Key Takeaway
- Serangan pertukaran SIM, yang bergantung pada SIM pendua yang dikeluarkan secara penipuan, menelan belanja warga AS melebihi $68 juta pada 2021.
- Afrika Selatan merancang untuk mengaitkan biometrik kepada pemilik SIM untuk memastikan SIM pendua hanya boleh dikeluarkan kepada pemilik yang sah.
- Pakar keselamatan siber percaya bahawa menggunakan biometrik akan memperkenalkan risiko privasi yang lebih besar, dan penyelesaian sebenar terletak di tempat lain.
Menggunakan biometrik untuk menyelesaikan isu keselamatan mungkin tidak membantu menghapuskan masalah itu, tetapi ia pasti akan menimbulkan kebimbangan privasi yang lebih serius, cadangkan pakar keselamatan siber.
Afrika Selatan telah mencadangkan pengumpulan maklumat biometrik daripada orang apabila mereka membeli kad SIM untuk menghalang serangan pertukaran SIM. Dalam serangan ini, penipu meminta kad SIM gantian yang mereka gunakan untuk memintas kata laluan sekali sahaja (OTP) yang sah dan membenarkan transaksi. Menurut FBI, transaksi penipuan ini berjumlah lebih $68 juta pada 2021. Walau bagaimanapun, implikasi privasi cadangan Afrika Selatan tidak sesuai dengan pakar.
"Saya bersimpati dengan penyedia yang mencari cara untuk menghentikan masalah pertukaran SIM yang sangat nyata, " Tim Helming, penginjil keselamatan dengan DomainTools, memberitahu Lifewire melalui e-mel. "Tetapi saya tidak yakin [mengumpul maklumat biometrik] adalah jawapan yang betul."
Pendekatan Salah
Menjelaskan bahaya serangan pertukaran SIM, Stephanie Benoit-Kurtz, Pakar Keselamatan Siber di Universiti Phoenix, berkata SIM yang dirampas boleh membolehkan pelakon jahat menceroboh hampir semua akaun digital anda, daripada e-mel ke perbankan dalam talian.
Cabaran mengumpul data biometrik bukan sahaja dalam proses pengumpulan tetapi memastikan maklumat tersebut setelah dikumpul.
Berbekalkan SIM yang dirampas, penggodam boleh menghantar permintaan 'Terlupa Kata Laluan' atau 'Pemulihan Akaun' ke mana-mana akaun dalam talian anda yang dikaitkan dengan nombor mudah alih anda dan menetapkan semula kata laluan, pada dasarnya merampas akaun anda.
Pihak Berkuasa Komunikasi Bebas Afrika Selatan (ICASA) kini berharap dapat menggunakan biometrik untuk menyukarkan lagi penggodam mendapatkan SIM pendua dengan memerlukan data biometrik untuk mengesahkan identiti orang yang meminta SIM pendua.
"Walaupun pertukaran SIM tidak dapat dinafikan merupakan masalah utama, ini boleh menjadi kes penawar lebih teruk daripada penyakit," tegas Helming.
Beliau menjelaskan bahawa apabila data biometrik berada di tangan penyedia perkhidmatan, terdapat risiko nyata bahawa pelanggaran boleh meletakkan data biometrik di tangan penyerang, yang kemudiannya boleh menyalahgunakannya dalam pelbagai cara yang sangat bermasalah.
"Cabaran sekitar mengumpul data biometrik bukan sahaja dalam proses pengumpulan tetapi memastikan maklumat itu apabila ia telah dikumpulkan, " bersetuju Benoit-Kurtz.
Dia percaya bahawa biometrik sahaja tidak membantu menyelesaikan isu itu sejak awal. Ini kerana pelakon jahat menggunakan pelbagai kaedah untuk mendapatkan kad SIM pendua, dan meminta mereka dikeluarkan terus daripada pembekal perkhidmatan bukanlah satu-satunya pilihan yang boleh mereka gunakan. Malah, menurut Benoit-Kurtz, terdapat pasaran gelap yang rancak untuk mendapatkan pendua SIM aktif.
Menyalak Pokok Yang Salah
Benoit-Kurtz percaya pembawa dan pengeluar telefon perlu mengambil peranan yang lebih aktif dalam melindungi ekosistem mudah alih.
"Terdapat cabaran penting yang berkaitan dengan keselamatan telefon dan kad SIM yang boleh diselesaikan oleh pembawa yang melaksanakan kawalan yang lebih kuat di sekitar masa dan tempat SIM boleh ditukar," cadang Benoit-Kurtz.
Dia berkata bahawa industri perlu bekerjasama untuk memperkenalkan mekanisme untuk menghalang transaksi tanpa bergantung pada berbilang langkah untuk mengesahkan pengguna dan telefon yang SIM baharu sedang didaftarkan.
Sebagai contoh, dia berkata sesetengah pembawa seperti Verizon telah mula menggunakan PIN Pemindahan enam digit, yang diperlukan sebelum SIM boleh dialihkan. Tetapi itu hanyalah satu lagi titik data dalam transaksi dan penipu boleh melanjutkan helah kejuruteraan sosial mereka untuk mengumpulkan maklumat tambahan ini juga.
Sehingga industri meningkat, terpulang kepada orang ramai untuk bijak dan melindungi diri mereka daripada serangan pertukaran SIM. Satu helah yang dia cadangkan ialah mendayakan pengesahan berbilang faktor untuk akaun dalam talian anda sambil memastikan bahawa salah satu mekanisme pengesahan menghantar kod pengesahan ke akaun e-mel yang tidak disambungkan ke telefon anda.
Dia juga mencadangkan menggunakan PIN SIM-kod berbilang digit yang anda masukkan setiap kali telefon anda dimulakan semula. "Pastikan anda menggunakan ciri keselamatan terbina dalam pada telefon anda untuk menguncinya supaya anda boleh mengurangkan risiko anda dan melindungi SIM anda secara proaktif."
