Nieuws

Onderzoek: telefoonnummers recyclen maakt kapen accounts mogelijk

vrijdag 7 mei 2021, 13:53 door Redactie, 22 reacties

Het recyclen van telefoonnummers zoals telecomproviders doen maakt het mogelijk om accounts van de vorige eigenaar te kapen en andere aanvallen uit te voeren, zo stellen onderzoekers van Princeton University op basis van onderzoek met 259 telefoonnummers van wee grote Amerikaanse telecomproviders. De telefoonnummers waren beschikbaar voor nieuwe abonnees bij de telecombedrijven.

Van de 259 nummers bleken er 171 te zijn gekoppeld aan bestaande accounts bij populaire websites, zoals Amazon, AOL, Facebook, Google, Paypal en Yahoo. Door het nummer te kiezen zou een aanvaller vervolgens een wachtwoordreset kunnen uitvoeren. Verder waren 100 van de 259 telefoonnummers gekoppeld aan gelekte inloggegevens. Op deze manier zou een aanvaller sms-gebaseerde multifactorauthenticatie kunnen omzeilen, aldus de onderzoekers.

Die ontdekten dat negentien van telefoonnummers nog steeds security/privacygevoelige gesprekken en berichten ontvingen, zoals authenticatiecodes en herhaalrecepten voor medicatie. Nieuwe eigenaren die nietsvermoedend een gerecycled telefoonnummer krijgen en dergelijke ongevraagde gevoelige informatie ontvangen kunnen zo in "opportunistische aanvallers" veranderen, zo waarschuwen de onderzoekers.

Naast het overnemen van accounts beschrijven de onderzoekers verschillende andere aanvallen die met gerecyclede telefoonnummers mogelijk zijn, waaronder spam, denial of service-aanvallen, phishing en het verzamelen van persoonlijke identificeerbare informatie.

Volgens de onderzoekers is het belangrijk dat telecomproviders klanten bewust maken en adviseren om hun oude telefoonnummer bij hun accounts te verwijderen. Daarnaast roepen ze online aanbieders en websites op om te stoppen met tweefactorauthenticatie (2FA) via sms, of in ieder geval geen sms voor zowel wachtwoordresets als 2FA te gebruiken.

Verzekeraar AXA stopt met vergoeden van losgeld bij ransomware

Versnellingsmeter smartphone geeft allerlei persoonlijke informatie weg

Reacties (22)

07-05-2021, 14:00 door [Account Verwijderd] - Bijgewerkt: 07-05-2021, 14:01

Dan hoef ik mij daar geen zorgen om te maken.
Mijn 06 nummer heb ik al vanaf dat ze net begonnen daarmee.
Langer dan 25 jaar, misschien nog wel langer.
Ik ben er dan ook zeer spaarzaam mee aan wie ik mijn nummer geef.

07-05-2021, 14:03 door Anoniem

Hoe kun je nou weten aan welk account een vrijgekomen nummer gekoppeld is?
Dat laat zo'n dienst nooit zien, altijd alleen een paar cijfers van het nummer.

07-05-2021, 14:17 door Anoniem

Dit is natuurlijk ook van toepassing op domeinnamen

07-05-2021, 14:22 door Anoniem

Door Anoniem: Hoe kun je nou weten aan welk account een vrijgekomen nummer gekoppeld is?
Dat laat zo'n dienst nooit zien, altijd alleen een paar cijfers van het nummer.

Hoe lang volg jij security.nl?

07-05-2021, 14:23 door Anoniem

Door Anoniem: Hoe kun je nou weten aan welk account een vrijgekomen nummer gekoppeld is?
Dat laat zo'n dienst nooit zien, altijd alleen een paar cijfers van het nummer.

Inderdaad, totdat complete lijsten met accounts in handen komen van criminelen na een hack. Dan wordt het inloggen wel heel erg gemakkelijk gemaakt.

07-05-2021, 14:48 door Anoniem

De kop slaat natuurlijk nergens op.
De kern van het probleem is dan met een telefoonnummer als identificatie of deel daarvan ziet, terwijl het dat gewoon niet is! Dat speelt bij het gej*nk over 'nummer spoofing' en hier weer...

Recycling is helemaal geen probleem. Het wordt alleen de zondebok!

07-05-2021, 14:54 door Anoniem

@bertG ik heb ook nog altijd mijn 1e pre-paid telefoon nummer dat uit kwam ergens midden jaren negentig. Ergens in de tweede/derde week dat pre-paid op de markt kwam. Deze heb ik alleen nog in gebruik voor mijn 2fa, voor normaal telefoon verkeer en whats app heb ik een ander prepaid nummer.

@Anon14:03 Simpel: Google Dorks (aka Google Hacking waar je met scripts het web laat afzoeken naar in dit geval telefoon nummers)

Toevallig heeft Hak5 hier gisteren/eergisteren een heel erg net en simpel item over gemaakt op YT.

07-05-2021, 15:05 door Anoniem

Gooi je oude telefoon niet zomaar in de clicko.

07-05-2021, 15:29 door Anoniem

Door Anoniem: De kop slaat natuurlijk nergens op.
De kern van het probleem is dan met een telefoonnummer als identificatie of deel daarvan ziet, terwijl het dat gewoon niet is! Dat speelt bij het gej*nk over 'nummer spoofing' en hier weer...

Recycling is helemaal geen probleem. Het wordt alleen de zondebok!

Als het geen probleem was, zoals je hier beweert, kijk dan eens op de website van Have I been PwNed.
https://haveibeenpwned.com/

07-05-2021, 15:43 door Anoniem

precies, je zou overigens hetzelfde kunnen zeggen van BSN, ook dat wordt belangrijker gemaakt dan het in werkelijkheid is.

07-05-2021, 16:09 door Anoniem

Door Anoniem:

Door Anoniem: Hoe kun je nou weten aan welk account een vrijgekomen nummer gekoppeld is?
Dat laat zo'n dienst nooit zien, altijd alleen een paar cijfers van het nummer.

Inderdaad, totdat complete lijsten met accounts in handen komen van criminelen na een hack. Dan wordt het inloggen wel heel erg gemakkelijk gemaakt.

Zijn daar gevallen van bekend bij de als voorbeeld gegeven bedrijven Amazon, AOL, Facebook, Google, Paypal en Yahoo?

Het enige wat hier logisch uit zou volgen is dat je zo min mogelijk gebruik moet maken van 2nd factor mogelijkheden
die dergelijke bedrijven je opdringen. Wat ik ook inderdaad nooit doe.

07-05-2021, 16:45 door Anoniem

Door Anoniem: Gooi je oude telefoon niet zomaar in de clicko.

Dit heeft daar niets mee te maken.

07-05-2021, 17:38 door Anoniem

Door BertG.: Dan hoef ik mij daar geen zorgen om te maken.
Mijn 06 nummer heb ik al vanaf dat ze net begonnen daarmee.
Langer dan 25 jaar, misschien nog wel langer.
Ik ben er dan ook zeer spaarzaam mee aan wie ik mijn nummer geef.

Tja jij bent al zo oud, in de nieuwe wereld wisselen mensen nog sneller van telefoon en nummer dan het ondergoed dat ze dragen.

07-05-2021, 19:51 door Anoniem

Dat heb je goed gezien!

07-05-2021, 20:06 door [Account Verwijderd] - Bijgewerkt: 07-05-2021, 20:17

Door Anoniem:

Tja jij bent al zo oud, in de nieuwe wereld wisselen mensen nog sneller van telefoon en nummer dan het ondergoed dat ze dragen.

Ik ben begonnen met zo een pieper aan je riem. Ik weet de naam niet meer precies.
Dan moest je eerst naar een telefooncel lopen met kwartjes (25 cent) of een belkaart om terug te bellen op het nummer wat daar op binnen kwam.
Toen een soort van een eigen GSM systeem van KPN wat vij kort daarna weer werd afgeschaft en vervangen door GSM.
Een vaste lijn kon je alleen bij KPN aanvragen met een huur telefoon. Was vrij duur.

08-05-2021, 11:20 door Briolet

Door BertG.:…Toen een soort van een eigen GSM systeem van KPN wat vij kort daarna weer werd afgeschaft en vervangen door GSM.
Een vaste lijn kon je alleen bij KPN aanvragen met een huur telefoon. Was vrij duur.

Was dat toen al KPN? De naam KPN (Koninklijke PTT Nederland) is pas in '89 opgericht. Zelf heb ik mijn mobiele nummer sinds '97. De naam KPN voor het moederbedrijf bestond toen al een tijdje, maar richting consument werd nog steeds de naam PTT gebruikt. (Dit stond op de telefoon en gebruiksaanwijzing)

Ik denk dat de naam KPN richting consument pas in '98 gebruikt werd, toen de naam van het moederbedrijf veranderde in "Koninklijke KPN Nederland". (Een totaal foute naam omdat de K uit KPN ook al voor koninklijk staat)

Maar terug naar het probleem. Dit is wel een lastig te misbruiken iets. Zelfs al weet je als crimineel dat een account aan een vrijgegeven nummer gekoppeld is, dan zal het lastig zijn om zelf dat nummer te krijgen. En als dat nummer al uitgegeven is, is het lastig die persoon te vinden die dat nummer nu heeft. En dan moet je hem ook nog over te halen tot criminele acties.

Het echte risico is dat diegene die dit gerecyclede nummer heeft en af een toe een sms krijgt, op het idee komt hier misbruik van te maken. Dan komen echter heel veel kleine kansen bij elkaar. Misbruik op deze manier zal zeldzaam blijven.

08-05-2021, 11:37 door [Account Verwijderd] - Bijgewerkt: 08-05-2021, 11:40

@ Briolet, het was mij volledig bekend dat het toen nog PTT genoemd werd.
Dat had ik dan ook even duidelijk moeten maken. Vergeten.
Ik had voor de jongeren al beschreven hoeveel een kwartje was.
Dat was voor jou ook niet nodig geweest, denk ik.
En anders had een ander het misschien wel gevraagd, wat is nou weer een kwartje.

Ik heb het trouwens nog steeds soms over kwartjes, dubbeltjes of een stuiver.

08-05-2021, 14:41 door Anoniem

Juist, ja. En we houden op den duur geen "halve cent" meer over.
En toch zult u gelukkig zijn volgens professor Klaus Schwab en zijn WEF-adepten.

Nou we zullen het gaan beleven, reken maar uit in bitcoins.

luntrus

08-05-2021, 15:20 door Briolet - Bijgewerkt: 08-05-2021, 15:23

Door BertG.: Ik heb het trouwens nog steeds soms over kwartjes, dubbeltjes of een stuiver.

Ik betrap me er zelf ook nog op, terwijl er niet eens een munt van 25 eurocent is.

OT: Nu ik over de naam KPN nadenk, klopt er meer niet aan. De P komt uit het stukje 'Post' van de PTT. En juist dat onderdeel uit de oude PTT zit niet meer bij de KPN.

Overigens is de 'echte' betekenis van de afkorting PTT: Putje graven, Tentje bouwen, Tukkie doen. (Toen waren de medewerkers nog rasechte ambtenaren)

08-05-2021, 23:30 door Anoniem

Sommige gebruikers wisselen hun telefoonnummer als ze hun prepaid telefoon kwijt zijn, het is voor hun goedkoper een nieuw abbonement met toestel met nieuw nummer af te sluiten. Als het alleen voor bellen wordt gebruikt, is dat geen probleem. Maar dat doen we al jaren niet alleen meer. Providers in nl hergebruiken de telefoonnummers nadat ze 6 maanden niet meer gebruikt worden, dus een gebruiker heeft dus minimaal 6 maanden de tijd om overal zijn telefoonnummer aan te passen.

09-05-2021, 15:12 door Anoniem

Dit speelt ook niet als je je telefoonnummer blijft houden, dit speelt als mensen een telefoonnummer niet langer houden.

10-05-2021, 07:49 door Anoniem

Zucht.

Naast de lange lijst aan accounts (soms email-adressen) en wachtwoorden die je ergens in bij moet houden, mag je nu ook nog gaan vastleggen of je je telefoonnummer achtergelaten hebt en of het voor password-reset of mfa gebruikt/misbruikt kan worden.
Dit alles voor het geval je van nummer wisselt.

En dan maar hopen dat je lijst niet gehackt wordt.

De wereld wordt steeds complexer, en een steeds grotere groep zal dit niet meer bij kunnen houden.

Hoeveel mensen slaan hun wachtworoden wel niet op in hun browser? (laatst was er nog een 4 jarig jochie in N.Y. dat voor 2000 dollar aan ijsjes wist te bestellen, en enkele jaren terug een peuter die een echte shovel wist te bestellen in Australie of Nieuw Zeeland)
Laat staan dat mensen weten waar ze hun telefoonnummer allemaal hebben achtergelaten.

Laatst ben ik van provider gewisseld (dat gebeurd ook wel eens) en had (als ITer) de grootste moeite om op bepaalde sites mijn email-adres/account gewijzigd te krijgen. Op een paar sites zelfs een nieuw account moeten aanmaken.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer