Klíčové poznatky
- Útoky na výměnu SIM karet, které se spoléhají na podvodně vydané duplicitní SIM karty, stojí americké občany v roce 2021 přes 68 milionů dolarů.
- Jižní Afrika plánuje přidružit biometrické údaje k vlastníkovi SIM karty, aby bylo zajištěno, že duplikát SIM bude vystaven pouze právoplatnému vlastníkovi.
- Odborníci na kybernetickou bezpečnost se domnívají, že používání biometrie přinese větší rizika pro soukromí a skutečné řešení je jinde.
Použití biometrie k vyřešení bezpečnostního problému možná nepomůže problém vymýtit, ale určitě přinese závažnější obavy o soukromí, navrhují odborníci na kybernetickou bezpečnost.
Jižní Afrika navrhla shromažďování biometrických informací od lidí při nákupu SIM karet, aby zabránila útokům na výměnu SIM karet. Při těchto útocích podvodníci požadují náhradní SIM karty, které používají k zachycení legitimních jednorázových hesel (OTP) a autorizaci transakcí. Podle FBI dosáhly tyto podvodné transakce v roce 2021 celkem více než 68 milionů dolarů. Důsledky návrhu Jihoafrické republiky na ochranu soukromí však odborníkům příliš nesedí.
„Soucítím s poskytovateli, kteří hledají způsob, jak zastavit skutečný problém výměny SIM,“řekl Lifewire e-mailem Tim Helming, bezpečnostní evangelista z DomainTools. "Ale nejsem přesvědčen, že [shromažďování biometrických informací] je správná odpověď."
Špatný přístup
Stéphanie Benoit-Kurtz, expertka na kybernetickou bezpečnost z University of Phoenix, která vysvětluje nebezpečí útoků s výměnou SIM karet, řekla, že unesená SIM karta by mohla umožnit špatným hercům proniknout prakticky do všech vašich digitálních účtů, od e-mailů po online bankovnictví.
Výzva kolem shromažďování biometrických údajů nespočívá pouze v procesu shromažďování, ale v zabezpečení těchto informací po jejich shromáždění.
Vyzbrojeni ukradenou SIM kartou mohou hackeři posílat požadavky „Zapomenuté heslo“nebo „Obnovení účtu“na kterýkoli z vašich online účtů přidružených k vašemu mobilnímu číslu a resetovat hesla, čímž v podstatě ukradnou vaše účty.
Independent Communications Authority of South Africa (ICASA) nyní doufá, že pomocí biometrie znesnadní hackerům získat duplicitní SIM kartu tím, že bude vyžadovat biometrická data k ověření identity osoby žádající o duplicitní SIM kartu.
„Zatímco výměna SIM karty je nepopiratelně velkým problémem, může to být případ, kdy je léčba horší než nemoc,“zdůraznil Helming.
Vysvětlil, že jakmile jsou biometrická data v rukou poskytovatelů služeb, existuje reálné riziko, že by jejich narušení mohlo dát biometrická data do rukou útočníků, kteří by je pak mohli zneužít různými vysoce problematickými způsoby.
„Výzva kolem shromažďování biometrických údajů nespočívá pouze v procesu shromažďování, ale v zabezpečení těchto informací po jejich shromáždění,“souhlasil Benoit-Kurtz.
Věří, že samotná biometrie nepomůže problém vyřešit. Je to proto, že špatní herci používají různé způsoby, jak získat duplicitní SIM karty, a nechat si je vydat přímo od poskytovatele služeb není jedinou možností, kterou mají k dispozici. Ve skutečnosti podle Benoita-Kurtze existuje živý černý trh pro získávání duplikátů aktivních SIM karet.
Vyštěkání špatného stromu
Benoit-Kurtz se domnívá, že operátoři a výrobci telefonů musí převzít aktivnější roli v zabezpečení mobilního ekosystému.
„S bezpečností telefonů a SIM karet jsou spojeny značné problémy, které by mohly být vyřešeny operátory zavedením silnějších kontrol ohledně toho, kdy a kde lze SIM kartu vyměnit,“navrhl Benoit-Kurtz.
Říká, že průmysl musí spolupracovat na zavedení mechanismů, které zabrání transakcím, aniž by se spoléhaly na několik kroků k ověření uživatele a telefonu, ke kterému je nová SIM zaregistrována.
Říká například, že někteří operátoři, jako je Verizon, začali používat šestimístné přenosové PINy, které jsou vyžadovány před přesunem SIM karty. Ale to je jen jeden další datový bod v transakci a podvodníci mohou rozšířit své triky sociálního inženýrství, aby shromáždili i tyto dodatečné informace.
Dokud se průmysl nezrychlí, je na lidech, aby byli důvtipní a chránili se před útoky na výměnu SIM karet. Jeden trik, který navrhuje, je povolit vícefaktorové ověřování pro vaše online účty a zároveň zajistit, aby jeden z ověřovacích mechanismů odeslal ověřovací kód na e-mailový účet, který není připojen k vašemu telefonu.
Navrhuje také používat PIN SIM karty – vícemístný kód, který zadáváte pokaždé, když se telefon restartuje. "Ujistěte se, že používáte vestavěné bezpečnostní funkce telefonu k jeho uzamčení, abyste mohli snížit riziko a proaktivně chránit SIM."