Organ telekomunikacyjny wzywa do przyjęcia SSI w celu ograniczenia ataków polegających na zamianie kart SIM

Suwerenna tożsamość (SSI) od dawna jest aspiracją wielu osób pracujących nad tożsamością cyfrową i dostępem do usług online. Obecnie różne sektory przekonują się o potencjale SSI, który może pomóc im rozwiązać niektóre z głównych problemów konkretnych branż, a branża telekomunikacyjna jest tego najnowszym przykładem.

Alliance for Telecommunications Industry Solutions (ATIS) sugeruje, aby firmy telekomunikacyjne rozważyły przyjęcie SSI jako środka walki z oszustwami związanymi z wymianą kart SIM.

25-stronicowy raport ATIS na ten temat dowodzi, że "SSI nie tylko rozwiązuje podstawowe luki w zabezpieczeniach obecnych systemów weryfikacji tożsamości, ale także daje użytkownikom kryptograficzny dowód ich tożsamości i własności ich numerów telefonów. Zmieniając paradygmat ze scentralizowanego na zorientowane na użytkownika, zdecentralizowane zarządzanie, SSI staje się filarem odporności na rosnącą falę oszustw związanych z telekomunikacją."

ATIS podsumowuje, czym są swapy SIM i ich gigantyczne koszty: FBI zgłasza 72 miliony dolarów strat każdego roku dla osób fizycznych i firm w USA, podczas gdy kanadyjski regulator telekomunikacyjny naliczył ponad 24 000 nieautoryzowanych portów numerycznych i zamiany kart SIM od sierpnia 2019 r. do maja 2020 r.

Zamiana karty SIM polega na tym, że dane osobowe ofiary są znane atakującemu, zwykle poprzez phishing lub sprzedaż naruszonych danych osobowych w ciemnej sieci. Atakujący dzwoni do operatora telekomunikacyjnego z prośbą o przeniesienie numeru telefonu, a następnie pokonuje uwierzytelnianie dwuskładnikowe oparte na posiadaniu urządzenia lub hasłach jednorazowych.

Podsumowanie SSI i przegląd jego traktowania w przepisach eIDAS GLEIF.

Sekcja dotycząca stosowania SSI w celu powstrzymania oszustw związanych z wymianą karty SIM opisuje wykorzystanie portfela cyfrowego na urządzeniu mobilnym konsumenta do przechowywania weryfikowalnych danych uwierzytelniających. Poprawia to bezpieczeństwo, zwiększając kontrolę abonentów nad ich numerami telefonów, ale także zmniejsza zależność operatorów od bardziej tradycyjnych i podatnych na ataki form weryfikacji tożsamości i autoryzacji.

"Co więcej, wdrożenie SSI wykracza poza wydawanie tożsamości specyficznych dla telekomunikacji" – czytamy w raporcie. "Wykorzystanie istniejących poświadczeń tożsamości cyfrowej, takich jak dokumenty tożsamości wydane przez rząd lub nowo wprowadzone cyfrowe wersje mobilnych praw jazdy (mDL) zgodnych ze specyfikacjami ISO 18013-5, które są obecnie wdrażane w różnych stanach USA, może znacznie usprawnić procesy wdrażania i weryfikacji przewoźnika".

ATIS przedstawia kilka scenariuszy ataków oraz sposób, w jaki SSI może pomóc w ich złagodzeniu, a także udziela porad, w jaki sposób branża może osiągnąć te korzyści.

ATIS twierdzi, że potrzebna jest ściślejsza współpraca zainteresowanych stron, a telekomy powinny być przygotowane zarówno na więcej testów, jak i na wyzwania pojawiające się podczas wdrażania.

Fundacja NFID, oficjalnie uruchomiona w tym tygodniu, koncentruje się na wprowadzeniu korzyści płynących z SSI do fizycznej kontroli dostępu.

Wzmocnienie uwierzytelniania mobilnego w międzyczasie

Jeśli telekomy mają przyjąć SSI, zajmie to trochę czasu. Ataki phishingowe i ataki oparte na kartach SIM, o których mowa w raporcie ATIS, będą w międzyczasie nadal nękać bezpieczeństwo mobilne.

Firma Telesign uruchomiła nowy interfejs API weryfikacji wielokanałowej, aby zapewnić alternatywę dla uwierzytelniania SMS. Zgodnie z zapowiedzią koszty uwierzytelniania SMS-ów ulegają wahaniom, a API zapewnia wbudowaną ochronę przed lukami w zabezpieczeniach tej metody, jednocześnie ich unikając.

Verify API łączy komunikację za pośrednictwem siedmiu kanałów, w tym SMS, push, e-mail i WhatsApp, aby umożliwić firmom dodawanie nowych kanałów uwierzytelniania przy minimalnych zasobach.

"Wspólną cechą prób phishingu, socjotechnik i przejęć kont jest to, że często można je zatrzymać przy "drzwiach wejściowych" dzięki zaawansowanym technologiom uwierzytelniania klientów" – mówi dyrektor generalny Telesign, Christophe Van de Weyer.

- źródło

 

 ROZPOZNAWANIE INFORMACYJNE I ŁĄCZNOŚĆ  
 
Ta strona internetowa prezentuje porządek bezpieczeństwa informacji w trakcie jej używania i nie udostępnia żadnych elementów informacyjnych. Na stronie mogą znajdować się Facebook posty, X tweety i wiadoności z serwisu Telegram. System i wszystkie zawartości są aktualizowane. Strona jest napędzana systemem Drupal10.

STOP 🛑 iD2020