Võtmed kaasavõtmiseks
- SIM-i vahetamise rünnakud, mis põhinevad pettusega välja antud topelt-SIM-idel, lähevad USA kodanikele 2021. aastal maksma üle 68 miljoni dollari.
- Lõuna-Aafrika kavatseb siduda biomeetria SIM-kaardi omanikuga, et tagada SIM-kaardi duplikaat väljastamine ainult õigusjärgsele omanikule.
- Küberjulgeolekueksperdid usuvad, et biomeetria kasutamine toob kaasa suuremad privaatsusriskid ja tegelik lahendus peitub mujal.
Biomeetria kasutamine turbeprobleemi lahendamiseks ei pruugi aidata probleemi lahendada, kuid see tekitab kindlasti tõsisemaid privaatsusprobleeme, soovitavad küberjulgeolekueksperdid.
Lõuna-Aafrika on teinud ettepaneku koguda SIM-kaarte ostes inimestelt biomeetrilist teavet, et takistada SIM-kaardi vahetamise rünnakuid. Nende rünnakute puhul nõuavad petturid asendus-SIM-kaarte, mida nad kasutavad seaduslike ühekordsete paroolide (OTP) pe altkuulamiseks ja tehingute lubamiseks. FBI andmetel ulatusid need petturlikud tehingud 2021. aastal üle 68 miljoni dollari. Lõuna-Aafrika ettepaneku eraelu puutumatuse tagajärjed ei sobi siiski ekspertidele.
"Tunnen poolehoidu pakkujatele, kes otsivad võimalust peatada SIM-kaardi vahetamise päris tõsine probleem," ütles DomainToolsi turvaevangelist Tim Helming Lifewire'ile e-posti teel. "Kuid ma ei ole veendunud, et [biomeetrilise teabe kogumine] on õige vastus."
Vale lähenemine
Phoenixi ülikooli küberjulgeolekuekspert Stephanie Benoit-Kurtz ütles, et Phoenixi ülikooli küberjulgeolekuekspert Stephanie Benoit-Kurtz selgitas SIM-kaardi vahetamise rünnakute ohte, et kaaperdatud SIM-kaart võib võimaldada halbadel tegijatel tungida peaaegu kõikidele teie digitaalsetele kontodele, alates meilidest kuni Interneti-panganduseni.
Biomeetriliste andmete kogumise väljakutse ei seisne ainult kogumisprotsessis, vaid ka selle teabe kaitsmises pärast kogumist.
Kaaperdatud SIM-kaardiga relvastatud häkkerid saavad saata "Unustanud parooli" või "Konto taastamise" taotlusi mis tahes teie mobiilinumbriga seotud võrgukontole ja lähtestada paroolid, sisuliselt kaaperdades teie kontod.
Lõuna-Aafrika sõltumatu sideamet (ICASA) loodab nüüd kasutada biomeetriat, et muuta häkkeritel keerulisemaks SIM-i duplikaat kätte saada, nõudes biomeetrilisi andmeid, et kontrollida SIM-i duplikaati taotleva isiku identiteeti..
"Kuigi SIM-kaardi vahetus on vaieldamatult suur probleem, võib see juhtuda, et ravi on hullem kui haigus," rõhutas Helming.
Ta selgitas, et kui biomeetrilised andmed on teenusepakkujate käes, on reaalne oht, et rikkumine võib viia biomeetrilised andmed ründajate kätte, kes võivad neid seejärel mitmel väga problemaatilisel viisil kuritarvitada.
"Biomeetriliste andmete kogumise väljakutse ei seisne ainult kogumisprotsessis, vaid ka selle teabe kaitsmises pärast kogumist," nõustus Benoit-Kurtz.
Ta usub, et biomeetria üksi ei aita probleemi lahendada. Selle põhjuseks on asjaolu, et halvad tegijad kasutavad topelt-SIM-kaartide hankimiseks mitmesuguseid meetodeid ja nende otse teenusepakkuj alt väljastamine pole ainus võimalus, mis nende käsutuses on. Tegelikult on Benoit-Kurtzi sõnul aktiivsete SIM-kaartide duplikaatide hankimisel elav must turg.
Vale puu haukumine
Benoit-Kurtz usub, et operaatorid ja telefonitootjad peavad mobiilse ökosüsteemi kaitsmisel aktiivsem alt osalema.
"Telefonide ja SIM-kaartide turvalisusega on seotud olulisi väljakutseid, mida saaksid lahendada operaatorid, kes rakendavad tugevamaid kontrolle selle üle, millal ja kus saab SIM-i vahetada," soovitas Benoit-Kurtz.
Ta ütleb, et tööstus peab tegema koostööd, et võtta kasutusele mehhanismid tehingute vältimiseks ilma kasutaja ja telefoni, millele uus SIM-kaart registreeritakse, kinnitamiseks mitmele toimingule tuginemata.
Näiteks ütleb ta, et mõned operaatorid, nagu Verizon, on hakanud kasutama kuuekohalisi ülekande PIN-koode, mida on vaja enne SIM-kaardi teisaldamist. Kuid see on veel üks andmepunkt tehingus ja petturid saavad laiendada oma sotsiaalse manipuleerimise nippe, et koguda ka seda lisateavet.
Kuni tööstusharu hoogu ei tee, peavad inimesed olema arukad ja kaitsma end SIM-kaardi vahetamise rünnakute eest. Üks nipp, mida ta soovitab, on lubada oma veebikontode jaoks mitmefaktoriline autentimine, tagades samal ajal, et üks autentimismehhanismidest saadaks kinnituskoodi e-posti kontole, mis pole teie telefoniga ühendatud.
Ta soovitab kasutada ka SIM-kaardi PIN-koodi – mitmekohalist koodi, mille sisestate iga kord, kui telefon taaskäivitub. "Veenduge, et kasutaksite oma telefoni sisseehitatud turvafunktsioone selle lukustamiseks, et saaksite oma riski vähendada ja oma SIM-kaarti ennetav alt kaitsta."
