Ключевые выводы
- Атаки с подменой SIM-карты, которые основаны на мошеннически выпущенных дубликатах SIM-карт, обходятся гражданам США в более чем 68 миллионов долларов в 2021 году.
- Южная Африка планирует связать биометрические данные с владельцем SIM-карты, чтобы гарантировать, что дубликат SIM-карты может быть выдан только законному владельцу.
- Эксперты по кибербезопасности считают, что использование биометрии приведет к увеличению рисков для конфиденциальности, и реальное решение лежит в другом месте.
Использование биометрии для решения проблемы безопасности, возможно, не поможет устранить проблему, но наверняка вызовет серьезные проблемы с конфиденциальностью, считают эксперты по кибербезопасности.
Южная Африка предложила собирать биометрическую информацию у людей, когда они покупают SIM-карты, чтобы предотвратить атаки с подменой SIM-карт. В этих атаках мошенники запрашивают замену SIM-карт, которые они используют для перехвата законных одноразовых паролей (OTP) и авторизации транзакций. По данным ФБР, в 2021 году эти мошеннические транзакции составили более 68 миллионов долларов. Однако последствия предложения Южной Африки для конфиденциальности не нравятся экспертам.
«Я сочувствую провайдерам, которые ищут способ остановить очень реальную проблему замены SIM-карт», - сказал Lifewire по электронной почте Тим Хелминг, евангелист безопасности из DomainTools. «Но я не уверен, что [сбор биометрической информации] - правильный ответ».
Неправильный подход
Объясняя опасность атак с подменой SIM-карты, Стефани Бенуа-Курц, эксперт по кибербезопасности в Университете Феникса, сказала, что угнанная SIM-карта может позволить злоумышленникам взломать практически все ваши цифровые учетные записи, от электронной почты до онлайн-банкинга.
Проблема сбора биометрических данных заключается не только в процессе сбора, но и в защите этой информации после ее сбора.
Вооружившись угнанной SIM-картой, хакеры могут отправлять запросы «Забыли пароль» или «Восстановление учетной записи» на любой из ваших онлайн-аккаунтов, связанных с вашим номером мобильного телефона, и сбрасывать пароли, по сути взламывая ваши аккаунты.
Независимый орган связи Южной Африки (ICASA) теперь надеется использовать биометрию, чтобы затруднить хакерам получение дубликата SIM-карты, требуя биометрических данных для проверки личности человека, запрашивающего дубликат SIM-карты..
«Хотя замена SIM-карты, несомненно, является серьезной проблемой, это может быть случай, когда лекарство хуже болезни», - подчеркнул Хелминг.
Он объяснил, что как только биометрические данные попадают в руки поставщиков услуг, существует реальный риск того, что в результате взлома биометрические данные попадут в руки злоумышленников, которые затем могут использовать их различными весьма проблематичными способами.
«Проблема сбора биометрических данных заключается не только в процессе сбора, но и в обеспечении безопасности этой информации после ее сбора», - согласился Бенуа-Курц.
Она считает, что сама по себе биометрия не поможет решить проблему. Это связано с тем, что злоумышленники используют различные методы для получения дубликатов SIM-карт, и выпуск их непосредственно у поставщика услуг - не единственный доступный им вариант. На самом деле, по словам Бенуа-Курца, существует оживленный черный рынок для получения дубликатов активных SIM-карт.
Лаять не на то дерево
Бенуа-Курц считает, что операторы связи и производители телефонов должны играть более активную роль в обеспечении безопасности мобильной экосистемы.
«Существуют серьезные проблемы, связанные с безопасностью телефонов и SIM-карт, которые могут быть решены операторами, внедряющими более строгий контроль в отношении того, когда и где можно менять SIM-карту», - предположил Бенуа-Курц.
Она говорит, что отрасль должна работать вместе, чтобы внедрить механизмы для предотвращения транзакций, не полагаясь на несколько шагов для проверки пользователя и телефона, на который регистрируется новая SIM-карта.
Например, она говорит, что некоторые операторы связи, такие как Verizon, начали использовать шестизначные PIN-коды для передачи, которые требуются перед перемещением SIM-карты. Но это всего лишь еще одна точка данных в транзакции, и мошенники могут расширить свои приемы социальной инженерии, чтобы собрать и эту дополнительную информацию.
Пока индустрия не поднимется, люди должны проявить смекалку и защитить себя от атак с подменой SIM-карты. Один из приемов, который она предлагает, заключается в том, чтобы включить многофакторную аутентификацию для ваших онлайн-аккаунтов, гарантируя, что один из механизмов аутентификации отправляет код подтверждения на учетную запись электронной почты, которая не подключена к вашему телефону.
Она также предлагает использовать PIN-код SIM-карты - многозначный код, который вы вводите каждый раз при перезагрузке телефона. «Убедитесь, что вы используете встроенные функции безопасности на своем телефоне, чтобы заблокировать его, чтобы вы могли снизить риск и заранее защитить свою SIM-карту».
