L'ús de la biometria per prevenir l'ús abusiu de la targeta SIM podria generar problemes més grans

Taula de continguts:

L'ús de la biometria per prevenir l'ús abusiu de la targeta SIM podria generar problemes més grans
L'ús de la biometria per prevenir l'ús abusiu de la targeta SIM podria generar problemes més grans
Anonim

Clau per emportar

  • Els atacs d'intercanvi de SIM de, que es basen en SIM duplicades emeses de manera fraudulenta, costen als ciutadans nord-americans més de 68 milions de dòlars el 2021.
  • Sud-àfrica té previst associar la biomètrica al propietari d'una SIM per garantir que només es pugui emetre una SIM duplicada al propietari legítim.
  • Els experts en ciberseguretat creuen que l'ús de la biometria comportarà majors riscos de privadesa i la solució real es troba en un altre lloc.
Image
Image

L'ús de la biometria per resoldre un problema de seguretat pot no ajudar a eradicar el problema, però segur que introduirà problemes de privadesa més greus, suggeriu experts en ciberseguretat.

Sud-àfrica ha proposat recollir informació biomètrica de les persones quan compren targetes SIM per tal de frustrar els atacs d'intercanvi de SIM. En aquests atacs, els estafadors sol·liciten targetes SIM de substitució que utilitzen per interceptar contrasenyes legítimes d'un sol ús (OTP) i autoritzar transaccions. Segons l'FBI, aquestes transaccions fraudulentes van ascendir a més de 68 milions de dòlars el 2021. No obstant això, les implicacions de privadesa de la proposta de Sud-àfrica no estan bé per als experts.

"Em simpatitza amb els proveïdors que busquen una manera d'aturar el problema real de l'intercanvi de SIM", va dir Tim Helming, evangelista de seguretat de DomainTools, a Lifewire per correu electrònic. "Però no estic convençut que [recollir informació biomètrica] sigui la resposta correcta."

Enfocament incorrecte

Explicant els perills dels atacs d'intercanvi de SIM, Stephanie Benoit-Kurtz, experta en ciberseguretat de la Universitat de Phoenix, va dir que una SIM segrestada podria permetre que els mals actors penetrin pràcticament en tots els vostres comptes digitals, des dels correus electrònics fins a la banca en línia.

El repte al voltant de la recollida de dades biomètriques no és només en el procés de recollida, sinó en assegurar aquesta informació un cop s'ha recopilat.

Armats amb una SIM segrestada, els pirates informàtics poden enviar sol·licituds "He oblidat la contrasenya" o "Recuperació del compte" a qualsevol dels vostres comptes en línia associats al vostre número de mòbil i restablir les contrasenyes, bàsicament segrestant els vostres comptes.

L'Autoritat de Comunicacions Independent de Sud-àfrica (ICASA) espera ara utilitzar la biometria per dificultar que els pirates informàtics tinguin les mans amb una SIM duplicada, ja que requereixen dades biomètriques per verificar la identitat de la persona que sol·licita la SIM duplicada..

"Si bé l'intercanvi de SIM és innegablement un problema important, aquest podria ser un cas que la cura sigui pitjor que la mal altia", va subratllar Helming.

Va explicar que una vegada que les dades biomètriques estiguin en mans dels proveïdors de serveis, hi ha un risc real que una violació pugui posar les dades biomètriques en mans dels atacants, que després podrien abusar-ne de diverses maneres molt problemàtiques.

"El repte de la recollida de dades biomètriques no només està en el procés de recollida, sinó en assegurar aquesta informació un cop s'ha recopilat", va acceptar Benoit-Kurtz.

Ella creu que la biometria per si sola no ajuda a resoldre el problema en primer lloc. Això es deu al fet que els actors dolents utilitzen una varietat de mètodes per obtenir targetes SIM duplicades, i que se'ls emet directament del proveïdor de serveis no és l'única opció a la seva disposició. De fet, segons Benoit-Kurtz, hi ha un mercat negre vibrant per obtenir duplicats de SIM actives.

Barrant l'arbre equivocat

Benoit-Kurtz creu que els operadors i els fabricants de telèfons han de tenir un paper més actiu per protegir l'ecosistema mòbil.

"Hi ha reptes importants associats a la seguretat dels telèfons i les targetes SIM que els operadors poden resoldre amb controls més forts sobre quan i on es pot canviar una SIM", va suggerir Benoit-Kurtz.

Diu que la indústria ha de treballar conjuntament per introduir mecanismes per evitar transaccions sense dependre de diversos passos per validar l'usuari i el telèfon en què s'està registrant la nova SIM.

Image
Image

Per exemple, diu que alguns operadors com Verizon han començat a utilitzar PIN de transferència de sis dígits, que són necessaris abans que es pugui moure una SIM. Però això és només un punt més de dades de la transacció, i els estafadors també poden ampliar els seus trucs d'enginyeria social per recollir aquesta informació addicional.

Fins que la indústria s'intensifiqui, depèn de la gent ser experta i protegir-se dels atacs d'intercanvi de SIM. Un truc que suggereix és habilitar l'autenticació multifactorial per als vostres comptes en línia i assegurar-vos que un dels mecanismes d'autenticació enviï el codi de verificació a un compte de correu electrònic que no estigui connectat al vostre telèfon.

També suggereix utilitzar un PIN de la SIM: un codi de diversos dígits que introduïu cada vegada que es reinicia el telèfon. "Assegureu-vos que feu servir les funcions de seguretat integrades al vostre telèfon per bloquejar-lo de manera que pugueu reduir el vostre risc i protegir la vostra SIM de manera proactiva."

Recomanat: