Nieuws

Mobiele nummer bitcoinbezitters overgenomen door criminelen

maandag 28 augustus 2017, 10:00 door Redactie, 14 reacties

Tientallen eigenaren van bitcoin en andere cryptocurrency zijn de afgelopen maanden het doelwit geworden van criminelen die hun mobiele nummer overnamen om zo toegang tot belangrijke accounts te krijgen. Een van de slachtoffers verloor 150.000 dollar, zo laat de New York Times weten.

De criminelen bellen telecomproviders op en doen zich voor als de bitcoinbezitter waar ze het op hebben gemunt. Via social engineering proberen ze vervolgens het mobiele nummer over te nemen en op een toestel te zetten waar zij de controle over hebben. Via het mobiele nummer kunnen vervolgens wachtwoorden van allerlei accounts worden gereset. "Van iedereen die ik op het gebied van cryptocurrency ken is het telefoonnummer gestolen", zegt bitcoin-ondernemer Joby Weeks. Hij zou op deze manier een miljoen dollar aan digitale valuta zijn verloren.

De aanvallers lijken zich te richten op iedereen die op social media praat over het bezitten van cryptocurrency en personen die bekend staan om het investeren in cryptocurrency-bedrijven, zoals durfinvesteerders. De Amerikaanse toezichthouder FTC liet vorig jaar weten dat het melding van bijna 2700 slachtoffers had ontvangen van wie het mobiele nummer was overgenomen. Telecomproviders bieden wel opties om de accounts van klanten beter te beschermen, zoals een pincode. Er zijn echter ook gevallen bekend waarbij werknemers via social engineering werden verleid om het mobiele nummer zonder de benodigde pincode toch op een ander toestel te zetten.

Game of Thrones gebruikt als lokmiddel voor cyberspionage

TNO: Handel op darkweb geraakt door recente politieactie

Reacties (14)

28-08-2017, 10:11 door Anoniem

Het is kennelijk vrij eenvoudig om iemand zijn telefoonnummer te ontfutselen, zozeer zelfs dat het gebrek aan robuustheid in SS7 vooralsnog minder een probleem is.

Op zich is dat al interessant, maar het geeft ook aan dat "beveiligingsmaatregelen" als het vereisen van een telefoonnummer stoelen op aannames die kennelijk niet opgaan. Zoals hier de gedachte dat een mobiel nummer belangrijk voor je is en je er dus wel zuinig op zal zijn. Leuk gedacht, maar daar hebben criminelen lak aan, dus die motivatie voegt geen veiligheid toe, maar legt wel extra druk op de accounthouder (en wellicht aanstaand slachtoffer).

Dit is dus een denkfoutje, in zekere zin vergelijkbaar met de denkfout die je terugziet bij voorstanders van biometrie. Denk maar na waarom.

Of liever, het is niet zozeer een denkfout, het laat zien dat (in beide gevallen) de motivatie voor die "beveiliging" er niet is voor de accounthouder, maar om de andere partij uit de wind te houden. "Voor uw en onze veiligheid" is dus minus het "uw en", terwijl het meestal wel de accounthouder extra werk en rompslomp kost. Slim he?

28-08-2017, 10:43 door [Account Verwijderd]

Nummer behoud met een nieuwe simkaart beveiliging!
1 (EEN) e-mail naar het bij de vorige provider bekende e-mailadres.

Soms nog een SMS van de oude provider,
maar als die foon alleen maar actief gebruikt wordt in speciale gevallen dan zie je die ook niet.

28-08-2017, 11:31 door Briolet

Dat is dan het einde van een betrouwbare factor-2 autenticatie via het versuren van een code via sms.

Dan is de Google Authenticator toch een zekerder methode. Bij de Google Authenticator moet de code echt door dat ene apparaat aangemaakt zijn.

28-08-2017, 11:51 door Anoniem

Door Briolet: Dat is dan het einde van een betrouwbare factor-2 autenticatie via het versuren van een code via sms.

En een nieuw "begin" in de nep-discussie papieren ING TAN codes versus die per SMS.

28-08-2017, 12:06 door Anoniem

Door Briolet: Dat is dan het einde van een betrouwbare factor-2 autenticatie via het versuren van een code via sms.

Dan is de Google Authenticator toch een zekerder methode. Bij de Google Authenticator moet de code echt door dat ene apparaat aangemaakt zijn.

Dat is het al jaren. SMS is jaren geleden al gehacked via het GSM signaal. Kost ongeveer 1000 euro en je kunt zendmasten kapen. Echt, dat bedrijven nog steeds roepen dat 2 factor met SMS veilig is, zijn achterlijk. Daarom heb ik dat nog nooit dat aangezet, en heb ik zeker nog nooit een 06 achter gelaten. Alle diensten die een 06 nodig achten om te kunnen werken zijn onveilig.

http://securityaffairs.co/wordpress/31262/hacking/flaws-ss7-protocol-spy-on-phone.html
https://fedotov.co/ss7-hack-tutorial-software/

TheYOSH

28-08-2017, 12:42 door Anoniem

Door Anoniem:

Door Briolet: Dat is dan het einde van een betrouwbare factor-2 autenticatie via het versuren van een code via sms.

En een nieuw "begin" in de nep-discussie papieren ING TAN codes versus die per SMS.

Wat? Maar je hebt toch een aparte telefoon voor de TAN codes? En een aparte telefoon voor je andere bank? En een aparte telefoon voor je digid? Vul maar in, verder.

28-08-2017, 14:07 door Anoniem

Door Anoniem:

Door Briolet: Dat is dan het einde van een betrouwbare factor-2 autenticatie via het versuren van een code via sms.

En een nieuw "begin" in de nep-discussie papieren ING TAN codes versus die per SMS.

Wat? Maar je hebt toch een aparte telefoon voor de TAN codes? En een aparte telefoon voor je andere bank? En een aparte telefoon voor je digid? Vul maar in, verder.

Eigenlijk heb je alleen maar aparte sim-kaarten nodig en een apparaatje waarmee je die gebruikt om SMS te ontvangen, nieuw idee voor de markt?

28-08-2017, 14:36 door Anoniem

In dat geval moet je wel bij mij in de buurt zijn en moet mijn telefoon aan staan. Een andere kwetsbaarheid is het klonen van SIM-kaarten, waar ik zelf het fijne niet van weet. Het hier aangehaalde probleem is niks anders dan social engineering; helpdeskmedewerkers die hun procedures niet volgen. Daar moet meer de focus op liggen. Geef de klant bijvoorbeeld de mogelijkheid om in zijn profiel te kiezen voor 'gemak' of 'paranoïde'; als ik dat laatste kon instellen bij mijn telco, dan deed ik dat meteen (geen goede code = geen hulp, geen uitzondering).

28-08-2017, 14:44 door Anoniem

Nee, het probleem is juist dat er vaak geen 2 factors nodig zijn. Het hebben van een telefoonnummer is voldoende om bijvoorbeeld je Yahoo email wachtwoord te resetten. Dus feitelijk is het dan 1 factor verificatie.

Op echte 2 factor verificatie moet het overnemen van een telefoonnummer geen impact hebben, aangezien ook nog je wachtwoord vereist is.

29-08-2017, 12:07 door jetinternet

Je hebt echt niet zoveel simkaarten nodig. Gebruik een online nummer en dienst zoals bijvoorbeeld Twillio.

29-08-2017, 13:07 door Anoniem

Op het moment dat de mobiele provider een simkaart of telefoonnummer afstaat aan de verkeerde persoon, dan lijkt het toch dat deze daarmee verantwoordelijk wordt voor de schade die daardoor ontstaat. Nu hebben we het natuurlijk wel over de VS, waar rechten (beter: privileges) van burgers contractueel sterk ingeperkt kunnen worden door bedrijven. In Europa mag dat gelukkig niet.

29-08-2017, 14:16 door Anoniem

De authenticatie zelf heeft niet gefaald. De telfoonnummers worden door social engineering + slechte procedures ontfutseld.

Geen enkele authenticatie helpt tegen menselijk falen.

29-08-2017, 20:46 door Anoniem

Door Anoniem: Het is kennelijk vrij eenvoudig om iemand zijn telefoonnummer te ontfutselen, zozeer zelfs dat het gebrek aan robuustheid in SS7 vooralsnog minder een probleem is.

Op zich is dat al interessant, maar het geeft ook aan dat "beveiligingsmaatregelen" als het vereisen van een telefoonnummer stoelen op aannames die kennelijk niet opgaan. Zoals hier de gedachte dat een mobiel nummer belangrijk voor je is en je er dus wel zuinig op zal zijn. Leuk gedacht, maar daar hebben criminelen lak aan, dus die motivatie voegt geen veiligheid toe, maar legt wel extra druk op de accounthouder (en wellicht aanstaand slachtoffer).

Dit is dus een denkfoutje, in zekere zin vergelijkbaar met de denkfout die je terugziet bij voorstanders van biometrie. Denk maar na waarom.

Of liever, het is niet zozeer een denkfout, het laat zien dat (in beide gevallen) de motivatie voor die "beveiliging" er niet is voor de accounthouder, maar om de andere partij uit de wind te houden. "Voor uw en onze veiligheid" is dus minus het "uw en", terwijl het meestal wel de accounthouder extra werk en rompslomp kost. Slim he?

zeer intelligente redenatie die ik zeker kan volgen.....

29-08-2017, 23:32 door Anoniem

En de criminelen hebben overal hun vriendjes en vriendinnetjes al binnengesluisd.

Dit gebrek aan veiligheid op de digitale infrastructuur wordt weerspiegeld in de reële wereld van elke dag,
omdat het ene een aspect is van het andere. Pakkans gering, winst geoptimaliseerd.

Je je dit ieder moment realiseren kan je helpen, al denk je volgens geheel andere patronen als de cybercrimineel.
Sommige bedrijven laten personeel al chippen, dan blijven ze wie ze zijn ondanks de eventuele diefstal van hun BSN.

Voor BIC en SWIFT zijn we allemaal alleen nog maar "nummers".

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer