovateľmi, ktorí hľadajú spôsob, ako zastaviť skutočný problém výmeny SIM kariet,“ Tim Helming, bezpečnostný evanjelista s DomainTools, povedal Lifewire prostredníctvom e-mailu. "Ale nie som presvedčený, že [zbieranie biometrických informácií] je správna odpoveď."

Nesprávny prístup

Vysvetlenie nebezpečenstva útokov na výmenu SIM kariet, Stephanie Benoit-Kurtz, expert na kybernetickú bezpečnosť z University of Phoenix povedal, že unesená SIM karta by mohla zlým hráčom umožniť preniknúť do prakticky všetkých vašich digitálnych účtov, od e-mailov až po online bankovníctvo.

"Výzva týkajúca sa zberu biometrických údajov nespočíva len v procese zberu, ale aj v zabezpečení týchto informácií po ich zozbieraní."

Vyzbrojení ukradnutou SIM kartou môžu hackeri posielať žiadosti „Zabudnuté heslo“ alebo „Obnovenie účtu“ na ktorúkoľvek z vašich online účty priradené k vášmu mobilnému číslu a resetujte heslá, čím v podstate ukradnú vaše účtov.

Nezávislý komunikačný úrad Južnej Afriky (ICASA) teraz dúfa, že pomocou biometrických údajov to hackerom sťaží. získať duplikát SIM karty vyžadovaním biometrických údajov na overenie identity osoby žiadajúcej o duplikát SIM.

"Zatiaľ čo výmena SIM kariet je nepopierateľne veľkým problémom, môže ísť o prípad, keď je liečba horšia ako choroba," zdôraznil Helming.

Vysvetlil, že akonáhle sú biometrické údaje v rukách poskytovateľov služieb, existuje reálne riziko, že a porušenie by mohlo dostať biometrické údaje do rúk útočníkov, ktorí by ich následne mohli zneužiť v rôznych vysoko problematických spôsoby.

„Výzva týkajúca sa zberu biometrických údajov nespočíva len v procese zberu, ale aj v zabezpečení týchto informácií po ich zozbieraní,“ súhlasil Benoit-Kurtz.

Verí, že samotná biometria nepomôže problém vyriešiť. Je to preto, že zlí aktéri používajú rôzne metódy na získanie duplicitných SIM kariet a nechať si ich vydať priamo od poskytovateľa služieb nie je jedinou možnosťou, ktorú majú k dispozícii. V skutočnosti, podľa Benoit-Kurtz, existuje živý čierny trh na získanie duplikátov aktívnych SIM kariet.

Štekanie na nesprávny strom

Benoit-Kurtz je presvedčený, že operátori a výrobcovia telefónov musia prevziať aktívnejšiu úlohu pri zabezpečovaní mobilného ekosystému.

„S bezpečnosťou telefónov a SIM kariet sú spojené významné výzvy, ktoré by sa dali vyriešiť operátori implementujú prísnejšie kontroly týkajúce sa toho, kedy a kde je možné SIM kartu zmeniť,“ navrhol Benoit-Kurtz.

Hovorí, že odvetvie musí spolupracovať na zavedení mechanizmov na zabránenie transakciám bez spoliehania sa na viacero krokov na overenie používateľa a telefónu, že nová SIM karta je registrovaný na.

Kopa úplne nových SIM kariet. — ra-photos / Getty Images

Napríklad hovorí, že niektorí operátori, ako je Verizon, začali používať šesťmiestne prenosové kódy PIN, ktoré sú potrebné pred presunom SIM karty. Ale to je len jeden ďalší dátový bod v transakcii a podvodníci môžu rozšíriť svoje triky sociálneho inžinierstva, aby zhromaždili aj tieto dodatočné informácie.

Kým sa odvetvie nezvýši, je na ľuďoch, aby boli dôvtipní a chránili sa pred útokmi na výmenu SIM kariet. Jeden trik, ktorý navrhuje, je povoliť viacfaktorovú autentifikáciu pre vaše online účty a zároveň zabezpečiť, aby bola overená autentifikačných mechanizmov odošle overovací kód na e-mailový účet, ktorý nie je pripojený k vášmu účtu telefón.

Navrhuje tiež použiť PIN SIM karty – viacmiestny kód, ktorý zadávate pri každom reštartovaní telefónu. „Uistite sa, že na uzamknutie telefónu používate vstavané bezpečnostné funkcie, aby ste znížili riziko a proaktívne chránili svoju SIM kartu.“