Key takeaways
- SIM-bytteangrep, som er avhengige av falskt utstedte dupliserte SIM-kort, koster amerikanske statsborgere over 68 millioner dollar i 2021.
- Sør-Afrika planlegger å knytte biometrien til eieren av et SIM-kort for å sikre at et duplikat-SIM bare kan utstedes til den rettmessige eieren.
- Eksperter på nettsikkerhet mener at bruk av biometri vil introdusere større personvernrisiko, og den virkelige løsningen ligger andre steder.
Å bruke biometri for å løse et sikkerhetsproblem hjelper kanskje ikke med å utrydde problemet, men det vil garantert introdusere alvorligere personvernhensyn, foreslår nettsikkerhetseksperter.
Sør-Afrika har foreslått å samle biometrisk informasjon fra folk når de kjøper SIM-kort for å hindre SIM-bytteangrep. I disse angrepene ber svindlere om erstatnings-SIM-kort de bruker for å avskjære legitime engangspassord (OTP) og autorisere transaksjoner. Ifølge FBI utgjorde disse uredelige transaksjonene over 68 millioner dollar i 2021. Personvernkonsekvensene av Sør-Afrikas forslag passer imidlertid ikke godt med eksperter.
"Jeg sympatiserer med leverandørene som leter etter en måte å stoppe det virkelige problemet med SIM-bytte," sa Tim Helming, sikkerhetsevangelist hos DomainTools, til Lifewire via e-post. "Men jeg er ikke overbevist om at [innsamling av biometrisk informasjon] er det riktige svaret."
Feil tilnærming
Stephanie Benoit-Kurtz, Cybersecurity Expert ved University of Phoenix, forklarte farene ved SIM-bytteangrep, sa at et kapret SIM-kort kan gjøre det mulig for dårlige skuespillere å bryte seg inn i praktisk t alt alle dine digitale kontoer, fra e-post til nettbank.
Utfordringen rundt innsamling av biometriske data er ikke bare i innsamlingsprosessen, men å sikre den informasjonen når den er samlet inn.
Bevæpnet med et kapret SIM-kort kan hackerne sende forespørsler om "Glemt passord" eller "Kontogjenoppretting" til en hvilken som helst av dine nettkontoer knyttet til mobilnummeret ditt, og tilbakestille passordene, i hovedsak kapre kontoene dine.
The Independent Communications Authority of South Africa (ICASA) håper nå å bruke biometri for å gjøre det vanskeligere for hackere å få tak i et duplikat-SIM ved å kreve biometriske data for å bekrefte identiteten til personen som ber om duplikat-SIM-kortet.
"Selv om SIM-bytte unektelig er et stort problem, kan dette være et tilfelle av at kuren er verre enn sykdommen," understreket Helming.
Han forklarte at når de biometriske dataene er i hendene på tjenesteleverandørene, er det en reell risiko for at et brudd kan sette de biometriske dataene i hendene på angripere, som deretter kan misbruke dem på forskjellige svært problematiske måter.
"Utfordringen rundt innsamling av biometriske data er ikke bare i innsamlingsprosessen, men å sikre den informasjonen når den har blitt samlet inn," sa Benoit-Kurtz.
Hun mener at biometri alene ikke hjelper med å løse problemet i utgangspunktet. Det er fordi dårlige skuespillere bruker en rekke metoder for å skaffe dupliserte SIM-kort, og å få dem utstedt direkte fra tjenesteleverandøren er ikke det eneste alternativet de har til rådighet. Faktisk, ifølge Benoit-Kurtz, er det et levende svart marked for å få duplikater av aktive SIM-kort.
Barking up the Wrong Tree
Benoit-Kurtz mener operatører og telefonprodusenter må ta en mer aktiv rolle i å sikre det mobile økosystemet.
"Det er betydelige utfordringer knyttet til sikkerheten til telefoner og SIM-kort som kan løses ved at operatørene implementerer sterkere kontroller rundt når og hvor et SIM-kort kan endres," foreslo Benoit-Kurtz.
Hun sier at industrien må samarbeide for å innføre mekanismer for å forhindre transaksjoner uten å stole på flere trinn for å validere brukeren og telefonen som det nye SIM-kortet blir registrert på.
For eksempel sier hun at noen operatører som Verizon har begynt å bruke sekssifrede overførings-PIN-er, som kreves før et SIM-kort kan flyttes. Men det er bare ett datapunkt til i transaksjonen, og svindlere kan utvide sine sosiale ingeniørtriks for å samle inn denne tilleggsinformasjonen også.
Inntil bransjen trapper opp, er det opp til folk å være kunnskapsrike og beskytte seg mot SIM-bytteangrep. Et triks hun foreslår er å aktivere multifaktorautentisering for nettkontoene dine samtidig som du sikrer at en av autentiseringsmekanismene sender bekreftelseskoden til en e-postkonto som ikke er koblet til telefonen din.
Hun foreslår også at du bruker en SIM-PIN-en flersifret kode du taster inn hver gang telefonen starter på nytt. «Sørg for at du bruker de innebygde sikkerhetsfunksjonene på telefonen for å låse den ned, slik at du kan redusere risikoen og proaktivt beskytte SIM-kortet ditt.»
