Onderzoek: telefoonnummers recyclen maakt kapen accounts mogelijk
Het recyclen van telefoonnummers zoals telecomproviders doen maakt het mogelijk om accounts van de vorige eigenaar te kapen en andere aanvallen uit te voeren, zo stellen onderzoekers van Princeton University op basis van onderzoek met 259 telefoonnummers van wee grote Amerikaanse telecomproviders. De telefoonnummers waren beschikbaar voor nieuwe abonnees bij de telecombedrijven.
Van de 259 nummers bleken er 171 te zijn gekoppeld aan bestaande accounts bij populaire websites, zoals Amazon, AOL, Facebook, Google, Paypal en Yahoo. Door het nummer te kiezen zou een aanvaller vervolgens een wachtwoordreset kunnen uitvoeren. Verder waren 100 van de 259 telefoonnummers gekoppeld aan gelekte inloggegevens. Op deze manier zou een aanvaller sms-gebaseerde multifactorauthenticatie kunnen omzeilen, aldus de onderzoekers.
Die ontdekten dat negentien van telefoonnummers nog steeds security/privacygevoelige gesprekken en berichten ontvingen, zoals authenticatiecodes en herhaalrecepten voor medicatie. Nieuwe eigenaren die nietsvermoedend een gerecycled telefoonnummer krijgen en dergelijke ongevraagde gevoelige informatie ontvangen kunnen zo in "opportunistische aanvallers" veranderen, zo waarschuwen de onderzoekers.
Naast het overnemen van accounts beschrijven de onderzoekers verschillende andere aanvallen die met gerecyclede telefoonnummers mogelijk zijn, waaronder spam, denial of service-aanvallen, phishing en het verzamelen van persoonlijke identificeerbare informatie.
Volgens de onderzoekers is het belangrijk dat telecomproviders klanten bewust maken en adviseren om hun oude telefoonnummer bij hun accounts te verwijderen. Daarnaast roepen ze online aanbieders en websites op om te stoppen met tweefactorauthenticatie (2FA) via sms, of in ieder geval geen sms voor zowel wachtwoordresets als 2FA te gebruiken.
Mijn 06 nummer heb ik al vanaf dat ze net begonnen daarmee.
Langer dan 25 jaar, misschien nog wel langer.
Ik ben er dan ook zeer spaarzaam mee aan wie ik mijn nummer geef.
Dat laat zo'n dienst nooit zien, altijd alleen een paar cijfers van het nummer.
Dat laat zo'n dienst nooit zien, altijd alleen een paar cijfers van het nummer.
Hoe lang volg jij security.nl?
Dat laat zo'n dienst nooit zien, altijd alleen een paar cijfers van het nummer.
De kern van het probleem is dan met een telefoonnummer als identificatie of deel daarvan ziet, terwijl het dat gewoon niet is! Dat speelt bij het gej*nk over 'nummer spoofing' en hier weer...
Recycling is helemaal geen probleem. Het wordt alleen de zondebok!
@Anon14:03 Simpel: Google Dorks (aka Google Hacking waar je met scripts het web laat afzoeken naar in dit geval telefoon nummers)
Toevallig heeft Hak5 hier gisteren/eergisteren een heel erg net en simpel item over gemaakt op YT.
De kern van het probleem is dan met een telefoonnummer als identificatie of deel daarvan ziet, terwijl het dat gewoon niet is! Dat speelt bij het gej*nk over 'nummer spoofing' en hier weer...
Recycling is helemaal geen probleem. Het wordt alleen de zondebok!
https://haveibeenpwned.com/
De kern van het probleem is dan met een telefoonnummer als identificatie of deel daarvan ziet, terwijl het dat gewoon niet is! Dat speelt bij het gej*nk over 'nummer spoofing' en hier weer...
Recycling is helemaal geen probleem. Het wordt alleen de zondebok!
precies, je zou overigens hetzelfde kunnen zeggen van BSN, ook dat wordt belangrijker gemaakt dan het in werkelijkheid is.
Dat laat zo'n dienst nooit zien, altijd alleen een paar cijfers van het nummer.
Het enige wat hier logisch uit zou volgen is dat je zo min mogelijk gebruik moet maken van 2nd factor mogelijkheden
die dergelijke bedrijven je opdringen. Wat ik ook inderdaad nooit doe.
Dit heeft daar niets mee te maken.
Mijn 06 nummer heb ik al vanaf dat ze net begonnen daarmee.
Langer dan 25 jaar, misschien nog wel langer.
Ik ben er dan ook zeer spaarzaam mee aan wie ik mijn nummer geef.
Tja jij bent al zo oud, in de nieuwe wereld wisselen mensen nog sneller van telefoon en nummer dan het ondergoed dat ze dragen.
De kern van het probleem is dan met een telefoonnummer als identificatie of deel daarvan ziet, terwijl het dat gewoon niet is! Dat speelt bij het gej*nk over 'nummer spoofing' en hier weer...
Recycling is helemaal geen probleem. Het wordt alleen de zondebok!
Dat heb je goed gezien!
Mijn 06 nummer heb ik al vanaf dat ze net begonnen daarmee.
Langer dan 25 jaar, misschien nog wel langer.
Ik ben er dan ook zeer spaarzaam mee aan wie ik mijn nummer geef.
Tja jij bent al zo oud, in de nieuwe wereld wisselen mensen nog sneller van telefoon en nummer dan het ondergoed dat ze dragen.
Ik ben begonnen met zo een pieper aan je riem. Ik weet de naam niet meer precies.
Dan moest je eerst naar een telefooncel lopen met kwartjes (25 cent) of een belkaart om terug te bellen op het nummer wat daar op binnen kwam.
Toen een soort van een eigen GSM systeem van KPN wat vij kort daarna weer werd afgeschaft en vervangen door GSM.
Een vaste lijn kon je alleen bij KPN aanvragen met een huur telefoon. Was vrij duur.
Een vaste lijn kon je alleen bij KPN aanvragen met een huur telefoon. Was vrij duur.
Was dat toen al KPN? De naam KPN (Koninklijke PTT Nederland) is pas in '89 opgericht. Zelf heb ik mijn mobiele nummer sinds '97. De naam KPN voor het moederbedrijf bestond toen al een tijdje, maar richting consument werd nog steeds de naam PTT gebruikt. (Dit stond op de telefoon en gebruiksaanwijzing)
Ik denk dat de naam KPN richting consument pas in '98 gebruikt werd, toen de naam van het moederbedrijf veranderde in "Koninklijke KPN Nederland". (Een totaal foute naam omdat de K uit KPN ook al voor koninklijk staat)
Maar terug naar het probleem. Dit is wel een lastig te misbruiken iets. Zelfs al weet je als crimineel dat een account aan een vrijgegeven nummer gekoppeld is, dan zal het lastig zijn om zelf dat nummer te krijgen. En als dat nummer al uitgegeven is, is het lastig die persoon te vinden die dat nummer nu heeft. En dan moet je hem ook nog over te halen tot criminele acties.
Het echte risico is dat diegene die dit gerecyclede nummer heeft en af een toe een sms krijgt, op het idee komt hier misbruik van te maken. Dan komen echter heel veel kleine kansen bij elkaar. Misbruik op deze manier zal zeldzaam blijven.
Dat had ik dan ook even duidelijk moeten maken. Vergeten.
Ik had voor de jongeren al beschreven hoeveel een kwartje was.
Dat was voor jou ook niet nodig geweest, denk ik.
En anders had een ander het misschien wel gevraagd, wat is nou weer een kwartje.
Ik heb het trouwens nog steeds soms over kwartjes, dubbeltjes of een stuiver.
En toch zult u gelukkig zijn volgens professor Klaus Schwab en zijn WEF-adepten.
Nou we zullen het gaan beleven, reken maar uit in bitcoins.
luntrus
Ik betrap me er zelf ook nog op, terwijl er niet eens een munt van 25 eurocent is.
OT: Nu ik over de naam KPN nadenk, klopt er meer niet aan. De P komt uit het stukje 'Post' van de PTT. En juist dat onderdeel uit de oude PTT zit niet meer bij de KPN.
Overigens is de 'echte' betekenis van de afkorting PTT: Putje graven, Tentje bouwen, Tukkie doen. (Toen waren de medewerkers nog rasechte ambtenaren)
Mijn 06 nummer heb ik al vanaf dat ze net begonnen daarmee.
Langer dan 25 jaar, misschien nog wel langer.
Ik ben er dan ook zeer spaarzaam mee aan wie ik mijn nummer geef.
Naast de lange lijst aan accounts (soms email-adressen) en wachtwoorden die je ergens in bij moet houden, mag je nu ook nog gaan vastleggen of je je telefoonnummer achtergelaten hebt en of het voor password-reset of mfa gebruikt/misbruikt kan worden.
Dit alles voor het geval je van nummer wisselt.
En dan maar hopen dat je lijst niet gehackt wordt.
De wereld wordt steeds complexer, en een steeds grotere groep zal dit niet meer bij kunnen houden.
Hoeveel mensen slaan hun wachtworoden wel niet op in hun browser? (laatst was er nog een 4 jarig jochie in N.Y. dat voor 2000 dollar aan ijsjes wist te bestellen, en enkele jaren terug een peuter die een echte shovel wist te bestellen in Australie of Nieuw Zeeland)
Laat staan dat mensen weten waar ze hun telefoonnummer allemaal hebben achtergelaten.
Laatst ben ik van provider gewisseld (dat gebeurd ook wel eens) en had (als ITer) de grootste moeite om op bepaalde sites mijn email-adres/account gewijzigd te krijgen. Op een paar sites zelfs een nieuw account moeten aanmaken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
