Princípios importantes
- Os ataques de troca de SIM, que dependem de SIMs duplicados emitidos de forma fraudulenta, custam aos cidadãos dos EUA mais de US$ 68 milhões em 2021.
- A África do Sul planeja associar a biometria ao proprietário de um SIM para garantir que um SIM duplicado só possa ser emitido para o legítimo proprietário.
- Especialistas em segurança cibernética acreditam que o uso da biometria apresentará maiores riscos de privacidade, e a solução real está em outro lugar.
Usar a biometria para resolver um problema de segurança pode não ajudar a erradicar o problema, mas certamente introduzirá preocupações de privacidade mais graves, sugerem especialistas em segurança cibernética.
A África do Sul propôs coletar informações biométricas de pessoas quando compram cartões SIM para impedir ataques de troca de SIM. Nesses ataques, os golpistas solicitam cartões SIM de substituição que usam para interceptar senhas de uso único (OTPs) legítimas e autorizar transações. De acordo com o FBI, essas transações fraudulentas totalizaram mais de US$ 68 milhões em 2021. No entanto, as implicações de privacidade da proposta da África do Sul não agradam aos especialistas.
"Eu simpatizo com os provedores que procuram uma maneira de acabar com o problema real da troca de SIM", disse Tim Helming, evangelista de segurança do DomainTools, à Lifewire por e-mail. "Mas não estou convencido de que [coletar informações biométricas] seja a resposta certa."
Abordagem Errada
Explicando os perigos dos ataques de troca de SIM, Stephanie Benoit-Kurtz, especialista em segurança cibernética da Universidade de Phoenix, disse que um SIM sequestrado pode permitir que criminosos invadam praticamente todas as suas contas digitais, de e-mails a bancos online.
O desafio em torno da coleta de dados biométricos não está apenas no processo de coleta, mas também na segurança dessas informações depois de coletadas.
Armados com um SIM sequestrado, os hackers podem enviar solicitações de 'Esqueci minha senha' ou 'Recuperação de conta' para qualquer uma de suas contas online associadas ao seu número de celular e redefinir as senhas, essencialmente sequestrando suas contas.
A Autoridade Independente de Comunicações da África do Sul (ICASA) agora espera usar a biometria para tornar mais difícil para os hackers colocarem as mãos em um SIM duplicado, exigindo dados biométricos para verificar a identidade da pessoa que solicita o SIM duplicado.
"Embora a troca de SIM seja inegavelmente um grande problema, este pode ser o caso de a cura ser pior do que a doença", salientou Helming.
Ele explicou que, uma vez que os dados biométricos estejam nas mãos dos provedores de serviços, há um risco real de que uma violação possa colocar os dados biométricos nas mãos de invasores, que podem abusar deles de várias maneiras altamente problemáticas.
"O desafio da coleta de dados biométricos não está apenas no processo de coleta, mas também em garantir essa informação depois de coletada ", concordou Benoit-Kurtz.
Ela acredita que a biometria por si só não ajuda a resolver o problema em primeiro lugar. Isso ocorre porque os maus atores usam uma variedade de métodos para obter cartões SIM duplicados, e tê-los emitidos diretamente do provedor de serviços não é a única opção à sua disposição. Na verdade, de acordo com Benoit-Kurtz, há um mercado negro vibrante para obter duplicatas de SIMs ativos.
Latido para a árvore errada
Benoit-Kurtz acredita que operadoras e fabricantes de telefones precisam ter um papel mais ativo na proteção do ecossistema móvel.
"Existem desafios significativos associados à segurança de telefones e cartões SIM que podem ser resolvidos pelas operadoras implementando controles mais fortes sobre quando e onde um SIM pode ser alterado", sugeriu Benoit-Kurtz.
Ela diz que a indústria precisa trabalhar em conjunto para introduzir mecanismos para evitar transações sem depender de várias etapas para validar o usuário e o telefone em que o novo SIM está sendo registrado.
Por exemplo, ela diz que algumas operadoras como a Verizon começaram a usar PINs de transferência de seis dígitos, que são necessários antes que um SIM possa ser movido. Mas esse é apenas mais um ponto de dados na transação, e os golpistas podem estender seus truques de engenharia social para coletar essas informações adicionais também.
Até que a indústria intensifique, cabe às pessoas serem mais experientes e se protegerem contra ataques de troca de SIM. Um truque que ela sugere é habilitar a autenticação multifator para suas contas online enquanto garante que um dos mecanismos de autenticação envie o código de verificação para uma conta de e-mail que não esteja conectada ao seu telefone.
Ela também sugere o uso de um PIN do SIM - um código de vários dígitos que você insere toda vez que o telefone é reiniciado. "Certifique-se de usar os recursos de segurança integrados em seu telefone para bloqueá-lo, de modo que você possa reduzir o risco e proteger seu chip proativamente."
