Belangrijkste afhaalrestaurants
- SIM-swapaanvallen, die berusten op frauduleus uitgegeven dubbele simkaarten, kosten Amerikaanse burgers meer dan $68 miljoen in 2021.
- Zuid-Afrika is van plan de biometrische gegevens te koppelen aan de eigenaar van een simkaart om ervoor te zorgen dat een duplicaat-simkaart alleen aan de rechtmatige eigenaar kan worden verstrekt.
- Cybersecurity-experts zijn van mening dat het gebruik van biometrie grotere privacyrisico's met zich meebrengt, en de echte oplossing ligt elders.
Het gebruik van biometrie om een beveiligingsprobleem op te lossen helpt misschien niet om het probleem uit te bannen, maar het zal zeker grotere privacyproblemen met zich meebrengen, stellen cyberbeveiligingsexperts voor.
Zuid-Afrika heeft voorgesteld biometrische informatie van mensen te verzamelen wanneer ze simkaarten kopen om sim-swap-aanvallen te verijdelen. Bij deze aanvallen vragen oplichters om vervangende simkaarten die ze gebruiken om legitieme eenmalige wachtwoorden (OTP's) te onderscheppen en transacties te autoriseren. Volgens de FBI bedroegen deze frauduleuze transacties in 2021 in totaal meer dan $ 68 miljoen. De privacy-implicaties van het voorstel van Zuid-Afrika vallen echter niet goed bij experts.
"Ik leef mee met de providers die op zoek zijn naar een manier om het zeer reële probleem van SIM-swapping te stoppen", vertelde Tim Helming, beveiligingsevangelist bij DomainTools, via e-mail aan Lifewire. "Maar ik ben er niet van overtuigd dat [biometrische informatie verzamelen] het juiste antwoord is."
Verkeerde aanpak
Stephanie Benoit-Kurtz, Cybersecurity Expert aan de Universiteit van Phoenix, legde de gevaren uit van sim-swap-aanvallen en zei dat een gekaapte simkaart kwaadwillenden in staat zou kunnen stellen om in vrijwel al uw digitale accounts in te breken, van e-mails tot online bankieren.
De uitdaging bij het verzamelen van biometrische gegevens zit niet alleen in het verzamelproces, maar ook in het beveiligen van die informatie zodra deze is verzameld.
Gewapend met een gekaapte simkaart kunnen de hackers 'Wachtwoord vergeten'- of 'Accountherstel'-verzoeken verzenden naar al uw online accounts die aan uw mobiele nummer zijn gekoppeld, en de wachtwoorden opnieuw instellen, waardoor in feite uw accounts worden gekaapt.
De Independent Communications Authority of South Africa (ICASA) hoopt nu biometrie te gebruiken om het voor hackers moeilijker te maken om een dubbele simkaart te bemachtigen door biometrische gegevens te eisen om de identiteit te verifiëren van de persoon die de dubbele simkaart aanvraagt.
"Hoewel het wisselen van simkaarten onmiskenbaar een groot probleem is, kan het zijn dat het middel erger is dan de kwaal", benadrukte Helming.
Hij legde uit dat zodra de biometrische gegevens in handen zijn van de serviceproviders, er een reëel risico bestaat dat een inbreuk de biometrische gegevens in handen van aanvallers kan brengen, die deze vervolgens op verschillende zeer problematische manieren kunnen misbruiken.
"De uitdaging bij het verzamelen van biometrische gegevens zit niet alleen in het verzamelproces, maar ook in het beveiligen van die informatie zodra deze is verzameld", beaamt Benoit-Kurtz.
Ze is van mening dat biometrie alleen niet helpt om het probleem op te lossen. Dat komt omdat kwaadwillenden verschillende methoden gebruiken om dubbele simkaarten te bemachtigen, en ze rechtstreeks van de serviceprovider laten uitgeven is niet de enige optie die ze tot hun beschikking hebben. Volgens Benoit-Kurtz is er zelfs een levendige zwarte markt voor het verkrijgen van duplicaten van actieve simkaarten.
De verkeerde boom in blaffen
Benoit-Kurtz is van mening dat providers en telefoonfabrikanten een actievere rol moeten spelen bij het beveiligen van het mobiele ecosysteem.
"Er zijn aanzienlijke uitdagingen in verband met de beveiliging van telefoons en simkaarten die zouden kunnen worden opgelost door de providers die strengere controles invoeren over waar en wanneer een simkaart kan worden gewijzigd", suggereerde Benoit-Kurtz.
Ze zegt dat de industrie moet samenwerken om mechanismen te introduceren om transacties te voorkomen zonder te vertrouwen op meerdere stappen om de gebruiker en de telefoon te valideren waarop de nieuwe simkaart is geregistreerd.
Ze zegt bijvoorbeeld dat sommige providers zoals Verizon zijn begonnen met het gebruik van zescijferige overdrachtspincodes, die nodig zijn voordat een simkaart kan worden verplaatst. Maar dat is slechts één extra datapunt in de transactie, en oplichters kunnen hun social engineering-trucs uitbreiden om ook deze aanvullende informatie te verzamelen.
Totdat de industrie opstapt, is het aan de mensen om slim te zijn en zichzelf te beschermen tegen SIM-swap-aanvallen. Een truc die ze voorstelt, is om multi-factor authenticatie in te schakelen voor je online accounts en er tegelijkertijd voor te zorgen dat een van de authenticatiemechanismen de verificatiecode naar een e-mailaccount stuurt dat niet is verbonden met je telefoon.
Ze stelt ook voor om een SIM-pincode te gebruiken, een meercijferige code die u invoert telkens wanneer uw telefoon opnieuw wordt opgestart. "Zorg ervoor dat u de ingebouwde beveiligingsfuncties van uw telefoon gebruikt om deze te vergrendelen, zodat u uw risico kunt verkleinen en uw simkaart proactief kunt beschermen."