Computerbeveiliging - Hoe je bad guys buiten de deur houdt

T-Mobile autologon en eSIM risico's

29-08-2019, 15:22 door Erik van Straten, 5 reacties
tl;dr
Als je, met jouw smartphone via 4G (niet WiFi dus), zonder naam/telefoonnummer en wachtwoord op het account bij jouw telecomprovider kunt inloggen, zet dat dan uit in de instellingen van dat account. En beveilig dat account meteen een uniek, lang en niet te raden wachtwoord. Zo help je identiteitsfraude via jouw telefoonnummer te voorkomen.

Inleiding
Sinds kort ondersteunt T-Mobile in Nederland eSIM's [1]. Een eSIM is een bestandje dat in plaats van (of naast) het bekende fysieke SIM-kaartje in sommige nieuwere telefoons kan worden gebruikt.

Tweakers.net waarschuwt in [2], gebaseerd op onderzoek van RTL Nieuws in samenwerking met ESET [3], voor "SIM-swapping attacks" waarbij gebruik wordt gemaakt van die nieuwe eSIM's. Bij een "SIM-swapping attack" wordt jouw huidige telefoonnummer aan een andere SIM/eSIM gekoppeld, waarna de aanvaller deze in zijn smartphone plaatst/laadt en zich kan voordoen als jou, namelijk in die situatie dat een derde partij er blindelings vanuit gaat dat het nog steeds jouw telefoonnummer is (zoals de 2FA SMS bij DigiD).

RTL nieuws waarschuwt er in [3] voor dat T-Mobile.nl login-gegevens al in ondergrondse fora en Telegram worden verhandeld.

Tweaker "dbzokphp" waarschuwt er in [4] voor dat T-Mobile.nl klanten, indien zij via 4G naar https://www.t-mobile.nl/ surfen, kunnen inloggen zonder een gebruikersnaam en wachtwoord in te hoeven voeren. Hulde aan dbzokphp voor deze melding! Ook ik heb vastgesteld dat dit werkt en dat deze optie standaard aan staat (op mijn smartphone werkte dit niet in Firefox, maar wel in Chrome). Dit betekent dat niet alleen de echte T-mobile account eigenaar, maar iedereen die met diens 06-nummer via 4G naar T-Mobile.nl surft, zijn instellingen kan inzien (waaronder de PUK-code van de huidige SIM), wijzigen en dus ook zijn telefoonnummer kan laten overzetten.

[1] https://www.t-mobile.nl/dual-sim-esim
[2] https://tweakers.net/nieuws/156538/06-nummers-t-mobile-zijn-na-komst-e-sim-makkelijker-over-te-nemen-door-hackers.html
[3] https://www.rtlnieuws.nl/tech/artikel/4827171/esim-sim-swapping-06-nummer-overnemen-hacken
[4] https://tweakers.net/nieuws/156538/06-nummers-t-mobile-zijn-na-komst-e-sim-makkelijker-over-te-nemen-door-hackers.html?showReaction=13354582#r_13354582

Risico's T-Mobile.nl autologon
1) T-Mobile waarschuwt er zelf voor dat, als je jouw smartphone als WiFi hotspot instelt, iedereen die van die hotspot gebruik maakt zonder meer op jouw T-Mobile.nl account kan inloggen;
2) Een app van een kwaadwillende partij op jouw smartphone kan dat hoogstwaarschijnlijk ook (los van hotspots natuurlijk);
3) Android ondersteunt meerdere gebruikers. Als je een apart account voor jouw kinderen hebt gemaakt, kunnen ook zij zonder meer inloggen en bijv. gegevens wijzigen (zoals "betalingen aan derde partijen" aanzetten);
4) Een dief of vinder van jouw smartphone, die jouw scherm weet te unlocken (zie ook het volgende punt) of op andere slinkse wijze een webbrowser daarop weten te starten, kan dat ook - en kan desgewenst daarna jouw smartphone weer terugleggen om jou niets te laten vermoeden. In plaats daarvan kan hij ook de PUK-code op de site uitlezen waardoor hij de telefoon desgewenst uit en weer aan kan zetten en de SIM kan unlocken;
5) Sommige Android smartphones ondersteunen "add users from lock screen". Als dat aan staat, kan iedereen die jouw smartphone met gelocked scherm in handen heeft, inloggen als gast en/of door een nieuwe gebruiker aan te maken. Ook zo'n gebruiker kan natuurlijk een browser starten en jouw T-Mobile.nl instellingen wijzigen;
6) Hoewel ik de kans klein acht, heb ik er geen verstand van en kan daarom ook niet helemaal uitsluiten dat je 06-nummers zodanig kunt spoofen dat je je daarmee kunt voordoen als T-Mobile.nl klant. Er komen steeds meer digitale diensten bij die via "telefonie" werken (ter illustratie: recentelijk is SkypeOut in Nederland geïntroduceerd: hoewel ik geen idee heb welk telefoonnummer je daarmee krijgt c.q. of je dat kunt beïnvloeden, sluit ik dat ook niet uit - niet zelden moet zoiets eerst door iemand worden ontdekt om daarna te worden dichtgezet).

SIM/eSIM-swapping
Naar verluidt ontvang je, als waarschuwing, een SMS van T-Mobile op jouw oude toestel voordat jouw nummer wordt overgezet. SMS komt echter niet altijd aan, en in de T-Mobile.nl instellingen bestaat de mogelijkheid om een blokkade voor SMS in te stellen. Ik vermoed dat dit alleen betrekking heeft op het kunnen verzenden van SMSjes, maar wie weet blokkeert dit ook het kunnen ontvangen ervan. In elk geval zullen criminelen er alles aan doen om te voorkomen dat jij gewaarschuwd wordt (bijvoorbeeld toeslaan als ze weten dat jouw smartphone een tijdje niet gebruikt zal worden).

In de VS is het bij verschillende providers (waaronder T-Mobile) noodzakelijk dat je, als je (na regulier inloggen) je nummer wilt overzetten, een speciale PIN-code moet invullen. In Nederland wordt deze extra beveiligingsmaatregel, voor zover ik weet, nog door geen enkele provider toegepast. De nieuwe functionaliteit in de TrickBot trojan beschreven in [5], waarbij de malware de provider-inlogpagina in jouw browser zo manipuleert dat meteen ook om die pincode wordt gevraagd, is dus helemaal niet nodig in Nederland (het in handen krijgen van jouw gebruikersnaam/telefoonnummer en wachtwoord volstaat in ons land, zowel om toegang te krijgen tot jouw account als voor SIM-swapping).

[5] https://www.security.nl/posting/622432/Malware+probeert+pincodes+te+stelen+voor+sim-swapping

Advies voor telecomproviders
1) Verwijder bij voorkeur de mogelijkheid voor autologon helemaal. Zo niet, maak deze dan optioneel (in de zin van dat deze standaard uit staat). Als dit bij iedereen aan blijft staan, kun je erop wachten dat foute apps hier misbruik van gaan maken (voor zover dat al niet gebeurt);
2) Maak multi-factor authenticatie voor inloggen op z'n minst optioneel. MFA/2FA helpen niet tegen phishing (gekloonde nepsites die de gekaapte gegevens direct doorzetten naar de echte site) maar bieden enige compensatie voor zwakke en/of hergebruikte -en gelekte- wachtwoorden;
3) Bemoeilijk SIM-swapping aanvallen. Gebruiksvriendelijkheid weegt in dit geval echt niet op tegen de ellende van identiteitsfraude;
4) Zorg voor beter dichtgetimmerde procedures voor de situatie dat echte klanten melden dat ze zijn gefraudeerd (bijv. geen toegang meer hebben tot hun account) en natuurlijk het scenario waarbij identiteitsfraudeurs zich voordoen als legtitieme klant.

Advies voor smartphone gebruikers
1) Zet "automatisch inloggen" uit op jouw provider-account (in elk geval bij T-Mobile kan dat);
2) Gebruik een wachtwoordmanager en laat deze een uniek, lang en random wachtwoord genereren (en onthouden) voor jouw provider-account (dat je nergens anders gebruikt). Doe dat ook voor jouw e-mail account, want dat wordt meestal gebruikt bij een wachtwoord-reset (het scenario dat "jij" of een aanvaller zegt het wachtwoord te zijn vergeten);
3) Als je geen wachtwoordmanager kunt of wilt gebruiken: zet dan waar mogelijk 2FA (two-factor authentication) aan, bij voorkeur gebruik makend van een "TOTP" app zoals Google Authenticator (gebruik in geen geval SMS of gebeld worden op jouw telefoonnmummer). Ga bij elke vorm van MFA/2FA na hoe je weer toegang krijgt tot jouw account als je geen gebruik meer kunt maken van die tweede factor (zoals bij defect raken of verlies van jouw smartphone). Realiseer je dat de app zo'n TOTP code maakt door een "shared secret" (opgeslagen onder de app en, plain-text, op de server) te verhaspelen met het huidige tijdstip, en daarmee eigenlijk een tweede wachtwoord is;
4) Als jouw smartphone meerdere gebruikers ondersteunt: zorg ervoor dat "add users from lock screen" uit staat!
5) Wees terughoudend met het installeren van "leuke/handige" apps/plugins op jouw smartphone en PC. Probeer uit te vinden wat het verdienmodel ervan is;
6) Zorg ervoor dat zowel jouw browser, plugins als device betrouwbaar zijn - met name als je die gebruikt om in te loggen op accounts die jouw identiteit vertegenwoordigen (waarbij het een ramp kan zijn als kwaadwillenden er toegang tot krijgen);
7) Als je via een e-mail, SMS, WhatsApp etc. een verzoek krijgt om op een link te klikken waarna een inlogscherm getoond wordt, vul dan niets in. Sluit de browser, open deze opnieuw en ga zelf naar de gebruikelijke inlogpagina (niet uit je browsergeschiedenis natuurlijk, gebruik bij voorkeur bookmarks/favorieten). Zo voorkom je dat je gegevens op een phishing-pagina invoert.

Conclusie
Smartphones veranderen steeds meer in identiteitsbewijzen en/of portemonnees, waardoor de mogelijke schade bij in het verkeerde handen vallen van een smartphone en/of telefoonnumer, steeds groter wordt. Zowel telecomproviders als gebruikers dienen hun verantwoordelijkheid te nemen om misbruik te helpen voorkomen.

Disclaimer
Waarschijnlijk heb ik in deze bijdrage (die ik op persoonlijke titel schreef) zaken over het hoofd gezien en mogelijk heb ik zaken verkeerd weergegeven; aanvullingen en correcties zie ik dan ook graag tegemoet. Met name als ook andere providers autologon ondersteunen, lees ik dat graag! Ik raad de lezer daarom aan om eventuele bijdragen van derden hieronder (en, omdat ik deze bijdrage straks niet meer kan wijzigen, eventuele aanvullende bijdragen hieronder van mij) ook te lezen.
Reacties (5)
29-08-2019, 16:58 door Anoniem
Uitgebreide en nuttige bijdrage, bedankt! Nu aan T-mobile de volgende stap om dit automatisch inloggen uit te schakelen om zo alle ellende te voorkomen.
29-08-2019, 17:10 door Tha Cleaner
Mooi gevonden en beschreven. Duidelijk niet helemaal over nagedacht bij T-Mobile.
29-08-2019, 19:08 door Anoniem
2) Een app van een kwaadwillende partij op jouw smartphone kan dat hoogstwaarschijnlijk ook (los van hotspots natuurlijk);

Dit en natuurlijk de hotspots.

Ik heb een geval meegemaakt van een dual SIM aanvraag bij Tmobile door een frauderende partij waarbij de eigenaar geen idee heeft gehad van de dual SIM. Zijn volledige belgedrag werd jarenlang gevolgd door een particuliere partij.
29-08-2019, 19:11 door Anoniem
Met de Tmobile eSIMS (nieuwe trend) hoef je alleen nog de QR code te scannen en evt te onderscheppen via de post.

Je kunt misschien ook random codes proberen als er een patroon in zit.... hoe komen ze anders bij die handel? Daar zit een proces van reproductie achter.
29-08-2019, 20:17 door Anoniem
Verstandige oplossing: gebruik je smartphone zonder simkaart. (mocht je twijfelen, dit meen ik serieus)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.