image

Amerikaanse toezichthouder verplicht nieuwe regels tegen sim-swapping

zondag 19 november 2023, 17:42 door Redactie, 8 reacties

De Amerikaanse telecomtoezichthouder FCC heeft nieuwe regels voor telecomproviders verplicht om sim-swapping tegen te gaan. De afgelopen jaren zijn erin de Verenigde Staten vele tientallen miljoenen dollars door middel van sim-swapping gestolen. De nieuwe regels verplichten telecombedrijven om hun klanten op veilige manieren te authenticeren voordat het telefoonnummer op een nieuwe telefoon of naar een nieuwe provider wordt overgezet.

Zo moeten telecomproviders hun klanten meteen informeren wanneer er een verzoek voor een sim-swap is gedaan en moeten ze aanvullende maatregelen tegen sim-swapping nemen. "De nieuwe regels stellen minimale voorwaarden voor een uniform framework in de telecomindustrie en geeft providers gelijkertijd de flexibiliteit om de meest geavanceerde en geschikte fraudemaatregelen door te voeren", aldus de FCC (pdf).

Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken en kunnen zo bijvoorbeeld multifactorauthenticatie (MFA) codes ontvangen. Zo zijn in de VS meerdere cryptobezitters via sim-swapping bestolen. Om de sim-swap uit te voeren doen criminelen zich voor als het slachtoffer en bellen de telecomprovider om het nummer van het slachtoffer over te zetten. Ook komt het voor dat medewerkers van telecombedrijven worden omgekocht en vervolgens de sim-swap op verzoek van criminelen uitvoeren.

Reacties (8)
20-11-2023, 05:41 door Drs Security en Privacy
Werd wel eens tijd ook, deze aanvalstechniek wordt echt al jaren misbruikt.
In veel gevallen is het mobiele nummer nochsteeds de fallback optie als de 2-FA app niet werkt en daarmee alsnog kwetsbaar voor deze aanvalstechniek.
20-11-2023, 08:24 door Anoniem
The new rules require wireless providers to immediately notify customers whenever a SIM change or port-out request is made on customers’ accounts, and take additional steps to protect customers from SIM swap and port-out fraud.
Er staat in de tekst niet uitgelegd hoe een telco de klant 'direct' moet/kan waarschuwen dat er een sim-swap is uitgevoerd. Om iemand 'direct' te kunnen benaderen stuur je geen brief naar het woonadres van de klant, dat is niet snel/direct genoeg, z'n nummer kan je niet meer gebruiken vanwege de simswap, en email is volgens mij ook niet direct genoeg, maar dan toch wel de enige manier om zo 'snel mogelijk' de klant in te lichten.

ING wordt ingelicht door de mobile provider die dagelijks doorgeeft op welke mobiele nummers een sim-swap heeft plaatsgevonden,
ING kijkt of één van de doorgegeven mobiele nummers overeen komt met die van hun rekeninghouders,
indien dat het geval is, stuurt ING een sms naar het nummer dat er een sim-swap heeft plaatsgevonden en dat het rekeningnummer tijdelijk geblokt wordt om transacties uit te voeren.
Is hier goed over nagedacht door de ING, of zie ik alleen -maar beren op de weg- dat er wel eens iets fout kan gaan in deze procedure?

Iemand, enig -simpel- idee die ik over het hoofd zie, hoe je wel 'direct' contact met de klant kan opnemen, om de simswap door te geven..., waarbij de provider/bank ook 100% zeker weet contact te hebben met de klant en niet de fraudeur?
20-11-2023, 10:21 door Anoniem
Iemand, enig -simpel- idee die ik over het hoofd zie, hoe je wel 'direct' contact met de klant kan opnemen, om de simswap door te geven..., waarbij de provider/bank ook 100% zeker weet contact te hebben met de klant en niet de fraudeur?

Makkleijk: gewoon geen simswap toestaan anders dan in de winkel en verplichte identificatie.
20-11-2023, 10:31 door Anoniem
telefoon hoort helemaal niet gebruikt te worden voor identificatie. Dit is alleen maar gedaan zodat instanties je kunnen indentificeren continu. Genoeg betere/veiligere alternatieven.
20-11-2023, 15:29 door Anoniem
stuurt ING een sms naar het nummer dat er een sim-swap heeft plaatsgevonden en dat het rekeningnummer tijdelijk geblokt wordt om transacties uit te voeren.
Gaat deze sms niet naar de nieuwe eigenaar van jou telefoon nummer.

Makkleijk: gewoon geen simswap toestaan anders dan in de winkel en verplichte identificatie.
Vind ik ook maar dat is voor veel mensen blijkbaar te problematisch want dan moeten ze naar de winkel gaan.
21-11-2023, 08:48 door Anoniem
Gisteren, 15:29 door Anoniem Gaat deze sms niet naar de nieuwe eigenaar van jou telefoon nummer.
Dat is dus ook wat mij opviel, zie ing site:
https://www.ing.nl/particulier/digitaal-bankieren/mijn-ing/geen-sms-codes
Nieuwe telefoon of SIM-kaart
Heb je een nieuwe mobiele telefoon of SIM-kaart, maar je nummer wijzigt niet? Dan hanteert de ING een standaard veiligheidsprocedure. Je kunt hierdoor 12 uur geen sms-codes ontvangen en niet inloggen in Mijn ING. Je krijgt hierover vanzelf een sms-bericht van de ING. Je hoeft dus zelf niets te doen. Na 12 uur ontvang je automatisch een sms met de melding dat alles is hersteld. Je kunt Mijn ING dan weer gebruiken zoals je gewend bent.

Gisteren, 10:21 door Anoniem Makkleijk: gewoon geen simswap toestaan anders dan in de winkel en verplichte identificatie.
Ik wist dat ik iets simpels over het hoofd zag!, vond het op mn werk wel handig om het sim beheer zelf uit te kunnen voeren, maar telco's zijn wat mij betreft lichtelijk doorgeschoten dit ook mogelijk te maken voor particulier gebruik. Dan zelf mar zo verstandig zijn bij je telco aan te geven dat ze in je profiel vermelden dat een simswap alleen in de winkel (na 'goede' identificatie) mag worden uitgevoerd. De telco zou je daar eigenlijk de keuze voor moeten geven en uitleg over eigen risico/verantwoordelijkheid.
21-11-2023, 09:28 door Anoniem
Door Anoniem:
stuurt ING een sms naar het nummer dat er een sim-swap heeft plaatsgevonden en dat het rekeningnummer tijdelijk geblokt wordt om transacties uit te voeren.
Gaat deze sms niet naar de nieuwe eigenaar van jou telefoon nummer.

Makkleijk: gewoon geen simswap toestaan anders dan in de winkel en verplichte identificatie.
Vind ik ook maar dat is voor veel mensen blijkbaar te problematisch want dan moeten ze naar de winkel gaan.

Als je mobiel bent en de winkel op korte afstand is.
Binnensteden worden toch steeds meer vermaakscentra zonder fysieke winkels.
Voor ouderen is het niet gemakkelijk geworden.
21-11-2023, 12:48 door Anoniem
Door Anoniem:
Iemand, enig -simpel- idee die ik over het hoofd zie, hoe je wel 'direct' contact met de klant kan opnemen, om de simswap door te geven..., waarbij de provider/bank ook 100% zeker weet contact te hebben met de klant en niet de fraudeur?

Makkleijk: gewoon geen simswap toestaan anders dan in de winkel en verplichte identificatie.
Nee optie geven om simswap in de winkel met verplichte identificatie uit te voeren als je niet voor deze optie dan graag hiervoor tekenen zodat als het fout gaat je alleen jezelf te wijten hebt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.