Pošto kompanije nisu uspele da reše ovaj ozbiljan problem, koji predstavlja uobičajeni oblik krađe identiteta, vlada je odlučila da preduzme određene korake. Američka Savezna komisija za komunikacije predstavila je niz predloga pravila u oblasti sajber-bezbednosti tokom Bajdenovog mandata. Među prvim predlozima Komisije, navodi se rešavanje ozbiljnog problema koji predstavlja zamenu ili bolje rečeno krađu SIM kartice, odnosno oblik krađe digitalnog identiteta od koga se u suštini ne možemo zaštititi. Pošto privatne kompanije nisu mogle da reše taj problem, država mora da se umeša. Izvršni direktor „Tvitera“ Džek Dorsi i sam je bio žrtve takve krađe 2019. godine. Protiv kompanija AT&T i T-Mobile podnete su tužbe, jer nisu zaštitile svoje korisnike od takve vrste napada. S druge strane, jedan investitor u kriptovalute podneo je tužbu protiv srednjoškolskog maturanta, jer mu je navodno ukrao 23,8 miliona dolara kriptovalute putem zamene SIM kartice.
Evo šta treba da znate o ovom sve češćem obliku hakovanja i šta Savezna komisija preduzima da to zaustavi.
Šta je preuzimanje SIM kartice?
Preuzimanje SIM kartice je vrsta prevare u kojoj napadači preuzimaju vaš telefonski broj i koriste ga za autentifikaciju naloga koje posedujete. Ako koristite dvofaktorsku autentifikaciju, obično ćete dobiti verifikacioni kôd na telefon da biste pristupili svojim nalozima. Zbog takvog postupka autentifikacije većina hakera nastoji da preuzme nečiju SIM karticu, jer tako sasvim jednostavno dobijaju pristup elektronskoj pošti i bankovnim računima kada uspeju da dođu do telefonskog broja. Na primer, ako ste se bilo kad prijavili na nalog, a zatim primili kôd za potvrdu putem tekstualne poruke na telefon, taj trenutak je ono što hakeri jedva čekaju i odmah zloupotrebljavaju.
Takva preuzimanja SIM kartica postala su dramatično učestalija u posljednjih godinu dana u različitim zemljama, ne samo u Sjedinjenim Državama, već i u Kanadi i Evropi. Učestalost takvih napada ne treba da nas čudi, jer ne zahtevaju mnogo vremena niti posebne tehničke veštine, a mogu da donesu mnogo koristi naročito ako napadači uspeju da se prijave na bankovne račune.
Kako funkcioniše preuzimanje SIM kartice?
Postoji nekoliko različitih načina na koje hakeri to mogu da urade. Haker može da pozove vašeg mobilnog operatera, predstavi se kao vi, kaže da je dobio novi telefon, a zatim zamoli mobilnog operatera da prebaci broj na taj telefon. Postoji i druga mogućnost. Recimo haker može da pozove drugog operatera, i kaže da želi da pređe, recimo, iz Verizona u AT&T i da dobije broj na novom AT&T telefonu. Druga metoda uključuje instaliranje zlonamernog softvera u mrežu operatera, a zatim njegovo korišćenje za kontrolu naloga zaposlenih, kako bi napadači obavili promene koje žele. Hakeri mogu da pokušaju da podmite ili ucene zaposlene u kompanijama mobilnih operatera kako bi dobili pristup željenim brojevima.
Žrtve ove vrste napada primećuju da njihov mobilni telefon prestaje da prima usluge jer njihov operater u tom trenutku pruža uslugu drugom telefonu. Izgledaće im kao da ih je operater isključio jer nisu platili račun. Žrtvama ne preostaje ništa drugo nego da gledaju kako im se lozinke na nalozima menjaju sve dok više nijednom ne mogu da pristupe.
Kako možemo da se zaštitimo?
Nikako. Sami ne možemo skoro ništa da uradimo. Problem je u vrlo pogrešnoj proceduri identifikacije ljudi na internetu. Za jednu veb-stranicu vi ste samo vaš broj telefona, a ne osoba. Dakle, kad vam neko ukrade broj telefona, preuzeo je vaš identitet na internetu. Stručnjaci koji pomažu ljudima kojima je preuzeta SIM kartica kažu da su prisustvovali situacijama u kojima je prevarant bio bolji u dokazivanju ukradenog digitalnog identiteta nego u žrtva u verifikovanju sopstvenog identiteta. Žrtve su često ljudi koji su preduzeli sve predložene digitalne mere predostrožnosti i ipak im je trajno onemogućen pristup sopstvenim nalozima. Temelj na kojem smo izgradili internet ima nekih propusta, dakle, od njega treba krenuti, kažu stručnjaci.
Korisnicima koji obavljaju krupne poslova na internetu ne preporučuje se da koriste dvofaktorsku autentifikaciju koja uključuje upotrebu telefonskog broja za verifikaciju, jer je telefonski sistem nebezbedan zbog čega uvek u opasnosti od napada. Njima se preporučuje da koriste Yubikey , fizički ključ na kojem moraju da pritisnu dugme tokom prijavljivanja (potpuno bezbedno) ili da koriste aplikaciju za autentifikaciju, kao što je Authy , koja generiše broj koji korisnik unosi ili bar-kôd za skeniranje pri prijavljivanju.
Zašto telefonske kompanije ne rešavaju problem?
Ako uđete u prodavnicu telefona noseći 1.000 dolara i kažete im da ste zaboravili podatke za prijavljivanje, ali želite da kupite telefon, telefonska kompanija će verovatno smisliti kako da pristupite svom nalogu jer im je najvažnije da zarade novac. Takav način razmišljanja je potpuno suprotan očuvanju bezbednosti naloga. Problem je u tome što je naloge lako preuzeti, jer telefonske kompanije žele da prodaju telefone i pakete usluga. Da su kompanije obezbedile naloge, prosečnom potrošaču bi bilo teže da kupi telefon. Rešavanje problema podrazumevalo bi povećanje bezbednosti korisničkih naloga, što bi dovelo do povećanja cena, a samim tim kompanijama bi bilo teže da privuku korisnike. Dakle, jedino bi država mogla da primora kompanije da to poprave. U suprotnom, korisnici će i dalje biti u ozbiljnoj opasnosti.
Kako Savezna komisija planira da reši problem?
Predloženi propisi Komisije zahtevaju od mobilnih operatera da potvrde identitet ljudi pre nego što prenesu njihov broj na novi telefon. Ljudi mogu potvrditi svoj identitet tako što će ponuditi unapred utvrđenu lozinku ili poslati jednokratnu lozinku putem tekstualne poruke, e-pošte ili telefonskog poziva. Operateri će takođe morati odmah da obaveste ljude ako se na njihov nalog uputi zahtev za promenu SIM kartice. Sada se ta promena obavlja trenutno, bez upozorenja i bez mogućnosti da ljudi protestuju ili ponište promenu.
Dobavljači usluge neće moći da prebacuju SIM karticu sa jednog telefona na drugi ako korisnici ne mogu da obave autentifikaciju svojih naloga koristeći navedene metode. Mobilni operateri će takođe morati da daju korisnicima opciju port-freeze na nalozima koja ne dozvoljava zamenu SIM kartice. Takve procedure će preduprediti veliki broj slučajeva preuzimanja SIM kartice, ali neće potpuno eliminisati tu vrstu sajber-napada. Ipak, bolje je nego ništa.
Dobavljači usluga mobilne telefonije još nisu izrazili svoje nezadovoljstvo novim zahtevima, iako je US Telecom izdao saopštenje o nekim drugim aspektima predloga Savezne komisije. Svi se slažu da je preuzimanje SIM kartica grozno. Možda će neka lobistička grupa pokušati da se bori protiv tih predloga, jer će to povećati troškove dobavljačima usluga. Međutim, žrtve napada trenutno imaju ogromne troškove, ali niko ne lobira za njih, ističu stručnjaci