Bộ Viễn thông Ấn Độ (DoT) đã ban hành chỉ thị yêu cầu các nhà cung cấp dịch vụ giao tiếp dựa trên ứng dụng đảm bảo rằng các nền tảng này không thể được sử dụng nếu không có thẻ SIM đang hoạt động được liên kết với số điện thoại di động của người dùng.
Để đạt được mục tiêu đó, các ứng dụng nhắn tin như WhatsApp, Telegram, Snapchat, Arattai, Sharechat, Josh, JioChat và Signal, vốn sử dụng số điện thoại di động Ấn Độ để nhận dạng duy nhất người dùng (nói cách khác là một thực thể người dùng nhận dạng viễn thông - TIUE), phải tuân thủ chỉ thị này trong vòng 90 ngày.
Việc sửa đổi các Quy tắc Viễn thông (An ninh Mạng Viễn thông) năm 2024 được xem là một nỗ lực nhằm chống lại việc lạm dụng các định danh viễn thông cho các hoạt động phishing, scams và cyber fraud, đồng thời đảm bảo an ninh mạng viễn thông. DoT cho biết các chỉ thị SIM-binding rất quan trọng để đóng lại lỗ hổng bảo mật mà các bad actors đang khai thác để thực hiện các hành vi gian lận xuyên biên giới.
"Tài khoản trên các ứng dụng nhắn tin và gọi điện tức thời vẫn tiếp tục hoạt động ngay cả khi SIM liên kết bị gỡ bỏ, vô hiệu hóa hoặc chuyển ra nước ngoài, điều này tạo điều kiện cho các anonymous scams, các vụ 'digital arrest' giả mạo từ xa và các cuộc gọi mạo danh chính phủ sử dụng số điện thoại Ấn Độ," DoT cho biết trong một tuyên bố được đưa ra vào thứ Hai.
"Các web/desktop sessions cho phép fraudsters kiểm soát tài khoản nạn nhân từ các địa điểm xa xôi mà không cần thiết bị hoặc SIM gốc, điều này làm phức tạp việc truy tìm và gỡ bỏ. Một session hiện có thể được xác thực một lần trên một thiết bị ở Ấn Độ và sau đó tiếp tục hoạt động từ nước ngoài, cho phép tội phạm thực hiện scams bằng số điện thoại Ấn Độ mà không cần xác minh mới."
Chỉ thị mới
Chỉ thị mới ban hành quy định rằng:
- Các dịch vụ giao tiếp dựa trên ứng dụng (App Based Communication Services) phải liên tục được liên kết với thẻ SIM được cài đặt trong thiết bị và không thể sử dụng ứng dụng nếu không có SIM đang hoạt động đó.
- Phiên bản dịch vụ web của nền tảng nhắn tin phải tự động đăng xuất định kỳ mỗi sáu giờ và sau đó cho phép người dùng liên kết lại thiết bị của họ thông qua mã QR nếu cần thiết.
Khi buộc phải xác thực lại định kỳ, chính phủ Ấn Độ cho biết sự thay đổi này làm giảm phạm vi của các cuộc tấn công account takeover, lạm dụng điều khiển từ xa và các hoạt động mule account. Hơn nữa, việc liên kết lại nhiều lần sẽ tạo thêm sự cản trở trong quá trình, đòi hỏi các threat actors phải chứng minh rằng họ vẫn đang kiểm soát hết lần này đến lần khác.
DoT cũng lưu ý rằng các hạn chế này đảm bảo rằng mọi tài khoản đang hoạt động trên ứng dụng nhắn tin và các web sessions của nó đều được gắn với một Know Your Customer (KYC)‑verified SIM, từ đó cho phép các cơ quan chức năng truy vết các số điện thoại được sử dụng trong phishing, investment, digital arrest và loan scams.
Điều đáng chú ý là các quy tắc SIM-binding và tự động đăng xuất session đã được áp dụng cho các ứng dụng ngân hàng và thanh toán tức thời sử dụng hệ thống Unified Payments Interface (UPI) của Ấn Độ. Các chỉ thị mới nhất mở rộng chính sách này để cũng bao gồm các ứng dụng nhắn tin. WhatsApp và Signal không trả lời yêu cầu bình luận.
Sự phát triển này diễn ra vài ngày sau khi DoT cho biết một nền tảng Mobile Number Validation (MNV) sẽ được thành lập để kiềm chế sự gia tăng của mule accounts và identity fraud phát sinh từ việc liên kết không xác minh được số điện thoại di động với các dịch vụ tài chính và kỹ thuật số. Theo sửa đổi, yêu cầu trên nền tảng MNV có thể được đặt bởi một TIUE hoặc một cơ quan chính phủ.
"Cơ chế này cho phép các nhà cung cấp dịch vụ xác thực, thông qua một nền tảng phi tập trung và tuân thủ quyền riêng tư, liệu một số điện thoại di động được sử dụng cho một dịch vụ có thực sự thuộc về người có thông tin đăng nhập được ghi lại hay không – từ đó nâng cao niềm tin vào các giao dịch kỹ thuật số," tuyên bố cho biết.
