T-Mobile: door corona minder goede bescherming tegen sim-swapping
Door de coronamaatregelen kon T-Mobile de afgelopen maanden gebruikers minder goed tegen sim-swapping beschermen. De provider ontving in deze periode een "handvol" klachten van klanten van wie het telefoonnummer door criminelen was overgenomen, zo meldt NRC.
Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken. De oorspronkelijke simkaart heeft daardoor geen toegang meer tot het netwerk, waardoor slachtoffers niet meer kunnen bellen, berichten versturen of mobiel internetten. Vaak wordt sim-swapping gepleegd door middel van social engineering, waarbij oplichters een telecomprovider bellen en zich voordoen als het slachtoffer.
Er zijn echter ook gevallen bekend waarbij medewerkers van telecomproviders bij de fraude betrokken waren. Zo arresteerde de politie vorige week nog drie medewerkers van een niet nader genoemde telecomprovider die hiervan worden verdacht.
In NRC doet een slachtoffer van sim-swapping zijn verhaal. Zijn telefoonnummer werd door middel van social engineering van de T-Mobile-helpdesk overgenomen. Een achternaam, 06-nummer, postcode, huisnummer, geboortedatum en rekeningnummer zijn voldoende voor de aanvaller om het telefoonnummer van het slachtoffer in handen te krijgen. De helpdeskmedewerker gaat bij een controlevraag over het bedrag van de laatste rekening de fout in.
Volgens T-Mobile kan het door de coronamaatregelen klanten minder goed controleren. "Als een verificatie-sms niet mogelijk is, sturen we klanten normaal gesproken naar de T-Mobile Shop om zich te identificeren met een legitimatiebewijs voor een sim-swap. Door Covid waren wij genoodzaakt onze winkels te sluiten en moesten wij deze maatregel tijdelijk aanpassen", aldus de provider tegenover NRC.
Sinds half december zegt de provider een handvol klachten van slachtoffers van sim-swapping te hebben ontvangen. Daarop zijn de procedures aangepast. Zo is het niet meer mogelijk om via de chat een sim-swap aan te vragen. Nu de winkels weer deels open mogen kunnen klanten zich weer fysiek legitimeren. Daarnaast is de provider bezig om tweefactorauthenticatie aan de online klantenomgeving toe te voegen.
T-Mobile betreurt dat de helpdeskmedewerker met de controlevraag de fout inging. "We hebben de medewerker van feedback voorzien en er is aandacht besteed aan het creëren van awareness", zo laat de provider aan het slachtoffer weten. Beide partijen zijn nog in discussie over de gevolgschade. De aanvaller wist door het handelen van T-Mobile allerlei accounts van het slachtoffer over te nemen.
24 voor de sim swap een SMS bericht zenden aan de oude SIM dat de SIM wordt overgezet.
Komt het bericht niet bekend voor? Bel met het telefoonnummer van de klantenservice.
Geen linkjes erin, geen nummers erin, anders zet je phishing weer op een spoor.
En ja: dan zit je legitieme gevallen even 24 uur in de weg. Laten we dat als wereld dan accepteren.
Of kunnen die iets niet oplossen door het ontbreken van een fysieke winkel.
Ik geloof er allemaal niks van, klinkt als smoes.
24 voor de sim swap een SMS bericht zenden aan de oude SIM dat de SIM wordt overgezet.
Komt het bericht niet bekend voor? Bel met het telefoonnummer van de klantenservice.
Geen linkjes erin, geen nummers erin, anders zet je phishing weer op een spoor.
En ja: dan zit je legitieme gevallen even 24 uur in de weg. Laten we dat als wereld dan accepteren.
Het probleem is dat veel mensen hun oude telefoon kwijt zijn als ze hun nummer (legitiem) willen overzetten.
24 voor de sim swap een SMS bericht zenden aan de oude SIM dat de SIM wordt overgezet.
Komt het bericht niet bekend voor? Bel met het telefoonnummer van de klantenservice.
Geen linkjes erin, geen nummers erin, anders zet je phishing weer op een spoor.
En ja: dan zit je legitieme gevallen even 24 uur in de weg. Laten we dat als wereld dan accepteren.
Het probleem is dat veel mensen hun oude telefoon kwijt zijn als ze hun nummer (legitiem) willen overzetten.
Inderdaad.
"telefoon verloren" zal een belangrijk percentage van de legitieme sim-swap vragen zijn.
Wel zuur - ik kan me heel goed de social engineering voorstellen waarin de vraag naar het bedrag op de laatste rekening gepareerd wordt.
"hoe kan ik dat nou zien, want zonder die telefoon kan ik ook niet op mijn bankrekening kijken"
(dat is echt wel plausibel - gezien de bankieromgevingen die een telefoon als tweede factor authenticator willen)
proces ontwerp is _ook_ moeilijk. En vooral als de last resort - met paspoort naar een kantoor/winkel is weggevallen.
24 voor de sim swap een SMS bericht zenden aan de oude SIM dat de SIM wordt overgezet.
Komt het bericht niet bekend voor? Bel met het telefoonnummer van de klantenservice.
Geen linkjes erin, geen nummers erin, anders zet je phishing weer op een spoor.
En ja: dan zit je legitieme gevallen even 24 uur in de weg. Laten we dat als wereld dan accepteren.
Het probleem is dat veel mensen hun oude telefoon kwijt zijn als ze hun nummer (legitiem) willen overzetten.
Waarom is dat een probleem? Als je niet binnen 24 uur belt is het legitiem en gaat de swap door.
Staat vinkje uit dan blokkeer je de functie bij de helpdeskmederkers om het over te zetten. Stuur bij wisseling van de opt-in opt-out een sms dat er een wijziging is aangevraagd en bij een werkelijke wijziging.
Bij te veel mislukte pogingen door een medewerker alert richting supervisor voor beslissing over verdere escalatie.
Voorkomt fraude door medewerkers, social engineering en informeert de eindgebruiker.
Voorkomt helaas niet goedgelovigheid en slordig beheer van inlogdata.
Volgens mij bewaart die app geen postcodes en rekeningnummers hoor. De GGD heeft wel je postcode na een coronatest, maar echt niet je rekeningnummer. Het is niet alsof je een geldprijs kunt winnen bij een negatieve test.
Nee, deze gegevens kun je eerder halen bij webshops die regelmatig lekken.
24 voor de sim swap een SMS bericht zenden aan de oude SIM dat de SIM wordt overgezet.
Komt het bericht niet bekend voor? Bel met het telefoonnummer van de klantenservice.
Geen linkjes erin, geen nummers erin, anders zet je phishing weer op een spoor.
En ja: dan zit je legitieme gevallen even 24 uur in de weg. Laten we dat als wereld dan accepteren.
Je zou ook even, ter controle, het oude nummer eerst even kunnen bellen. Kost 5 minuten en als er wordt opgenomen doe je verder onderzoek. Dat een provider dit niet doet zou je volgens mij verwijtbaar nalatig.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
