Key takeaways
- SIM-bytesattacker, som bygger på bedrägligt utfärdade dubbletter av SIM-kort, kostar amerikanska medborgare över 68 miljoner USD 2021.
- Sydafrika planerar att koppla biometrin till ett SIM-korts ägare för att säkerställa att ett duplicerat SIM-kort endast kan utfärdas till den rättmätige ägaren.
- Cybersäkerhetsexperter tror att användning av biometri kommer att innebära större integritetsrisker, och den verkliga lösningen ligger någon annanstans.
Att använda biometri för att lösa ett säkerhetsproblem kanske inte hjälper till att utrota problemet, men det kommer säkert att införa allvarligare integritetsproblem, föreslår cybersäkerhetsexperter.
Sydafrika har föreslagit att man ska samla in biometrisk information från människor när de köper SIM-kort för att förhindra SIM-bytesattacker. I dessa attacker begär bedragare ersättnings-SIM-kort som de använder för att fånga upp legitima engångslösenord (OTP) och auktorisera transaktioner. Enligt FBI uppgick dessa bedrägliga transaktioner till över 68 miljoner dollar 2021. Integritetskonsekvenserna av Sydafrikas förslag faller dock inte bra för experter.
"Jag sympatiserar med de leverantörer som letar efter ett sätt att stoppa det verkliga problemet med SIM-byte", sa Tim Helming, säkerhetsevangelist med DomainTools, till Lifewire via e-post. "Men jag är inte övertygad om att [insamling av biometrisk information] är rätt svar."
Fel tillvägagångssätt
Stephanie Benoit-Kurtz, cybersäkerhetsexpert vid University of Phoenix, förklarade farorna med SIM-bytesattacker, sa att ett kapat SIM-kort kan göra det möjligt för dåliga aktörer att bryta sig in på praktiskt taget alla dina digitala konton, från e-post till onlinebanker.
Utmaningen kring att samla in biometrisk data är inte bara i insamlingsprocessen utan att säkra den informationen när den väl har samlats in.
Beväpnade med ett kapat SIM-kort kan hackarna skicka förfrågningar om "Glömt lösenord" eller "Kontoåterställning" till vilket som helst av dina onlinekonton som är kopplade till ditt mobilnummer, och återställa lösenorden, i princip kapa dina konton.
The Independent Communications Authority of South Africa (ICASA) hoppas nu kunna använda biometri för att göra det svårare för hackare att få tag på ett duplicerat SIM-kort genom att kräva biometriska data för att verifiera identiteten på den person som begär det duplicerade SIM-kortet.
"Även om SIM-byte onekligen är ett stort problem, kan detta vara ett fall av att botemedlet är värre än sjukdomen", betonade Helming.
Han förklarade att när de biometriska uppgifterna väl är i händerna på tjänsteleverantörerna finns det en verklig risk att ett intrång kan lägga biometriska uppgifter i händerna på angripare, som sedan kan missbruka dem på olika mycket problematiska sätt.
"Utmaningen kring att samla in biometrisk data ligger inte bara i insamlingsprocessen utan att säkra den informationen när den väl har samlats in", instämde Benoit-Kurtz.
Hon tror att biometri ensam inte hjälper till att lösa problemet i första hand. Det beror på att dåliga aktörer använder en mängd olika metoder för att skaffa dubbletter av SIM-kort, och att få dem utfärdade direkt från tjänsteleverantören är inte det enda alternativet till deras förfogande. Enligt Benoit-Kurtz finns det faktiskt en levande svart marknad för att skaffa dubbletter av aktiva SIM-kort.
Barking up the Wrong Tree
Benoit-Kurtz anser att operatörer och telefontillverkare måste ta en mer aktiv roll för att säkra det mobila ekosystemet.
"Det finns betydande utmaningar förknippade med säkerheten för telefoner och SIM-kort som skulle kunna lösas genom att operatörerna implementerar starkare kontroller kring när och var ett SIM-kort kan ändras", föreslog Benoit-Kurtz.
Hon säger att branschen måste samarbeta för att införa mekanismer för att förhindra transaktioner utan att förlita sig på flera steg för att validera användaren och telefonen som det nya SIM-kortet registreras på.
Till exempel säger hon att vissa operatörer som Verizon har börjat använda sexsiffriga PIN-koder för överföring, som krävs innan ett SIM-kort kan flyttas. Men det är bara ytterligare en datapunkt i transaktionen, och bedragare kan utöka sina sociala ingenjörsknep för att också samla in denna ytterligare information.
Till dess att branschen tar fart är det upp till folket att vara kunniga och skydda sig mot SIM-bytesattacker. Ett knep hon föreslår är att aktivera multifaktorautentisering för dina onlinekonton samtidigt som du säkerställer att en av autentiseringsmekanismerna skickar verifieringskoden till ett e-postkonto som inte är anslutet till din telefon.
Hon föreslår också att du använder en SIM-PIN-en flersiffrig kod som du anger varje gång telefonen startar om. "Se till att du använder de inbyggda säkerhetsfunktionerna på din telefon för att låsa den så att du kan minska risken och proaktivt skydda ditt SIM-kort."