Key takeaways
- SIM-swap-angreb, som er afhængige af svigagtigt udstedte duplikerede SIM-kort, koster amerikanske borgere over 68 millioner dollars i 2021.
- Sydafrika planlægger at knytte biometrien til et SIM-korts ejer for at sikre, at et dublet-SIM kun kan udstedes til den retmæssige ejer.
- Cybersikkerhedseksperter mener, at brug af biometri vil medføre større privatlivsrisici, og den reelle løsning ligger et andet sted.
Brug af biometri til at løse et sikkerhedsproblem hjælper måske ikke med at udrydde problemet, men det vil helt sikkert introducere alvorligere privatlivsproblemer, foreslår cybersikkerhedseksperter.
Sydafrika har foreslået at indsamle biometriske oplysninger fra folk, når de køber SIM-kort, for at forhindre SIM-bytteangreb. I disse angreb anmoder svindlere om erstatnings-SIM-kort, de bruger til at opsnappe legitime engangsadgangskoder (OTP'er) og autorisere transaktioner. Ifølge FBI udgjorde disse svigagtige transaktioner over 68 millioner dollars i 2021. Indvirkningerne på privatlivets fred af Sydafrikas forslag falder dog ikke i god jord hos eksperter.
"Jeg sympatiserer med de udbydere, der leder efter en måde at stoppe det meget reelle problem med SIM-bytning," fort alte Tim Helming, sikkerhedsevangelist hos DomainTools, til Lifewire via e-mail. "Men jeg er ikke overbevist om at [indsamling af biometriske oplysninger] er det rigtige svar."
Forkert tilgang
Stephanie Benoit-Kurtz, Cybersikkerhedsekspert ved University of Phoenix, forklarede farerne ved SIM-swap-angreb, sagde, at et kapret SIM-kort kunne gøre det muligt for dårlige aktører at bryde ind på stort set alle dine digitale konti, fra e-mails til netbank.
Udfordringen omkring indsamling af biometriske data er ikke kun i indsamlingsprocessen, men at sikre disse oplysninger, når de er blevet indsamlet.
Bevæbnet med et kapret SIM-kort kan hackerne sende anmodninger om "Glemt adgangskode" eller "Kontogendannelse" til enhver af dine onlinekonti, der er knyttet til dit mobilnummer, og nulstille adgangskoden, hvilket i det væsentlige kaprer dine konti.
The Independent Communications Authority of South Africa (ICASA) håber nu at bruge biometri til at gøre det sværere for hackere at få fingrene i et dublet-SIM ved at kræve biometriske data for at bekræfte identiteten af den person, der anmoder om det duplikat-SIM.
"Mens udskiftning af SIM-kort unægteligt er et stort problem, kan dette være et tilfælde af, at kuren er værre end sygdommen," understregede Helming.
Han forklarede, at når først de biometriske data er i hænderne på tjenesteudbyderne, er der en reel risiko for, at et brud kan bringe de biometriske data i hænderne på angribere, som derefter kan misbruge dem på forskellige meget problematiske måder.
"Udfordringen omkring indsamling af biometriske data er ikke kun i indsamlingsprocessen, men at sikre disse oplysninger, når de er blevet indsamlet," aft alte Benoit-Kurtz.
Hun mener, at biometri alene ikke hjælper med at løse problemet i første omgang. Det skyldes, at dårlige skuespillere bruger en række forskellige metoder til at få duplikerede SIM-kort, og at få dem udstedt direkte fra tjenesteudbyderen er ikke den eneste mulighed, de har til rådighed. Faktisk er der ifølge Benoit-Kurtz et levende sort marked for at få dubletter af aktive SIM-kort.
Barking up the Wrong Tree
Benoit-Kurtz mener, at mobilselskaber og telefonproducenter skal tage en mere aktiv rolle i sikringen af det mobile økosystem.
"Der er betydelige udfordringer forbundet med sikkerheden af telefoner og SIM-kort, som kunne løses ved, at operatørerne implementerer stærkere kontroller omkring, hvornår og hvor et SIM-kort kan ændres," foreslog Benoit-Kurtz.
Hun siger, at industrien er nødt til at arbejde sammen for at indføre mekanismer til at forhindre transaktioner uden at være afhængig af flere trin for at validere brugeren og telefonen, som det nye SIM-kort bliver registreret til.
For eksempel siger hun, at nogle udbydere som Verizon er begyndt at bruge sekscifrede overførsels-PIN-koder, som er nødvendige, før et SIM-kort kan flyttes. Men det er blot endnu et datapunkt i transaktionen, og svindlere kan udvide deres social engineering-tricks til også at indsamle disse yderligere oplysninger.
Indtil branchen stiger op, er det op til folket at være kyndige og beskytte sig selv mod SIM-bytteangreb. Et trick, hun foreslår, er at aktivere multifaktorgodkendelse for dine onlinekonti og samtidig sikre, at en af godkendelsesmekanismerne sender bekræftelseskoden til en e-mail-konto, der ikke er forbundet til din telefon.
Hun foreslår også, at du bruger en SIM-PIN-en flercifret kode, du indtaster, hver gang din telefon genstarter. "Sørg for, at du bruger de indbyggede sikkerhedsfunktioner på din telefon til at låse den ned, så du kan reducere din risiko og proaktivt beskytte dit SIM-kort."
