Honderden Nederlanders slachtoffer "sim-swapping"
Dit jaar zijn al honderden Nederlanders slachtoffer geworden van een "sim-swapping" aanval, zo meldt RTLZ op basis van informatie van verschillende grote Nederlandse telecomproviders. Bij een sim-swapping aanval belt een hacker de telecomprovider van het slachtoffer op en overtuigt hij een medewerker om het 06-nummer over te zetten naar een andere simkaart, die reeds in het bezit is van de hacker. "Ik belde altijd rond vier uur, dat is het moment dat veel medewerkers naar huis gaan en je sneller helpen", zegt een hacker tegen RTLZ.
Hackers die erin zijn geslaagd om het 06-nummer van iemand over te zetten, kunnen via SMS vaak nieuwe wachtwoorden voor online accounts instellen. Ook kan tweestapsverificatie (2FA) op basis van SMS, waarmee je na het inloggen met een gebruikersnaam en wachtwoord nog een inlogcode moet invoeren, met behulp van sim-swapping worden omzeild.
Slachtoffers merken vaak pas iets van sim-swapping op het moment dat ze geen mobiele verbinding meer hebben. In de tijd dat het slachtoffer dit opmerkt, de telecomprovider belt en het 06-nummer weer terug laat zetten, heeft de hacker al zijn slag geslagen.
Reacties (25)
Toveren met iemands sim-kaart dus: "Sim sala bim..... en nou kan ik bij de on-linezooi van jouw jankfoon."
En ABN-AMRO gaat per 1 jan 2019 juist SMS verificatie verplichten voor ONLINE aankopen met de creditcard.
Door Anoniem: Toveren met iemands sim-kaart dus: "Sim sala bim..... en nou kan ik bij de on-linezooi van jouw jankfoon."
Het ligt even genuanceerder, meneer Anoniem: het probleem zit hem in het feit dat veel content-aanbieders 2FA middels SMS betitelen als meest veilige methode. Het is wel zo dat als je de SIM-kaart hebt geswapt dat je dan nog steeds iemands inlognaam en password moet weten om in te loggen op diensten met 2FA beveiligd.
Het is bij veel content-aanbieders helaas wel (slecht) ingesteld dat de 2FA ook wordt gebruikt om te authenticeren in geval van verloren password. En juist dat laatste had nu precies een drempel moeten zijn om accounts over te nemen.
En dat klinkt net even wat anders dan "en nou kan ik bij de on-linezooi van jouw jankfoon."
Dit is nu een treurig voorbeeld van hoe het mis kan gaan door het delen van GSM nummers met online-winkels.
Oorzaak: Het GSM nummer/smartfone is voor iedereen zo'n beetje een soort gevonden heilige graal geworden.
Ik wil hier niet de betweter uithangen maar geen enkele online winkel kent mijn GSM nummer. Wèl mijn vaste telefoonnummer, maar evident: die werkt zonder SIM.
Als zij willen communiceren met mij of ik de legitieme koper ben van een of meerdere artikelen, kunnen zij mij bellen. Dan neem ik de telefoon op, of zij spreken een bericht in op mijn antwoordapparaat (ja, die heb ik ook nog) waarna ik terugbel. Beetje trager dan SMS voor 2FA maar net zo effectief; niets mis mee, en sterker nog: de enkele keren dat ik gebeld word ontstaat meestal ook nog een aardig gesprekje van mens tot mens :-)
(Raar gedoe in die anonieme digitale wereld denk ik dan achteraf als reflectie)
Oorzaak: Het GSM nummer/smartfone is voor iedereen zo'n beetje een soort gevonden heilige graal geworden.
Ik wil hier niet de betweter uithangen maar geen enkele online winkel kent mijn GSM nummer. Wèl mijn vaste telefoonnummer, maar evident: die werkt zonder SIM.
Als zij willen communiceren met mij of ik de legitieme koper ben van een of meerdere artikelen, kunnen zij mij bellen. Dan neem ik de telefoon op, of zij spreken een bericht in op mijn antwoordapparaat (ja, die heb ik ook nog) waarna ik terugbel. Beetje trager dan SMS voor 2FA maar net zo effectief; niets mis mee, en sterker nog: de enkele keren dat ik gebeld word ontstaat meestal ook nog een aardig gesprekje van mens tot mens :-)
(Raar gedoe in die anonieme digitale wereld denk ik dan achteraf als reflectie)
RTL had eigenlijk moeten vragen hoe het kan dat providers zo makkelijk hun klanten laten duperen. Honderden slachtoffers suggereert dat de gebruikte procedures niet werken...
@Balder en verder bel je natuurlijk met helemaal niemand? Immers online winkels zijn de enige bron van fraude?
En oja, het overpakken van je vaste nummer is een zelfde soort proces als van een sim swap. Dus veiliger ben je
daar niet mee.
En oja, het overpakken van je vaste nummer is een zelfde soort proces als van een sim swap. Dus veiliger ben je
daar niet mee.
11-12-2018, 02:18 door
Bitwiper
Door Anoniem: Het is wel zo dat als je de SIM-kaart hebt geswapt dat je dan nog steeds iemands inlognaam en password moet weten om in te loggen op diensten met 2FA beveiligd.
Vanuit security-oogpunt is dat nou net de verkeerde benadering.Zie https://www.security.nl/posting/590332/DigiD+et+al%3A+stop+SMS+2FA%21 waarom ik dat vind.
11-12-2018, 07:23 door
Millie0111
En hoe SIMpel kan het zijn: even een call back naar het nummer vóór de swap ter verificatie...
11-12-2018, 07:45 door
spatieman
Door Millie0111: En hoe SIMpel kan het zijn: even een call back naar het nummer vóór de swap ter verificatie...
kuch, nummer onderdrukking, kuch...
Door Balder: Dit is nu een treurig voorbeeld van hoe het mis kan gaan door het delen van GSM nummers met online-winkels.
Oorzaak: Het GSM nummer/smartfone is voor iedereen zo'n beetje een soort gevonden heilige graal geworden.
Ik wil hier niet de betweter uithangen maar geen enkele online winkel kent mijn GSM nummer. Wèl mijn vaste telefoonnummer, maar evident: die werkt zonder SIM.
Als zij willen communiceren met mij of ik de legitieme koper ben van een of meerdere artikelen, kunnen zij mij bellen. Dan neem ik de telefoon op, of zij spreken een bericht in op mijn antwoordapparaat (ja, die heb ik ook nog) waarna ik terugbel. Beetje trager dan SMS voor 2FA maar net zo effectief; niets mis mee, en sterker nog: de enkele keren dat ik gebeld word ontstaat meestal ook nog een aardig gesprekje van mens tot mens :-)
(Raar gedoe in die anonieme digitale wereld denk ik dan achteraf als reflectie)
Ik heb altijd grote bedenkingen gehad om mijn 06 door te geven (geef altijd vast nummer op), juist omdat ik die zoveel mogelijk geheim wil houden....totdat je een artikel over Sim-Swapping tegenkomt (wist van het bestaan niet eens!). Blij toe dat ik over het algemeen goed gehandeld heb. Maar het zal je maar gebeuren zeg, dat een of andere crimineel met je 06-nummer vandoor gaat!Oorzaak: Het GSM nummer/smartfone is voor iedereen zo'n beetje een soort gevonden heilige graal geworden.
Ik wil hier niet de betweter uithangen maar geen enkele online winkel kent mijn GSM nummer. Wèl mijn vaste telefoonnummer, maar evident: die werkt zonder SIM.
Als zij willen communiceren met mij of ik de legitieme koper ben van een of meerdere artikelen, kunnen zij mij bellen. Dan neem ik de telefoon op, of zij spreken een bericht in op mijn antwoordapparaat (ja, die heb ik ook nog) waarna ik terugbel. Beetje trager dan SMS voor 2FA maar net zo effectief; niets mis mee, en sterker nog: de enkele keren dat ik gebeld word ontstaat meestal ook nog een aardig gesprekje van mens tot mens :-)
(Raar gedoe in die anonieme digitale wereld denk ik dan achteraf als reflectie)
Bij de Jezuïeten zeiden ze altijd: "Pas op voor té grote vertrouwelijkheid". Nou zie ik pas goed waarom.
Door spatieman:
kuch, nummer onderdrukking, kuch...
Naar het bij de provider geregistreerde nummer natuurlijk...Door Millie0111: En hoe SIMpel kan het zijn: even een call back naar het nummer vóór de swap ter verificatie...
kuch, nummer onderdrukking, kuch...
Gaten blijven er altijd; 100% dicht betekent geen/minder functionaliteit. Maar soms zijn de gaten wel erg makkelijk.
Door Millie0111: En hoe SIMpel kan het zijn: even een call back naar het nummer vóór de swap ter verificatie...
Ja, en dan maar hopen dat de rechtmatige eigenaar net opneemt of de sms ziet ... Je zou sim swappen of alleen in de winkel op vertoon van id-bewijs moeten toestaan, of ervoor kiezen de nieuwe simkaart op te sturen naar het factuuradres. Dat is vervelend voor mensen die echt hun nummer op een andere simkaart willen zetten, want er gaat iets meer tijd overheen, maar het zou wel effectief zijn.
Gelukkig hebben de banken hier al een remedie tegen ontwikkeld in samenspraak met de telecomproviders. Bij een simkaart swap zal er een grace-periode van (uit mijn hoofd)-24 uur ingaan waarin er geen gebruik gemaakt kan worden van 2FA via sms validatie.
Natuurlijk is dit beperkt tot banken in het land van herkomst op dit moment, maar ik zie wel in dat dit een terechte en valide toevoeging is op 2FA via een simkaart.
Natuurlijk is dit beperkt tot banken in het land van herkomst op dit moment, maar ik zie wel in dat dit een terechte en valide toevoeging is op 2FA via een simkaart.
SMS 2FA is niet voor niets 2nd factor authentication. Er moet dus alsnog op een andere manier aan het wachtwoord van het slachtoffer gekomen worden.
Door Anoniem: SMS 2FA is niet voor niets 2nd factor authentication. Er moet dus alsnog op een andere manier aan het wachtwoord van het slachtoffer gekomen worden.
Dat doe je via de "wachtwoord vergeten" optie. Ik lees in bovenstaande dat er bedrijven zijn die een herstelcode via SMS aanbieden. Als crimineel ken je die bedrijven en probeert daar als eerste een account over te nemen.
b.v. bij Google kun je je mobiele nummer doorgeven als een herstel toestel voor vergeten wachtwoorden.
Door Briolet:
Dat doe je via de "wachtwoord vergeten" optie. Ik lees in bovenstaande dat er bedrijven zijn die een herstelcode via SMS aanbieden. Als crimineel ken je die bedrijven en probeert daar als eerste een account over te nemen.
Door Anoniem: SMS 2FA is niet voor niets 2nd factor authentication. Er moet dus alsnog op een andere manier aan het wachtwoord van het slachtoffer gekomen worden.
Dat doe je via de "wachtwoord vergeten" optie. Ik lees in bovenstaande dat er bedrijven zijn die een herstelcode via SMS aanbieden. Als crimineel ken je die bedrijven en probeert daar als eerste een account over te nemen.
Ja maar dat werkt dan dus niet omdat je net die swap gedaan hebt.
Die optie werkt alleen als je je langdurig geregistreerde SIM kaart gebruikt.
Het is natuurlijk wel van belang dat je binnen die periode ontdekt dat er wat fout is.
Telecomproviders zouden dus helemaal niet op deze wijze nummers op een andere simkaart moeten (mogen) overzetten. Waarom lees ik daar niks over?
Door Anoniem: @Balder en verder bel je natuurlijk met helemaal niemand? Immers online winkels zijn de enige bron van fraude?
En oja, het overpakken van je vaste nummer is een zelfde soort proces als van een sim swap. Dus veiliger ben je
daar niet mee.
En oja, het overpakken van je vaste nummer is een zelfde soort proces als van een sim swap. Dus veiliger ben je
daar niet mee.
Algemeen: Rare conclusie over verder niemand bellen, maar ja dit soort reacties zijn hier meer normaal dan abnormaal aan het worden.
@Anoniem, 10-11, 22:54 uur, Ongeveer 4 jaar geleden heb ik mijn vaste telefoonummer veranderd omdat ik te vaak werd gebeld door mensen die last hebben van nummerinversie (bijvoorbeeld: 83 wordt gezien als 38)
Ik moest dat schriftelijk doen, en de gehele procedure werd ook met schriftelijke goedkeuring van mij in gang gezet. Het had totaal niets van doen met een SIM swap. In mijn huidige Siemens DECT zit bovendien geen SIM.
Door Anoniem:
Ja, en dan maar hopen dat de rechtmatige eigenaar net opneemt of de sms ziet ... Je zou sim swappen of alleen in de winkel op vertoon van id-bewijs moeten toestaan, of ervoor kiezen de nieuwe simkaart op te sturen naar het factuuradres. Dat is vervelend voor mensen die echt hun nummer op een andere simkaart willen zetten, want er gaat iets meer tijd overheen, maar het zou wel effectief zijn.
Door Millie0111: En hoe SIMpel kan het zijn: even een call back naar het nummer vóór de swap ter verificatie...
Ja, en dan maar hopen dat de rechtmatige eigenaar net opneemt of de sms ziet ... Je zou sim swappen of alleen in de winkel op vertoon van id-bewijs moeten toestaan, of ervoor kiezen de nieuwe simkaart op te sturen naar het factuuradres. Dat is vervelend voor mensen die echt hun nummer op een andere simkaart willen zetten, want er gaat iets meer tijd overheen, maar het zou wel effectief zijn.
De legitieme simkaart swaps zijn regelmatig omdat de huidige simkaart niet meer bereikbaar is (defect, kwijt, gestolen samen met de telefoon, etc). Jouw optie gaat in die legitieme gevallen niet werken, dus dat wordt het niet. Een simkaart na uitgifte koppelen aan een andere klant, dan waarvoor de simkaart is uitgegeven zou gewoon niet mogelijk moeten zijn in het systeem, behalve met een uitzonderlijke authorisatie. Dan is de enige optie in het callcenter om een nieuwe simkaart te sturen naar het bezoekadres.
Door Anoniem:
Door Balder: Dit is nu een treurig voorbeeld van hoe het mis kan gaan door het delen van GSM nummers met online-winkels.
Oorzaak: Het GSM nummer/smartfone is voor iedereen zo'n beetje een soort gevonden heilige graal geworden.
Ik wil hier niet de betweter uithangen maar geen enkele online winkel kent mijn GSM nummer. Wèl mijn vaste telefoonnummer, maar evident: die werkt zonder SIM.
Als zij willen communiceren met mij of ik de legitieme koper ben van een of meerdere artikelen, kunnen zij mij bellen. Dan neem ik de telefoon op, of zij spreken een bericht in op mijn antwoordapparaat (ja, die heb ik ook nog) waarna ik terugbel. Beetje trager dan SMS voor 2FA maar net zo effectief; niets mis mee, en sterker nog: de enkele keren dat ik gebeld word ontstaat meestal ook nog een aardig gesprekje van mens tot mens :-)
(Raar gedoe in die anonieme digitale wereld denk ik dan achteraf als reflectie)
Ik heb altijd grote bedenkingen gehad om mijn 06 door te geven (geef altijd vast nummer op), juist omdat ik die zoveel mogelijk geheim wil houden....totdat je een artikel over Sim-Swapping tegenkomt (wist van het bestaan niet eens!). Blij toe dat ik over het algemeen goed gehandeld heb. Maar het zal je maar gebeuren zeg, dat een of andere crimineel met je 06-nummer vandoor gaat!Oorzaak: Het GSM nummer/smartfone is voor iedereen zo'n beetje een soort gevonden heilige graal geworden.
Ik wil hier niet de betweter uithangen maar geen enkele online winkel kent mijn GSM nummer. Wèl mijn vaste telefoonnummer, maar evident: die werkt zonder SIM.
Als zij willen communiceren met mij of ik de legitieme koper ben van een of meerdere artikelen, kunnen zij mij bellen. Dan neem ik de telefoon op, of zij spreken een bericht in op mijn antwoordapparaat (ja, die heb ik ook nog) waarna ik terugbel. Beetje trager dan SMS voor 2FA maar net zo effectief; niets mis mee, en sterker nog: de enkele keren dat ik gebeld word ontstaat meestal ook nog een aardig gesprekje van mens tot mens :-)
(Raar gedoe in die anonieme digitale wereld denk ik dan achteraf als reflectie)
Ja, inderdaad ik zou er ook flink beroerd van worden, ellende als het je overkomt.
Niettegenstaande denk ik wel, absoluut zonder leedvernaak, aan het gezegde: "koning eenoog in het land der blinden"...
Gene Hackman (uitstekende naam) deed het al in 1998 in de film Enemy of the State...;-)
Door Anoniem: Telecomproviders zouden dus helemaal niet op deze wijze nummers op een andere simkaart moeten (mogen) overzetten. Waarom lees ik daar niks over?
Omdat dat onzin is.De gemiddelde eigenaar van een mobieltje wil als zijn/haar telefoon gestolen is zo snel mogelijk het nummer over zetten
op de nieuw gekochte telefoon en kaart.
Ook als je een nieuwe telefoon koopt die een kleiner type kaart nodig heeft is een swap nodig.
Dat moeten normaal uitvoerbare handelingen zijn. Ze moeten wel uitgevoerd worden door de geauthenticeerde eigenaar,
maar ja als dat heel goed geregeld was (weet ik veel, met een ID kaart die door de telfoonwinkel electronisch wordt
gevalideerd ofzo) dan zou de goegemeente hier DAAR weer aanmerkingen op hebben want "niet anoniem" of whatever
ander privacy gezeur.
Door Anoniem: Ik heb altijd grote bedenkingen gehad om mijn 06 door te geven (geef altijd vast nummer op), juist omdat ik die zoveel mogelijk geheim wil houden.
Exact wat ik ook doe. En voor het geld hoef je het niet te laten, voor 1 euro 25 per maand heb je een lokaal vast nummer (ook nog eens onafhankelijk van je internetprovider, handig bij verhuizen). Nou ja vast, je kunt het wereldwijd gebruiken vanaf je smartphone, tablet, laptop etc.Wat wel jammer is, is dat een fatsoenlijke VoIP-router zo ontzettend prijzig is.
11-12-2018, 17:56 door
Briolet
Door Anoniem:…Ook als je een nieuwe telefoon koopt die een kleiner type kaart nodig heeft is een swap nodig.…
Maar dan is er altijd nog de oude kaart als 'bewijs' dat je de eigenaar van dat nummer bent.
Die swap is niet echt nodig. Ik denk dat elke telefoonwinkel wel een stans heeft om een kleinere kaart uit de simkaart te stansen. Die van mij is al 2x verkleind. Ik begon met een creditcard formaat en nu is hij niet groter dan de chip zelf.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
