image

Sim-swappers krijgen via RDP toegang tot systemen providers

maandag 13 januari 2020, 11:55 door Redactie, 5 reacties

Criminelen die zich met sim-swapping bezighouden weten via RDP-software toegang tot de systemen van Amerikaanse telecomproviders te krijgen, zo melden beveiligingsonderzoeker Nicholas Ceraolo en Vice Magazine op basis van bronnen. Telecomproviders bevestigen de gebruikte methode.

Traditioneel belden oplichters bij sim-swapping de provider van het slachtoffer op en overtuigden een medewerker om het mobiele nummer van het slachtoffer over te zetten naar een andere simkaart, die reeds in het bezit is van de oplichters. Zodoende kan de oplichter toegang tot allerlei accounts van het slachtoffer krijgen. Bijvoorbeeld door het aanvragen van wachtwoordresets of het opvragen van authenticatiecodes.

Het komt ook voor dat het personeel van de telecomprovider in opdracht van criminelen het sim-swappen faciliteert. Sim-swappers hebben nu echter een nieuwe manier gevonden waarbij ze direct toegang weten te krijgen tot de systemen van de telecombedrijven waarmee de telefoonnummers zijn over te zetten.

Medewerkers van de telecombedrijven worden door sim-swappers misleid om RDP-tools op hun systemen te installeren of die te activeren wanneer het systeem hier al over beschikt. Via RDP kunnen de sim-swappers vervolgens van afstand op de systemen van de provider inloggen en daar de gewenste nummers naar een andere simkaart overzetten. In sommige gevallen weten de criminelen de RDP-inloggegevens van de medewerkers te ontfutselen.

"We zijn bekend met deze specifieke tactiek in de industrie en hebben stappen genomen om het te voorkomen", laat AT&T in een reactie weten. Ook telecomprovider Sprint zegt met de tactiek bekend te zijn, maar wil niet vertellen wat het doet om dergelijk misbruik te voorkomen. De Amerikaanse senator Ron Wyden heeft de toezichthouder FCC vorige week opgeroepen dat het providers moet dwingen om klanten tegen sim-swapping te beschermen (pdf).

Reacties (5)
13-01-2020, 13:04 door Anoniem
Wacht lees ik dit nou goed? Is het voor een medewerker mogelijk om RDP te installeren en/of activeren? Hoe ontzettend slecht zit het in elkaar dat dit zomaar mogelijk is.
13-01-2020, 13:27 door Anoniem
Slecht geschreven artikel. Maar idem voor het bron Artikel.

Het gaat namelijk niet om MS RDP, maar om teamviewer alternatieven.
13-01-2020, 13:57 door Erik van Straten
De door de redactie genoemde Vice Magazine pagina (https://www.vice.com/en_us/article/5dmbjx/how-hackers-are-breaking-into-att-tmobile-sprint-to-sim-swap-yeh) verwijst onder meer naar een artikel over "SIM-jacking", https://www.vice.com/en_us/article/5984zn/listen-to-sim-jacking-account-ransom-instagram-email-tmobile.

Bij SIM-jacking kapen criminelen het telefoonnummer van een slachtoffer en gebruiken vervolgens telefoonnummer-gebaseerde identiteitsverificatie (samen met social engineering en/of kennis van persoonlijke gegevens van het slachtoffer) om bij zoveel mogelijk organisaties de identiteit van het slachtoffer over te nemen. Vervolgens mag het slachtoffer zijn/haar identiteit "terugkopen" door het betalen van losgeld.

Door een dienst te bieden die het bezit van een telefoonnummer gelijkstelt aan een identiteit, vooral als daarbij geen andere factor wordt gebruikt (wat geldt voor 17 van 140 onderzochte websites in https://www.issms2fasecure.com/dataset), werk je deze vorm van criminaliteit in de hand.

Maar ook bij 2FA, als deze wordt ingezet omdat aanvallers te eenvoudig de eerste factor kunnen elimineren (een risico bij DigiD met SMS 2FA, vooral als gebruikers denken dat de sterkte van wachtwoord niet meer boeit vanwege die andere factor), faciliteer je deze vorm van cybercrime.

@Redactie: dank voor het tevens plaatsen van mijn Engelstalige voorstel in https://www.security.nl/posting/638976/Secure+SMS+2FA+Proposal!
13-01-2020, 15:37 door Briolet
Door Anoniem: Wacht lees ik dit nou goed? Is het voor een medewerker mogelijk om RDP te installeren en/of activeren? Hoe ontzettend slecht zit het in elkaar dat dit zomaar mogelijk is.

Wie zou dat dan moeten doen? Het lijkt me juist een taak van een IT medewerker om deze keuze te maken. Het zou erger zijn als externe bronnen dit zelfstandig kunnen activeren/aanzetten..
13-01-2020, 16:52 door karma4
Door Briolet:
Wie zou dat dan moeten doen? Het lijkt me juist een taak van een IT medewerker om deze keuze te maken. Het zou erger zijn als externe bronnen dit zelfstandig kunnen activeren/aanzetten..
Met functiescheiding mag een:
- IT medewerker dat doen maar die IT medewerker mag zelf niets met SIMs doen.
- medewerker die iets met SIMs doet mag enkel een afgeschermd werkstation daarvoor gebruiken (gelverder vanuit IT)
- monitor dienst als medewerker(s) mogen niet met werkstations om SIMs maar alles zien wat die anderen uithalen.
Herhaal de vraag eens dat een medewerker die SIMs afhandelt ook zelf van alles zou mogen installeren. Vreemd heel vreemd
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.