Коришћење биометрије за спречавање злоупотребе СИМ картице може довести до већих проблема
- Напади замене СИМ-а, који се ослањају на лажно издате дупле СИМ картице, коштају грађане САД преко 68 милиона долара у 2021.
- Јужна Африка планира да повеже биометрију са власником СИМ картице како би се осигурало да се дупликат СИМ картице може издати само правом власнику.
- Стручњаци за сајбер безбедност верују да ће коришћење биометрије увести веће ризике за приватност, а право решење лежи негде другде.
Тира Конакан / Гетти Имагес
Коришћење биометрије за решавање безбедносног проблема можда неће помоћи у искорењивању проблема, али ће сигурно довести до озбиљнијих брига о приватности, предлажу стручњаци за сајбер безбедност.
Јужна Африка је предложила прикупљање биометријских информација од људи када купују СИМ картице како би се спречили напади замене СИМ картице. У овим нападима, преваранти захтевају замену СИМ картице које користе за пресретање легитимних једнократних лозинки (ОТП) и ауторизацију трансакција. Према ФБИ-ју, ове лажне трансакције су биле укупне преко 68 милиона долара у 2021. Међутим, импликације на приватност предлога Јужне Африке не одговарају стручњацима.
„Саосећам са провајдерима који траже начин да зауставе веома стварни проблем замене СИМ картице“, Тим Хелминг, јеванђелиста безбедности с ДомаинТоолс, рекао је за Лифевире путем е-поште. "Али нисам уверен да је [прикупљање биометријских информација] прави одговор."
Погрешан приступ
Објашњавајући опасности од напада замене СИМ картице, Стефани Беноа-Курц, стручњак за сајбер безбедност на Универзитету у Фениксу, рекао је да би отета СИМ картица могла да омогући лошим актерима да провале у практично све ваше дигиталне рачуне, од е-поште до онлајн банкарства.
„Изазов око прикупљања биометријских података није само у процесу прикупљања, већ и у обезбеђивању тих информација након што се прикупе.
Наоружани отетом СИМ картицом, хакери могу да пошаљу захтеве „Заборављена лозинка“ или „Опоравак налога“ било ком од ваших онлајн налоге повезане са вашим бројем мобилног телефона и ресетујте лозинке, у суштини отимајући ваше рачуни.
Независна управа за комуникације Јужне Африке (ИЦАСА) сада се нада да ће користити биометрију како би отежала хакерима да се дочепају дупликата СИМ-а тако што ће захтевати биометријске податке да верификују идентитет особе која тражи дупликат СИМ.
„Иако је замена СИМ картице несумњиво велики проблем, ово би могао бити случај да је лек гори од болести“, нагласио је Хелминг.
Он је објаснио да када биометријски подаци буду у рукама пружалаца услуга, постоји реалан ризик да а кршење би могло ставити биометријске податке у руке нападача, који би их затим могли злоупотребити у разним веома проблематичним случајевима начина.
„Изазов око прикупљања биометријских података није само у процесу прикупљања, већ и у обезбеђивању тих информација након што буду прикупљене“, сложио се Беноа-Куртз.
Она верује да биометрија сама по себи не помаже у решавању овог проблема. То је зато што лоши актери користе различите методе за добијање дуплих СИМ картица, а издавање њих директно од провајдера услуга није једина опција која им је на располагању. У ствари, према Беноит-Куртз-у, постоји живо црно тржиште за добијање дупликата активних СИМ картица.
Лајање на погрешно дрво
Беноит-Куртз верује да оператери и произвођачи телефона морају да преузму активнију улогу у обезбеђивању мобилног екосистема.
„Постоје значајни изазови повезани са безбедношћу телефона и СИМ картица који би могли да се реше оператери који примењују јаче контроле када и где СИМ картица може да се промени“, предложио је Беноит-Куртз.
Она каже да индустрија треба да ради заједно на увођењу механизама за спречавање трансакција без ослањања на вишеструке кораке да потврдите корисника и телефон да је нова СИМ картица регистрован на.
ра-фотографије / Гетти Имагес
На пример, она каже да су неки оператери као што је Веризон почели да користе шестоцифрене ПИН-ове за пренос, који су потребни пре него што се СИМ картица може преместити. Али то је само још једна тачка података у трансакцији, а преваранти могу проширити своје трикове социјалног инжењеринга како би прикупили и ове додатне информације.
Док се индустрија не појача, на људима је да буду паметни и да се заштите од напада замене СИМ картице. Један трик који она предлаже је да омогућите вишефакторску аутентификацију за ваше онлајн налоге, истовремено осигуравајући да механизама за потврду идентитета шаље верификациони код на налог е-поште који није повезан са вашим телефон.
Она такође предлаже коришћење СИМ ПИН-а — вишецифреног кода који уносите сваки пут када се телефон поново покрене. „Уверите се да користите уграђене безбедносне функције на свом телефону да бисте га закључали како бисте смањили ризик и проактивно заштитили своју СИМ картицу.“