Негізгі ұсыныстар
- Алаяқтық жолмен берілген қайталанатын SIM карталарына негізделген SIM-карталарды ауыстыру шабуылдары 2021 жылы АҚШ азаматтарына 68 миллион доллардан асады.
- Оңтүстік Африка SIM картасының көшірмесін тек заңды иесіне беру үшін биометриканы SIM картасының иесімен байланыстыруды жоспарлап отыр.
- Киберқауіпсіздік сарапшылары биометрияны пайдалану құпиялылыққа үлкен қауіп төндіреді және нақты шешім басқа жерде деп санайды.
Қауіпсіздік мәселесін шешу үшін биометрияны пайдалану мәселені жоюға көмектеспеуі мүмкін, бірақ бұл құпиялылық мәселелерін одан әрі күшейтетіні сөзсіз, деп киберқауіпсіздік мамандарына кеңес беріңіз.
Оңтүстік Африка SIM картасын ауыстыру шабуылдарына тосқауыл қою үшін адамдардан SIM карталарын сатып алған кезде биометриялық ақпаратты жинауды ұсынды. Бұл шабуылдарда алаяқтар заңды бір реттік құпия сөздерді (OTP) ұстап алу және транзакцияларға рұқсат беру үшін пайдаланатын ауыстыру SIM карталарын сұрайды. ФБР мәліметі бойынша, 2021 жылы бұл алаяқтық транзакциялардың жалпы сомасы $68 миллионнан асты. Дегенмен, Оңтүстік Африка ұсынысының құпиялылыққа қатысты салдары сарапшыларға ұнамайды.
"Мен SIM-картаны ауыстырудың нағыз проблемасын тоқтатудың жолын іздеп жүрген провайдерлерге түсіністікпен қараймын", - деді Тим Хелминг, DomainTools-тің қауіпсіздік евангелисті Lifewire-ке электрондық пошта арқылы. "Бірақ мен [биометриялық ақпаратты жинау] дұрыс жауап екеніне сенімді емеспін."
Қате тәсіл
SIM айырбастау шабуылдарының қауіптілігін түсіндіре отырып, Феникс университетінің киберқауіпсіздік жөніндегі сарапшысы Стефани Бенуа-Курц ұрланған SIM-карта нашар актерлерге электрондық поштадан бастап онлайн банкингке дейін барлық цифрлық есептік жазбаларыңызды бұзуға мүмкіндік беретінін айтты.
Биометриялық деректерді жинаудың қиындығы тек жинау процесінде ғана емес, ол ақпаратты жинағаннан кейін оны қорғауда.
Ұрланған SIM картасымен қаруланған хакерлер ұялы телефон нөміріңізге байланысты кез келген онлайн тіркелгіге "Құпия сөзді ұмыттым" немесе "Тіркелгіні қалпына келтіру" сұрауларын жібере алады және құпия сөздерді қалпына келтіріп, есептік жазбаларыңызды ұрлайды.
Оңтүстік Африканың Тәуелсіз Байланыс Агенттігі (ICASA) енді SIM картасының көшірмесін сұраған адамның жеке басын растау үшін биометрика деректерін талап ету арқылы хакерлерге SIM картасының көшірмесін алуды қиындату үшін биометриканы пайдаланады деп үміттенеді..
"SIM-картаны ауыстыру даусыз үлкен мәселе болса да, бұл ауруды емдеуден де нашар болуы мүмкін", - деп баса айтты Хелминг.
Ол биометриялық деректер қызмет провайдерлерінің қолында болғаннан кейін, бұзылу биометриялық деректерді шабуылдаушылардың қолына беруінің нақты қаупі бар екенін түсіндірді, содан кейін олар оны әртүрлі өте проблемалы тәсілдермен теріс пайдалануы мүмкін.
"Биометриялық деректерді жинаудың қиындығы тек жинау процесінде ғана емес, сонымен бірге ақпаратты жинағаннан кейін оны қорғауда", - деп келісті Бенуа-Курц.
Ол бірінші кезекте биометрика мәселені шешуге көмектеспейді деп санайды. Себебі, нашар әрекет етушілер қайталанатын SIM карталарын алу үшін әртүрлі әдістерді пайдаланады және оларды тікелей қызмет провайдерінен беру олардың қолындағы жалғыз мүмкіндік емес. Шын мәнінде, Бенуа-Курцтың айтуынша, белсенді SIM карталарының көшірмелерін алу үшін белсенді қара нарық бар.
Дұрыс емес ағашты үру
Бенуа-Курц операторлар мен телефон өндірушілері мобильді экожүйені қорғауда белсендірек рөл атқаруы керек деп санайды.
"Телефондар мен SIM карталарының қауіпсіздігіне байланысты маңызды мәселелер бар, оларды SIM картасын қашан және қайда өзгертуге болатынын бақылауды күшейтетін операторлар шеше алады", - деп ұсынды Бенуа-Курц.
Ол сала жаңа SIM тіркелген пайдаланушы мен телефонды растау үшін бірнеше қадамдарға сүйенбестен транзакциялардың алдын алу тетіктерін енгізу үшін бірлесіп жұмыс істеу керектігін айтады.
Мәселен, оның айтуынша, Verizon сияқты кейбір операторлар SIM картасын жылжыту үшін қажет алты таңбалы Transfer PIN кодын пайдалана бастады. Бірақ бұл транзакциядағы тағы бір деректер нүктесі, ал алаяқтар осы қосымша ақпаратты жинау үшін әлеуметтік инженерия әдістерін кеңейте алады.
Өнеркәсіп дамымайынша, адамдардың сауатты болуы және SIM картасын ауыстыру шабуылдарынан қорғануы керек. Ол ұсынатын амалдардың бірі - аутентификация механизмдерінің бірі растау кодын телефоныңызға қосылмаған электрондық пошта тіркелгісіне жіберуін қамтамасыз ету арқылы онлайн тіркелгілеріңіз үшін көп факторлы аутентификацияны қосу.
Ол сондай-ақ SIM PIN кодын пайдалануды ұсынады - телефон қайта қосылған сайын енгізілетін көп таңбалы код. "Қауіпті азайту және SIM картасын белсенді түрде қорғау үшін телефонды құлыптау үшін оның кірістірілген қауіпсіздік мүмкіндіктерін пайдаланғаныңызға көз жеткізіңіз."
