Uporaba biometričnih podatkov za preprečevanje zlorabe kartice SIM bi lahko povzročila večje težave

March 29, 2022
VNovice Internet In Varnost

Napadi zamenjave SIM, ki se zanašajo na goljufivo izdane podvojene kartice SIM, leta 2021 stanejo državljane ZDA več kot 68 milijonov dolarjev.
Južna Afrika namerava povezati biometrične podatke z lastnikom kartice SIM, da bi zagotovila, da se dvojnik SIM lahko izda samo zakonitemu lastniku.
Strokovnjaki za kibernetsko varnost menijo, da bo uporaba biometrije prinesla večja tveganja za zasebnost, prava rešitev pa je drugje.

Nekdo izvaja skeniranje prstnih odtisov za varnost biometrije. — Teera Konakan / Getty Images

Strokovnjaki za kibernetsko varnost menijo, da uporaba biometrije za reševanje varnostnega vprašanja morda ne bo pomagala odpraviti težave, vendar bo zagotovo povzročila resnejše pomisleke glede zasebnosti.

Južna Afrika je predlagala zbiranje biometričnih podatkov od ljudi, ko kupujejo kartice SIM, da bi preprečili napade zamenjave SIM. V teh napadih prevaranti zahtevajo nadomestne kartice SIM, ki jih uporabljajo za prestrezanje zakonitih enkratnih gesel (OTP) in avtorizacijo transakcij. Po podatkih FBI-ja je bilo teh goljufivih transakcij v celoti

več kot 68 milijonov dolarjev v letu 2021. Vendar pa posledice predloga Južne Afrike glede zasebnosti strokovnjakom ne ustrezajo.

"Sočustvujem s ponudniki, ki iščejo način za zaustavitev resničnega problema zamenjave SIM kartice," Tim Helming, varnostni evangelist s DomainTools, je za Lifewire povedal po e-pošti. "Ampak nisem prepričan, da je [zbiranje biometričnih informacij] pravi odgovor."

Napačen pristop

Razlaga nevarnosti napadov zamenjave SIM, Stephanie Benoit-Kurtz, strokovnjak za kibernetsko varnost na Univerzi v Phoenixu, je dejal, da bi lahko ugrabljena kartica SIM omogočila slabim akterjem, da vdrejo v tako rekoč vse vaše digitalne račune, od e-pošte do spletnega bančništva.

"Izziv v zvezi z zbiranjem biometričnih podatkov ni le v postopku zbiranja, temveč tudi v varovanju teh informacij, ko so zbrani."

Oboroženi z ugrabljeno kartico SIM lahko hekerji pošljejo zahtevo »Pozabljeno geslo« ali »Obnovitev računa« kateremu koli od vaših spletne račune, povezane z vašo mobilno številko, in ponastavite gesla, kar v bistvu ugrabi vašo računi.

Neodvisna komunikacijska uprava Južne Afrike (ICASA) zdaj upa, da bo uporabila biometrijo, da bo hekerjem otežila težave pridobiti dvojnik SIM tako, da zahtevajo biometrične podatke za preverjanje identitete osebe, ki zahteva dvojnik SIM.

"Čeprav je zamenjava SIM nedvomno velika težava, je to lahko primer, da je zdravilo hujše od bolezni," je poudaril Helming.

Pojasnil je, da ko so biometrični podatki v rokah ponudnikov storitev, obstaja resnično tveganje, da a kršitev bi lahko dala biometrične podatke v roke napadalcem, ki bi jih nato lahko zlorabili v različnih zelo problematičnih načine.

"Izziv v zvezi z zbiranjem biometričnih podatkov ni le v postopku zbiranja, temveč tudi v varovanju teh informacij, ko so zbrani," se je strinjal Benoit-Kurtz.

Prepričana je, da biometrija sama po sebi ne pomaga rešiti težave. To je zato, ker slabi akterji uporabljajo različne metode za pridobitev podvojenih kartic SIM in izdajanje le-teh neposredno pri ponudniku storitev ni edina možnost, ki jim je na voljo. Benoit-Kurtz pravi, da obstaja živahen črni trg za pridobivanje dvojnikov aktivnih kartic SIM.

Lajanje po napačnem drevesu

Benoit-Kurtz meni, da morajo operaterji in proizvajalci telefonov prevzeti dejavnejšo vlogo pri varovanju mobilnega ekosistema.

"Obstajajo pomembni izzivi, povezani z varnostjo telefonov in kartic SIM, ki jih je mogoče rešiti operaterji, ki izvajajo močnejši nadzor nad tem, kdaj in kje je mogoče zamenjati kartico SIM,« je predlagal Benoit-Kurtz.

Pravi, da mora industrija sodelovati pri uvedbi mehanizmov za preprečevanje transakcij ne da bi se zanašali na več korakov za potrditev uporabnika in telefona, da je nova SIM kartica registriran na.

Kup popolnoma novih kartic SIM. — ra-fotografije / Getty Images

Na primer, pravi, da so nekateri operaterji, kot je Verizon, začeli uporabljati šestmestne kode PIN za prenos, ki so potrebne, preden je mogoče premakniti kartico SIM. Toda to je le še ena podatkovna točka v transakciji in prevaranti lahko razširijo svoje trike socialnega inženiringa, da zberejo tudi te dodatne informacije.

Dokler se industrija ne okrepi, je odvisno od ljudi, da bodo pametni in se zaščitijo pred napadi zamenjave SIM. En trik, ki ga predlaga, je omogočiti večfaktorsko preverjanje pristnosti za svoje spletne račune, hkrati pa zagotoviti, da mehanizmov za preverjanje pristnosti pošlje kodo za preverjanje na e-poštni račun, ki ni povezan z vašim telefon.

Predlaga tudi uporabo kode PIN SIM – večmestne kode, ki jo vnesete vsakič, ko se telefon znova zažene. "Prepričajte se, da uporabljate vgrajene varnostne funkcije v telefonu, da ga zaklenete, tako da lahko zmanjšate tveganje in proaktivno zaščitite svojo kartico SIM."