מזונות חשובים
- התקפות חילופי SIM, המסתמכות על כפולות SIM שהונפקו במרמה, עולות לאזרחי ארה"ב יותר מ-68 מיליון דולר ב-2021.
- דרום אפריקה מתכננת לשייך את הביומטריה לבעלים של ה-SIM כדי להבטיח שניתן יהיה להנפיק סים כפול רק לבעלים החוקי.
- מומחי אבטחת סייבר מאמינים ששימוש ביומטרי יציג סיכוני פרטיות גדולים יותר, והפתרון האמיתי נמצא במקום אחר.
שימוש ביומטרי לפתרון בעיית אבטחה אולי לא יעזור למגר את הבעיה, אבל הוא בטוח יציג חששות חמורים יותר לפרטיות, מציעים מומחי אבטחת סייבר.
דרום אפריקה הציעה לאסוף מידע ביומטרי מאנשים כאשר הם רוכשים כרטיסי SIM כדי לסכל התקפות החלפת SIM. בהתקפות אלו, הרמאים מבקשים כרטיסי SIM חלופיים שבהם הם משתמשים כדי ליירט סיסמאות חד פעמיות לגיטימיות (OTP) ולאשר עסקאות. לפי ה-FBI, עסקאות הונאה אלו הסתכמו ביותר מ-68 מיליון דולר בשנת 2021. עם זאת, השלכות הפרטיות של הצעת דרום אפריקה אינן מסתדרות עם מומחים.
"אני מזדהה עם הספקים שמחפשים דרך לעצור את הבעיה האמיתית של החלפת סים", אמר טים הלמינג, אוונגליסט אבטחה ב-DomainTools, ל-Lifewire בדוא"ל. "אבל אני לא משוכנע ש[איסוף מידע ביומטרי] הוא התשובה הנכונה."
גישה שגויה
כאשר הסבירה את הסכנות של התקפות החלפת SIM, סטפני בנואה-קורץ, מומחית אבטחת סייבר מאוניברסיטת פיניקס, אמרה ש-SIM חטוף יכול לאפשר לשחקנים גרועים לפרוץ כמעט לכל החשבונות הדיגיטליים שלך, ממיילים ועד בנקאות מקוונת.
האתגר סביב איסוף נתונים ביומטריים הוא לא רק בתהליך האיסוף, אלא גם אבטחת המידע לאחר איסוףו.
חמושים ב-SIM חטוף, ההאקרים יכולים לשלוח בקשות 'שכחתי סיסמה' או 'שחזור חשבון' לכל אחד מהחשבונות המקוונים שלך המשויכים למספר הנייד שלך, ולאפס את הסיסמאות, ובעצם לחטוף את החשבונות שלך.
רשות התקשורת העצמאית של דרום אפריקה (ICASA) מקווה כעת להשתמש ביומטריה כדי להקשות על האקרים לשים את ידם על סים כפול על ידי דרישת נתונים ביומטריים כדי לאמת את זהות האדם המבקש את ה-SIM הכפול.
"למרות שהחלפת SIM היא ללא ספק בעיה גדולה, זה יכול להיות מקרה של התרופה גרועה מהמחלה", הדגיש הלמינג.
הוא הסביר שברגע שהנתונים הביומטריים נמצאים בידי ספקי השירותים, קיים סיכון ממשי שהפרה עלולה להביא את הנתונים הביומטריים לידי התוקפים, שעלולים לאחר מכן לעשות בהם שימוש לרעה בדרכים בעייתיות שונות.
"האתגר סביב איסוף נתונים ביומטריים הוא לא רק בתהליך האיסוף, אלא באבטחת המידע לאחר איסוףו", הסכים בנואה-קורץ.
היא מאמינה שהביומטריה לבדה לא עוזרת לפתור את הבעיה מלכתחילה. הסיבה לכך היא ששחקנים גרועים משתמשים במגוון שיטות כדי להשיג כרטיסי סים כפולים, והנפקתם ישירות מספק השירות אינה האפשרות היחידה העומדת לרשותם. למעשה, לפי בנואה-קורץ, יש שוק שחור תוסס להשגת כפילויות של סים פעילים.
נובח במעלה העץ הלא נכון
Benoit-Kurtz מאמין שספקים ויצרני טלפונים צריכים לקחת תפקיד פעיל יותר באבטחת המערכת האקולוגית הניידת.
"יש אתגרים משמעותיים הקשורים לאבטחת טלפונים וכרטיסי SIM שיכולים להיפתר על ידי הספקים שיישמו בקרות חזקות יותר סביב מתי והיכן ניתן להחליף SIM", הציע בנואה-קורץ.
היא אומרת שהתעשייה צריכה לעבוד יחד כדי להציג מנגנונים למניעת עסקאות מבלי להסתמך על מספר שלבים לאימות המשתמש והטלפון שאליו נרשם ה-SIM החדש.
לדוגמה, היא אומרת שחלק מהספקים כמו Verizon התחילו להשתמש ב-PIN של העברת שש ספרות, שנדרשים לפני שניתן להעביר סים. אבל זו רק עוד נקודת נתונים בעסקה, ורמאים יכולים להרחיב את הטריקים של ההנדסה החברתית שלהם כדי לאסוף גם את המידע הנוסף הזה.
עד שהתעשייה תתגבר, זה תלוי באנשים להתמצא ולהגן על עצמם מפני התקפות החלפת SIM. טריק אחד שהיא מציעה הוא לאפשר אימות רב-גורמי עבור החשבונות המקוונים שלך תוך הבטחה שאחד ממנגנוני האימות שולח את קוד האימות לחשבון דוא ל שאינו מחובר לטלפון שלך.
היא גם מציעה להשתמש ב-SIM PIN - קוד רב ספרתי שתזין בכל פעם שהטלפון שלך מופעל מחדש. "ודא שאתה משתמש בתכונות האבטחה המובנות בטלפון שלך כדי לנעול אותו כדי שתוכל להפחית את הסיכון שלך ולהגן באופן יזום על ה-SIM שלך."
