الوجبات الجاهزة الرئيسية
- هجمات مبادلة SIM ، والتي تعتمد على بطاقات SIM المكررة التي تم إصدارها عن طريق الاحتيال ، تكلف المواطنين الأمريكيين أكثر من 68 مليون دولار في عام 2021.
- تخطط جنوب إفريقيا لربط القياسات الحيوية بمالك بطاقة SIM لضمان إصدار بطاقة SIM مكررة فقط للمالك الشرعي.
- يعتقد خبراء الأمن السيبراني أن استخدام القياسات الحيوية سيؤدي إلى مخاطر أكبر على الخصوصية ، والحل الحقيقي يكمن في مكان آخر.
قد لا يساعد استخدام القياسات الحيوية لحل مشكلة أمنية في القضاء على المشكلة ، ولكن من المؤكد أنه سيقدم مخاوف تتعلق بالخصوصية ، واقترح خبراء الأمن السيبراني.
اقترحت جنوب إفريقيا جمع المعلومات البيومترية من الأشخاص عند شراء بطاقات SIM لإحباط هجمات تبديل بطاقة SIM. في هذه الهجمات ، يطلب المحتالون استبدال بطاقات SIM التي يستخدمونها لاعتراض كلمات المرور الشرعية لمرة واحدة (OTP) وتفويض المعاملات. وفقًا لمكتب التحقيقات الفيدرالي ، بلغ إجمالي هذه المعاملات الاحتيالية أكثر من 68 مليون دولار في عام 2021. ومع ذلك ، فإن الآثار المترتبة على الخصوصية لاقتراح جنوب إفريقيا لا تتوافق مع الخبراء.
"أنا أتعاطف مع مقدمي الخدمة الذين يبحثون عن طريقة لإيقاف المشكلة الحقيقية للغاية المتمثلة في تبديل بطاقة SIM" ، كما قال Tim Helming ، المبشر الأمني في DomainTools ، لـ Lifewire عبر البريد الإلكتروني. "لكنني لست مقتنعًا بأن [جمع المعلومات البيومترية] هي الإجابة الصحيحة."
نهج خاطئ
لشرح مخاطر هجمات مبادلة بطاقة SIM ، قالت ستيفاني بينوا كورتز ، خبيرة الأمن السيبراني في جامعة فينيكس ، إن بطاقة SIM المختطفة يمكن أن تمكن الجهات السيئة من اقتحام جميع حساباتك الرقمية تقريبًا ، من رسائل البريد الإلكتروني إلى الخدمات المصرفية عبر الإنترنت.
التحدي حول جمع البيانات البيومترية ليس فقط في عملية التجميع ولكن في تأمين تلك المعلومات بمجرد جمعها.
مسلحين بشريحة SIM مختطفة ، يمكن للقراصنة إرسال طلبات "نسيت كلمة المرور" أو "استرداد الحساب" إلى أي من حساباتك عبر الإنترنت المرتبطة برقم هاتفك المحمول ، وإعادة تعيين كلمات المرور ، مما يؤدي بشكل أساسي إلى اختطاف حساباتك.
تأمل هيئة الاتصالات المستقلة في جنوب إفريقيا (ICASA) الآن في استخدام القياسات الحيوية لجعل الأمر أكثر صعوبة على المتسللين في الحصول على بطاقة SIM مكررة من خلال طلب بيانات القياسات الحيوية للتحقق من هوية الشخص الذي يطلب بطاقة SIM المكررة
"على الرغم من أن تبديل بطاقة SIM يمثل بلا شك مشكلة كبيرة ، إلا أن هذا قد يكون حالة العلاج أسوأ من المرض" ، شدد هيلمينغ.
أوضح أنه بمجرد أن تصبح البيانات البيومترية في أيدي مزودي الخدمة ، فهناك خطر حقيقي من أن يؤدي الاختراق إلى وضع البيانات الحيوية في أيدي المهاجمين ، الذين قد يسيئون استخدامها بطرق مختلفة إشكالية للغاية.
"التحدي حول جمع البيانات البيومترية ليس فقط في عملية التجميع ولكن تأمين تلك المعلومات بمجرد جمعها" ، وافق بينوا كيرتس.
تعتقد أن القياسات الحيوية وحدها لا تساعد في حل المشكلة في المقام الأول. هذا لأن الجهات الفاعلة السيئة تستخدم مجموعة متنوعة من الطرق للحصول على بطاقات SIM مكررة ، وإصدارها مباشرة من مزود الخدمة ليس هو الخيار الوحيد المتاح لهم. في الواقع ، وفقًا لـ Benoit-Kurtz ، هناك سوق سوداء نابضة بالحياة للحصول على نسخ مكررة من شرائح SIM النشطة.
نباح فوق الشجرة الخطأ
يعتقد Benoit-Kurtz أن شركات الاتصالات ومصنعي الهواتف بحاجة إلى القيام بدور أكثر نشاطًا في تأمين النظام البيئي للجوّال.
اقترح بينوا كورتز"هناك تحديات كبيرة مرتبطة بأمان الهواتف وبطاقات SIM التي يمكن حلها بواسطة شركات الاتصالات التي تطبق ضوابط أقوى حول متى وأين يمكن تغيير بطاقة SIM".
تقول إن الصناعة بحاجة إلى العمل معًا لإدخال آليات لمنع المعاملات دون الاعتماد على خطوات متعددة للتحقق من صحة المستخدم والهاتف الذي يتم تسجيل بطاقة SIM الجديدة به.
على سبيل المثال ، تقول إن بعض شركات الاتصالات مثل Verizon بدأت في استخدام أرقام التعريف الشخصية للتحويل المكونة من ستة أرقام ، والتي تعد مطلوبة قبل نقل بطاقة SIM. ولكن هذه مجرد نقطة بيانات أخرى في المعاملة ، ويمكن للمحتالين توسيع حيل الهندسة الاجتماعية الخاصة بهم لجمع هذه المعلومات الإضافية أيضًا.
حتى تتقدم الصناعة ، الأمر متروك للناس ليكونوا أذكياء وحماية أنفسهم ضد هجمات مبادلة بطاقة SIM. إحدى الحيل التي تقترحها هي تمكين المصادقة متعددة العوامل لحساباتك عبر الإنترنت مع التأكد من أن إحدى آليات المصادقة ترسل رمز التحقق إلى حساب بريد إلكتروني غير متصل بهاتفك.
تقترح أيضًا استخدام رمز PIN لبطاقة SIM - وهو رمز متعدد الأرقام تدخله في كل مرة يتم فيها إعادة تشغيل هاتفك. "تأكد من استخدام ميزات الأمان المضمنة في هاتفك لإغلاقه حتى تتمكن من تقليل المخاطر وحماية بطاقة SIM الخاصة بك بشكل استباقي."