image

Europol pakt sim-swappers op die 3,5 miljoen euro buitmaakten

vrijdag 13 maart 2020, 10:03 door Redactie, 14 reacties

Europol heeft in samenwerking met Europese politiediensten twee bendes sim-swappers opgerold die bij elkaar 3,5 miljoen euro wisten te stelen. De eerste bende bevond zich in Spanje en bestond uit personen tussen de 22 en 52 jaar, afkomstig uit Italië, Roemenië, Columbia en Spanje.

Deze bende wist meer dan honderd slachtoffers te maken, waarbij er bedragen van tussen de 6.000 en 137.000 euro van de rekeningen van slachtoffers werden gestolen. De werkwijze van de verdachten was volgens Europol eenvoudig. Eerst wisten ze via malware gegevens voor internetbankieren te stelen. Veel banken maken echter gebruik van tweefactorauthenticatie voor het bevestigen van transacties.

Vervolgens werd er van sim-swapping gebruikgemaakt. Bij sim-swapping weten oplichters een telecomprovider zover te krijgen om het mobiele telefoonnummer van het slachtoffer over te zetten naar een andere simkaart, die reeds in het bezit is van de oplichter. Op deze manier kunnen criminelen de bankcodes ontvangen en de transactie uitvoeren. In dit geval maakten de verdachten gebruik van vervalste documenten om bij de telecomproviders een kopie van de simkaart van het slachtoffer aan te vragen, meldt Europol.

Nadat de verdachten controle over het telefoonnummer van het slachtoffer hadden werd het aanwezige geld naar rekeningen van katvangers overgemaakt. De frauduleuze transacties vonden vaak binnen één of twee uur plaats. Slachtoffers zouden pas na deze tijd ontdekken dat hun telefoonnummer niet meer werkte. De verdachten, die door de Spaanse politie werden aangehouden, zouden op deze manier 3 miljoen euro hebben buitgemaakt.

De tweede bende, die uit veertien personen bestond, opereerde vanuit Roemenië. Deze bende maakte ook gebruik van gestolen bankgegevens en sim-swapping. Met deze gegevens werd vervolgens ingelogd op een bank-app en een transactie klaargezet die bij kaartloze geldautomaten konden worden opgenomen. Hiervoor verstuurde de bank een code via sms. Aangezien de verdachten deze code ontvingen konden ze het geld ook daadwerkelijk opnemen. Deze bende wordt verdacht van het stelen van meer dan 500.000 euro.

Voorkomen

Beide bendes wisten eerst de bankgegevens van hun slachtoffers te stelen. Europol geeft dan ook advies tegen malware en phishing, zoals het up-to-date houden van software, het niet openen van links en bijlagen in onverwachte e-mails, niet te reageren op e-mails of telefoontjes die om persoonlijke informatie vragen, tweefactorauthenticatie voor online diensten te gebruiken in plaats van sms-codes en wanneer mogelijk gevoelige online accounts niet aan het telefoonnummer te koppelen. Verder word geadviseerd om de simkaart van een pincode te voorzien en die met niemand te delen.

Image

Reacties (14)
13-03-2020, 10:31 door Erik van Straten
Als organisaties die van SMS 2FA gebruikmaken, mijn voorstel [1] zouden implementeren, zouden SIM-swappers niet meer over de (daadwerkelijk door de gebruiker in te vullen) tweede factor kunnen beschikken.

[1] https://www.security.nl/posting/638976/Secure+SMS+2FA+Proposal.
13-03-2020, 11:43 door marco275
Wordt tijd dat telecomproviders verantwoordelijk worden gesteld voor die schade als ze zo eenvoudig en zonder terugkoppeling met de kaarthouder een andere sim uitleveren. Ze weten immers van het bestaan van simswapping.
13-03-2020, 12:04 door Anoniem
Door Erik van Straten: Als organisaties die van SMS 2FA gebruikmaken, mijn voorstel [1] zouden implementeren, zouden SIM-swappers niet meer over de (daadwerkelijk door de gebruiker in te vullen) tweede factor kunnen beschikken.

[1] https://www.security.nl/posting/638976/Secure+SMS+2FA+Proposal.
Dat niet alleen, want waarom hoeft er geen password/phrase/pincode ingevoerd te worden om het SMS-bericht te kunnen lezen? Dan kan je sim-swappen wat je wil, maar de SMS is voor een buitenstaander dan niet leesbaar meer.
13-03-2020, 12:49 door Anoniem
Door Erik van Straten: Als organisaties die van SMS 2FA gebruikmaken, mijn voorstel [1] zouden implementeren, zouden SIM-swappers niet meer over de (daadwerkelijk door de gebruiker in te vullen) tweede factor kunnen beschikken.

[1] https://www.security.nl/posting/638976/Secure+SMS+2FA+Proposal.

Want je denkt dat de bende die de eerste factor (username/password) weet te stelen niet het geheime-tel-op-bij getal dat je voorstelt weet je stelen.
13-03-2020, 12:56 door Anoniem
Door marco275: Wordt tijd dat telecomproviders verantwoordelijk worden gesteld voor die schade als ze zo eenvoudig en zonder terugkoppeling met de kaarthouder een andere sim uitleveren. Ze weten immers van het bestaan van simswapping.
Dat vind ik nu ook. Waarom is er geen terugkoppeling mogelijk naar de originele kaarthouder? Als die geen toestemming geeft kan de swapping bij het oud-vuil worden gegooid.
13-03-2020, 14:09 door Anoniem
"Tweefactor" is dus ook geen panacea. Goh.
13-03-2020, 14:19 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Als organisaties die van SMS 2FA gebruikmaken, mijn voorstel [1] zouden implementeren, zouden SIM-swappers niet meer over de (daadwerkelijk door de gebruiker in te vullen) tweede factor kunnen beschikken.

[1] https://www.security.nl/posting/638976/Secure+SMS+2FA+Proposal.
Dat niet alleen, want waarom hoeft er geen password/phrase/pincode ingevoerd te worden om het SMS-bericht te kunnen lezen? Dan kan je sim-swappen wat je wil, maar de SMS is voor een buitenstaander dan niet leesbaar meer.
Daar heb je speciale software voor nodig die nu op geen enkele smartphone geïnstalleerd is.

En een belangrijke reden dat organisaties zo graag SMS 2FA inzetten, is dat niet iedereen een smartphone heeft, en versleutelde SMSjes niet decrypted kunnen worden op non-smart toestellen.

Door Anoniem:
Door Erik van Straten: [zelfde als boven]

Want je denkt dat de bende die de eerste factor (username/password) weet te stelen niet het geheime-tel-op-bij getal dat je voorstelt weet je stelen.
Als je zulke SMSjes op een ander device ontvangt dan je gebruikt om in ergens in te loggen, is het voor een aanvaller in de basis niet mogelijk om jouw geheime-tel-op-bij getal te achterhalen.

Echter, als het de bende lukt om alles mee te lezen wat jij invoert bij jhet inloggen, houdt alles op; dat kun je niet digitaal beveiligen (en hoeven ze ook jouw geheime code niet te weten). Daar helpt echt niets tegen (vergelijkbaar dat mensen verleid worden om zowel user-ID, wachtwoord en 2e factor code invoeren op een site met een lijkt-op-domeinnaam: als aanvallers meteen die gegevens doorzetten naar de echte website, heeft die 2FA je geen zier geholpen). Dit is echt helaas pindakaas.

Het probleem van wachtwoorden is dat mensen ze hergebruiken en/of te raden exemplaren kiezen. Organisaties weten dat en daarom zetten ze graag 2FA in. Het redactie-artikel bewijst nogmaals dat SIM-swapping aanvallen werken, en dat kwaadwillenden zo ook -eenvoudig- die tweede factor in handen kunnen krijgen. Dus zijn beide factoren uiterst zwak. Met mijn voorstel probeer ik niet 100% veiligheid te creëren (dat kan nl. niet), maar om die tweede factor aanzienlijk sterker te maken. Zonder dat er aanvullende software voor nodig is, en dumbphones gebruikt kunnen blijven worden voor 2FA.

Mijn voorstel is zeker ook zinvol voor mensen die niet in de val van een fake website trappen, hun devices redelijk beveiligd hebben en unieke wachtwoorden gebruiken - maar wiens wachtwoord desondanks toch in verkeerde handen valt. Bijvoorbeeld doordat de server kortstondig gehacked is geweest, er een foute admin met z'n tengels bij kon, of dat wachtwoorden onbedoeld gelogd werden en zo in foute handen konden vallen. Of doordat iemand, zonder dat te beseffen, een voorspelbaar algoritme gebruikt om "willekeurige" wachtwoorden te genereren. Of unieke wachtwoorden gebruikt voor elke site door de domeinnaam van de site achter één standaard wachtwoord te plakken - zoals "piposecurity.nl", "pipofacebook.com" etc.
13-03-2020, 14:42 door Anoniem
Door Anoniem: "Tweefactor" is dus ook geen panacea. Goh.
Niemand heeft dat ooit beweerd.
13-03-2020, 20:32 door Anoniem
Door marco275: Wordt tijd dat telecomproviders verantwoordelijk worden gesteld voor die schade als ze zo eenvoudig en zonder terugkoppeling met de kaarthouder een andere sim uitleveren. Ze weten immers van het bestaan van simswapping.
Maar is het ook werkelijk altijd de schuld van de telecomprovider provider?
13-03-2020, 22:04 door Anoniem
Door Anoniem:
Door marco275: Wordt tijd dat telecomproviders verantwoordelijk worden gesteld voor die schade als ze zo eenvoudig en zonder terugkoppeling met de kaarthouder een andere sim uitleveren. Ze weten immers van het bestaan van simswapping.
Maar is het ook werkelijk altijd de schuld van de telecomprovider provider?
Dat is standaard op dit forum! Alle bedrijven zijn fout, behalve de gebruikers, die de echte fouten maakt.
13-03-2020, 23:21 door Anoniem
Ik probeer mijn bank te laten verstaan dat internetbankieren en smartphonebankieren 2 permissies moeten worden. Internetbankieren ja - bankieren via de smartphone NEEN.
Kunnen we niet - ah zeg ik dan - dan neemt u daarvoor de verantwoordelijkheid.
Nee zeggen ze - lees onze privacyspullen.
Wel kijk - als u niet kan wat ik vraag - dan is de bank verantwoordelijk. Ze zijn in kennis gesteld van wat een goeie practice zou zijn! Ze moeten handelen als een goede huisvader.
Laten we eerlijk zijn een SMS of de opvolger ervan - gebruiken als 2e factor - dan kan je net zogoed rooksignalen gebruiken. Want de achterliggende systeem zijn lek - dat is geweten en al meermaals bevestigd.
14-03-2020, 07:50 door Anoniem
Door Anoniem:
Door Anoniem: "Tweefactor" is dus ook geen panacea. Goh.
Niemand heeft dat ooit beweerd.
Nou, zo hard als geroepen werd dat iedereen aan de "tweefactor" moest omdat dat zoveel beter zou zijn, zonder dat er verder op details als "heeft dat wel nut voor deze toepassing" werd gelet....
14-03-2020, 11:21 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: "Tweefactor" is dus ook geen panacea. Goh.
Niemand heeft dat ooit beweerd.
Nou, zo hard als geroepen werd dat iedereen aan de "tweefactor" moest omdat dat zoveel beter zou zijn, zonder dat er verder op details als "heeft dat wel nut voor deze toepassing" werd gelet....
2FA is een gemakkelijke extra beveiliging. SMS is daar een mogelijkheid, QR scans is een mogelijkheid. Push notifications.

Persoonlijk ben ik groot voorstander van een SAML oplossing. Waarbij de centrale authenticatie goed beveiligd is met een push notificatie.
15-03-2020, 07:28 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: "Tweefactor" is dus ook geen panacea. Goh.
Niemand heeft dat ooit beweerd.
Nou, zo hard als geroepen werd dat iedereen aan de "tweefactor" moest omdat dat zoveel beter zou zijn, zonder dat er verder op details als "heeft dat wel nut voor deze toepassing" werd gelet....
2FA is een gemakkelijke extra beveiliging.
Zo makkelijk is het ook weer niet. Het is een buzzword, en levert dus ook de gebruikelijke buzzworderitis op: Hard roepen dat het helpt zonder te kijken of het dat voor onderhavig geval ook werkelijk doet, nadelen negeren, rompslomp en gedoe voor de gebruikers die het opgedrongen krijgen, en uiteindelijk blijkt het niet zoveel te helpen als geroeptoeterd werd. Soms weinig tot niets, soms wel iets, soms minder dan niets, maar altijd minder dan de (opgeblazen) voorstellingen.

SMS is daar een mogelijkheid, QR scans is een mogelijkheid. Push notifications.

Persoonlijk ben ik groot voorstander van een SAML oplossing. Waarbij de centrale authenticatie goed beveiligd is met een push notificatie.
Kijk, een lijstje buzzwords. Het kan allemaal. Maar of het een goed idee is, is helemaal niet gezegd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.