Key Takeaways
- SIM-Swap-Angriffe, die sich auf betrügerisch ausgegebene doppelte SIM-Karten stützen, kosten US-Bürger im Jahr 2021 über 68 Millionen US-Dollar.
- Südafrika plant, die biometrischen Daten mit dem Besitzer einer SIM-Karte zu verknüpfen, um sicherzustellen, dass eine doppelte SIM-Karte nur an den rechtmäßigen Besitzer ausgestellt werden kann.
- Cybersicherheitsexperten glauben, dass die Verwendung von Biometrie größere Datenschutzrisiken mit sich bringt, und die wahre Lösung liegt woanders.
Die Verwendung von Biometrie zur Lösung eines Sicherheitsproblems hilft möglicherweise nicht, das Problem zu beseitigen, aber es führt mit Sicherheit zu schwerwiegenderen Datenschutzbedenken, schlagen Cybersicherheitsexperten vor.
Südafrika hat vorgeschlagen, biometrische Informationen von Menschen zu sammeln, wenn sie SIM-Karten kaufen, um SIM-Swap-Angriffe zu vereiteln. Bei diesen Angriffen fordern Betrüger Ersatz-SIM-Karten an, mit denen sie legitime Einmalkennwörter (OTPs) abfangen und Transaktionen autorisieren. Nach Angaben des FBI beliefen sich diese betrügerischen Transaktionen im Jahr 2021 auf über 68 Millionen US-Dollar. Die Auswirkungen des südafrikanischen Vorschlags auf die Privatsphäre sind jedoch bei Experten nicht gut.
"Ich sympathisiere mit den Anbietern, die nach einer Möglichkeit suchen, das sehr reale Problem des SIM-Tauschs zu stoppen", sagte Tim Helming, Sicherheitsevangelist bei DomainTools, Lifewire per E-Mail. „Aber ich bin nicht davon überzeugt, dass [das Sammeln biometrischer Daten] die richtige Antwort ist.“
Falscher Ansatz
Stephanie Benoit-Kurtz, Cybersicherheitsexpertin an der University of Phoenix, erklärte die Gefahren von SIM-Swap-Angriffen und sagte, dass eine gekaperte SIM-Karte es Angreifern ermöglichen könnte, in praktisch alle Ihre digitalen Konten einzudringen, von E-Mails bis hin zum Online-Banking.
Die Herausforderung bei der Erfassung biometrischer Daten liegt nicht nur im Erfassungsprozess, sondern auch in der Sicherung dieser Informationen nach der Erfassung.
Bewaffnet mit einer gekaperten SIM-Karte können die Hacker "Passwort vergessen"- oder "Kontowiederherstellungs"-Anforderungen an jedes Ihrer Online-Konten senden, die mit Ihrer Mobiltelefonnummer verknüpft sind, und die Passwörter zurücksetzen, wodurch Ihre Konten gekapert werden.
Die Independent Communications Authority of South Africa (ICASA) hofft nun, Biometrie einzusetzen, um es Hackern zu erschweren, an eine doppelte SIM-Karte zu gelangen, indem sie biometrische Daten benötigt, um die Identität der Person zu überprüfen, die die doppelte SIM-Karte anfordert.
"Obwohl der Austausch von SIM-Karten zweifellos ein großes Problem darstellt, könnte die Heilung schlimmer sein als die Krankheit", betonte Helming.
Er erklärte, dass, sobald die biometrischen Daten in den Händen der Dienstanbieter sind, ein reales Risiko besteht, dass ein Verstoß die biometrischen Daten in die Hände von Angreifern bringen könnte, die sie dann auf verschiedene höchst problematische Weise missbrauchen könnten.
"Die Herausforderung bei der Erfassung biometrischer Daten liegt nicht nur im Erfassungsprozess, sondern auch in der Sicherung dieser Informationen nach der Erfassung", stimmte Benoit-Kurtz zu.
Sie glaubt, dass Biometrie allein das Problem nicht von vornherein löst. Das liegt daran, dass schlechte Akteure eine Vielzahl von Methoden verwenden, um doppelte SIM-Karten zu erh alten, und dass die Ausstellung direkt vom Dienstanbieter nicht die einzige Option ist, die ihnen zur Verfügung steht. Tatsächlich gibt es laut Benoit-Kurtz einen lebhaften Schwarzmarkt, um Duplikate aktiver SIM-Karten zu erh alten.
Den falschen Baum bellen
Benoit-Kurtz glaubt, dass Netzbetreiber und Telefonhersteller eine aktivere Rolle bei der Sicherung des mobilen Ökosystems übernehmen müssen.
"Es gibt erhebliche Herausforderungen im Zusammenhang mit der Sicherheit von Telefonen und SIM-Karten, die von den Netzbetreibern gelöst werden könnten, indem sie strengere Kontrollen darüber implementieren, wann und wo eine SIM-Karte gewechselt werden kann", schlug Benoit-Kurtz vor.
Sie sagt, dass die Branche zusammenarbeiten muss, um Mechanismen einzuführen, um Transaktionen zu verhindern, ohne sich auf mehrere Schritte zu verlassen, um den Benutzer und das Telefon zu validieren, auf dem die neue SIM-Karte registriert wird.
Zum Beispiel sagt sie, dass einige Netzbetreiber wie Verizon damit begonnen haben, sechsstellige Übertragungs-PINs zu verwenden, die erforderlich sind, bevor eine SIM-Karte verschoben werden kann. Aber das ist nur ein weiterer Datenpunkt in der Transaktion, und Betrüger können ihre Social-Engineering-Tricks erweitern, um auch diese zusätzlichen Informationen zu sammeln.
Bis die Industrie auftaucht, liegt es an den Menschen, schlau zu sein und sich gegen SIM-Swap-Angriffe zu schützen. Ein Trick, den sie vorschlägt, besteht darin, die Multi-Faktor-Authentifizierung für Ihre Online-Konten zu aktivieren und gleichzeitig sicherzustellen, dass einer der Authentifizierungsmechanismen den Bestätigungscode an ein E-Mail-Konto sendet, das nicht mit Ihrem Telefon verbunden ist.
Sie schlägt auch vor, eine SIM-PIN zu verwenden - einen mehrstelligen Code, den Sie bei jedem Neustart Ihres Telefons eingeben. "Stellen Sie sicher, dass Sie die integrierten Sicherheitsfunktionen Ihres Telefons verwenden, um es zu sperren, damit Sie Ihr Risiko verringern und Ihre SIM-Karte proaktiv schützen können."
