Совсем скоро в мобильной индустрии отпечаток пальца будет служить не только для разблокировки смартфона, но и для более серьезных нужд, связанных с обеспечением безопасности. Весной 2017 года Таиланд планирует ввести обязательную регистрацию отпечатков для всех покупателей новых SIM-карт.
По информации Bangkok Post, эти сведения будут направлены в национальную базу данных, по которой можно будет легко определить личность владельца телефона.
В дополнение к новым симкам мобильные операторы выпустят специальные приложения, которые будут сличать отпечатки пользователя телефона с тем, кто приобрел SIM-карту.
Эта инициатива призвана усилить безопасность мобильного банкинга и сократить риск мошенничества в этой области.
ВОСС не в восторге
Система проверки отпечатков пальцев была разработана инженерным факультетом Университета Касетсарт в Бангкоке за 15 млн тайских батов (около 25 млн руб.). Пока неясно, будут ли другие государственные структуры Таиланда иметь доступ к этой информации, кроме регулятора отрасли.
Национальная комиссия по телерадиовещанию и телекоммуникациям Таиланда (НКТТ) считает, что повсеместное введение авторизации по отпечаткам пальцев будет применяться во время финансовых транзакций онлайн, так как в стране за последние несколько месяцев увеличилось количество случаев махинаций с мобильными банками.
Кроме того, мошеннические схемы становятся все более и более изощренными и требуют нового подхода к обеспечению безопасности.
В Таиланде на настоящий момент зарегистрировано 103 млн человек, пользующихся услугами мобильной связи. Из них 14 млн используют онлайн-транзакции. Для тех, кто уже имеет SIM-карту, фиксировать свои отпечатки необязательно, но НКТТ настоятельно рекомендует им принять участие в программе.
«Мы призываем всех владельцев смартфонов поучаствовать в систематизации этой инициативы с целью обеспечения информбезопасности и предотвращения мошенничества, которое непременно возникает при безналичных расчетах», — заявил генеральный секретарь НКТТ Такорн Тантасит.
Директива правительства Таиланда распространяется не только на традиционных провайдеров, но и на виртуальных операторов сотовой связи (ВОСС), которые пользуются существующей инфраструктурой другого оператора, но продают услуги под своим брендом.
ВОСС остались не очень довольны инициативой, так как она предполагает дополнительные затраты на регистрацию отпечатков и создание базы (по подсчетам специалистов, около 1500 тайских батов на одного абонента), что негативно скажется на их конкурентоспособности на рынке услуг.
Тем не менее, чиновники пообещали, что все расходы, связанные с новой программой, будут вычтены из ежегодного взноса операторов в НКТТ, который составляет 5% от суммы доходов.
Отказ поставщика связи от участия в новой системе безопасности будет караться штрафом, невозможностью получить новые мобильные номера или отзывом лицензии.
Сергей Никитин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB, заявил , что тайская система борьбы с кибермошенничеством вызывает некоторое недоумение, так как не решает проблему привлечения сторонних лиц, которые могут перерегистрировать на себя чужую SIM-карту.
«Эти люди зачастую используют свои настоящие паспорта, так как это так называемые «дропы». Как правило, найти таких людей не очень сложно, но дальше них расследование никуда не идет, поскольку они получают лишь небольшую фиксированную плату за оформление SIM-карты на себя. Да, возможно, рынок «дропов» подорожает, будут некие черные списки у операторов сотовой связи, но принципиально этот вопрос не решится», — подчеркнул эксперт.
Симки в зоне риска
По словам Сергея Никитина из Group-IB, в современном мире SMS-авторизация является самым популярным способом двухфакторной аутентификации пользователей, поэтому хищение SIM-карты представляет собой реальную опасность потерять денежные средства, электронную почту, аккаунты в социальных сетях и прочее.
К сожалению, привязка отпечатков пальцев к SIM-карте не является панацеей, так как карты могут быть подвергнуты хакерской атаке. В 2015 году бывший сотрудник АНБ Эдвард Сноуден раскрыл информацию о взломе Gemalto, производителя SIM-карт для крупнейших сотовых операторов.
Сноуден сообщил, что огромное количество SIM-карт было скомпрометировано, что позволило зарубежным спецслужбам прослушивать телефонные разговоры, перехватывать личные сообщения и отслеживать интернет-трафик.
Суть взлома заключается в краже криптоключей, которые записываются на SIM-карты во время производства и передаются сотовому оператору. Сама Gemalto опровергла факт масштабной утечки, сообщив, что взлом зафиксирован не был.
Кроме того, с SIM-картами связан еще один метод мошенничества — когда они продаются без заключения договора, и при этом не требуется предъявление паспорта. После реализации такой карты, например, в интернете, вполне реально перехватить управление счетом, получить доступ к балансу пользователя и пользоваться интернет-банком, который привязывается к номеру телефона.
На настоящий момент продажа SIM-карт онлайн в России запрещена, но согласно поправкам к закону «О связи» к 2019 году операторы связи могут получить право их реализации через интернет.
В таком случае договор будет заключаться в электронной форме с проверкой данных абонентов через единую систему идентификации и аутентификации (ЕСИА), портал госуслуг и с помощью подключения к системам госорганов.
Руководитель отдела безопасности банковских систем Positive Technologies Тимур Юнусов рассказал, что существует несколько способов, позволяющих обойти SIM-карту как второй фактор аутентификации, включая перевыпуск SIM-карты, перехват эфира или клонирование SIM-карты в эфире и атаки на онлайн-приложения, приводящие к обходу одноразового пароля. По его словам, каждый из этих способов достаточно прост в реализации.
«Поэтому гораздо важнее задумываться о безопасности банковских продуктов и онлайн-сервисов в принципе, чем пытаться защитить SIM-карту», — заявил эксперт.
Обвести вокруг пальцев
Распознавание отпечатков пальцев является частью технологии биометрической идентификации личности и применяется во многих сферах жизни. Этот способ защиты информации считается достаточно надежным, так как отпечатки являются уникальными для каждого человека.
Но, к сожалению, для хакеров «сложно» не значит «невозможно» — осенью 2016 года «Лаборатория Касперского» опубликовала отчет, в котором сообщает о десятке продавцов, предлагающих сканеры, которые умеют красть данные об отпечатках пальцев.
«В отличие от паролей или пин-кодов, которые в случае взлома легко сменить, отпечатки пальцев или рисунок радужки глаза изменить невозможно.
Соответственно, если биометрические данные один раз окажутся в чужих руках, их дальнейшее использование будет сопряжено с серьезным риском.
Вот почему они нуждаются в исключительно надежных способах защиты», — заявила Ольга Кочетова, эксперт по информационной безопасности «Лаборатории Касперского».
Компания Apple запатентовала разблокировку с помощью дактилоскопического датчика еще в 2008 году, а уже в 2013 году публике был представлен сканер отпечатков пальцев Touch ID. Теперь все iPhone, начиная с модели 5s, оснащены системой разблокировки смартфона с помощью пальца руки. Не так давно в сети появилась информация о том, что
Apple собирается отказываться от Touch ID в пользу системы распознавания лиц, то есть собирается сделать еще один шаг в сторону биометрической идентификации.
В настоящий момент все крупнейшие производители смартфонов встраивают такой датчик в свои устройства — Samsung, Huawei, Sony и другие. Все они говорят о надежности и безопасности использования сканера отпечатков, но все равно рекомендуют сочетать этот способ с другими методами защиты информации.