image

T-Mobile: door corona minder goede bescherming tegen sim-swapping

dinsdag 9 maart 2021, 12:25 door Redactie, 9 reacties

Door de coronamaatregelen kon T-Mobile de afgelopen maanden gebruikers minder goed tegen sim-swapping beschermen. De provider ontving in deze periode een "handvol" klachten van klanten van wie het telefoonnummer door criminelen was overgenomen, zo meldt NRC.

Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken. De oorspronkelijke simkaart heeft daardoor geen toegang meer tot het netwerk, waardoor slachtoffers niet meer kunnen bellen, berichten versturen of mobiel internetten. Vaak wordt sim-swapping gepleegd door middel van social engineering, waarbij oplichters een telecomprovider bellen en zich voordoen als het slachtoffer.

Er zijn echter ook gevallen bekend waarbij medewerkers van telecomproviders bij de fraude betrokken waren. Zo arresteerde de politie vorige week nog drie medewerkers van een niet nader genoemde telecomprovider die hiervan worden verdacht.

In NRC doet een slachtoffer van sim-swapping zijn verhaal. Zijn telefoonnummer werd door middel van social engineering van de T-Mobile-helpdesk overgenomen. Een achternaam, 06-nummer, postcode, huisnummer, geboortedatum en rekeningnummer zijn voldoende voor de aanvaller om het telefoonnummer van het slachtoffer in handen te krijgen. De helpdeskmedewerker gaat bij een controlevraag over het bedrag van de laatste rekening de fout in.

Volgens T-Mobile kan het door de coronamaatregelen klanten minder goed controleren. "Als een verificatie-sms niet mogelijk is, sturen we klanten normaal gesproken naar de T-Mobile Shop om zich te identificeren met een legitimatiebewijs voor een sim-swap. Door Covid waren wij genoodzaakt onze winkels te sluiten en moesten wij deze maatregel tijdelijk aanpassen", aldus de provider tegenover NRC.

Sinds half december zegt de provider een handvol klachten van slachtoffers van sim-swapping te hebben ontvangen. Daarop zijn de procedures aangepast. Zo is het niet meer mogelijk om via de chat een sim-swap aan te vragen. Nu de winkels weer deels open mogen kunnen klanten zich weer fysiek legitimeren. Daarnaast is de provider bezig om tweefactorauthenticatie aan de online klantenomgeving toe te voegen.

T-Mobile betreurt dat de helpdeskmedewerker met de controlevraag de fout inging. "We hebben de medewerker van feedback voorzien en er is aandacht besteed aan het creëren van awareness", zo laat de provider aan het slachtoffer weten. Beide partijen zijn nog in discussie over de gevolgschade. De aanvaller wist door het handelen van T-Mobile allerlei accounts van het slachtoffer over te nemen.

Reacties (9)
09-03-2021, 12:39 door Anoniem
Zo lastig is het toch niet dit te voorkomen?
24 voor de sim swap een SMS bericht zenden aan de oude SIM dat de SIM wordt overgezet.
Komt het bericht niet bekend voor? Bel met het telefoonnummer van de klantenservice.

Geen linkjes erin, geen nummers erin, anders zet je phishing weer op een spoor.

En ja: dan zit je legitieme gevallen even 24 uur in de weg. Laten we dat als wereld dan accepteren.
09-03-2021, 12:46 door [Account Verwijderd]
En hoe doen telecom bedrijven dat dan die geen fysieke winkel hebben.
Of kunnen die iets niet oplossen door het ontbreken van een fysieke winkel.
Ik geloof er allemaal niks van, klinkt als smoes.
09-03-2021, 14:27 door Anoniem
Door Anoniem: Zo lastig is het toch niet dit te voorkomen?
24 voor de sim swap een SMS bericht zenden aan de oude SIM dat de SIM wordt overgezet.
Komt het bericht niet bekend voor? Bel met het telefoonnummer van de klantenservice.

Geen linkjes erin, geen nummers erin, anders zet je phishing weer op een spoor.

En ja: dan zit je legitieme gevallen even 24 uur in de weg. Laten we dat als wereld dan accepteren.

Het probleem is dat veel mensen hun oude telefoon kwijt zijn als ze hun nummer (legitiem) willen overzetten.
09-03-2021, 15:08 door Anoniem
Tja, alle informatie nodig voor simswap zit ook in de database van de GGD die op straat ligt,.. en straks ook in de groene-pas app.
09-03-2021, 15:42 door Anoniem
Door Anoniem:
Door Anoniem: Zo lastig is het toch niet dit te voorkomen?
24 voor de sim swap een SMS bericht zenden aan de oude SIM dat de SIM wordt overgezet.
Komt het bericht niet bekend voor? Bel met het telefoonnummer van de klantenservice.

Geen linkjes erin, geen nummers erin, anders zet je phishing weer op een spoor.

En ja: dan zit je legitieme gevallen even 24 uur in de weg. Laten we dat als wereld dan accepteren.

Het probleem is dat veel mensen hun oude telefoon kwijt zijn als ze hun nummer (legitiem) willen overzetten.

Inderdaad.
"telefoon verloren" zal een belangrijk percentage van de legitieme sim-swap vragen zijn.

Wel zuur - ik kan me heel goed de social engineering voorstellen waarin de vraag naar het bedrag op de laatste rekening gepareerd wordt.

"hoe kan ik dat nou zien, want zonder die telefoon kan ik ook niet op mijn bankrekening kijken"
(dat is echt wel plausibel - gezien de bankieromgevingen die een telefoon als tweede factor authenticator willen)

proces ontwerp is _ook_ moeilijk. En vooral als de last resort - met paspoort naar een kantoor/winkel is weggevallen.
09-03-2021, 16:13 door Anoniem
Door Anoniem:
Door Anoniem: Zo lastig is het toch niet dit te voorkomen?
24 voor de sim swap een SMS bericht zenden aan de oude SIM dat de SIM wordt overgezet.
Komt het bericht niet bekend voor? Bel met het telefoonnummer van de klantenservice.

Geen linkjes erin, geen nummers erin, anders zet je phishing weer op een spoor.

En ja: dan zit je legitieme gevallen even 24 uur in de weg. Laten we dat als wereld dan accepteren.

Het probleem is dat veel mensen hun oude telefoon kwijt zijn als ze hun nummer (legitiem) willen overzetten.

Waarom is dat een probleem? Als je niet binnen 24 uur belt is het legitiem en gaat de swap door.
09-03-2021, 16:36 door Anoniem
Voeg een functie toe aan het klanten dashboard van eindgebruiker en geef klanten de optie om simswap wel of niet toe ste staan. Deze zet je standaard op Opt-out

Staat vinkje uit dan blokkeer je de functie bij de helpdeskmederkers om het over te zetten. Stuur bij wisseling van de opt-in opt-out een sms dat er een wijziging is aangevraagd en bij een werkelijke wijziging.
Bij te veel mislukte pogingen door een medewerker alert richting supervisor voor beslissing over verdere escalatie.

Voorkomt fraude door medewerkers, social engineering en informeert de eindgebruiker.
Voorkomt helaas niet goedgelovigheid en slordig beheer van inlogdata.
10-03-2021, 14:24 door Anoniem
Door Anoniem: Tja, alle informatie nodig voor simswap zit ook in de database van de GGD die op straat ligt,.. en straks ook in de groene-pas app.


Volgens mij bewaart die app geen postcodes en rekeningnummers hoor. De GGD heeft wel je postcode na een coronatest, maar echt niet je rekeningnummer. Het is niet alsof je een geldprijs kunt winnen bij een negatieve test.

Nee, deze gegevens kun je eerder halen bij webshops die regelmatig lekken.
08-06-2021, 14:18 door Anoniem
Door Anoniem: Zo lastig is het toch niet dit te voorkomen?
24 voor de sim swap een SMS bericht zenden aan de oude SIM dat de SIM wordt overgezet.
Komt het bericht niet bekend voor? Bel met het telefoonnummer van de klantenservice.

Geen linkjes erin, geen nummers erin, anders zet je phishing weer op een spoor.

En ja: dan zit je legitieme gevallen even 24 uur in de weg. Laten we dat als wereld dan accepteren.

Je zou ook even, ter controle, het oude nummer eerst even kunnen bellen. Kost 5 minuten en als er wordt opgenomen doe je verder onderzoek. Dat een provider dit niet doet zou je volgens mij verwijtbaar nalatig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.