Sleutel wegneemetes
- SIM-ruilaanvalle, wat staatmaak op duplikaat-SIM's wat bedrieglik uitgereik is, kos Amerikaanse burgers meer as $68 miljoen in 2021.
- Suid-Afrika beplan om die biometrie aan 'n SIM se eienaar te assosieer om te verseker dat 'n duplikaat SIM slegs aan die regmatige eienaar uitgereik kan word.
- Kuberveiligheidskenners glo dat die gebruik van biometrie groter privaatheidsrisiko's sal inhou, en die werklike oplossing lê elders.
Die gebruik van biometrie om 'n sekuriteitskwessie op te los sal dalk nie help om die probleem uit te roei nie, maar dit sal sekerlik groter privaatheidskwessies inbring, stel kuberveiligheidskenners voor.
Suid-Afrika het voorgestel om biometriese inligting van mense in te samel wanneer hulle SIM-kaarte koop om SIM-ruilaanvalle te stuit. In hierdie aanvalle versoek swendelaars vervangende SIM-kaarte wat hulle gebruik om wettige eenmalige wagwoorde (OTP's) te onderskep en transaksies te magtig. Volgens die FBI het hierdie bedrieglike transaksies in totaal meer as $68 miljoen in 2021 beloop. Die privaatheidsimplikasies van Suid-Afrika se voorstel pas egter nie goed by kenners nie.
"Ek het simpatie met die verskaffers wat 'n manier soek om die werklike probleem van SIM-omruiling te stop," het Tim Helming, sekuriteitsevangelis by DomainTools, per e-pos aan Lifewire gesê. "Maar ek is nie oortuig daarvan dat [die versameling van biometriese inligting] die regte antwoord is nie."
Wrong Approach
Stephanie Benoit-Kurtz, kuberveiligheidsdeskundige aan die Universiteit van Phoenix, verduidelik die gevare van SIM-ruilaanvalle, het gesê 'n gekaapte SIM kan slegte akteurs in staat stel om by feitlik al jou digitale rekeninge in te breek, van e-posse tot aanlynbankdienste.
Die uitdaging rondom die insameling van biometriese data is nie net in die insamelingsproses nie, maar om daardie inligting te beveilig sodra dit ingesamel is.
Gewapen met 'n gekaapte SIM, kan die kuberkrakers 'Wagwoord vergeet' of 'Rekeningherstel'-versoeke stuur na enige van jou aanlyn rekeninge wat met jou selfoonnommer geassosieer word, en die wagwoorde terugstel, en in wese jou rekeninge kaap.
Die Onafhanklike Kommunikasie-owerheid van Suid-Afrika (ICASA) hoop nou om biometrie te gebruik om dit vir kuberkrakers moeiliker te maak om hul hande op 'n duplikaat SIM te kry deur biometriese data te vereis om die identiteit van die persoon wat die duplikaat SIM versoek te verifieer.
"Terwyl SIM-omruiling onteenseglik 'n groot probleem is, kan dit 'n geval wees dat die genesing erger as die siekte is," beklemtoon Helming.
Hy het verduidelik dat sodra die biometriese data in die hande van die diensverskaffers is, daar 'n wesenlike risiko is dat 'n oortreding die biometriese data in die hande van aanvallers kan plaas, wat dit dan op verskeie hoogs problematiese maniere kan misbruik.
"Die uitdaging rondom die insameling van biometriese data is nie net in die insamelingsproses nie, maar om daardie inligting te beveilig sodra dit ingesamel is," het Benoit-Kurtz ingestem.
Sy glo dat biometrie alleen nie help om die probleem in die eerste plek op te los nie. Dit is omdat slegte akteurs 'n verskeidenheid metodes gebruik om duplikaat-SIM-kaarte te bekom, en dat dit nie die enigste opsie tot hul beskikking is om dit direk vanaf die diensverskaffer te laat uitreik nie. Trouens, volgens Benoit-Kurtz is daar 'n lewendige swart mark vir die verkryging van duplikate van aktiewe SIM's.
Blaf die verkeerde boom
Benoit-Kurtz glo dat diensverskaffers en telefoonvervaardigers 'n meer aktiewe rol moet speel in die beveiliging van die mobiele ekosisteem.
"Daar is aansienlike uitdagings wat verband hou met die sekuriteit van fone en SIM-kaarte wat opgelos kan word deur die diensverskaffers wat sterker beheermaatreëls implementeer rondom wanneer en waar 'n SIM verander kan word," het Benoit-Kurtz voorgestel.
Sy sê dat die bedryf moet saamwerk om meganismes in te stel om transaksies te voorkom sonder om op veelvuldige stappe staat te maak om die gebruiker en die foon waarop die nuwe SIM geregistreer word, te valideer.
Sy sê byvoorbeeld dat sommige diensverskaffers soos Verizon ses-syfer-oordrag-PIN's begin gebruik het, wat nodig is voordat 'n SIM geskuif kan word. Maar dit is net nog een datapunt in die transaksie, en swendelaars kan hul sosiale ingenieurstruuks uitbrei om ook hierdie bykomende inligting in te samel.
Totdat die bedryf toeneem, is dit aan die mense om vaardig te wees en hulself teen SIM-ruilaanvalle te beskerm. Een truuk wat sy voorstel, is om multifaktor-stawing vir jou aanlyn rekeninge te aktiveer terwyl jy verseker dat een van die stawingmeganismes die verifikasiekode na 'n e-posrekening stuur wat nie aan jou foon gekoppel is nie.
Sy stel ook voor om 'n SIM-PIN te gebruik - 'n meersyferkode wat jy invoer elke keer as jou foon herbegin. "Maak seker dat jy die ingeboude sekuriteitskenmerke op jou foon gebruik om dit toe te sluit sodat jy jou risiko kan verminder en jou SIM proaktief kan beskerm."
