Mga Key Takeaway
- SIM swap attack, na umaasa sa mapanlinlang na mga duplicate na SIM, ay nagkakahalaga ng mga mamamayan ng US ng mahigit $68 milyon noong 2021.
- Plano ng South Africa na iugnay ang biometrics sa may-ari ng SIM para matiyak na maibibigay lang ang duplicate na SIM sa nararapat na may-ari.
- Naniniwala ang mga eksperto sa cybersecurity na ang paggamit ng biometrics ay magpapakita ng mas malaking panganib sa privacy, at ang tunay na solusyon ay nasa ibang lugar.
Ang paggamit ng biometrics upang malutas ang isang isyu sa seguridad ay maaaring hindi makatulong na maalis ang problema, ngunit tiyak na magsisimula ito ng mas malalalim na alalahanin sa privacy, magmungkahi ng mga eksperto sa cybersecurity.
South Africa ay nagmungkahi ng pagkolekta ng biometric na impormasyon mula sa mga tao kapag bumili sila ng mga SIM card upang hadlangan ang mga pag-atake ng SIM swap. Sa mga pag-atakeng ito, humihiling ang mga scammer ng mga kapalit na SIM card na ginagamit nila para maharang ang mga lehitimong one-time na password (OTP) at pahintulutan ang mga transaksyon. Ayon sa FBI, ang mga mapanlinlang na transaksyong ito ay umabot sa mahigit $68 milyon noong 2021. Gayunpaman, ang mga implikasyon sa privacy ng panukala ng South Africa ay hindi angkop sa mga eksperto.
"Nakikiramay ako sa mga provider na naghahanap ng paraan upang matigil ang tunay na problema ng pagpapalit ng SIM," sabi ni Tim Helming, security evangelist na may DomainTools, sa Lifewire sa pamamagitan ng email. "Ngunit hindi ako kumbinsido na ang [pagkolekta ng biometric na impormasyon] ang tamang sagot."
Maling Diskarte
Sa pagpapaliwanag sa mga panganib ng pag-atake ng SIM swap, sinabi ni Stephanie Benoit-Kurtz, Cybersecurity Expert sa University of Phoenix, na ang na-hijack na SIM ay maaaring magbigay-daan sa mga masasamang aktor na makapasok sa halos lahat ng iyong digital account, mula sa mga email hanggang sa online banking.
Ang hamon sa paligid ng pagkolekta ng biometric data ay hindi lamang sa proseso ng pangongolekta ngunit pag-secure ng impormasyong iyon kapag nakolekta na ito.
Armadong may na-hijack na SIM, ang mga hacker ay maaaring magpadala ng 'Nakalimutan ang Password' o 'Account Recovery' na mga kahilingan sa alinman sa iyong mga online na account na nauugnay sa iyong mobile number, at i-reset ang mga password, na mahalagang i-hijack ang iyong mga account.
Inaasahan na ngayon ng Independent Communications Authority of South Africa (ICASA) na gumamit ng biometrics para maging mas mahirap para sa mga hacker na makuha ang kanilang mga kamay sa isang duplicate na SIM sa pamamagitan ng pag-aatas sa biometrics data upang i-verify ang pagkakakilanlan ng taong humihiling ng duplicate na SIM.
"Bagama't hindi maikakailang malaking problema ang pagpapalit ng SIM, maaaring ito ay isang kaso ng lunas na mas malala kaysa sa sakit," diin ni Helming.
Ipinaliwanag niya na kapag ang biometric data ay nasa mga kamay ng mga service provider, may tunay na panganib na ang isang paglabag ay maaaring ilagay ang biometric data sa mga kamay ng mga umaatake, na maaaring abusuhin ito sa iba't ibang lubhang problemadong paraan.
"Ang hamon sa paligid ng pagkolekta ng biometric data ay hindi lamang sa proseso ng pagkolekta ngunit pag-secure ng impormasyong iyon kapag nakolekta na ito," sang-ayon ni Benoit-Kurtz.
Naniniwala siya na ang biometrics lamang ay hindi nakakatulong sa paglutas ng isyu sa simula pa lang. Iyon ay dahil ang mga masasamang aktor ay gumagamit ng iba't ibang paraan upang makakuha ng mga duplicate na SIM card, at ang pagbibigay sa kanila ng direkta mula sa service provider ay hindi lamang ang opsyon sa kanilang pagtatapon. Sa katunayan, ayon kay Benoit-Kurtz, mayroong masiglang black market para sa pagkuha ng mga duplicate ng mga aktibong SIM.
Pagtahol sa Maling Puno
Naniniwala ang Benoit-Kurtz na kailangang gumanap ng mas aktibong papel ang mga carrier at manufacturer ng telepono sa pag-secure ng mobile ecosystem.
"May mga mahahalagang hamon na nauugnay sa seguridad ng mga telepono at SIM card na maaaring malutas ng mga carrier na nagpapatupad ng mas malakas na kontrol sa paligid kung kailan at saan maaaring baguhin ang isang SIM," iminungkahing Benoit-Kurtz.
Sabi niya, kailangang magtulungan ang industriya para magpakilala ng mga mekanismo para maiwasan ang mga transaksyon nang hindi umaasa sa maraming hakbang para ma-validate ang user at ang telepono kung saan nirerehistro ang bagong SIM.
Halimbawa, sinabi niya na ang ilang carrier tulad ng Verizon ay nagsimula nang gumamit ng anim na digit na Transfer PIN, na kinakailangan bago mailipat ang isang SIM. Ngunit iyon ay isa pang punto ng data sa transaksyon, at maaaring palawigin ng mga scammer ang kanilang mga trick sa social engineering upang makalikom din ng karagdagang impormasyong ito.
Hanggang sa umunlad ang industriya, nasa mga tao na maging matalino at protektahan ang kanilang sarili laban sa mga pag-atake ng SIM swap. Ang isang trick na iminumungkahi niya ay ang paganahin ang multi-factor authentication para sa iyong mga online na account habang tinitiyak na ang isa sa mga mekanismo ng pagpapatotoo ay nagpapadala ng verification code sa isang email account na hindi nakakonekta sa iyong telepono.
Iminumungkahi din niya ang paggamit ng SIM PIN-isang multi-digit na code na ilalagay mo sa tuwing magre-restart ang iyong telepono. "Tiyaking ginagamit mo ang mga built-in na feature ng seguridad sa iyong telepono para i-lock ito para mabawasan mo ang iyong panganib at proactive na maprotektahan ang iyong SIM."