Da asporto chiave
- Gli attacchi di scambio SIM, che si basano su SIM duplicate emesse in modo fraudolento, costano ai cittadini statunitensi oltre $ 68 milioni nel 2021.
- Il Sudafrica prevede di associare i dati biometrici al proprietario di una SIM per garantire che una SIM duplicata possa essere rilasciata solo al legittimo proprietario.
- Gli esperti di sicurezza informatica ritengono che l'uso della biometria introdurrà maggiori rischi per la privacy e la vera soluzione sta altrove.
L'uso della biometria per risolvere un problema di sicurezza potrebbe non aiutare a sradicare il problema, ma sicuramente introdurrà problemi di privacy più gravi, suggeriscono esperti di sicurezza informatica.
Il Sudafrica ha proposto di raccogliere informazioni biometriche dalle persone quando acquistano schede SIM per contrastare gli attacchi di scambio di SIM. In questi attacchi, i truffatori richiedono schede SIM sostitutive che utilizzano per intercettare password monouso legittime (OTP) e autorizzare le transazioni. Secondo l'FBI, queste transazioni fraudolente hanno totalizzato oltre $ 68 milioni nel 2021. Tuttavia, le implicazioni sulla privacy della proposta del Sud Africa non vanno d'accordo con gli esperti.
"Sono solidale con i provider che cercano un modo per fermare il vero problema dello scambio di SIM", ha detto a Lifewire via e-mail Tim Helming, security evangelist di DomainTools. "Ma non sono convinto che [raccogliere informazioni biometriche] sia la risposta giusta."
Approccio sbagliato
Spiegando i pericoli degli attacchi di scambio di SIM, Stephanie Benoit-Kurtz, esperta di sicurezza informatica presso l'Università di Phoenix, ha affermato che una SIM dirottata potrebbe consentire a malintenzionati di entrare praticamente in tutti i tuoi account digitali, dalle e-mail all'online banking.
La sfida relativa alla raccolta dei dati biometrici non è solo nel processo di raccolta, ma anche nel proteggere tali informazioni una volta che sono state raccolte.
Armati di una SIM dirottata, gli hacker possono inviare richieste "Password dimenticata" o "Recupero account" a qualsiasi account online associato al tuo numero di cellulare e reimpostare le password, essenzialmente dirottando i tuoi account.
L'Autorità per le comunicazioni indipendenti del Sud Africa (ICASA) ora spera di utilizzare i dati biometrici per rendere più difficile per gli hacker mettere le mani su una SIM duplicata richiedendo dati biometrici per verificare l'identità della persona che richiede la SIM duplicata.
"Sebbene lo scambio di SIM sia innegabilmente un grosso problema, questo potrebbe essere un caso in cui la cura è peggiore della malattia", ha sottolineato Helming.
Ha spiegato che una volta che i dati biometrici sono nelle mani dei fornitori di servizi, c'è il rischio reale che una violazione possa mettere i dati biometrici nelle mani di aggressori, che potrebbero quindi abusarne in vari modi altamente problematici.
"La sfida relativa alla raccolta dei dati biometrici non è solo nel processo di raccolta, ma anche nel garantire le informazioni una volta raccolte", ha concordato Benoit-Kurtz.
Crede che la biometria da sola non aiuti a risolvere il problema in primo luogo. Questo perché i malintenzionati utilizzano una varietà di metodi per ottenere schede SIM duplicate e farle emettere direttamente dal fornitore di servizi non è l'unica opzione a loro disposizione. In effetti, secondo Benoit-Kurtz, esiste un vivace mercato nero per ottenere duplicati di SIM attive.
Abbaiare l'albero sbagliato
Benoit-Kurtz ritiene che gli operatori e i produttori di telefoni debbano assumere un ruolo più attivo nella protezione dell'ecosistema mobile.
"Ci sono sfide significative associate alla sicurezza dei telefoni e delle schede SIM che potrebbero essere risolte dai vettori implementando controlli più rigorosi su quando e dove una SIM può essere cambiata", ha suggerito Benoit-Kurtz.
Dice che l'industria deve lavorare insieme per introdurre meccanismi per prevenire le transazioni senza fare affidamento su più passaggi per convalidare l'utente e il telefono su cui è registrata la nuova SIM.
Ad esempio, afferma che alcuni operatori come Verizon hanno iniziato a utilizzare PIN di trasferimento a sei cifre, necessari prima che una SIM possa essere spostata. Ma questo è solo un altro punto dati nella transazione e i truffatori possono estendere i loro trucchi di ingegneria sociale per raccogliere anche queste informazioni aggiuntive.
Finché il settore non si farà avanti, spetta alle persone essere esperte e proteggersi dagli attacchi di scambio di SIM. Un trucco che suggerisce è di abilitare l'autenticazione a più fattori per i tuoi account online assicurando che uno dei meccanismi di autenticazione invii il codice di verifica a un account e-mail che non è connesso al tuo telefono.
Suggerisce anche di utilizzare un PIN della SIM, un codice a più cifre che inserisci ogni volta che il telefono si riavvia. "Assicurati di utilizzare le funzioni di sicurezza integrate nel telefono per bloccarlo in modo da poter ridurre i rischi e proteggere in modo proattivo la tua SIM."
