Modeling the SIM Swap Ceremony: Integrating Human Behavior and Formal Analysis

Abstract

Ao abordar o processo de troca de SIM como uma cerimônia de segurança, nosso estudo oferece uma investigação abrangente, com foco na interação entre protocolos técnicos e entidades humanas. Seguindo uma abordagem em camadas para analisar essas cerimônias, conforme proposto na literatura, exploramos a questão considerando as diferentes camadas a serem examinadas, especificamente as camadas de interação humano-computador e pessoal, empregando modelos formais e avaliação empírica. O objetivo dessas ações é percorrer as várias fases e os atores envolvidos nas operações de troca de SIM, traçando um panorama de vulnerabilidades e oportunidades para melhorar a segurança e a experiência do usuário. Ao mesmo tempo, procuramos ampliar o escopo da análise de cerimônias de segurança para abranger aspectos relacionados ao estudo de nós de entidades humanas, empregando o conceito de máscaras pirandellianas na modelagem dessas cerimônias, que já haviam sido definidas teoricamente. Isso possibilitou o desenvolvimento de um modelo formal de troca de SIM que pode ser empregado para formular melhorias nesse processo que aumentam sua segurança em dois níveis de granularidade. Isso implica uma compreensão das etapas envolvidas no processo, os possíveis ataques que poderiam ser lançados e o comportamento de entidades humanas que poderiam levar a erros no processo. Ao modelar as máscaras Pirandellianas, foi demonstrado como elas podem ser uma ferramenta valiosa para analisar cerimônias. Isso foi feito por meio da integração da compreensão teórica das interações humanas e do comportamento esperado com a análise prática e formal dos protocolos de segurança. O resultado foi o desenvolvimento de uma estrutura robusta para mitigar riscos e otimizar a eficácia dos processos de troca de SIM.

Approaching the SIM swap process as a security ceremony, our study offers a comprehensive investigation, focusing on the interaction between technical protocols and human entities. Following a layered approach to analyzing these ceremonies, as proposed in the literature, we explore the issue by considering the different layers, specifically the human-computer and personal interaction layers, employing both formal models and empirical evaluation. These actions aim to go through the multiple phases and actors involved in SIM swap operations, outlining vulnerabilities and opportunities for improving security and the user experience. Concurrently, we sought to extend the scope of security ceremony analysis to encompass aspects of the study of human entity nodes, employing the concept of Pirandellian masks in modeling these ceremonies, which had previously been defined theoretically. As a result, a formal model of SIM swapping was developed, which may be employed to formulate improvements to this process that enhance its security at two levels of granularity. To achieve this, it is necessary to understand the steps involved in the process, the potential attacks that could be launched, and the behavior of human entities that could lead to errors. Furthermore, the modeling of Pirandellian masks demonstrated how they could be valuable for analyzing ceremonies. Integrating a theoretical understanding of human interactions and expected behavior with the practical and formal analysis of security protocols enabled the development of a robust framework for mitigating risks and optimizing the effectiveness of SIM swap processes.