image

Slachtoffer sim-swapping voor 100.000 dollar bestolen

dinsdag 21 mei 2019, 15:42 door Redactie, 9 reacties

Een Amerikaanse man die het slachtoffer van sim-swapping werd is voor 100.000 dollar bestolen. Bij sim-swapping belt een oplichter de telecomprovider van het slachtoffer op en overtuigt een medewerker om het mobiele nummer over te zetten naar een andere simkaart, die reeds in het bezit is van de oplichter.

Het overkwam Sean Coonce, die werkzaam is bij BitGo, een bedrijf dat zich bezighoudt met het beveiligen van cryptotransacties. Het lukte een aanvaller vorige week om het telefoonnummer van Coonce naar zijn toestel over te zetten. Vervolgens resette de aanvaller het wachtwoord van het Google-account van Coonce. Die merkt op dat hij geen verbinding meer met het netwerk van zijn telecomprovider heeft.

Niet veel later ontvangt hij ook meldingen op zijn toestel om in te loggen op zijn Google-account. Coonce denkt dat de twee zaken met elkaar verband houden. Hij probeert in te loggen op zijn account, maar dat lukt niet, aangezien de aanvaller het wachtwoord heeft veranderd. Aangezien het laat is gaat Coonce naar bed. In de tussentijd is de aanvaller bezig om het wachtwoord van het Coinbase-account van Coonce te resetten.

De aanvaller verwijdert de resetmail van Coinbase, zodat Coonce niets doorheeft wanneer hij weer toegang tot het account krijgt. De volgende dag gaat Coonce langs zijn telecomprovider, die denkt dat er een probleem met zijn simkaart is en geeft hem een nieuwe. Op deze manier kan Coonce de controle over zijn account terugkrijgen, maar heeft niet door dat er een wachtwoordreset voor zijn Coinbase-account is aangevraagd.

In de avond verliest Coonce weer verbinding met het netwerk en krijgt meldingen dat hij is uitgelogd van zijn Google-account. Hij denkt dat het om dezelfde problemen gaat en besluit het de volgende dag op te pakken. Het is de aanvaller weer gelukt om het telefoonnummer van Coonce over te nemen en zijn e-mailwachtwoord te resetten. De aanvaller voltooit de wachtwoordreset van het Coinbase-account en leegt de cryptowallet van zijn slachtoffer. Tevens doet hij verschillende aankopen die hij ook opneemt. In totaal gaat het om een bedrag van meer dan 100.000 dollar dat Coonce verliest.

Coinbase bevestigt dat een gebruiker op zijn account heeft weten te loggen en het geld heeft overgemaakt naar een adres buiten Coinbase. Het geld is dan ook weg, stelt Coonce. In een terugblik op het incident laat hij weten dat er meerdere momenten waren dat de alarmbellen hadden moeten afgaan. Toch besloot hij niet te handelen. "Ik heb mijn online veiligheid nooit zo serieus genomen omdat ik nooit een aanval heb meegemaakt. En hoewel ik mijn risicoprofiel begreep, was ik gewoon te lui om mijn middelen te beveiligen met de discipline die ze verdienden."

Afsluitend doet Coonce verschillende aanbevelingen, zoals het gebruik van een hardwarematige wallet om cryptovaluta te beschermen, dat op sms gebaseerde tweefactorauthenticatie niet voldoende is, gebruikers hun online footprint moeten verkleinen, het verstandig is om een tweede e-mailadres voor belangrijke zaken te gebruiken en wachtwoorden via een offline wachtwoordmanager te beheren.

Image

Reacties (9)
21-05-2019, 15:55 door Anoniem
Tegen een gerichte aanval kun je niet zoveel.

Je kunt 99 keer de aanval stoppen maar de 100e keer is het raak
21-05-2019, 16:59 door Lex Borger
Daarom juist wil je meerdere beschermingslagen. Tweefactorauthenticatie op Google had hier geholpen. Acuut reageren op de problemen ook.
21-05-2019, 17:22 door Anoniem
Dat telefoon-nummer afstaan werkt tegen in dit geval.
Beter geef je geen telefoon nummer.
21-05-2019, 19:34 door Anoniem
Door Lex Borger: Daarom juist wil je meerdere beschermingslagen. Tweefactorauthenticatie op Google had hier geholpen. Acuut reageren op de problemen ook.
Ik heb vorige week nog mijn sim laten vervangen bij t-mobile.

Wat ze hier hebben gedaan zou niet bij t-mobile hebben gewerkt omdat de activatie code van je nieuwe sim naar je oude sim wordt gestuurd via sms.
22-05-2019, 09:35 door RifleFish
Door Lex Borger: Daarom juist wil je meerdere beschermingslagen. Tweefactorauthenticatie op Google had hier geholpen. Acuut reageren op de problemen ook.
Hij had MFA aan staan, maar dit wist de hacker te omzeilen door juist de SIM te kapen. De activatiecode van MFA werd naar de nieuwe SIM gestuurd die de hacker in zijn bezit had. Hierdoor kon de hacker het wachtwoord van Coonce's Google account veranderen.

https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124?sk=4c29b27bacb2eff038ec8fe4d40cd615
22-05-2019, 09:55 door Anoniem
Door Anoniem:
Door Lex Borger: Daarom juist wil je meerdere beschermingslagen. Tweefactorauthenticatie op Google had hier geholpen. Acuut reageren op de problemen ook.
Ik heb vorige week nog mijn sim laten vervangen bij t-mobile.

Wat ze hier hebben gedaan zou niet bij t-mobile hebben gewerkt omdat de activatie code van je nieuwe sim naar je oude sim wordt gestuurd via sms.

en wat nou als je de provider belt dat je de oude simkaart kwijt bent?

ja meneer die moet u dan zoeken want daar gaan we de activatie code naar versturen.
22-05-2019, 11:52 door Anoniem
Door Anoniem:
Door Anoniem:
Door Lex Borger: Daarom juist wil je meerdere beschermingslagen. Tweefactorauthenticatie op Google had hier geholpen. Acuut reageren op de problemen ook.
Ik heb vorige week nog mijn sim laten vervangen bij t-mobile.

Wat ze hier hebben gedaan zou niet bij t-mobile hebben gewerkt omdat de activatie code van je nieuwe sim naar je oude sim wordt gestuurd via sms.

en wat nou als je de provider belt dat je de oude simkaart kwijt bent?

ja meneer die moet u dan zoeken want daar gaan we de activatie code naar versturen.
Werkt ook niet zonder oude simkaart gaat het via je T-Mobile account dus deze zou ook gecomprimeerd moeten zijn.

Het kan wel maar niet zo makkelijk als het in Amerika kan.
22-05-2019, 16:13 door Anoniem
Door Lex Borger: Daarom juist wil je meerdere beschermingslagen. Tweefactorauthenticatie op Google had hier geholpen. Acuut reageren op de problemen ook.

Ik bedoelde tweefactorauth op Coinbase. Maar ook tweefactor op Google via Google Authenticator had hier geholpen. SMS is geen echte tweede factor, het heeft te weinig zekerheid. Wat faalde was waarschijnlijk het 'lost password' proces dat een SMS OTP stuurt (2x). Dat is wellicht Google te verwijten, maar dan blijft nog steeds acuut reageren openstaan.
23-05-2019, 09:56 door Anoniem
Strikt genomen is SMS een One-time Password oplossing, niet zozeer een tweefactor (misschien anderhalf). Wel een goed voorbeeld van tweefactor is de Titankey oplossing die Google heeft (https://cloud.google.com/titan-security-key/?hl=nl).

Wat natuurlijk ook opvalt is het volgende vraagteken: Coonce is werkzaam bij een IT Security bedrijf, vermoedelijk een professional. En dit is niet de eerste keer dat een professional zo iets overkomt. Als zij er al niet meer in slagen zich van identiteitsfraude te vrijwaren, hoe kunnen we dat dan in vredesnaam van leken vragen?

ID-fraude in de breedste zin van het woord is een gigantisch probleem. Indien de situatie niet veranderd mag gemiddeld iedere Nederlander verwachten in een gemiddeld leven twee keer slachtoffer te worden. Een VS-burger het dubbele. De financiële schade valt meestal wel mee, in bepaalde gevallend de reputatieschade echter allerminst (het gevreesde Computer Zegt Nee). We zullen beter met authenticatie van vooral de meer kritische financiële transacties om moeten leren gaan en tevens moeten leren de reputatieschades snel en effectief te kunnen herstellen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.