KYC kwenye mawasiliano ya simu nchini Brazili: jinsi ya kuzuia ulaghai (SIM swap na mengine)

Key takeaways
 

SIM swap na “Mão Fantasma” kwa sasa ndizo vektas kuu za ulaghai wa simu nchini Brazili; kampuni za mawasiliano, zikiwa kiungo cha kwanza, hukabili hasara, adhabu za udhibiti na kuporomoka kwa uaminifu iwapo hazilindi namba na mitiririko muhimu.

Uthibitishaji wa jadi hushindwa kwa kutegemea data tuli iliyovuja, OTP za SMS kwenye njia zilizo hatarini na michakato ya binadamu iliyo dhaifu; uhamaji wa namba na uingizwaji/udhurufu wa SIM ndiyo sehemu hatari zaidi na vinahitaji utambulisho thabiti, ishara za laini, uthibitisho kupitia njia mbadala na vipindi vya “cooling-off”.

Kanuni: Anatel inahitaji uthibitisho wa uhamaji wa namba kwa SMS (kwa dirisha la majibu); RGST na RGC vilivyosasishwa vinatia mkazo uwazi na ufuatiliaji. SMS ni ya lazima lakini haitoshi kama uthibitishaji thabiti kwenye vihatarishi vya juu.

Mkakati mzuri na nafasi ya Didit: KYC papo hapo (kitambulisho, “selfie” na liveness), biometria na MFA kwenye mitiririko ya athari kubwa, na maamuzi yakiongozwa na ishara za laini; jukwaa otomatiki na linalonyumbulika hupunguza utegemezi wa ukaguzi wa mwongozo, huboresha ugunduzi na hurahisisha ujumuishaji kwa bei zilizo wazi.

Brazili inapitia kilele cha uhalifu wa kidijitali ambapo laini ya simu ndiyo kiungo dhaifu: SIM swap huwapa wavamizi udhibiti wa namba na kunasa OTP (one-time password) za SMS ili kufikia akaunti za benki na programu nyeti za kifedha. Matokeo yake? Hasara za benki za R$ 10,1 bilhões mwaka 2024, kwa mujibu wa FEBRABAN (Federação Brasileira de Bancos).

Si taasisi za kifedha pekee zinazoathirika. Waendeshaji wa mawasiliano—mara nyingi wakiwa kiungo cha kwanza kwenye mnyororo—pia hukumbana na hasara za moja kwa moja, adhabu za kanuni na kuporomoka kwa uaminifu wa wateja kunakotokana na udanganyifu wa utambulisho.

Kinachoonekana wazi ni mbinu ya wadanganyifu. Kupitia uhandisi wa kijamii, hunufaika na udhaifu wa michakato ya kampuni na kujithibitisha kwa data iliyovuja (au kuibiwa) kwenye “dark web”. Sio hilo tu linalotia wasiwasi kwa watumiaji na taasisi: Mão Fantasma imekuwa ulaghai mwingine mkubwa. Wadukuzi humshawishi mwathirika asakinishe programu ya ufikiaji wa mbali; kuanzia hapo, hudhibiti simu bila mhusika kutambua na kuelekeza miamala bandia ya benki. Mabenki na FEBRABAN wanashauri kutoweka programu kwa maelekezo ya simu wala kutoa ufikiaji wa mbali kwa watu wengine.

SIM swap ni nini—na kwa nini inaongezeka Brazili

SIM swap ni tishio kubwa kwa sekta ya mawasiliano Brazili. Ulaghai huu unafanyika pale mhalifu anapomshawishi mtoa huduma atoke “SIM” mpya iliyo na namba ya mwathirika, akichanganya uhandisi wa kijamii na data iliyovuja kwenye “dark web”.

Mara tu anapodhibiti namba, mtapeli hunasa OTP za SMS zinazomfikia mteja halali (kwa kuingia au kurejesha akaunti), na kusababisha kile kinachoitwa utwaa-ji wa akaunti (account takeover).

SIM swap ni tatizo linalokua, na viwango vya mafanikio vilivyoripotiwa na sekta vinaifanya ibaki kipaumbele kwa timu za usalama na udhibiti ulaghai.

Kwa nini uthibitishaji wa utambulisho wa jadi hushindwa kwenye telco?

Brazili inakabiliwa na mojawapo ya mazingira makali zaidi ya uhalifu mtandaoni duniani. Kila sekunde mbili kuna jaribio la ulaghai wa utambulisho na, mara nyingi, makampuni hushindwa kugundua, kupambana na kuuzuia kwa wakati.

Ingawa hakuna takwimu rasmi kuhusu idadi kamili ya matukio ya SIM swap, inakadiriwa kuwa makumi ya maelfu ya watumiaji huathiriwa kila mwaka.

Hivyo, mwanga unapaswa kuelekezwa kwenye udhaifu wa zana na michakato ya sasa. Suluhisho nyingi zinazotumika Brazili zimeonyesha kuwa hazitoshi kutokana na kutegemea ukaguzi tuli, mapitio ya mwongozo na michakato isiyonyumbulika. Lakini pia mbinu zenyewe hukosa weledi.

Data iliyovuja na udhaifu wa waendeshaji

Miminiko ya data kwenye “dark web” inamaanisha kwamba kwa data tuli (kama CPF au tarehe ya kuzaliwa), mhalifu anaweza kuvuka udhibiti wa awali wa msingi. Data hiyo inapokuwa hadharani, uthibitisho wa “unachokijua” hauonyeshi tena utambulisho.

Zaidi ya hapo, taratibu nyingi za ndani kwenye telco bado zinategemea sana uhalalishaji wa kibinadamu (dukanI au “call center”) na ziko mbali na uchanganuzi wa ishara za hatari kwa wakati halisi.

Matokeo yake ni ekosistemi ambamo:

• Mteja halali hukumbana na msuguano usio lazima ambao hauzuii mhalifu kila mara.
• Wadanganyifu hunufaika na taarifa zilizovuja kudurufu SIM, kurejesha akaunti au kulazimisha uhamaji wa namba.
• Maamuzi hufanywa kwa ushahidi dhaifu (data tuli) badala ya ushahidi thabiti (biometria yenye liveness, ishara za laini, sifa ya kifaa).

Mivujiko na uhamaji wa namba: sehemu iliyo gizani

Uhamaji wa namba kati ya waendeshaji na uingizwaji/udhurufu wa SIM ndiko kunakobeba hatari kubwa ya uendeshaji. Haya ni matukio yenye athari kubwa: mhalifu akiyapita, hudhibiti namba na, kwa hiyo, uthibitishaji wote unaofuata.

Kwa kuyadhibiti, waendeshaji wanapaswa kukumbatia viwango vya uthibitisho wa juu:

• Utambulisho thabiti wakati wa ombi (hati + selfie + liveness) iwe kwenye app/tovuti, “call center” au dukani.
• Ishara za laini kabla ya kuchagua njia ya uthibitishaji (aina ya laini, umri wa SIM, viashiria vya swap ya karibuni).
• Uthibitisho kupitia njia mbadala (push au barua pepe iliyothibitishwa) na vipindi vya “cooling-off” kwa mabadiliko nyeti.

Kanuni za Brazili zinasemaje (muhtasari wa vitendo)

Anatel (Agência Nacional de Telecomunicações) inahimiza uhamaji wa namba za simu kuthibitishwa kwa SMS kwenye laini ya sasa ya mtumiaji. Mmiliki ana hadi saa 6 kujibu; asipojibu au akijibu “hapana”, ombi hubatilishwa kiotomatiki. Hatua hizi hazibadilishi uthibitishaji thabiti katika vihatarishi vya juu, lakini ni kiwango cha chini cha kanuni ambacho kila telco inapaswa kutimiza.

Aidha, Wakala uliidhinisha Regulamento Geral dos Serviços de Telecomunicações (RGST), unaounganisha na kusasisha sheria za sekta ya simu.

Kwa upande mwingine, Regulamento Geral de Direitos do Consumidor (RGC) umesasishwa na kuunganishwa hivi karibuni (Septemba 2025), ukiongeza wajibu wa uwazi, ubora na “reversibility” katika uhusiano na mtumiaji. Hili linaathiri jinsi uhamaji wa namba, uingizwaji wa SIM na mabadiliko ya data yanavyotangazwa na kutekelezwa, pamoja na ufuatiliaji kwa migogoro.

Mkakati wa KYC kwa waendeshaji wa mawasiliano Brazili (2025)

Kwa zana na taratibu sahihi, waendeshaji wanaweza kupunguza pakubwa ulaghai wa utambulisho.

• KYC papo hapo wakati wa “onboarding”. Uthibitishaji wa hati, “Face Match” 1:1 na liveness detection ili kuzuia usajili kwa vitambulisho vya kubuni au vya kuiga.
• Biometria ya usoni na MFA kwenye uingizwaji wa SIM na uhamaji. Kujenga biometria kama sehemu ya MFA kwenye michakato muhimu huongeza kizingiti dhidi ya uhandisi wa kijamii.
• Mitiririko inayoendeshwa na vihatarishi. Kabla ya kutuma OTP ya SMS, tathmini hatari: aina ya laini, umri wa SIM, dalili za swap ya karibuni. Hatari ikiwa juu, tumia njia mbadala (biometria, push/barua pepe iliyothibitishwa); ikiwa chini, endelea na mtiririko wa kawaida.
• AI na uchanganuzi wa tabia. Nyakati, maeneo na mwendo wa maombi husaidia kubaini hitilafu na kuzima miamala isiyo ya kawaida mapema.

Jinsi Didit inavyosaidia waendeshaji kukata ulaghai wa utambulisho

Brazili inakabiliwa na kiwango kikubwa cha ulaghai na, kwa waendeshaji, kipaumbele cha kwanza ni kupunguza hasara kutokana na SIM swap, uhamaji wa namba wa ulaghai na mabadiliko ya data nyeti. Didit ni jukwaa la uthibitishaji wa utambulisho lililojengwa kwa lengo hilo.

Kwa uendeshaji, hili linamaanisha nini?

• Utegemezi mdogo wa ukaguzi wa mwongozo. Didit hupunguza mzigo wa mapitio ya mwongozo na kuboresha ugunduzi kwenye mazingira yenye ujazo mkubwa, huku ikihifadhi udhibiti na ufuatiliaji wa ukaguzi.
• Akili ya kimataifa ya ulaghai. Hufanya kazi na hazina ya maelfu ya visa duniani: hutambua muundo na kuchukua hatua ipasavyo.
• Muunganisho na vyanzo vya serikali. Huunganisha hifadhidata za serikali kwa ukaguzi muhimu dhidi ya ulaghai.
• Uotomatiki kutoka mwanzo hadi mwisho. Huepuka vizuizi vinavyosababishwa na mapitio ya mwongozo na kuharakisha “onboarding/servicing” bila kupoteza udhibiti.
• Mitiririko inayonyumbulika na kubinafsishwa. Badili sheria bila tiketi; ongeza hatua kulingana na hatari inapohitajika.
• Uwazi na urahisi wa ujumuishaji. API na moduli zisizo na msimbo (no-code) kuzindua mitiririko haraka, kwa bei zilizo wazi.

Kwa nini Didit huzishinda mipaka ya kawaida sokoni

Katika mazingira ambamo watoa huduma wa jadi hutegemea ukaguzi tuli, mapitio ya mwongozo na michakato isiyonyumbulika, Didit huleta safu ya kiotomatiki na inayoweza kuorodheshwa, iliyounganishwa na vyanzo vya serikali, inayopunguza utegemezi wa mapitio ya mwongozo, kuboresha ugunduzi na kudhibiti matumizi. Huchanganya uthibitishaji kamili wa utambulisho na hazina ya kimataifa ya miundo ya ulaghai ili kuamua papo hapo jinsi ya kushughulikia usajili mpya, uhamaji wa namba na uingizwaji wa SIM.