Bài học rút ra chính
- Các cuộc tấn công hoán đổi SIM, dựa trên các SIM trùng lặp được phát hành một cách gian lận, khiến công dân Hoa Kỳ thiệt hại hơn 68 triệu đô la vào năm 2021.
- Nam Phi có kế hoạch liên kết sinh trắc học với chủ sở hữu của SIM để đảm bảo SIM trùng lặp chỉ có thể được cấp cho chủ sở hữu hợp pháp.
- Các chuyên gia an ninh mạng tin rằng việc sử dụng sinh trắc học sẽ gây ra rủi ro lớn hơn về quyền riêng tư và giải pháp thực sự nằm ở chỗ khác.
Sử dụng sinh trắc học để giải quyết vấn đề bảo mật có thể không giúp loại bỏ vấn đề, nhưng nó chắc chắn sẽ gây ra những lo ngại về quyền riêng tư của người xem, đề xuất các chuyên gia an ninh mạng.
Nam Phi đã đề xuất thu thập thông tin sinh trắc học từ mọi người khi họ mua thẻ SIM để ngăn chặn các cuộc tấn công hoán đổi SIM. Trong các cuộc tấn công này, những kẻ lừa đảo yêu cầu thẻ SIM thay thế mà chúng sử dụng để chặn mật khẩu dùng một lần (OTP) hợp pháp và cho phép giao dịch. Theo FBI, các giao dịch gian lận này đạt tổng trị giá hơn 68 triệu đô la vào năm 2021. Tuy nhiên, các tác động về quyền riêng tư trong đề xuất của Nam Phi không phù hợp với các chuyên gia.
"Tôi thông cảm với việc các nhà cung cấp đang tìm cách ngăn chặn vấn đề thực tế của việc tráo đổi SIM", Tim Helming, nhà truyền bá bảo mật của DomainTools, nói với Lifewire qua email. "Nhưng tôi không tin [thu thập thông tin sinh trắc học] là câu trả lời đúng."
Cách tiếp cận Sai
Giải thích về sự nguy hiểm của các cuộc tấn công hoán đổi SIM, Stephanie Benoit-Kurtz, Chuyên gia An ninh mạng tại Đại học Phoenix, cho biết một SIM bị xâm nhập có thể cho phép những kẻ xấu xâm nhập hầu như tất cả các tài khoản kỹ thuật số của bạn, từ email đến ngân hàng trực tuyến.
Thách thức xung quanh việc thu thập dữ liệu sinh trắc học không chỉ nằm trong quá trình thu thập mà còn bảo mật thông tin đó sau khi đã được thu thập.
Được trang bị một SIM bị xâm nhập, tin tặc có thể gửi yêu cầu 'Quên mật khẩu' hoặc 'Khôi phục tài khoản' tới bất kỳ tài khoản trực tuyến nào được liên kết với số điện thoại di động của bạn và đặt lại mật khẩu, về cơ bản là chiếm đoạt tài khoản của bạn.
Cơ quan Truyền thông Độc lập Nam Phi (ICASA) hiện hy vọng sử dụng sinh trắc học để khiến tin tặc khó lấy được SIM trùng lặp hơn bằng cách yêu cầu dữ liệu sinh trắc học để xác minh danh tính của người yêu cầu SIM trùng lặp.
"Không thể phủ nhận việc tráo SIM là một vấn đề lớn, nhưng đây có thể là một trường hợp việc chữa bệnh còn tồi tệ hơn căn bệnh", Helming nhấn mạnh.
Anh ấy giải thích rằng một khi dữ liệu sinh trắc học nằm trong tay các nhà cung cấp dịch vụ, sẽ có nguy cơ thực sự là một vi phạm có thể đưa dữ liệu sinh trắc học vào tay những kẻ tấn công, những kẻ sau đó có thể lạm dụng nó theo nhiều cách khác nhau rất có vấn đề.
"Thách thức xung quanh việc thu thập dữ liệu sinh trắc học không chỉ nằm trong quá trình thu thập mà còn đảm bảo thông tin đó sau khi đã được thu thập", Benoit-Kurtz đồng ý.
Cô ấy tin rằng chỉ sinh trắc học không giúp giải quyết vấn đề ngay từ đầu. Đó là bởi vì những kẻ xấu sử dụng nhiều phương pháp khác nhau để lấy thẻ SIM trùng lặp và việc cấp chúng trực tiếp từ nhà cung cấp dịch vụ không phải là lựa chọn duy nhất theo ý của họ. Trên thực tế, theo Benoit-Kurtz, có một thị trường chợ đen sôi động để có được các bản sao của các SIM đang hoạt động.
Bẻ cây sai
Benoit-Kurtz tin rằng các nhà mạng và nhà sản xuất điện thoại cần đóng vai trò tích cực hơn trong việc bảo vệ hệ sinh thái di động.
"Có những thách thức đáng kể liên quan đến bảo mật của điện thoại và thẻ SIM có thể được giải quyết bằng cách các nhà cung cấp dịch vụ thực hiện các biện pháp kiểm soát mạnh mẽ hơn xung quanh thời điểm và địa điểm có thể thay đổi SIM", Benoit-Kurtz đề xuất.
Cô ấy nói rằng ngành cần làm việc cùng nhau để đưa ra các cơ chế ngăn chặn các giao dịch mà không cần dựa vào nhiều bước để xác thực người dùng và điện thoại mà SIM mới đang được đăng ký.
Chẳng hạn, cô ấy cho biết một số nhà cung cấp dịch vụ như Verizon đã bắt đầu sử dụng mã PIN chuyển gồm sáu chữ số, được yêu cầu trước khi có thể chuyển SIM. Nhưng đó chỉ là một điểm dữ liệu nữa trong giao dịch và những kẻ lừa đảo cũng có thể mở rộng các thủ đoạn kỹ thuật xã hội của chúng để thu thập thông tin bổ sung này.
Cho đến khi ngành công nghiệp phát triển, mọi người phải hiểu biết và tự bảo vệ mình trước các cuộc tấn công hoán đổi SIM. Một mẹo mà cô ấy gợi ý là bật xác thực đa yếu tố cho các tài khoản trực tuyến của bạn trong khi đảm bảo rằng một trong các cơ chế xác thực sẽ gửi mã xác minh đến tài khoản email không được kết nối với điện thoại của bạn.
Cô ấy cũng đề xuất sử dụng mã PIN của SIM - một mã gồm nhiều chữ số bạn nhập mỗi khi điện thoại khởi động lại. "Hãy đảm bảo rằng bạn sử dụng các tính năng bảo mật tích hợp trên điện thoại để khóa điện thoại nhằm giảm thiểu rủi ro và chủ động bảo vệ SIM của mình."
