Key Takeaways
- Serangan swap SIM, yang mengandalkan SIM duplikat yang dikeluarkan secara curang, merugikan warga AS lebih dari $68 juta pada tahun 2021.
- Afrika Selatan berencana untuk mengaitkan biometrik dengan pemilik SIM untuk memastikan SIM duplikat hanya dapat diberikan kepada pemilik yang sah.
- Pakar keamanan siber percaya bahwa menggunakan biometrik akan menimbulkan risiko privasi yang lebih besar, dan solusi sebenarnya ada di tempat lain.
Menggunakan biometrik untuk memecahkan masalah keamanan mungkin tidak membantu menghilangkan masalah, tetapi pasti akan menimbulkan masalah privasi yang lebih serius, saran pakar keamanan siber.
Afrika Selatan telah mengusulkan pengumpulan informasi biometrik dari orang-orang saat mereka membeli kartu SIM untuk menggagalkan serangan pertukaran SIM. Dalam serangan ini, penipu meminta kartu SIM pengganti yang mereka gunakan untuk mencegat kata sandi satu kali (OTP) yang sah dan mengotorisasi transaksi. Menurut FBI, transaksi penipuan ini berjumlah lebih dari $68 juta pada tahun 2021. Namun, implikasi privasi dari proposal Afrika Selatan tidak sesuai dengan para ahli.
"Saya bersimpati dengan penyedia yang mencari cara untuk menghentikan masalah sebenarnya dari pertukaran SIM, " Tim Helming, penginjil keamanan dengan DomainTools, mengatakan kepada Lifewire melalui email. "Tapi saya tidak yakin [mengumpulkan informasi biometrik] adalah jawaban yang tepat."
Pendekatan Salah
Menjelaskan bahaya serangan pertukaran SIM, Stephanie Benoit-Kurtz, Pakar Keamanan Siber di University of Phoenix, mengatakan SIM yang dibajak dapat memungkinkan pelaku jahat membobol hampir semua akun digital Anda, mulai dari email hingga perbankan online.
Tantangan seputar pengumpulan data biometrik tidak hanya dalam proses pengumpulan tetapi juga mengamankan informasi tersebut setelah dikumpulkan.
Berbekal SIM yang dibajak, peretas dapat mengirim permintaan 'Lupa Kata Sandi' atau 'Pemulihan Akun' ke akun online mana pun yang terkait dengan nomor ponsel Anda, dan mengatur ulang kata sandi, yang pada dasarnya membajak akun Anda.
Otoritas Komunikasi Independen Afrika Selatan (ICASA) sekarang berharap untuk menggunakan biometrik untuk mempersulit peretas mendapatkan SIM duplikat dengan meminta data biometrik untuk memverifikasi identitas orang yang meminta duplikat SIM.
"Sementara pertukaran SIM tidak dapat disangkal merupakan masalah besar, ini bisa menjadi kasus penyembuhan yang lebih buruk daripada penyakitnya, " tegas Helming.
Dia menjelaskan bahwa begitu data biometrik berada di tangan penyedia layanan, ada risiko nyata bahwa pelanggaran dapat menempatkan data biometrik di tangan penyerang, yang kemudian dapat menyalahgunakannya dengan berbagai cara yang sangat bermasalah.
"Tantangan seputar pengumpulan data biometrik tidak hanya dalam proses pengumpulan tetapi mengamankan informasi itu setelah dikumpulkan, " Benoit-Kurtz setuju.
Dia percaya bahwa biometrik saja tidak membantu menyelesaikan masalah sejak awal. Itu karena pelaku kejahatan menggunakan berbagai metode untuk mendapatkan kartu SIM duplikat, dan mengeluarkannya langsung dari penyedia layanan bukanlah satu-satunya pilihan yang mereka miliki. Faktanya, menurut Benoit-Kurtz, ada pasar gelap yang ramai untuk mendapatkan duplikat SIM aktif.
Menggonggong di Pohon yang Salah
Benoit-Kurtz percaya operator dan produsen ponsel perlu mengambil peran yang lebih aktif dalam mengamankan ekosistem seluler.
"Ada tantangan signifikan terkait dengan keamanan ponsel dan kartu SIM yang dapat diselesaikan oleh operator yang menerapkan kontrol yang lebih kuat seputar kapan dan di mana SIM dapat diubah," saran Benoit-Kurtz.
Dia mengatakan bahwa industri perlu bekerja sama untuk memperkenalkan mekanisme untuk mencegah transaksi tanpa bergantung pada beberapa langkah untuk memvalidasi pengguna dan telepon tempat SIM baru didaftarkan.
Misalnya, dia mengatakan beberapa operator seperti Verizon telah mulai menggunakan PIN Transfer enam digit, yang diperlukan sebelum SIM dapat dipindahkan. Tapi itu hanya satu poin data lagi dalam transaksi, dan scammers dapat memperluas trik rekayasa sosial mereka untuk mengumpulkan informasi tambahan ini juga.
Sampai industri meningkat, terserah kepada orang-orang untuk memahami dan melindungi diri mereka dari serangan pertukaran SIM. Salah satu trik yang dia sarankan adalah mengaktifkan otentikasi multi-faktor untuk akun online Anda sambil memastikan bahwa salah satu mekanisme otentikasi mengirimkan kode verifikasi ke akun email yang tidak terhubung ke ponsel Anda.
Dia juga menyarankan menggunakan PIN SIM-kode multi-digit yang Anda masukkan setiap kali ponsel Anda restart. "Pastikan Anda menggunakan fitur keamanan bawaan pada ponsel Anda untuk menguncinya sehingga Anda dapat mengurangi risiko dan melindungi SIM Anda secara proaktif."