image

Criminelen onderscheppen via SS7 tan-codes voor bankfraude

woensdag 3 mei 2017, 13:34 door Redactie, 23 reacties
Laatst bijgewerkt: 03-05-2017, 15:54

Criminelen hebben begin dit jaar in Duitsland van het SS7-protocol gebruik gemaakt om mobiele tan-codes te onderscheppen en die vervolgens voor bankfraude te gebruiken. Dat melden de Zeit Online en Suddeutsche Zeitung. SS7 is een protocol dat de meeste telecombedrijven gebruiken om onderling met elkaar te communiceren. Het wordt onder andere gebruikt voor bellen vanuit en naar het buitenland, sms en roaming.

Toen het protocol in jaren 80 werd ontwikkeld bestonden er slechts een paar telecombedrijven die elkaar vertrouwden. Er werd dan ook geen authentictie in het protocol ingebouwd. De Duitse onderzoekers Tobias Engel en Karsten Nohl lieten in 2014 weten dat er verschillende manieren voor kwaadwillenden zijn om toegang tot SS7 te krijgen, onder andere via bedrijven die tegen betaling de mogelijkheden van SS7 misbruiken. Zodra er toegang is verkregen kan een aanvaller gesprekken en sms-berichten onderscheppen door "call forwarding" in te schakelen. Inkomende gesprekken worden zo naar zijn nummer doorgeschakeld. Vervolgens stuurt de aanvaller het gesprek door naar de oorspronkelijke ontvanger, zodat die niets merkt.

Phishing

De nu waargenomen aanvallen beginnen met traditionele phishingmails. Als gebruikers hun gegevens op de phishingsite van de aanvallers invullen krijgen die toegang tot de bankrekening van het slachtoffer. Op deze manier kan worden bekeken hoeveel geld het slachtoffer op zijn of haar rekening heeft staan. Om het geld te kunnen stelen moet de aanvaller over een mobiele tan-code beschikken die de bank naar de mobiel van het slachtoffer stuurt. Via dubieuze partijen die toegang tot SS7 hebben kunnen de aanvallers van SS7 gebruikmaken om call forwarding voor het telefoonnummer van hun slachtoffers in te stellen.

Op deze manier kunnen ze de mobiele tan-code voor het uitvoeren van de transactie in handen krijgen. Volgens experts vinden deze aanvallen vaak 's nachts plaats. In Duitsland kregen klanten van O2-Telefonica hiermee te maken. De provider bevestigt dat er in januari een aanval via een buitenlandse provider plaatsvond waarbij inkomende sms-berichten voor Duitse nummers werden doorgestuurd. De provider in kwestie werd vervolgens geblokkeerd en getroffen klanten ingelicht. Hoeveel mensen van de aanval slachtoffer werden en hoeveel de aanvallers hebben gestolen is niet bekendgemaakt.

Update

Het Bundesamtes für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, laat weten dat het al geruime tijd adviseert om mobiele tan-codes niet te gebruiken en in plaats daarvan pleit voor het werken met tan-generatoren. Verder stelt de overheidsorganisatie dat het bekend is met cyberaanvallen op het mobiele netwerk.

Reacties (23)
03-05-2017, 14:13 door Hansaplast
Een SS protocol in Duitsland is nooit grappig. ;)
03-05-2017, 14:31 door Anoniem
Wat is de meerwaarde van DigiD SMS authenticatie als dit soort aanvallen in de praktijk mogelijk zijn?
03-05-2017, 14:58 door Anoniem
TAN codes... welke debiel dit goedgekeurd heeft moeten ze per direct ontslaan.
03-05-2017, 15:43 door Anoniem
Door Anoniem: Wat is de meerwaarde van DigiD SMS authenticatie als dit soort aanvallen in de praktijk mogelijk zijn?
Deels klopt het wat je zegt, maar er moet ook een wachtwoord en een gebruikersnaam ingevuld worden bij DigiD.
03-05-2017, 16:13 door Anoniem
Een TAN generator... Dat is in NL alleen de Rabobank?
03-05-2017, 16:44 door Anoniem
Door Anoniem: TAN codes... welke debiel dit goedgekeurd heeft moeten ze per direct ontslaan.

Wat is er mis met extra codes om transacties goed te keuren? Voor jou is een (nagenoeg statische) gebruikersnaam en wachtwoord voldoende? Geef mij toch maar TAN codes die verschillen voor iedere transactie.
03-05-2017, 16:48 door Anoniem
Door Anoniem: Een TAN generator... Dat is in NL alleen de Rabobank?
Nee, ING
03-05-2017, 16:55 door Anoniem
Door Anoniem: Wat is de meerwaarde van DigiD SMS authenticatie als dit soort aanvallen in de praktijk mogelijk zijn?
Dat DigiD ook nog een gebruikers naam en wachtwoord heeft?

Door Anoniem: TAN codes... welke debiel dit goedgekeurd heeft moeten ze per direct ontslaan.
Mee eens.

Door Anoniem: Een TAN generator... Dat is in NL alleen de Rabobank?
Nee Postbank, tegenwoordig de ING....
03-05-2017, 17:16 door Anoniem
Er zijn ook sites waar je een wachtwoord reset kunt aanvragen via een SMS'je. Of 2FA via SMS, net als DigiD. Hoe veilig is dat dan nog?
Bij 2FA heb je vaak nog gebruikersnaam en wachtwoord nodig. Bij wachtwoord reset is dan vaak gebruikersnaam en 06-nummer voldoende.
03-05-2017, 18:37 door karma4
http://fortune.com/2016/07/26/nist-sms-two-factor/
Ofwel al vele jaren bekend. Het enige wat helpt zijn de grote massa en de toegang tot het telco netwerk met een bepaald privileged niveau.
03-05-2017, 21:04 door Anoniem
Het gaat dus om mobiele Tancodes. Een goede reden dus om met mobiel bankieren op te houden.
03-05-2017, 22:03 door Anoniem
Ik wilde net zeggen: welke debiel heeft bedacht om te bankieren met een mobieltje........
03-05-2017, 23:35 door Anoniem
Door Anoniem: Het gaat dus om mobiele Tancodes. Een goede reden dus om met mobiel bankieren op te houden.

Totale onzin.
04-05-2017, 02:47 door Anoniem
Waarom zou je abrupt moeten stoppen met mobiel bankieren of personen die bankieren met een mobieltje hebben bedacht voor debiel uitschelden? Kom dan minstens met een goed alternatief in plaats van alleen maar negatief en beledigend te doen. Helaas is dat voor een paar negatieve posters hier te hoog gegrepen. Security is het afwegen van risico's. Bijna alles in de wereld van beveiliging heeft nadelen en risico's. De mens die vaak ergens in trapt. Onderscheppen van communicatie als post, sms, telefonie, https. Aangepaste betaalpassen, betaalautomaten, cr-apparaatjes. Slechte digitale hygiene op clients van gebruikers of banken. En zo verder. Op basis van misbruik van een risico een concept of personen debiel noemen of meteen afraden is zot en kinderlijk. Wat is het volgende? Dat de uitvinder van het wiel debiel was omdat er risico's aan het gebruik zitten? Of moeten we stoppen met vliegen omdat die vliegtuigen kunnen neerstorten? Diep treurige die eenzijdige negatieve reacties en gescheld op een simpel praktijkvoorbeeld van een van de vele risico's.
04-05-2017, 08:07 door Anoniem
Ondanks goede sloten worden er heel veel deuren opengebroken. Voor mij is dat geen reden om mijn deuren maar niet meer op slot te doen.
04-05-2017, 09:05 door Anoniem
Door Anoniem: Het gaat dus om mobiele Tancodes. Een goede reden dus om met mobiel bankieren op te houden.

nee je ontvangt op je mobiel een tan code om de betaling te bevestigen zodra je bv op je pc een transactie doet.

juist bij mobiel bankieren bij ing heb je geen tan code nodig
04-05-2017, 09:14 door Anoniem
Door Anoniem:
Door Anoniem: Wat is de meerwaarde van DigiD SMS authenticatie als dit soort aanvallen in de praktijk mogelijk zijn?
Dat DigiD ook nog een gebruikers naam en wachtwoord heeft?

Door Anoniem: TAN codes... welke debiel dit goedgekeurd heeft moeten ze per direct ontslaan.
Mee eens.

Door Anoniem: Een TAN generator... Dat is in NL alleen de Rabobank?
Nee Postbank, tegenwoordig de ING....

Het systeem van ING is veiliger dan van ABN en Rabo omdat bij ING er in feite 3 factoren zijn: je username+password,
je bankpas+pincode, en je TAN codes. Bij ABN en Rabo hangt alles aan de pas+pincode. Zou kun je bijvoorbeeld
de ingestelde opnamelimieten aanpassen als je beschikt over de pas+pincode. Bij ING is dat niet mogelijk, daar moet
je ook nog de TAN hebben en die is normaalgesproken gekoppeld aan je mobieltje. Je moet als je dat wilt kraken
het mobiele nummer van het slachtoffer ook nog te weten komen.

Een veelvoorkomende roofmethode die je NU met low-tech middelen kunt uitvoeren is: kijk in een winkel mee met
iemands pincode, rol daarna de pas, en dan kun je bij ABN en Rabo de HELE rekening inclusief spaartegoed leeg
trekken, terwijl bij ING alleen de dagopname limiet van de pas kan worden opgenomen per dag tot het slachtoffer
ontdekt dat de pas weg is.

Dus voor dat je denkt dat dat ABN en Rabo systeem zo veel veiliger is... in dat realistische scenario zijn ze dat in
ieder geval niet. Om die systemen veiliger te maken zou in ieder geval de reader gepersonaliseerd moeten worden
(zodat je niet met een willekeurige ABN of Rabo reader voor iedere pas transacties kunt uitvoeren, zeker niet dit
soort kritische transacties zoals het wijzigen van de instellingen van de pas!)
04-05-2017, 09:52 door Anoniem
Door Anoniem: Wat is de meerwaarde van DigiD SMS authenticatie als dit soort aanvallen in de praktijk mogelijk zijn?
Zoals ook uit het bericht blijkt, is de aanval alleen bij slachtoffers met veel geld op hun rekening uitgevoerd. Daaruit blijkt dat het voor de aanvallers tijd en/of geld kost om SMS-TANs op deze manier te onderscheppen, of dat het risico op ontdekking te groot wordt als ze en masse SMS-TANs onderscheppen.

Dus de meerwaarde is dat niet elke aanvaller tijd/geld/moeite in het hacken van beide kanalen wil steken en het dus nog steeds veiliger is dan enkel gebruikersnaam en wachtwoord.
04-05-2017, 10:08 door Anoniem
Door Anoniem: Wat is de meerwaarde van DigiD SMS authenticatie als dit soort aanvallen in de praktijk mogelijk zijn?

DigiD lijkt bezig met nieuwe alternatieven voor SMS authenticatie.
Zie ook https://www.digid.nl/over-digid/app/
04-05-2017, 14:15 door Anoniem
Door Anoniem: Het systeem van ING is veiliger dan van ABN en Rabo omdat bij ING er in feite 3 factoren zijn: je username+password, je bankpas+pincode, en je TAN codes. Bij ABN en Rabo hangt alles aan de pas+pincode. Zou kun je bijvoorbeeld de ingestelde opnamelimieten aanpassen als je beschikt over de pas+pincode. Bij ING is dat niet mogelijk, daar moet je ook nog de TAN hebben en die is normaalgesproken gekoppeld aan je mobieltje. Je moet als je dat wilt kraken
het mobiele nummer van het slachtoffer ook nog te weten komen.
Het is zeker een zwakte van ABN en Rabo is dat ze geen gescheiden pincodes hebben voor pinnen en aanloggen/ondertekenen. Maar het wachtwoord van ING vind ik ook geen goed idee als je ziet hoe massaal malware in omloop is, en los van dit bericht vind ik al sinds de introductie van de smartphone een pin per sms een twijfelachtig idee, ook het mobieltje is tegenwoordig een potentieel compromitteerbaar apparaat. Dan vind ik gescheiden apparaatjes waarop de gebruiker geen software kan installeren een beter idee. Wat aan de Rabo-scanner sterk is is dat je bij het tekenen van enkele transacties bedrag én rekeningnummer ondertekent. Triodos heeft een challenge/response-systeem waarbij niet voor de gebruiker herkenbaar aan de transactie gekoppelde codes gebruikt worden maar waar je je pas weer niet in het apparaatje steekt maar het individuele apparaatje zelf aan je rekening is gekoppeld. Afkijken van de pincode van je pas levert daar geen mogelijkheid op om aan te loggen.

Kortom, nog niet een systeem is perfect, maar al her en der gebruikte eigenschappen zijn te combineren tot iets dat sterker is dan elk van de nu gebruikte systemen.
04-05-2017, 16:14 door Anoniem
Door Anoniem:
Het is zeker een zwakte van ABN en Rabo is dat ze geen gescheiden pincodes hebben voor pinnen en aanloggen/ondertekenen. Maar het wachtwoord van ING vind ik ook geen goed idee als je ziet hoe massaal malware in omloop is, en los van dit bericht vind ik al sinds de introductie van de smartphone een pin per sms een twijfelachtig idee, ook het mobieltje is tegenwoordig een potentieel compromitteerbaar apparaat. Dan vind ik gescheiden apparaatjes waarop de gebruiker geen software kan installeren een beter idee.

Ja je kunt er wel vanalles bijslepen en vanalles gaan veronderstellen en dan alles slecht vinden, maar voorlopig blijft
het een feit dat een ING rekening veilig is tot EN de usernaam/password EN de pas/pin EN de mobiel gestolen of
gehacked zijn en dat het voor een ABN/Rabo rekening al voldoende is om pas/pin te hebben om alles leeg te trekken.

En echt, de kans dat je dat overkomt is veel groter dan dat je alle drie kwijt raakt. Dus pas maar op met die ABN
of Rabo pas, een keertje naar de supermarkt en even niet goed op je portemonnee letten en je kunt alles kwijt zijn.
Dat is geen theorie, dat gebeurt in de praktijk. Je mag dan hooguit bidden dat de bank je schade vergoedt en
daar worden ze steeds moeilijker in, zeker de Rabo.
05-05-2017, 09:39 door Anoniem
Door Anoniem: Ja je kunt er wel vanalles bijslepen en vanalles gaan veronderstellen en dan alles slecht vinden, maar voorlopig blijft
het een feit dat een ING rekening veilig is tot EN de usernaam/password EN de pas/pin EN de mobiel gestolen of
gehacked zijn en dat het voor een ABN/Rabo rekening al voldoende is om pas/pin te hebben om alles leeg te trekken.

Waarom zou je bij de ING de pas/pin nodig hebben? Dat is alleen om de app te authoriseren. Inloggen op "Mijn ING" is user/pass, geld overboeken doe je met een TAN via SMS. Bij de ING is het dus mogelijk om op afstand de rekening te plunderen.

Bij de ABN heb ik bij een overboeking naar onbekende rekening een TAN nodig die door een random reader + bankpas wordt gegenereerd. Wat me wel opviel was dat ik bij het instaleren van de ABN app alleen de IBAN, mobiele PIN en een nummer van de bankpas nodig had. Dat laatste is een 3 cijferig nummer wat oploopt, maar ook met een verlopen pasnummer kan ik nog inloggen.
06-05-2017, 18:19 door Anoniem
Door Anoniem:
Door Anoniem:
Het is zeker een zwakte van ABN en Rabo is dat ze geen gescheiden pincodes hebben voor pinnen en aanloggen/ondertekenen. Maar het wachtwoord van ING vind ik ook geen goed idee als je ziet hoe massaal malware in omloop is, en los van dit bericht vind ik al sinds de introductie van de smartphone een pin per sms een twijfelachtig idee, ook het mobieltje is tegenwoordig een potentieel compromitteerbaar apparaat. Dan vind ik gescheiden apparaatjes waarop de gebruiker geen software kan installeren een beter idee.

Ja je kunt er wel vanalles bijslepen en vanalles gaan veronderstellen en dan alles slecht vinden, maar voorlopig blijft
het een feit dat een ING rekening veilig is tot EN de usernaam/password EN de pas/pin EN de mobiel gestolen of
gehacked zijn en dat het voor een ABN/Rabo rekening al voldoende is om pas/pin te hebben om alles leeg te trekken.

En echt, de kans dat je dat overkomt is veel groter dan dat je alle drie kwijt raakt. Dus pas maar op met die ABN
of Rabo pas, een keertje naar de supermarkt en even niet goed op je portemonnee letten en je kunt alles kwijt zijn.
Dat is geen theorie, dat gebeurt in de praktijk. Je mag dan hooguit bidden dat de bank je schade vergoedt en
daar worden ze steeds moeilijker in, zeker de Rabo.

Beide systemen hebben sterke en zwakke punten. Bij oa de Rabobank heb je bijvoorbeeld altijd de fysieke pas nodig, wat opgemerkt kan worden door de eigenaar. Je hebt dus altijd iets fysiek nodig.
Bij de postbank kan je met een gebruikers naam (wat niet als secure valt) en een wachtwoord, kan je paypal koppelen en een rekening leeg halen. Niets fysiek nodig.... Kan gewoon allemaal op afstand
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.