Whalesbook
SMS OTPs: ડિજિટલ ઓળખમાં નબળી કડી
આજના ડિજિટલ યુગમાં, મોબાઇલ નંબરનો ઉપયોગ ઓનલાઈન ઓળખ ચકાસવા માટે મુખ્ય માધ્યમ બની ગયો છે. પરંતુ, SMS દ્વારા વન-ટાઇમ પાસવર્ડ (OTP) મોકલવાની પદ્ધતિ સુરક્ષા માટે મોટો ખતરો બની ગઈ છે. ગુનેગારો આ નબળાઈનો ફાયદો ઉઠાવીને SIM Swap હુમલાઓ કરી રહ્યા છે. આ યુક્તિમાં, સાયબર ગુનેગાર તમારા મોબાઇલ નંબરને પોતાના નિયંત્રણ હેઠળની SIM કાર્ડ પર ડાયવર્ટ કરી દે છે. આનાથી તેઓ તમારા OTPs ને સરળતાથી મેળવી શકે છે અને તમારા બેંક એકાઉન્ટ્સ, ક્રિપ્ટો વોલેટ્સ અને અન્ય મહત્વપૂર્ણ ડિજિટલ સેવાઓમાં પ્રવેશ મેળવી શકે છે.
SIM Swap ફ્રોડનો વધતો ખર્ચ
SIM Swap ફ્રોડ એક વૈશ્વિક સમસ્યા બની ગઈ છે અને તેના કારણે થતું નાણાકીય નુકસાન ખૂબ જ મોટું છે. 2024 માં, FBI ના ઈન્ટરનેટ ક્રાઈમ કમ્પ્લેઈન્ટ સેન્ટર (IC3) એ યુ.એસ.માં જ SIM સ્વેપિંગને કારણે લગભગ $26 મિલિયન (આશરે ₹217 કરોડ) નું નુકસાન નોંધાવ્યું છે. વિશ્વભરમાં આ આંકડો તેનાથી પણ ચિંતાજનક છે. યુકેમાં અનધિકૃત SIM સ્વેપના કિસ્સાઓમાં 1,055% નો ધરખમ વધારો જોવા મળ્યો છે. એકંદરે, 2023 માં U.S.માં એકાઉન્ટ ટેકઓવર (SIM સ્વેપિંગ સહિત) થી થયેલા કુલ ફ્રોડનું નુકસાન લગભગ $23 બિલિયન (આશરે ₹1916 કરોડ) થયું હતું. આ પ્રકારના હુમલાઓ ખૂબ જ સરળતાથી ફેલાવી શકાય છે અને હાલની સુરક્ષા પ્રણાલીઓની નબળાઈઓનો લાભ ઉઠાવે છે. મુંબઈની એક સ્ટીલ ટ્રેડિંગ ફર્મને પણ SIM Swap દ્વારા તેના કોર્પોરેટ એકાઉન્ટ્સ હેક થતાં ₹7.5 કરોડ ગુમાવવા પડ્યા હતા.
SMS OTPs શા માટે સરળતાથી હેક થાય છે?
SMS OTPs માં આંતરિક નબળાઈઓ રહેલી છે. આધુનિક સુરક્ષા પદ્ધતિઓથી વિપરીત, SMS સંદેશાઓ એન્ક્રિપ્ટેડ (Encrypted) નથી હોતા અને તેને સરળતાથી ચોરી શકાય છે. આ SIM સ્વેપિંગ, SS7 પ્રોટોકોલની ખામીઓ અથવા અદ્યતન ફિશિંગ (Phishing) સ્કેમ્સ દ્વારા થઈ શકે છે. NIST જેવા સુરક્ષા નિષ્ણાતો લાંબા સમયથી SMS OTPs નો મજબૂત ઓળખ ચકાસણી માટે ઉપયોગ કરવા સામે સલાહ આપી રહ્યા છે કારણ કે તે ખૂબ જ નબળા છે.
ધીમી સુરક્ષા અપગ્રેડ ફ્રોડને વેગ આપે છે
નિયમનકારી સંસ્થાઓ આ છેતરપિંડીને રોકવા પ્રયાસ કરી રહી છે. ભારતમાં, ટેલિકોમ રેગ્યુલેટરી ઓથોરિટી ઓફ ઈન્ડિયા (TRAI) એ હવે SIM Swap થયાના સાત દિવસ પછી નંબર ટ્રાન્સફર કરવાની મંજૂરી આપી છે, જેથી છેતરપિંડી શોધી શકાય. યુ.એસ. FCC એ પણ SIM બદલતી વખતે મજબૂત ચકાસણી માટે નવા નિયમો બનાવ્યા છે. પરંતુ, આ પગલાં મોટે ભાગે હુમલાઓ પછી લેવાયેલા પ્રતિભાવો છે. બજાર વધુ સુરક્ષિત ઓળખ ચકાસણી વિકલ્પો તરફ ઝડપથી આગળ વધી રહ્યું છે, જેમાં OTP જનરેટ કરતી એપ્સ, ફિઝિકલ સિક્યુરિટી કીઝ (FIDO2) અને ચહેરાની ઓળખ (Facial Recognition) જેવી અદ્યતન પદ્ધતિઓનો સમાવેશ થાય છે. નેટવર્ક ડેટા APIs પણ મહત્વપૂર્ણ બની રહ્યા છે, જે બેંકોને રીઅલ-ટાઇમમાં SIM Swap ઘટનાઓને ચકાસવામાં મદદ કરે છે.
સુરક્ષા શા માટે પાછળ રહી ગઈ?
SIM swap ફ્રોડની વ્યાપકતા એ દર્શાવે છે કે સુરક્ષા માપદંડોને અપડેટ કરવામાં નિષ્ફળતા મળી રહી છે. બેંકો અને ટેલિકોમ કંપનીઓ SMS OTPs નો ઉપયોગ બંધ કરવામાં ધીમી રહી છે, જે મૂલ્યવાન ઓનલાઈન એકાઉન્ટ્સને સુરક્ષિત રાખવા માટે પૂરતા નથી. આ હુમલાઓમાં ડેટા બ્રીચમાંથી સરળતાથી મળતી વ્યક્તિગત માહિતી અને ચતુરાઈભરી યુક્તિઓનો ઉપયોગ થાય છે, જે ફોન કંપનીઓની સુરક્ષા તપાસને સરળતાથી પાર કરી જાય છે.
ભવિષ્ય SMS વેરિફિકેશનથી આગળ
સ્પષ્ટ છે કે SMS OTPs હવે જૂના થઈ રહ્યા છે. SIM swap હુમલાઓમાં ઝડપી વધારો, વધતી નિયમનકારી માંગ અને વધુ સારી સુરક્ષા ટેકનોલોજી કંપનીઓને આ અસુરક્ષિત પદ્ધતિથી દૂર લઈ જશે. ભવિષ્યની ડિજિટલ ઓળખ સુરક્ષામાં જોખમ-આધારિત સિસ્ટમ્સ, અદ્યતન બાયોમેટ્રિક્સ, FIDO ધોરણો અને મજબૂત ખાતરી માટે નેટવર્ક ડેટાનો ઉપયોગ થશે.