Савезна комисија за комуникације жели да спречи преузимање SIM картица

Пошто компаније нису успеле да реше овај озбиљан проблем, који представља уобичајени облик крађе идентитета, влада је одлучила да предузме одређене кораке. Америчка Савезна комисија за комуникације представила је низ предлога правила у области сајбер-безбедности током Бајденовог мандата. Међу првим предлозима Комисије, наводи се решавање озбиљног проблема који представља замену или боље речено крађу SIM картице, односно облик крађе дигиталног идентитета од кога се у суштини не можемо заштитити. Пошто приватне компаније нису могле да реше тај проблем, држава мора да се умеша. Извршни директор „Твитера“ Џек Дорси и сам је био жртве такве крађе 2019. године. Против компанија AT&T и T-Mobile поднете су тужбе, јер нису заштитиле своје кориснике од такве врсте напада. С друге стране, један инвеститор у криптовалуте поднео је тужбу против средњошколског матуранта, јер му је наводно украо 23,8 милиона долара криптовалуте путем замене SIM картице.

Ево шта треба да знате о овом све чешћем облику хаковања и шта Савезна комисија предузима да то заустави. 

Шта је преузимање SIM картице?

Преузимање SIM картице је врста преваре у којој нападачи преузимају ваш телефонски број и користе га за аутентификацију налога које поседујете. Ако користите двофакторску аутентификацију, обично ћете добити верификациони кôд на телефон да бисте приступили својим налозима. Због таквог поступка аутентификације већина хакера настоји да преузме нечију SIM картицу, јер тако сасвим једноставно добијају приступ електронској пошти и банковним рачунима када успеју да дођу до телефонског броја. На пример, ако сте се било кад пријавили на налог, а затим примили кôд за потврду путем текстуалне поруке на телефон, тај тренутак је оно што хакери једва чекају и одмах злоупотребљавају.

Таква преузимања SIM картица постала су драматично учесталија у посљедњих годину дана у различитим земљама, не само у Сједињеним Државама, већ и у Канади и Европи. Учесталост таквих напада не треба да нас чуди, јер не захтевају много времена нити посебне техничке вештине, а могу да донесу много користи нарочито ако нападачи успеју да се пријаве на банковне рачуне.

Како функционише преузимање SIM картице?

Постоји неколико различитих начина на које хакери то могу да ураде. Хакер може да позове вашег мобилног оператера, представи се као ви, каже да је добио нови телефон, а затим замоли мобилног оператера да пребаци број на тај телефон. Постоји и друга могућност. Рецимо хакер може да позове другог оператера, и каже да жели да пређе, рецимо, из Веризона у AT&T и да добије број на новом AT&T телефону. Друга метода укључује инсталирање злонамерног софтвера у мрежу оператера, а затим његово коришћење за контролу налога запослених, како би нападачи обавили промене које желе. Хакери могу да покушају да подмите или уцене запослене у компанијама мобилних оператера како би добили приступ жељеним бројевима.

Жртве ове врсте напада примећују да њихов мобилни телефон престаје да прима услуге јер њихов оператер у том тренутку пружа услугу другом телефону. Изгледаће им као да их је оператер искључио јер нису платили рачун. Жртвама не преостаје ништа друго него да гледају како им се лозинке на налозима мењају све док више ниједном не могу да приступе. 

Како можемо да се заштитимо?

Никако. Сами не можемо скоро ништа да урадимо. Проблем је у врло погрешној процедури идентификације људи на интернету. За једну веб-страницу ви сте само ваш број телефона, а не особа. Дакле, кад вам неко украде број телефона, преузео је ваш идентитет на интернету. Стручњаци који помажу људима којима је преузета SIM картица кажу да су присуствовали ситуацијама у којима је преварант био бољи у доказивању украденог дигиталног идентитета него у жртва у верификовању сопственог идентитета. Жртве су често људи који су предузели све предложене дигиталне мере предострожности и ипак им је трајно онемогућен приступ сопственим налозима. Темељ на којем смо изградили интернет има неких пропуста, дакле, од њега треба кренути, кажу стручњаци.

Корисницима који обављају крупне послова на интернету не препоручује се да користе двофакторску аутентификацију која укључује употребу телефонског броја за верификацију, јер је телефонски систем небезбедан због чега увек у опасности од напада. Њима се препоручује да користе Yubikey, физички кључ на којем морају да притисну дугме током пријављивања (потпуно безбедно) или да користе апликацију за аутентификацију, као што је Authy, која генерише број који корисник уноси или бар-кôд за скенирање при пријављивању.

Зашто телефонске компаније не решавају проблем?

Ако уђете у продавницу телефона носећи 1.000 долара и кажете им да сте заборавили податке за пријављивање, али желите да купите телефон, телефонска компанија ће вероватно смислити како да приступите свом налогу јер им је најважније да зараде новац. Такав начин размишљања је потпуно супротан очувању безбедности налога. Проблем је у томе што је налоге лако преузети, јер телефонске компаније желе да продају телефоне и пакете услуга. Да су компаније обезбедиле налоге, просечном потрошачу би било теже да купи телефон. Решавање проблема подразумевало би повећање безбедности корисничких налога, што би довело до повећања цена, а самим тим компанијама би било теже да привуку кориснике. Дакле, једино би држава могла да примора компаније да то поправе. У супротном, корисници ће и даље бити у озбиљној опасности.

Како Савезна комисија планира да реши проблем?

Предложени прописи Комисије захтевају од мобилних оператера да потврде идентитет људи пре него што пренесу њихов број на нови телефон. Људи могу потврдити свој идентитет тако што ће понудити унапред утврђену лозинку или послати једнократну лозинку путем текстуалне поруке, е-поште или телефонског позива. Оператери ће такође морати одмах да обавесте људе ако се на њихов налог упути захтев за промену SIM картице. Сада се та промена обавља тренутно, без упозорења и без могућности да људи протестују или пониште промену.

Добављачи услуге неће моћи да пребацују SIM картицу са једног телефона на други ако корисници не могу да обаве аутентификацију својих налога користећи наведене методе. Мобилни оператери ће такође морати да дају корисницима опцију порт-фреезе на налозима која не дозвољава замену SIM картице. Такве процедуре ће предупредити велики број случајева преузимања SIM картице, али неће потпуно елиминисати ту врсту сајбер-напада. Ипак, боље је него ништа.

Добављачи услуга мобилне телефоније још нису изразили своје незадовољство новим захтевима, иако је УС Телецом издао саопштење о неким другим аспектима предлога Савезне комисије. Сви се слажу да је преузимање SIM картица грозно. Можда ће нека лобистичка група покушати да се бори против тих предлога, јер ће то повећати трошкове добављачима услуга. Међутим, жртве напада тренутно имају огромне трошкове, али нико не лобира за њих, истичу стручњаци