Criminelen onderscheppen via SS7 tan-codes voor bankfraude
Criminelen hebben begin dit jaar in Duitsland van het SS7-protocol gebruik gemaakt om mobiele tan-codes te onderscheppen en die vervolgens voor bankfraude te gebruiken. Dat melden de Zeit Online en Suddeutsche Zeitung. SS7 is een protocol dat de meeste telecombedrijven gebruiken om onderling met elkaar te communiceren. Het wordt onder andere gebruikt voor bellen vanuit en naar het buitenland, sms en roaming.
Toen het protocol in jaren 80 werd ontwikkeld bestonden er slechts een paar telecombedrijven die elkaar vertrouwden. Er werd dan ook geen authentictie in het protocol ingebouwd. De Duitse onderzoekers Tobias Engel en Karsten Nohl lieten in 2014 weten dat er verschillende manieren voor kwaadwillenden zijn om toegang tot SS7 te krijgen, onder andere via bedrijven die tegen betaling de mogelijkheden van SS7 misbruiken. Zodra er toegang is verkregen kan een aanvaller gesprekken en sms-berichten onderscheppen door "call forwarding" in te schakelen. Inkomende gesprekken worden zo naar zijn nummer doorgeschakeld. Vervolgens stuurt de aanvaller het gesprek door naar de oorspronkelijke ontvanger, zodat die niets merkt.
Phishing
De nu waargenomen aanvallen beginnen met traditionele phishingmails. Als gebruikers hun gegevens op de phishingsite van de aanvallers invullen krijgen die toegang tot de bankrekening van het slachtoffer. Op deze manier kan worden bekeken hoeveel geld het slachtoffer op zijn of haar rekening heeft staan. Om het geld te kunnen stelen moet de aanvaller over een mobiele tan-code beschikken die de bank naar de mobiel van het slachtoffer stuurt. Via dubieuze partijen die toegang tot SS7 hebben kunnen de aanvallers van SS7 gebruikmaken om call forwarding voor het telefoonnummer van hun slachtoffers in te stellen.
Op deze manier kunnen ze de mobiele tan-code voor het uitvoeren van de transactie in handen krijgen. Volgens experts vinden deze aanvallen vaak 's nachts plaats. In Duitsland kregen klanten van O2-Telefonica hiermee te maken. De provider bevestigt dat er in januari een aanval via een buitenlandse provider plaatsvond waarbij inkomende sms-berichten voor Duitse nummers werden doorgestuurd. De provider in kwestie werd vervolgens geblokkeerd en getroffen klanten ingelicht. Hoeveel mensen van de aanval slachtoffer werden en hoeveel de aanvallers hebben gestolen is niet bekendgemaakt.
Update
Het Bundesamtes für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, laat weten dat het al geruime tijd adviseert om mobiele tan-codes niet te gebruiken en in plaats daarvan pleit voor het werken met tan-generatoren. Verder stelt de overheidsorganisatie dat het bekend is met cyberaanvallen op het mobiele netwerk.
Wat is er mis met extra codes om transacties goed te keuren? Voor jou is een (nagenoeg statische) gebruikersnaam en wachtwoord voldoende? Geef mij toch maar TAN codes die verschillen voor iedere transactie.
Bij 2FA heb je vaak nog gebruikersnaam en wachtwoord nodig. Bij wachtwoord reset is dan vaak gebruikersnaam en 06-nummer voldoende.
Ofwel al vele jaren bekend. Het enige wat helpt zijn de grote massa en de toegang tot het telco netwerk met een bepaald privileged niveau.
Totale onzin.
nee je ontvangt op je mobiel een tan code om de betaling te bevestigen zodra je bv op je pc een transactie doet.
juist bij mobiel bankieren bij ing heb je geen tan code nodig
Het systeem van ING is veiliger dan van ABN en Rabo omdat bij ING er in feite 3 factoren zijn: je username+password,
je bankpas+pincode, en je TAN codes. Bij ABN en Rabo hangt alles aan de pas+pincode. Zou kun je bijvoorbeeld
de ingestelde opnamelimieten aanpassen als je beschikt over de pas+pincode. Bij ING is dat niet mogelijk, daar moet
je ook nog de TAN hebben en die is normaalgesproken gekoppeld aan je mobieltje. Je moet als je dat wilt kraken
het mobiele nummer van het slachtoffer ook nog te weten komen.
Een veelvoorkomende roofmethode die je NU met low-tech middelen kunt uitvoeren is: kijk in een winkel mee met
iemands pincode, rol daarna de pas, en dan kun je bij ABN en Rabo de HELE rekening inclusief spaartegoed leeg
trekken, terwijl bij ING alleen de dagopname limiet van de pas kan worden opgenomen per dag tot het slachtoffer
ontdekt dat de pas weg is.
Dus voor dat je denkt dat dat ABN en Rabo systeem zo veel veiliger is... in dat realistische scenario zijn ze dat in
ieder geval niet. Om die systemen veiliger te maken zou in ieder geval de reader gepersonaliseerd moeten worden
(zodat je niet met een willekeurige ABN of Rabo reader voor iedere pas transacties kunt uitvoeren, zeker niet dit
soort kritische transacties zoals het wijzigen van de instellingen van de pas!)
Dus de meerwaarde is dat niet elke aanvaller tijd/geld/moeite in het hacken van beide kanalen wil steken en het dus nog steeds veiliger is dan enkel gebruikersnaam en wachtwoord.
DigiD lijkt bezig met nieuwe alternatieven voor SMS authenticatie.
Zie ook https://www.digid.nl/over-digid/app/
het mobiele nummer van het slachtoffer ook nog te weten komen.
Kortom, nog niet een systeem is perfect, maar al her en der gebruikte eigenschappen zijn te combineren tot iets dat sterker is dan elk van de nu gebruikte systemen.
Het is zeker een zwakte van ABN en Rabo is dat ze geen gescheiden pincodes hebben voor pinnen en aanloggen/ondertekenen. Maar het wachtwoord van ING vind ik ook geen goed idee als je ziet hoe massaal malware in omloop is, en los van dit bericht vind ik al sinds de introductie van de smartphone een pin per sms een twijfelachtig idee, ook het mobieltje is tegenwoordig een potentieel compromitteerbaar apparaat. Dan vind ik gescheiden apparaatjes waarop de gebruiker geen software kan installeren een beter idee.
Ja je kunt er wel vanalles bijslepen en vanalles gaan veronderstellen en dan alles slecht vinden, maar voorlopig blijft
het een feit dat een ING rekening veilig is tot EN de usernaam/password EN de pas/pin EN de mobiel gestolen of
gehacked zijn en dat het voor een ABN/Rabo rekening al voldoende is om pas/pin te hebben om alles leeg te trekken.
En echt, de kans dat je dat overkomt is veel groter dan dat je alle drie kwijt raakt. Dus pas maar op met die ABN
of Rabo pas, een keertje naar de supermarkt en even niet goed op je portemonnee letten en je kunt alles kwijt zijn.
Dat is geen theorie, dat gebeurt in de praktijk. Je mag dan hooguit bidden dat de bank je schade vergoedt en
daar worden ze steeds moeilijker in, zeker de Rabo.
het een feit dat een ING rekening veilig is tot EN de usernaam/password EN de pas/pin EN de mobiel gestolen of
gehacked zijn en dat het voor een ABN/Rabo rekening al voldoende is om pas/pin te hebben om alles leeg te trekken.
Waarom zou je bij de ING de pas/pin nodig hebben? Dat is alleen om de app te authoriseren. Inloggen op "Mijn ING" is user/pass, geld overboeken doe je met een TAN via SMS. Bij de ING is het dus mogelijk om op afstand de rekening te plunderen.
Bij de ABN heb ik bij een overboeking naar onbekende rekening een TAN nodig die door een random reader + bankpas wordt gegenereerd. Wat me wel opviel was dat ik bij het instaleren van de ABN app alleen de IBAN, mobiele PIN en een nummer van de bankpas nodig had. Dat laatste is een 3 cijferig nummer wat oploopt, maar ook met een verlopen pasnummer kan ik nog inloggen.
Het is zeker een zwakte van ABN en Rabo is dat ze geen gescheiden pincodes hebben voor pinnen en aanloggen/ondertekenen. Maar het wachtwoord van ING vind ik ook geen goed idee als je ziet hoe massaal malware in omloop is, en los van dit bericht vind ik al sinds de introductie van de smartphone een pin per sms een twijfelachtig idee, ook het mobieltje is tegenwoordig een potentieel compromitteerbaar apparaat. Dan vind ik gescheiden apparaatjes waarop de gebruiker geen software kan installeren een beter idee.
Ja je kunt er wel vanalles bijslepen en vanalles gaan veronderstellen en dan alles slecht vinden, maar voorlopig blijft
het een feit dat een ING rekening veilig is tot EN de usernaam/password EN de pas/pin EN de mobiel gestolen of
gehacked zijn en dat het voor een ABN/Rabo rekening al voldoende is om pas/pin te hebben om alles leeg te trekken.
En echt, de kans dat je dat overkomt is veel groter dan dat je alle drie kwijt raakt. Dus pas maar op met die ABN
of Rabo pas, een keertje naar de supermarkt en even niet goed op je portemonnee letten en je kunt alles kwijt zijn.
Dat is geen theorie, dat gebeurt in de praktijk. Je mag dan hooguit bidden dat de bank je schade vergoedt en
daar worden ze steeds moeilijker in, zeker de Rabo.
Beide systemen hebben sterke en zwakke punten. Bij oa de Rabobank heb je bijvoorbeeld altijd de fysieke pas nodig, wat opgemerkt kan worden door de eigenaar. Je hebt dus altijd iets fysiek nodig.
Bij de postbank kan je met een gebruikers naam (wat niet als secure valt) en een wachtwoord, kan je paypal koppelen en een rekening leeg halen. Niets fysiek nodig.... Kan gewoon allemaal op afstand
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
