Önemli Bilgiler
- Hileli olarak çıkarılan çift SIM'lere dayanan SIM takas saldırıları, 2021'de ABD vatandaşlarına 68 milyon dolardan fazlaya mal oluyor.
- Güney Afrika, kopya SIM'in yalnızca hak sahibine verilebildiğinden emin olmak için biyometriyi SIM'in sahibiyle ilişkilendirmeyi planlıyor.
- Siber güvenlik uzmanları, biyometri kullanmanın daha büyük gizlilik riskleri getireceğine inanıyor ve gerçek çözüm başka bir yerde yatıyor.
Bir güvenlik sorununu çözmek için biyometri kullanmak, sorunu ortadan kaldırmaya yardımcı olmayabilir, ancak siber güvenlik uzmanlarına göre, bunun daha ciddi gizlilik endişelerini beraberinde getireceği kesindir.
Güney Afrika, SIM takas saldırılarını engellemek için SIM kart satın alan kişilerden biyometrik bilgi toplamayı önerdi. Bu saldırılarda dolandırıcılar, meşru tek seferlik şifreleri (OTP'ler) ele geçirmek ve işlemlere yetki vermek için kullandıkları yeni SIM kartları talep eder. FBI'a göre, bu sahte işlemlerin toplamı 2021'de 68 milyon doları aştı. Ancak, Güney Afrika'nın önerisinin mahremiyetle ilgili sonuçları uzmanlarla pek uyumlu değil.
DomainTools'un güvenlik misyoneri Tim Helming, Lifewire'a e-posta yoluyla verdiği demeçte, "SIM takasıyla ilgili gerçek sorunu durdurmanın bir yolunu arayan sağlayıcılara sempati duyuyorum" dedi. "Ama [biyometrik bilgi toplamanın] doğru cevap olduğuna ikna olmadım."
Yanlış Yaklaşım
SIM takas saldırılarının tehlikelerini açıklayan Phoenix Üniversitesi Siber Güvenlik Uzmanı Stephanie Benoit-Kurtz, ele geçirilen bir SIM'in kötü niyetli kişilerin e-postalardan çevrimiçi bankacılığa kadar neredeyse tüm dijital hesaplarınıza girmesine olanak sağlayabileceğini söyledi.
Biyometrik veri toplama konusundaki zorluk, yalnızca toplama sürecinde değil, aynı zamanda bu bilgilerin toplandıktan sonra güvence altına alınmasında da yatmaktadır.
Kaçırılan bir SIM ile donanmış bilgisayar korsanları, cep telefonu numaranızla ilişkili çevrimiçi hesaplarınızdan herhangi birine 'Şifremi Unuttum' veya 'Hesap Kurtarma' istekleri gönderebilir ve esasen hesaplarınızı ele geçirerek şifreleri sıfırlayabilir.
Güney Afrika Bağımsız İletişim Kurumu (ICASA) şimdi, kopya SIM'i talep eden kişinin kimliğini doğrulamak için biyometrik verileri gerektirerek bilgisayar korsanlarının kopya SIM'i ele geçirmesini zorlaştırmak için biyometri kullanmayı umuyor.
Helming, "SIM değişimi yadsınamaz bir şekilde büyük bir sorun olsa da, bu, tedavinin hastalıktan daha kötü olduğu bir durum olabilir," diye vurguladı Helming.
Biyometrik veriler bir kez servis sağlayıcıların eline geçtiğinde, bir ihlalin biyometrik verileri saldırganların eline bırakması ve daha sonra bu verileri son derece sorunlu çeşitli şekillerde kötüye kullanabilecekleri konusunda gerçek bir risk olduğunu açıkladı.
"Biyometrik veri toplama konusundaki zorluk, yalnızca toplama sürecinde değil, aynı zamanda bu bilgilerin toplandıktan sonra güvence altına alınmasındadır," diye kabul etti Benoit-Kurtz.
Biyometrinin tek başına sorunu çözmeye yardımcı olmadığına inanıyor. Bunun nedeni, kötü niyetli kişilerin, çift SIM kart elde etmek için çeşitli yöntemler kullanması ve bunları doğrudan servis sağlayıcıdan vermelerinin ellerindeki tek seçenek olmamasıdır. Aslında, Benoit-Kurtz'a göre, aktif SIM'lerin kopyalarını elde etmek için canlı bir karaborsa var.
Yanlış Ağacı Havlamak
Benoit-Kurtz, operatörlerin ve telefon üreticilerinin mobil ekosistemin güvenliğini sağlamada daha aktif rol almaları gerektiğine inanıyor.
"Telefonların ve SIM kartların güvenliğiyle ilgili olarak, bir SIM'in ne zaman ve nerede değiştirilebileceği konusunda daha güçlü kontroller uygulayan operatörler tarafından çözülebilecek önemli zorluklar var," diye önerdi Benoit-Kurtz.
Sektörün, kullanıcıyı ve yeni SIM'in kayıtlı olduğu telefonu doğrulamak için birden fazla adıma dayanmadan işlemleri önleyecek mekanizmalar sunmak için birlikte çalışması gerektiğini söylüyor.
Örneğin, Verizon gibi bazı operatörlerin SIM'in taşınabilmesi için gerekli olan altı haneli Transfer PIN'lerini kullanmaya başladığını söylüyor. Ancak bu, işlemdeki yalnızca bir veri noktası daha ve dolandırıcılar, bu ek bilgileri toplamak için sosyal mühendislik numaralarını genişletebilir.
Sektörde yükselişe geçene kadar, bilgili olmak ve SIM değiştirme saldırılarına karşı kendilerini korumak insanlara kalmıştır. Önerdiği numaralardan biri, kimlik doğrulama mekanizmalarından birinin doğrulama kodunu telefonunuza bağlı olmayan bir e-posta hesabına göndermesini sağlarken çevrimiçi hesaplarınız için çok faktörlü kimlik doğrulamayı etkinleştirmektir.
Ayrıca, telefonunuz her yeniden başlatıldığında girdiğiniz çok basamaklı bir kod olan bir SIM PIN'i kullanmanızı önerir. "Riskinizi az altmak ve SIM'inizi proaktif olarak korumak için telefonunuzu kilitlemek için telefonunuzdaki yerleşik güvenlik özelliklerini kullandığınızdan emin olun."
