Hmm...

Het feit dat er een SIM-swap heeft plaatsgevonden geeft al aan dat het een specifieke aanval op een persoon was.
Daar kan je als provider gewoon niet tegenop.

Terechte uitspraak denk ik.

Wel ben ik benieuwd naar wat dat "expert onderzoek" nou inhoud...

Met de wetenschap dat deze gegevens van waarschijnlijk zeer veel mensen op straat liggen mogen die niet meer
gebruikt worden voor identificatie. Dus ze hebben wel degelijk verzuimd, helaas zijn de rechters mijn inziens niet
meer voor een rechtssysteem.

Volgens mij levert T-mobile geen authenticatie diensten. Dat je je telefoon daar wel voor gebruikt is prima, maar niet het pakkie-an van T-mobile. Hoe vervelend ook... maar die uitspraak is niet meer dan terecht - eindelijk weer eens een beetje normaal doen met 'aansprakelijkheid'.

Overigens is het ook wel erg makkelijk om een 'sim swap' te doen. De meeste data is redelijk publiek. Geboortedatum is vrij makkelijk te vinden als je ooit een huis gekocht hebt (kadaster) of ZZPer ben (kvk). Het rekeningnummer is iets lastiger, maar aan de andere kant... als je al bij de mail kunt... en email is altijd veilig, dat kan de bank ook prima gebruiken. Toch?

Typisch gevolg van 'alles digitaal'. Dat schijnen we met z'n allen graag zo te willen. Ofzo.

Toch een vreemde uitspraak.
Een van de controle vragen wordt niet correct beantwoord en toch wordt de sim swap uitgevoerd.

Gekke vraag maar zouden ze niet naar het oorspronkelijke nummer kunnen bellen om te kijken of iemand opneemt?

Eigenlijk zou men in geval van niet-deugdelijke authenticatie (dat is dus altijd als je het telefonisch afhandelt) de vervangende
SIM alleen fysiek moeten opsturen naar het reeds bekende adres, dus niet de mogelijkheid aanbieden om de swappen
naar een opgegeven SIM nummer ("blanco SIM").
De post is toch weer een extra drempel, kan uiteraard ook onderschept worden maar dat is toch weer een extra factor,
zeker voor aanvallers die niet in de buurt wonen.

Heeft een gebruiker eigenlijk de optie om dit protocol te disablen?

Ja, dat is inderdaad een hele simpele methode en daar zullen de meeste criminele verzoeken ook wel op struikelen.

Daar struikelen ook heel veel normale mensen op die het nummer van hun verloren of verdronken telefoon willen houden.

Als je contact op neemt met Vodafone sturen ze één sms-berichten met een code en daar wordt naar gevraagd, zo
iets hangt me bij.

90 % een terechte uitspraak maar de laatste controle vraag was niet correct beantwoord.

Daarin tegen kan ik mee voorstellen dat de meeste mensen niet hun laatste factuur actief checken.

een controle vraag zou mogelijk het sofi nummer kunnen zijn

Maar iemand die gericht iemand wil hacken kan hier ook simpel achter komen

Bijzonder. T-Mobile lijkt me hoer toch ten delen verantwoordelijk. De rest van de schuld ligt bij die idioten die sms als 2 staps verificatie methode aanbieden.

Je moet wel het hele verhaal lezen.

Dat boeit toch niet? Op het moment dat die vraag naar boven komt kunnen ze de factuur of bankafschrijving er bij pakken
en het bedrag op de cent nauwkeurig noemen. Kunnen ze dat niet dan is de controlevraag niet goed beantwoord, de
persoon niet geauthenticeerd, en wordt de sim swap geweigerd.

Maar ja, dan belt de klant naar KASSA of RADAR om te vertellen dat die hufters van T-Mobile hem niet eens hielpen
om zijn gestolen telefoon af te handelen. En dat wil T-Mobile ook niet.

Eens in theorie en 9 van de 10 keer gaat het goed . Maar je zult altijd net en moment van verminderde aandacht hebben

“Een precies bedrag weet ik niet maar het is altijd rond de 25 euro” is net zo een antwoord waar in de meeste gevallen mensen niet verder naar gaan vragen 9 keer gaat het goed 1 keer gaat het fout.

De t-mobile medewerker had moeten doorvragen als het een beginner is dan is een berisping op zijn plaats en ervaren medewerker zou ontslagen moeten worden.

Let wel dat een iets slimmere aanvaller de laaste factuur gegevens ook ter beschikking zou hebben. dit is makkelijk via de t-mobile portal van het slachtoffer op te vragen als je toegang hebt tot de portal,

Die waren zo te lezen bezorgder dat de telefoon rekeningen omhoog gaan als T-Mobile hiervoor aansprakelijk gesteld zou worden.

Ik heb een keer een defecte sim gehad en ben toen naar een fysieke winkel gegaan. Daar werd mijn ID gecontroleerd en werd de swap uitgevoerd in de winkel zelf. Dat voor de gek houden lukt misschien als je een lookalike hebt en een ID kaart steelt maar dat zal gewoonlijk niet lang onopgemerkt blijven.

Dit laat maar weer zien dat een beetje rondneuzen op internet al genoeg antwoorden op de controlevragen oplevert om ze te omzeilen. Dit is echt een te zwakke vorm van authenticatie en zou moeten worden vervangen door iets als een OTP code.
Ik vind de uitspraak van de rechter dan ook opmerkelijk. Hier is echt een groot probleem en de rechter laat T-Mobile er mee wegkomen door de schuld het deel van de te schuld die T-Mobile wel heeft weg te wuiven.

En dit is de enigste weg hoe het moet gaan, zijn er te weinig winkels moeten ze er maar meer openen dan verdienen
maar wat minder.

Goede vraag. Zou een mogelijkheid horen te zijn.

Combinatie bankpas van de rekening en ID kaart bij een fysieke winkel is een optie maar dan kom je op het punt moet je 1 medewerker zo'n swap uit laten voeren. Tussen haakjes als de dief toegang had tot de klantportaal van T-Mobile had hij waarschijnlijk zelf een sim wissel kunnen aanvragen zonder tussenkomst van een medewerker. Feit blijft SMS en bel opties zijn niet de meest veilige vorm van Multi Factor Authentication Je zou je zelfs afkunnen vragen of een app op een telefoon dat nog wel is met alle zooi die mensen installeren zonder enige vorm van EDR op hun toestel. Verbaast me ook nog steeds dat er banken zijn die alleen via een app laten inloggen op de bank website.

Ja dat kan , je kunt een wachtwoord instellen bij t-mobile voor wijzigingen van je SIM kaart
Er wordt door t-mobile dan gevraagd naar je wachtwoord

Dat is m.i. de veiligste methode voor het overzetten van telefoonnummers: authenticatie in levenden lijve middels een geldig identiteitsbewijs.

Online authenticatie middels persoonsgegevens, die notabene T-Mobile zelf lekt bij de vleet, is idioot. Vooral in de VS is het vaak "raak", maar in januari lekte ook T-Mobile dochter "Ben" (of moet dan "zoon" schrijven?) nog IBAN-nummers (https://tweakers.net/nieuws/205794). En natuurlijk werden niet alleen IBAN-nummers gelekt (daar heb je niks aan, sterker, die kun je zelf bedenken of genereren - maar dan weet je nog niet wie de eigenaar van de banktekening is).

Ook de Autoriteit Persoonsgegevens waarschuwde er vandaag nog voor dat van de meeste -zo niet alle- Nederlanders persoonsgegevens zijn, of binnenkort worden, gelekt (waarna deze via bijv. Telegram of het dark web gekocht kunnen worden).

Wat T-Mobile op z'n minst zou kunnen vereisen is dat, als je niet naar de winkel kunt of wilt, je een SIM-swap kunt aanvragen na te zijn ingelogd op jouw T-Mobile webaccount (ik raad overigens elke T-Mobile 06-nummer-bezitter aan om zo'n account aan te maken, anders is het voor een dief van jouw telefoon relatief eenvoudig om dat te doen).

Helaas gaan T-Mobile en beveiliging slecht samen.

Een T-Mobile webaccount kun je, desgewenst, beveiligen met 2FA, waarbij je kunt kiezen voor (overgenomen van de website):

Als je voor SMS kiest, kun je kiezen uit jouw eigen mobiele nummer (dat is vóór-ingevuld) of een ander telefoonnummer naar keuze. Ik zie geen enkele waarschuwing dat je hier niets mee opschiet als jouw telefoon gestolen is en SMS'jes op jouw vergrendelde scherm verschijnen. En als een dief jouw scherm kan ontgrendelen, ben je ook met een TOTP-code het haasje (indien de app geen aanvullende toegangscode nodig heeft).

Een voordeel (?) van het aanzetten van 2FA op een t-mobile.nl account is dat je, via 4G/5G, niet meer automatisch (zonder wachtwoord) kunt inloggen (maar dat vond ik eerder dit jaar toch al geen goed idee - omdat toen tijdelijk naar http werd geswitched, zie https://security.nl/posting/787703 - of dit nu nog zo is heb ik vanavond niet getest).

Op de pagina voor wachtwoord-wijzigen van t-mobile.nl zie ik onder meer:
Getest: Welkom0! vindt T-Mobile een sterk wachtwoord, en ik kon daadwerkelijk dit wachtwoord in gebruik nemen...

Na (verplicht) opnieuw daarmee inloggen, wilde ik mijn oude (20 karakters lange door Keepass random gegenereerde) wachtwoord terugzetten - maar dat mocht niet: te onveilig. Er zit namelijk geen symbool in - terwijl nergens staat dat dit verplicht is...

Dat er geen symbool in zit klopt, dat had ik destijds, toen ik mijn account aanmaakte, uitgezet omdat de T-Mobile website nauwelijks symbolen accepteerde (een wachtwoord zonder symbolen mocht toen nog wel). Dus vervang ik nu 1 letter door een '~', maar dat symbool mag ik niet gebruiken. Ook een '|' mag niet. Ah, wel een komma... Waarom vervangen ze dat eerdergenoemde reeksje !@#$... niet door alle toegestane symbolen?

Een alternatief voor veiliger SIM-swappen zou een shared secret kunnen zijn; in de VS kun je daar een PINcode voor instellen (ingelogd op https://www.t-mobile.nl kan ik niets vinden over zo'n extra beveiliging).

Niet dat dit veel helpt, bijvoorbeeld uit https://www.zdnet.com/article/how-i-survived-a-sim-swap-attack-and-how-my-carrier-failed-me/:

Conclusie: jouw 06-nummer is geen "honkvast" authenticatiegegeven. Zodra criminelen vermoeden dat er bij jou wat te halen valt via dat nummer, is het binnen de kortste keren niet meer aan jouw telefoon gekoppeld, maar aan een mobiel van één van hen. Met moeite en veel geluk krijg je 500 Euro van T-Mobile voor de door hen gemaakte fout (en een rechter gaat je niet helpen).

Los van T-Mobile: Authy is alleen al vanwege SIM-swap-attacks geen goed idee, want een wachtwoord-reset voor toegang tot de back-up van jouw TOTP-secrets vindt plaats via uitsluitend (je raadt het al) een SMS (zie https://authy.com/phones/reset/?proceed=true). In https://security.nl/posting/796707 vind je meer info over Authy en (veiliger) alternatieven.

dus als ik geen BSN of klant nummer hoef door te geven dan, eh ?
slechte zaak ,dat wel.

Daarom is het zo ontzettend belangrijk dat je je e-mail account goed beschermt. En helaas is 2 factor op e-mail (IMAP/POP3) een lastig ding. Enige wat in de buurt komt van veilig is protonmail. In een mailbox is namelijk zoveel informatie terug te vinden. Alles waar T-Mobile naar vraagt valt daar zeer waarschijnlijk wel uit te halen. Crypto transacties staan erin, bankrekeningnummers, geboortedata vast ook wel ergens. Dus als je toegang hebt tot een mailbox en a.h.v. de transacties concludeert dat er iets te halen valt, dan ga je daar wel even extra wat moeite voor doen. En e-mail als 2e factor is natuurlijk een wassen neus.

Zoals ik al zei: als ze nou beginnen met een vervangende SIM alleen fysiek naar het reeds bekende adres van de
klant te sturen ipv het nummer over te zetten op een blanco SIM (al dan niet in een winkel) dan heb je al weer een
hoop extra veiligheid.

Wat het voornaamste is wat ontbreekt in dit soort gevallen is een mogelijkheid in je account op de "mijn blablabla"
site om je vereisten op dit gebied in te stellen. "bij diefstal na telefonisch contact oude sim blokkeren en nieuwe
opsturen" is dan een van de opties. Of je kunt kiezen uit verschillende nivo's van veiligheid/gemak combinaties
waar dit soort dingen dan onder vallen.

Want wat je nu ziet, niet alleen bij T-Mobile maar ook bij banken enzo, is dat men regelmatig het beleid aanpast in
de richting "minder veilig maar wel gemakkelijker" waarbij je als klant geen enkele mogelijkheid hebt om te zeggen
"nee doe maar niet, laat maar zoals het was". Bijvoorbeeld de bank voert ineens in dat je een nieuw wachtwoord
voor je telebankieren niet meer per post krijgt maar per SMS. En als je dan protesteert zegt de klantenservice
botweg "u kunt uw rekening opzeggen als u het er niet mee eens bent".
Dat zou beter kunnen.

Wolla broer, iek moet jou ID en jouw adres tsjecken .

Zoals ook al eens gebleken is - dan leg je een hoop security bij de "veilige" terminal in de winkel, en al het personeel/ex personeel/matties dat bij die winkel PC/terminal kan waarmee de nummer swap gedaan wordt.

Dat is ook wel spectaculair misgegaan, met wel/geen veroordeling voor de verdachte omdat "iedereen" het password wist in de winkel .
Beveiligen van een centrale support afdeling is ook niet simpel, maar dan is het wel wat makkelijker om de handeling, de werkplek, en de support agent die het uitvoert vrij strak aan elkaar te koppelen. En met een audit log (voice record, of tickets) van het verzoek dat reden was voor de swap .

Je security perimeter voor mutaties leggen bij honderden winkeltjes (vaak zelfstandige franchisers) met minder controleerbare toegangs procedures (fysiek en IT) - minder controleerbare afhandeling van het 'support verzoek' is niet altijd de beste ruil.

Ik zou denken dat JUIST op dit forum van privacy nerds de gedachte "anonieme prepaid, dan weet niemand waar het huis woont van mijn belangrijke telefoonnummer" ook wel opduikt.

Denkend aan zo'n crypto meneer die thuis mocht kennismaken met een black&decker op z'n knieschijven kun je ook echt wel reden hebben om het huisadres van je fallback telefoonnummer niet nodeloos te delen enorm veel afdelingen van je mobiele operator.

Ook zonder zo'n usecase - prepaids hebben nu juist GEEN bekend klant adres, en dat is ook wel een feature.

Een sim swap betekent dat je een nieuw simkaart zou krijgen, TMobile zou die dan moeten opsturen naar het bij hen bekende adres van de gebruiker....dus is die niet direct in bezit van een fraudeur....als T Mobile het nummer overzet naar een kaart die de beller toevallig reeds in bezit heeft....dan is dat een lekke procedure. Overigens logisch dat de schade verder voor de gebruiker is, dat kun je de provider niet aanrekenen.

Je hebt gelijk dat ook dat niet perfect veilig is.

Maar dan hebben we het wel over criminele medewerkers, terwijl het in het geval van de door de redactie beschreven zaak gaat om misleiding van medewerkers - waarbij de pakkans van de feitelijke crimineel verwaarloosbaar is.

Ik weet het niet zeker, maar vermoed dat het aantal frauduleuze online SIM-swaps vele malen groter is dan "aan de toonbank". Oplichters met valse identiteitsbewijzen verwacht ik ook niet vaak in winkels - waar over het algemeen veel beveiligingscamera's hangen.

Maar inderdaad (zoals ik ook in https://www.security.nl/posting/792391/Authenticatie+en+impersonatie schreef): een voorwaarde voor betrouwbare authenticatie is altijd dat je alle verifieerders kunt vertrouwen.

Als slachtoffer maakt het niet echt uit of het nu een medewerker, ex-medewerker of misleide medewerker is waardoor de swap actie gebeurd is.

Het punt is dat , wanneer je als virtuele security-proces-architect aan één knop draait, in de realitische situatie de threat/crimineel zich aanpast en helemaal niet verplicht is om de aanval te blijven richten op de voormalig zwakke schakel die je verbeterd hebt .

De deur waardoor de inbreker binnenkwam dichtmetselen wil niet zeggen dat je "inbraak" opgelost hebt .

Een belwinkel medewerker kan , eventueel, ook ge-social engineered worden om een stapje in het proces van z'n training maar te negeren.
Gaat ie rollator-oma terug naar huis storen voor een paspoort dat ze niet (meer) heeft, of is d'r bankpasje ook wel goed voor 'controle' ?
Is decolletée meisje dat net d'r single is want d'r vriendje is er vandaar met telefoon en IND kaart , wie wil daar niet lief voor zijn.
Je ex collega , die doet het even zelf want de winkel is druk

De fameuze evil-maid schoonmaker doet het na sluitingstijd op de winkel PC .

je hebt een hele keten van systemen waarlangs zo'n mutatie-verzoek (sim swap) moet gaan :
de werkplek waar een geauthoriseerde medewerker de mutatie op invoert .
En nadat die medewerker "ervan overtuigd is" dat het een valide verzoek is van degene die het verzoek mag doen (nl de eigenaar van het nummer) .

In dat proces moet die "werkplek" technisch veilig zijn (zodat malware geen mutaties kan maken) , moet de authenticatie/authorisatie van die trusted medewerker op orde zijn (zodat buitenstaanders, schoonmakers, ex-medewerkers etc niet kunnen inloggen als de trusted medewerker )

Moet het 'overtuigen van de medewerker dat het verzoek valide is' een kloppende procedure zijn
En moet de 'trusted medewerker' die procedure altijd zonder uitzonderingen strikt volgen .

En moet het geheel zodanig zijn dat je klanten ook niet massaal weglopen of je tent meteen failliet is.
Eisen dat je klanten naar je centrale bunker in Leeuwarden komen , waar ze eerst ondervraagd worden door voormalige Mossad agenten en afname van biometrie kenmerken en controle van twee government-issued IDs hun sim swap goedgekeurd wordt - al je concurrenten hopen dat je dat gaat doen. Maar je hebt wel een heel veilig sim-swap proces.

Het zijn een hoop schakels.
(en dan heb ik maar aangenomen dat de centrale servers, en hun beheerders echt de sterkste schakels zijn )


De technische en operationele veiligheid van PCtjes/terminals in typische retail winkels zoals belwinkels is erg lastig om op een hoge standaard te krijgen . (echt een gevalletje geel briefje naast het toetsenbord) .
En zowel de persoonlijke integriteit van personeel als de 'security mindset' is ook niet heel makkelijk om 'overal' "hoog genoeg" te krijgen - als je moet werken in een wat marginaal retail segment.


Dat valse ID is alleen nodig wanner de medewerkers integer zijn, het controle proces strikt volgen, en de magische terminal in "alle" winkels erg veilig.
De crimineel kan er ook een wegwerp hulpje voor gebruiken; Of zelf weg zijn (met het geld) als er na een maand of tien misschien een keer een opsporing verzocht grijs beeld getoond wordt.

Ik heb er ook geen statistiek van - maar het zou alleen relevant zijn als gebruik (winkel-swap of callcenter swap) vergelijkbare aantallen zijn.
Zou mooi zijn als er één operator is die alleen winkel-based werkt, en een vergelijkbare operator die 'callcenter based' werkt.


yep.
In persoonlijke integriteit, in deskundigheid mbt tot het goed uitvoeren van de verificatie, en de systemen waarmee ze werken.

En de keuze om veel mutatie-rechten/verantwoordelijk te beleggen in vele honderden winkeltjes - met als doel 'dan kan een medewerker een officieel ID bekijken' - wil niet meteen zeggen dat 'het mutatie proces' dan veiliger geworden is.

Password - Password Admin - Admin

Lekker veilig dat wel en gemakkelijk te onthouden op de schaal van Richter.

Hoe veel per jaar schade zal men door onveilig werken per jaar dienen af te tikken
of willen verhalen op de gemeenschap?

Flink deel van de Graai-o-Flatulentie, denk ik.
Prrrrrrt, wij verdubbelen de prijzen
en dan dat mooie prentje van die alles verpletterende olifant.

Geef me dan maar die oude vertrouwde bankloper.
Hij was een beetje lichtelijk gestoord, maar de bank zette wel op hem in als op een ouwe heilige.

De goudeerlijke asperger of de ongescreende VOG-loze hosslende kansparel?
Read my lips, mark my words. You ain't seen nothing yet.

#webproxy

Het grootste probleem met internet fraude is dat je niet weet wie hier achterzit in een winkel weet je wie
je heeft geholpen, dit wordt volgens mij geregistreerd maar als dat in alle winkels gebeurd weet ik niet.

Volgens mij is de grote verwarring dat jij bij "winkel" denkt aan zo'n poenig pand met groot een merknaam erop op een
A-locatie in de stad, terwijl de harde werkelijkheid is dat het in de wat mindere wijken van de stad uitpuilt van de
"belwinkels" waarvan het totaal onduidelijk is wat er gebeurt.

Kijk als iemand een simkaart gaat aanvragen bij die belwinkels die jij bedoelt kun je inderdaad om problemen
vragen, maar ik bedoel die bekende winkels en volgens zijn die er genoeg.

Huh ?

Als IK een mattie in een winkeltje JOUW nummer laat swappen, dan weet jij toch verder niet wat er waar gebeurd is ?

Sorry hoor maar die auth vragen over de chat gaan natuurlijk nergens over. Maar het geeft wel aan dat we af moeten van een sms'je van je bank. Doe maar OTP overal, ook ipv DigID en eherkenning

Een regel uit een toespraak van omtzigt “ abstracte modellen en bestuurders die zijn verdwaald in technologische politiek zonder visie". Dit zegt toch genoeg en daarbij is het een dwangregering iedereen moet mee kunnen met
hun visie als je wel of niet wil. Het is toch te gek dat je zelf kosten moet maken om met deze regering te mogen
communiceren. Hoe voelt het trouwens weer aan, een regering voor mensen, ik weet het niet meer maar wij
mogen serieus eens gaan na denken. En die verwachte reacties dat iedereen een smartphone heeft is niet
waar.

https://nos.nl/artikel/2478361-omtzigt-pleit-bij-start-tour-voor-stille-revolutie-zwijgt-over-politieke-toekomst