X-account Ethereum-oprichter Vitalik Buterin gekaapt via sim-swapping
Het X-account van Ethereum-oprichter Vitalik Buterin, dat afgelopen weekend werd gebruikt voor een aanval waarmee 691.000 dollar werd gestolen, kon door middel van sim-swapping worden gekaapt. Dat heeft Buterin zelf bekendgemaakt. De computerprogrammeur en schrijver is onder meer mede-oprichter van Ethereum en Bitcoin Magazine.
Afgelopen zaterdag werd via het X-account van Buterin een bericht geplaatst dat linkte naar een zogenaamde speciale, gratis non-fungible token (NFT). Hiervoor moesten slachtoffers wel eerst hun cryptowallet aan het project koppelen. De link was door een aanvaller verstuurd, die vervolgens 691.000 dollar aan crypto van slachtoffers buitmaakte. Op Warpcast laat Buterin weten dat zijn T-Mobile-account door middel van sim-swapping was gestolen.
Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken en kunnen zo bijvoorbeeld MFA-codes ontvangen. Om de sim-swap uit te voeren doen criminelen zich voor als het slachtoffer en bellen de telecomprovider om het nummer van het slachtoffer over te zetten. Ook komt het voor dat medewerkers van telecombedrijven worden omgekocht en vervolgens de sim-swap op verzoek van criminelen uitvoeren.
Buterin hekelt het feit dat alleen een telefoonnummer voldoende is voor het resetten van een Twitter-account, zelfs als het niet voor tweefactorauthenticatie wordt gebruikt. Ethereum-ontwikkelaar Tim Beiko adviseerde zijn volgers op X om een telefoonnummer volledig uit het X-account te verwijderen en 2FA toe te voegen.
Geen telefoonnummer, geen e-mail adres, geen geboortedatum, helemaal NIKS staat er in mijn account behalve een accountnaam en naam.
Je mag toch verwachten dat een IT'er dan alle alarmbellen heeft rinkelen in zijn achterhoofd. Het is zorgwekkend dat zelfs mensen die zo diep in de technology zitten erin stinken.
Hoe gaan we dit aan "normale" mensen uitleggen als een probleem en hoe kunnen we voorkomen dat ze slachtoffer worden.
Je mag toch verwachten dat een IT'er dan alle alarmbellen heeft rinkelen in zijn achterhoofd. Het is zorgwekkend dat zelfs mensen die zo diep in de technology zitten erin stinken.
Hoe gaan we dit aan "normale" mensen uitleggen als een probleem en hoe kunnen we voorkomen dat ze slachtoffer worden.
Zo vaak dat er misbruik van wordt gemaakt, nogal slordig van providers tov hun klanten.
Zo vaak dat er misbruik van wordt gemaakt, nogal slordig van providers tov hun klanten.
Helemaal eens, telecomproviders zijn een cybersecurity ramp, Komt ook omdat het ws. geen geld mag kosten (consumentenproduct). Wanneer worden telecomproviders nu eens hard aangepakt?
Je mag toch verwachten dat een IT'er dan alle alarmbellen heeft rinkelen in zijn achterhoofd. Het is zorgwekkend dat zelfs mensen die zo diep in de technology zitten erin stinken.
Hoe gaan we dit aan "normale" mensen uitleggen als een probleem en hoe kunnen we voorkomen dat ze slachtoffer worden.
Wie zegt dat de slachtoffers ITers zijn ?
Je denkt toch niet 'crypto hebben' nog steeds betekent "zit diep in de IT ?" ?
Gewoon hipsters die ook "in de crypto" zitten en dan meteen iets doen als een bekendheid iets zegt of belooft .
John de Mol heeft nog hard geprocedeerd tegen facebook omdat allerlei nep-advertenties met zijn kop erbij ook dat soort onzin beloofden .
Hier was het dan het 'echte' account van iemand , maar de belofte was dubieus en de vraag om jouw crypto bezit te koppelen aan iets had verdacht moeten zijn.
Geen telefoonnummer, geen e-mail adres, geen geboortedatum, helemaal NIKS staat er in mijn account behalve een accountnaam en naam.
Ik vermoed dat dit soort sms swapping nog wel vaker voor gaat komen. Aangezien die big tech bedrijven overal alles koppelen met sms verificatie codes. Kwestie van tijd voor van die hackers een creatieve methode bedenken zoals hier om de sim te klonen of te swappen zoals hier het geval is. Met die sim kun je in princiepe nagenoeg al zijn accounts die eraan gekoppeld zijn het wachtwoord resetten.
Etc. We hebben tijdens de pandemie gezien welke middelen de overheid bereid was om in te zetten om iedereen inclusief artsen en wetenschappers met een onwelgevallige mening de mond te snoeren en zelfs te willen vervolgen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!