Pagrindiniai pasiėmimai
- SIM keitimo atakos, kurios pagrįstos apgaulingai išduotomis pasikartojančiomis SIM kortelėmis, 2021 m. JAV piliečiams kainuoja daugiau nei 68 mln. USD.
- Pietų Afrika planuoja susieti biometrinius duomenis su SIM savininku, kad būtų užtikrinta, jog SIM kortelės dublikatas gali būti išduotas tik teisėtam savininkui.
- Kibernetinio saugumo ekspertai mano, kad naudojant biometrinius duomenis kils didesnė rizika privatumui, o tikrasis sprendimas slypi kitur.
Biometrinių duomenų naudojimas sprendžiant saugumo problemą gali nepadėti šios problemos, bet tai tikrai sukels rimtesnių susirūpinimą dėl privatumo, siūlo kibernetinio saugumo ekspertai.
Pietų Afrika pasiūlė rinkti biometrinę informaciją iš žmonių, kai jie perka SIM korteles, kad būtų užkirstas kelias SIM keitimo atakoms. Šių išpuolių metu sukčiai prašo pakeisti SIM korteles, kurias naudoja teisėtiems vienkartiniams slaptažodžiams (OTP) perimti ir sandoriams patvirtinti. FTB duomenimis, 2021 m. šių nesąžiningų sandorių bendra vertė viršijo 68 mln. USD. Tačiau Pietų Afrikos pasiūlymo privatumas nėra tinkamas ekspertų nuomonei.
„Užjaučiu paslaugų teikėjus, ieškančius būdo, kaip sustabdyti labai realią SIM keitimo problemą“, – „Lifewire“el. paštu sakė Timas Helmingas, DomainTools saugumo evangelistas. "Bet aš nesu įsitikinęs, kad [biometrinės informacijos rinkimas] yra teisingas atsakymas."
Klaidingas požiūris
Aiškindama SIM keitimo atakų pavojų, Finikso universiteto kibernetinio saugumo ekspertė Stephanie Benoit-Kurtz sakė, kad užgrobta SIM gali padėti blogiems veikėjams įsilaužti į beveik visas jūsų skaitmenines paskyras – nuo el. laiškų iki internetinės bankininkystės.
Biometrinių duomenų rinkimo iššūkis yra ne tik rinkimo procesas, bet ir tos informacijos saugumas, kai ji surinkta.
Ginkluoti užgrobta SIM kortele, įsilaužėliai gali siųsti „Pamiršau slaptažodį“arba „Paskyros atkūrimo“užklausas į bet kurią iš jūsų internetinių paskyrų, susietų su jūsų mobiliojo telefono numeriu, ir iš naujo nustatyti slaptažodžius, iš esmės užgrobdami jūsų paskyras.
Pietų Afrikos nepriklausoma ryšių institucija (ICASA) dabar tikisi panaudoti biometrinius duomenis, kad įsilaužėliams būtų sunkiau gauti pasikartojančią SIM kortelę, nes reikalauja biometrinių duomenų, kad būtų galima patikrinti asmens, prašančio pasikartoti SIM kortelę..
„Nors SIM keitimas neabejotinai yra didelė problema, tai gali būti atvejis, kai gydymas yra blogesnis už ligą“, – pabrėžė Helmingas.
Jis paaiškino, kad biometriniams duomenims patekus į paslaugų teikėjų rankas, kyla reali rizika, kad pažeidus biometrinius duomenis gali patekti užpuolikai, kurie gali jais piktnaudžiauti įvairiais labai probleminiais būdais.
„Biometrinių duomenų rinkimo iššūkis yra ne tik rinkimo procesas, bet ir tos informacijos saugumas, kai ji bus surinkta“, – sutiko Benoit-Kurtz.
Ji mano, kad vien biometriniai duomenys nepadeda išspręsti problemos. Taip yra todėl, kad blogi veikėjai naudoja įvairius būdus, kad gautų pasikartojančias SIM korteles, o jų išdavimas tiesiogiai iš paslaugų teikėjo nėra vienintelė galimybė. Tiesą sakant, pasak Benoit-Kurtz, egzistuoja energinga juodoji rinka aktyvių SIM kortelių dublikatams gauti.
Klaidingo medžio lojimas
Benoit-Kurtz mano, kad operatoriai ir telefonų gamintojai turi imtis aktyvesnio vaidmens užtikrinant mobiliojo ryšio ekosistemą.
„Yra didelių iššūkių, susijusių su telefonų ir SIM kortelių saugumu, kuriuos galėtų išspręsti operatoriai, įdiegę griežtesnę SIM kortelės keitimo kontrolę“, – pasiūlė Benoit-Kurtz.
Ji sako, kad pramonė turi dirbti kartu, kad įdiegtų mechanizmus, kurie užkirstų kelią operacijoms, nepasitikėdami keliais žingsniais, kad būtų patvirtintas naudotojas ir telefonas, kuriame registruojama naujoji SIM kortelė.
Pavyzdžiui, ji sako, kad kai kurie operatoriai, pvz., „Verizon“, pradėjo naudoti šešių skaitmenų perdavimo PIN kodus, kurių reikia norint perkelti SIM kortelę. Tačiau tai tik dar vienas sandorio duomenų taškas, o sukčiai gali išplėsti savo socialinės inžinerijos gudrybes, kad surinktų ir šią papildomą informaciją.
Kol pramonė nepagerės, žmonės turi būti nuovokūs ir apsisaugoti nuo SIM keitimo atakų. Vienas iš jos siūlomų gudrybių yra įjungti kelių veiksnių autentifikavimą jūsų internetinėms paskyroms, tuo pačiu užtikrinant, kad vienas iš autentifikavimo mechanizmų siųstų patvirtinimo kodą į el. pašto paskyrą, kuri nėra prijungta prie jūsų telefono.
Ji taip pat siūlo naudoti SIM kortelės PIN kodą – kelių skaitmenų kodą, kurį įvedate kiekvieną kartą, kai telefonas paleidžiamas iš naujo. "Įsitikinkite, kad naudojate telefone integruotas saugos funkcijas, kad jį užrakintumėte, kad sumažintumėte riziką ir aktyviai apsaugotumėte SIM kortelę."
