Het Indiase ministerie van Telecommunicatie (DoT) heeft instructies gegeven aan aanbieders van app-gebaseerde communicatiediensten om ervoor te zorgen dat de platforms niet kunnen worden gebruikt zonder een actieve simkaart die is gekoppeld aan het mobiele nummer van de gebruiker.
Daartoe moeten berichtenapps zoals WhatsApp, Telegram, Snapchat, Arattai, Sharechat, Josh, JioChat en Signal, die een Indiaas mobiel nummer gebruiken voor de unieke identificatie van hun gebruikers, met andere woorden een telecommunicatie-identificatiegebruikersentiteit (TIUE), binnen 90 dagen aan de richtlijn voldoen.
De wijziging van de Telecommunications (Telecom Cyber Security) Rules, 2024, wordt gezien als een poging om het misbruik van telecommunicatie-identificatoren voor phishing, oplichting en cyberfraude te bestrijden en de cyberveiligheid van telecom te waarborgen. Het DoT zei dat de SIM-bindende richtlijnen van cruciaal belang zijn om een veiligheidslek te dichten dat slechte actoren uitbuiten om grensoverschrijdende fraude te plegen.
“Accounts voor instant messaging- en bel-apps blijven werken, zelfs nadat de bijbehorende simkaart is verwijderd, gedeactiveerd of naar het buitenland is verplaatst, waardoor anonieme oplichting, ‘digitale arrestatie’-fraude op afstand en nabootsing van identiteitsoproepen met Indiase nummers mogelijk zijn”, aldus het DoT in een verklaring die maandag is uitgegeven.
“Langdurige web-/desktopsessies stellen fraudeurs in staat de accounts van slachtoffers vanaf verre locaties te controleren zonder het originele apparaat of de simkaart nodig te hebben, wat het traceren en verwijderen bemoeilijkt. Een sessie kan momenteel eenmaal op een apparaat in India worden geverifieerd en vervolgens vanuit het buitenland blijven opereren, waardoor criminelen oplichting kunnen uitvoeren met behulp van Indiase nummers zonder enige nieuwe verificatie.”
De nieuw uitgevaardigde richtlijn schrijft voor dat –
- App-gebaseerde communicatiediensten zijn continu gekoppeld aan de simkaart die in het apparaat is geïnstalleerd en maken het onmogelijk om de app te gebruiken zonder die actieve simkaart
- Het webservice-exemplaar van het berichtenplatform wordt periodiek elke zes uur uitgelogd en geeft de gebruikers vervolgens de mogelijkheid hun apparaat indien nodig opnieuw te koppelen via een QR-code
Door periodieke herauthenticatie af te dwingen, zegt de Indiase regering dat de wijziging de kans op aanvallen op accounts, misbruik van afstandsbediening en muilezelaccountoperaties verkleint. Bovendien zorgt het herhaaldelijk opnieuw koppelen voor extra wrijving in het proces, waardoor de dreigingsactoren keer op keer moeten bewijzen dat zij de controle hebben.
Het DoT merkte ook op dat deze beperkingen ervoor zorgen dat elk actief account op de berichtenapp en de bijbehorende websessies is gekoppeld aan een Know Your Customer (KYC)-geverifieerde simkaart, waardoor autoriteiten nummers kunnen traceren die worden gebruikt bij phishing, investeringen, digitale arrestaties en oplichting met leningen.
Het is de moeite waard om op te merken dat de regels voor het binden van simkaarten en het automatisch afmelden van sessies al van toepassing zijn op bank- en instant-betalingsapps die het Unified Payments Interface (UPI)-systeem van India gebruiken. De nieuwste richtlijnen breiden dit beleid uit tot ook berichtenapps. WhatsApp en Signal reageerden niet op verzoeken om commentaar.
De ontwikkeling komt dagen nadat het DoT zei dat er een Mobile Number Validation (MNV)-platform zou worden opgericht om de stijging van het aantal muilezelaccounts en identiteitsfraude als gevolg van niet-geverifieerde koppelingen van mobiele nummers met financiële en digitale diensten tegen te gaan. Volgens het amendement kan een dergelijk verzoek op het MNV-platform worden geplaatst door een TIUE of een overheidsinstantie.
“Dit mechanisme stelt dienstverleners in staat om, via een gedecentraliseerd en privacy-conform platform, te valideren of een mobiel nummer dat voor een dienst wordt gebruikt daadwerkelijk toebehoort aan de persoon wiens inloggegevens geregistreerd zijn – waardoor het vertrouwen in digitale transacties wordt vergroot”, aldus het rapport.
