Βασικά Takeaways
- Οι επιθέσεις ανταλλαγής SIM, οι οποίες βασίζονται σε διπλές κάρτες SIM που εκδόθηκαν με δόλια, κοστίζουν στους πολίτες των ΗΠΑ πάνω από 68 εκατομμύρια δολάρια το 2021.
- Η Νότια Αφρική σχεδιάζει να συσχετίσει τα βιομετρικά στοιχεία με τον κάτοχο μιας SIM για να διασφαλίσει ότι μια διπλότυπη κάρτα SIM μπορεί να εκδοθεί μόνο στον νόμιμο κάτοχο.
- Εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας πιστεύουν ότι η χρήση βιομετρικών στοιχείων θα δημιουργήσει μεγαλύτερους κινδύνους για το απόρρητο και η πραγματική λύση βρίσκεται αλλού.
Η χρήση βιομετρικών στοιχείων για την επίλυση ενός ζητήματος ασφαλείας ενδέχεται να μην βοηθήσει στην εξάλειψη του προβλήματος, αλλά είναι βέβαιο ότι θα δημιουργήσει σοβαρότερες ανησυχίες σχετικά με το απόρρητο, προτείνουν ειδικοί στον τομέα της ασφάλειας στον κυβερνοχώρο.
Η Η Νότια Αφρική έχει προτείνει τη συλλογή βιομετρικών πληροφοριών από άτομα όταν αγοράζουν κάρτες SIM, προκειμένου να αποτραπούν επιθέσεις ανταλλαγής SIM. Σε αυτές τις επιθέσεις, οι απατεώνες ζητούν αντικατάσταση καρτών SIM που χρησιμοποιούν για την υποκλοπή νόμιμων κωδικών πρόσβασης μίας χρήσης (OTP) και την εξουσιοδότηση συναλλαγών. Σύμφωνα με το FBI, αυτές οι δόλιες συναλλαγές ανήλθαν συνολικά σε πάνω από 68 εκατομμύρια δολάρια το 2021. Ωστόσο, οι επιπτώσεις της πρότασης της Νότιας Αφρικής στο απόρρητο δεν ταιριάζουν με τους ειδικούς.
"Συγχαίνω με τους παρόχους που αναζητούν έναν τρόπο να σταματήσουν το πολύ πραγματικό πρόβλημα της ανταλλαγής SIM", είπε ο Τιμ Χέλμινγκ, ευαγγελιστής ασφαλείας με το DomainTools, στο Lifewire μέσω email. "Αλλά δεν είμαι πεπεισμένος ότι [η συλλογή βιομετρικών πληροφοριών] είναι η σωστή απάντηση."
Λάθος προσέγγιση
Εξηγώντας τους κινδύνους από επιθέσεις ανταλλαγής SIM, η Stephanie Benoit-Kurtz, εμπειρογνώμονας κυβερνοασφάλειας στο Πανεπιστήμιο του Phoenix, είπε ότι μια κλεμμένη SIM θα μπορούσε να επιτρέψει σε κακούς ηθοποιούς να εισβάλουν σχεδόν σε όλους τους ψηφιακούς λογαριασμούς σας, από τα email έως τις διαδικτυακές τραπεζικές συναλλαγές.
Η πρόκληση σχετικά με τη συλλογή βιομετρικών δεδομένων δεν βρίσκεται μόνο στη διαδικασία συλλογής, αλλά και στην εξασφάλιση αυτών των πληροφοριών μόλις συλλεχθούν.
Οπλισμένοι με μια κλεμμένη SIM, οι χάκερ μπορούν να στείλουν αιτήματα "Ξεχάσατε τον κωδικό πρόσβασης" ή "Ανάκτηση λογαριασμού" σε οποιονδήποτε από τους διαδικτυακούς λογαριασμούς σας που σχετίζονται με τον αριθμό του κινητού σας τηλεφώνου και να επαναφέρουν τους κωδικούς πρόσβασης, ουσιαστικά παραβιάζοντας τους λογαριασμούς σας.
Η Ανεξάρτητη Αρχή Επικοινωνιών της Νότιας Αφρικής (ICASA) ελπίζει τώρα να χρησιμοποιήσει βιομετρικά στοιχεία για να καταστήσει πιο δύσκολο για τους χάκερ να πάρουν στα χέρια τους μια διπλή κάρτα SIM απαιτώντας βιομετρικά δεδομένα για την επαλήθευση της ταυτότητας του ατόμου που ζητά τη διπλότυπη κάρτα SIM.
"Ενώ η αλλαγή κάρτας SIM είναι αναμφισβήτητα ένα σημαντικό πρόβλημα, αυτό θα μπορούσε να είναι μια περίπτωση που η θεραπεία είναι χειρότερη από την ασθένεια", τόνισε ο Helming.
Εξήγησε ότι από τη στιγμή που τα βιομετρικά δεδομένα περιέλθουν στα χέρια των παρόχων υπηρεσιών, υπάρχει πραγματικός κίνδυνος μια παραβίαση να θέσει τα βιομετρικά δεδομένα στα χέρια των εισβολέων, οι οποίοι στη συνέχεια θα μπορούσαν να τα κάνουν κατάχρηση με διάφορους εξαιρετικά προβληματικούς τρόπους.
"Η πρόκληση σχετικά με τη συλλογή βιομετρικών δεδομένων δεν βρίσκεται μόνο στη διαδικασία συλλογής, αλλά και στην εξασφάλιση αυτών των πληροφοριών μετά τη συλλογή τους", συμφώνησε ο Benoit-Kurtz.
Πιστεύει ότι τα βιομετρικά από μόνα τους δεν βοηθούν στην επίλυση του προβλήματος εξαρχής. Αυτό συμβαίνει επειδή οι κακοί ηθοποιοί χρησιμοποιούν μια ποικιλία μεθόδων για να αποκτήσουν διπλότυπες κάρτες SIM και η έκδοσή τους απευθείας από τον πάροχο υπηρεσιών δεν είναι η μόνη επιλογή που έχουν στη διάθεσή τους. Στην πραγματικότητα, σύμφωνα με τον Benoit-Kurtz, υπάρχει μια έντονη μαύρη αγορά για την απόκτηση διπλότυπων ενεργών SIM.
Barking up the Wrong Tree
Benoit-Kurtz πιστεύει ότι οι πάροχοι και οι κατασκευαστές τηλεφώνων πρέπει να αναλάβουν πιο ενεργό ρόλο στην ασφάλεια του οικοσυστήματος των κινητών.
"Υπάρχουν σημαντικές προκλήσεις που σχετίζονται με την ασφάλεια των τηλεφώνων και των καρτών SIM που θα μπορούσαν να επιλυθούν από τις εταιρείες κινητής τηλεφωνίας που εφαρμόζουν ισχυρότερους ελέγχους σχετικά με το πότε και πού μπορεί να αλλάξει μια SIM", πρότεινε ο Benoit-Kurtz.
Λέει ότι ο κλάδος πρέπει να συνεργαστεί για να εισαγάγει μηχανισμούς για την αποτροπή συναλλαγών χωρίς να βασίζεται σε πολλά βήματα για την επικύρωση του χρήστη και του τηλεφώνου στο οποίο έχει καταχωρηθεί η νέα SIM.
Για παράδειγμα, λέει ότι ορισμένες εταιρείες κινητής τηλεφωνίας, όπως η Verizon, έχουν αρχίσει να χρησιμοποιούν εξαψήφιους κωδικούς PIN μεταφοράς, οι οποίοι απαιτούνται για να μπορέσει να μετακινηθεί μια κάρτα SIM. Αλλά αυτό είναι μόνο ένα ακόμη σημείο δεδομένων στη συναλλαγή και οι απατεώνες μπορούν να επεκτείνουν τα κόλπα κοινωνικής μηχανικής τους για να συγκεντρώσουν και αυτές τις πρόσθετες πληροφορίες.
Μέχρι να αναπτυχθεί ο κλάδος, εναπόκειται στους ανθρώπους να γνωρίζουν και να προστατεύονται από επιθέσεις ανταλλαγής SIM. Ένα κόλπο που προτείνει είναι να ενεργοποιήσετε τον έλεγχο ταυτότητας πολλαπλών παραγόντων για τους διαδικτυακούς λογαριασμούς σας, διασφαλίζοντας ταυτόχρονα ότι ένας από τους μηχανισμούς ελέγχου ταυτότητας στέλνει τον κωδικό επαλήθευσης σε έναν λογαριασμό email που δεν είναι συνδεδεμένος στο τηλέφωνό σας.
Προτείνει επίσης να χρησιμοποιήσετε ένα PIN της SIM - έναν πολυψήφιο κωδικό που εισάγετε κάθε φορά που επανεκκινείται το τηλέφωνό σας. "Βεβαιωθείτε ότι χρησιμοποιείτε τις ενσωματωμένες λειτουργίες ασφαλείας στο τηλέφωνό σας για να το κλειδώσετε, ώστε να μπορείτε να μειώσετε τον κίνδυνο και να προστατεύσετε προληπτικά τη SIM σας."
