موارد مهم
- حملات تعویض سیمکارت، که متکی به سیمهای تکراری تقلبی صادر شده، بیش از ۶۸ میلیون دلار در سال ۲۰۲۱ برای شهروندان آمریکایی هزینه دارد.
- آفریقای جنوبی قصد دارد مشخصات بیومتریک را به صاحب سیم کارت مرتبط کند تا اطمینان حاصل شود که سیم کارت تکراری فقط برای مالک واقعی صادر می شود.
- کارشناسان امنیت سایبری بر این باورند که استفاده از بیومتریک خطرات حریم خصوصی بیشتری را به همراه خواهد داشت و راه حل واقعی در جای دیگری نهفته است.
استفاده از بیومتریک برای حل یک مشکل امنیتی ممکن است به ریشه کنی این مشکل کمک نکند، اما کارشناسان امنیت سایبری پیشنهاد می کنند که مطمئناً نگرانی های جدی تری در مورد حفظ حریم خصوصی ایجاد می کند.
آفریقای جنوبی جمع آوری اطلاعات بیومتریک از مردم هنگام خرید سیم کارت به منظور خنثی کردن حملات تعویض سیم کارت را پیشنهاد کرده است. در این حملات، کلاهبرداران درخواست جایگزینی سیم کارت هایی می کنند که برای رهگیری رمزهای عبور قانونی یک بار مصرف (OTP) و مجوز تراکنش ها استفاده می کنند. به گفته FBI، این تراکنشهای جعلی در سال 2021 بالغ بر 68 میلیون دلار بوده است.
تیم هلمینگ، مبشر امنیتی DomainTools، از طریق ایمیل به Lifewire گفت: "من با ارائه دهندگانی که به دنبال راهی برای جلوگیری از مشکل واقعی تعویض سیم کارت هستند، همدردی می کنم." "اما من متقاعد نشده ام که [جمع آوری اطلاعات بیومتریک] پاسخ درستی باشد."
رویکرد اشتباه
در تشریح خطرات حملات تعویض سیمکارت، استفانی بنویت کورتز، کارشناس امنیت سایبری در دانشگاه فونیکس، گفت که سیمکارت ربوده شده میتواند به بازیگران بد اجازه دهد تقریباً به تمام حسابهای دیجیتال شما، از ایمیلها گرفته تا بانکداری آنلاین، نفوذ کنند.
چالش پیرامون جمع آوری داده های بیومتریک نه تنها در فرآیند جمع آوری، بلکه ایمن سازی آن اطلاعات پس از جمع آوری است.
مجهز به سیم کارت ربوده شده، هکرها می توانند درخواست های "رمز عبور فراموش شده" یا "بازیابی حساب" را به هر یک از حساب های آنلاین شما مرتبط با شماره تلفن همراه خود ارسال کنند و رمزهای عبور را بازنشانی کنند و اساساً حساب های شما را ربودند.
مرجع ارتباطات مستقل آفریقای جنوبی (ICASA) اکنون امیدوار است با استفاده از بیومتریک، با درخواست دادههای بیومتریک برای تأیید هویت شخصی که درخواست سیمکارت تکراری را دارد، دستیابی هکرها به سیمکارت تکراری را دشوارتر کند..
هلمینگ تاکید کرد: "در حالی که تعویض سیم کارت انکارناپذیر یک مشکل بزرگ است، این می تواند بدتر بودن درمان از بیماری باشد."
او توضیح داد که وقتی دادههای بیومتریک در دست ارائهدهندگان خدمات قرار میگیرد، این خطر واقعی وجود دارد که نقض دادههای بیومتریک را در دست مهاجمان قرار دهد، و سپس مهاجمان میتوانند از آن به روشهای بسیار مشکلساز سوء استفاده کنند.
"چالش جمع آوری داده های بیومتریک تنها در فرآیند جمع آوری نیست، بلکه ایمن سازی آن اطلاعات پس از جمع آوری است."
او معتقد است که بیومتریک به تنهایی به حل این مشکل در وهله اول کمک نمی کند. به این دلیل که بازیگران بد از روشهای مختلفی برای دریافت سیمکارتهای تکراری استفاده میکنند و صدور مستقیم سیمکارتها از ارائهدهنده خدمات تنها گزینهای نیست که در اختیار دارند. در واقع، به گفته بنوا-کورتز، بازار سیاه پر جنب و جوشی برای به دست آوردن سیم کارت های تکراری وجود دارد.
پارس کردن درخت اشتباه
Benoit-Kurtz معتقد است که اپراتورها و سازندگان تلفن باید نقش فعال تری در ایمن سازی اکوسیستم تلفن همراه داشته باشند.
«چالشهای مهمی در ارتباط با امنیت تلفنها و سیمکارتها وجود دارد که میتوان آنها را توسط اپراتورهایی که کنترلهای قویتری در مورد زمان و مکان تغییر سیمکارت اعمال میکنند، برطرف کرد.
او می گوید که صنعت باید برای معرفی مکانیسم هایی برای جلوگیری از تراکنش ها بدون تکیه بر مراحل متعدد اعتبارسنجی کاربر و تلفنی که سیم کارت جدید در آن ثبت شده است، همکاری کند.
برای مثال، او می گوید برخی از شرکت های مخابراتی مانند Verizon شروع به استفاده از پین های انتقال شش رقمی کرده اند که قبل از جابجایی سیم کارت لازم است. اما این فقط یک نقطه داده دیگر در تراکنش است و کلاهبرداران می توانند ترفندهای مهندسی اجتماعی خود را برای جمع آوری این اطلاعات اضافی نیز گسترش دهند.
تا زمانی که صنعت پیشرفت کند، این به مردم بستگی دارد که هوشیار باشند و از خود در برابر حملات تعویض سیمکارت محافظت کنند. یکی از ترفندهایی که او پیشنهاد میکند این است که احراز هویت چند مرحلهای را برای حسابهای آنلاین خود فعال کنید و در عین حال مطمئن شوید که یکی از مکانیسمهای احراز هویت کد تأیید را به حساب ایمیلی که به تلفن شما متصل نیست ارسال میکند.
او همچنین پیشنهاد می کند از یک پین سیم کارت استفاده کنید - یک کد چند رقمی که هر بار که تلفنتان راه اندازی مجدد می شود وارد می کنید. "مطمئن شوید که از ویژگی های امنیتی داخلی گوشی خود برای قفل کردن آن استفاده می کنید تا بتوانید خطر خود را کاهش دهید و به طور فعال از سیم کارت خود محافظت کنید."
