image

Mobiele nummer bitcoinbezitters overgenomen door criminelen

maandag 28 augustus 2017, 10:00 door Redactie, 14 reacties

Tientallen eigenaren van bitcoin en andere cryptocurrency zijn de afgelopen maanden het doelwit geworden van criminelen die hun mobiele nummer overnamen om zo toegang tot belangrijke accounts te krijgen. Een van de slachtoffers verloor 150.000 dollar, zo laat de New York Times weten.

De criminelen bellen telecomproviders op en doen zich voor als de bitcoinbezitter waar ze het op hebben gemunt. Via social engineering proberen ze vervolgens het mobiele nummer over te nemen en op een toestel te zetten waar zij de controle over hebben. Via het mobiele nummer kunnen vervolgens wachtwoorden van allerlei accounts worden gereset. "Van iedereen die ik op het gebied van cryptocurrency ken is het telefoonnummer gestolen", zegt bitcoin-ondernemer Joby Weeks. Hij zou op deze manier een miljoen dollar aan digitale valuta zijn verloren.

De aanvallers lijken zich te richten op iedereen die op social media praat over het bezitten van cryptocurrency en personen die bekend staan om het investeren in cryptocurrency-bedrijven, zoals durfinvesteerders. De Amerikaanse toezichthouder FTC liet vorig jaar weten dat het melding van bijna 2700 slachtoffers had ontvangen van wie het mobiele nummer was overgenomen. Telecomproviders bieden wel opties om de accounts van klanten beter te beschermen, zoals een pincode. Er zijn echter ook gevallen bekend waarbij werknemers via social engineering werden verleid om het mobiele nummer zonder de benodigde pincode toch op een ander toestel te zetten.

Reacties (14)
28-08-2017, 10:11 door Anoniem
Het is kennelijk vrij eenvoudig om iemand zijn telefoonnummer te ontfutselen, zozeer zelfs dat het gebrek aan robuustheid in SS7 vooralsnog minder een probleem is.

Op zich is dat al interessant, maar het geeft ook aan dat "beveiligingsmaatregelen" als het vereisen van een telefoonnummer stoelen op aannames die kennelijk niet opgaan. Zoals hier de gedachte dat een mobiel nummer belangrijk voor je is en je er dus wel zuinig op zal zijn. Leuk gedacht, maar daar hebben criminelen lak aan, dus die motivatie voegt geen veiligheid toe, maar legt wel extra druk op de accounthouder (en wellicht aanstaand slachtoffer).

Dit is dus een denkfoutje, in zekere zin vergelijkbaar met de denkfout die je terugziet bij voorstanders van biometrie. Denk maar na waarom.

Of liever, het is niet zozeer een denkfout, het laat zien dat (in beide gevallen) de motivatie voor die "beveiliging" er niet is voor de accounthouder, maar om de andere partij uit de wind te houden. "Voor uw en onze veiligheid" is dus minus het "uw en", terwijl het meestal wel de accounthouder extra werk en rompslomp kost. Slim he?
28-08-2017, 10:43 door [Account Verwijderd]
Nummer behoud met een nieuwe simkaart beveiliging!
1 (EEN) e-mail naar het bij de vorige provider bekende e-mailadres.

Soms nog een SMS van de oude provider,
maar als die foon alleen maar actief gebruikt wordt in speciale gevallen dan zie je die ook niet.
28-08-2017, 11:31 door Briolet
Dat is dan het einde van een betrouwbare factor-2 autenticatie via het versuren van een code via sms.

Dan is de Google Authenticator toch een zekerder methode. Bij de Google Authenticator moet de code echt door dat ene apparaat aangemaakt zijn.
28-08-2017, 11:51 door Anoniem
Door Briolet: Dat is dan het einde van een betrouwbare factor-2 autenticatie via het versuren van een code via sms.
En een nieuw "begin" in de nep-discussie papieren ING TAN codes versus die per SMS.
28-08-2017, 12:06 door Anoniem
Door Briolet: Dat is dan het einde van een betrouwbare factor-2 autenticatie via het versuren van een code via sms.

Dan is de Google Authenticator toch een zekerder methode. Bij de Google Authenticator moet de code echt door dat ene apparaat aangemaakt zijn.

Dat is het al jaren. SMS is jaren geleden al gehacked via het GSM signaal. Kost ongeveer 1000 euro en je kunt zendmasten kapen. Echt, dat bedrijven nog steeds roepen dat 2 factor met SMS veilig is, zijn achterlijk. Daarom heb ik dat nog nooit dat aangezet, en heb ik zeker nog nooit een 06 achter gelaten. Alle diensten die een 06 nodig achten om te kunnen werken zijn onveilig.

http://securityaffairs.co/wordpress/31262/hacking/flaws-ss7-protocol-spy-on-phone.html
https://fedotov.co/ss7-hack-tutorial-software/

TheYOSH
28-08-2017, 12:42 door Anoniem
Door Anoniem:
Door Briolet: Dat is dan het einde van een betrouwbare factor-2 autenticatie via het versuren van een code via sms.
En een nieuw "begin" in de nep-discussie papieren ING TAN codes versus die per SMS.

Wat? Maar je hebt toch een aparte telefoon voor de TAN codes? En een aparte telefoon voor je andere bank? En een aparte telefoon voor je digid? Vul maar in, verder.
28-08-2017, 14:07 door Anoniem
Door Anoniem:
Door Anoniem:
Door Briolet: Dat is dan het einde van een betrouwbare factor-2 autenticatie via het versuren van een code via sms.
En een nieuw "begin" in de nep-discussie papieren ING TAN codes versus die per SMS.

Wat? Maar je hebt toch een aparte telefoon voor de TAN codes? En een aparte telefoon voor je andere bank? En een aparte telefoon voor je digid? Vul maar in, verder.

Eigenlijk heb je alleen maar aparte sim-kaarten nodig en een apparaatje waarmee je die gebruikt om SMS te ontvangen, nieuw idee voor de markt?
28-08-2017, 14:36 door Anoniem
Dat is het al jaren. SMS is jaren geleden al gehacked via het GSM signaal. Kost ongeveer 1000 euro en je kunt zendmasten kapen. Echt, dat bedrijven nog steeds roepen dat 2 factor met SMS veilig is, zijn achterlijk.
In dat geval moet je wel bij mij in de buurt zijn en moet mijn telefoon aan staan. Een andere kwetsbaarheid is het klonen van SIM-kaarten, waar ik zelf het fijne niet van weet. Het hier aangehaalde probleem is niks anders dan social engineering; helpdeskmedewerkers die hun procedures niet volgen. Daar moet meer de focus op liggen. Geef de klant bijvoorbeeld de mogelijkheid om in zijn profiel te kiezen voor 'gemak' of 'paranoïde'; als ik dat laatste kon instellen bij mijn telco, dan deed ik dat meteen (geen goede code = geen hulp, geen uitzondering).
28-08-2017, 14:44 door Anoniem
Door Briolet: Dat is dan het einde van een betrouwbare factor-2 autenticatie via het versuren van een code via sms.

Dan is de Google Authenticator toch een zekerder methode. Bij de Google Authenticator moet de code echt door dat ene apparaat aangemaakt zijn.
Nee, het probleem is juist dat er vaak geen 2 factors nodig zijn. Het hebben van een telefoonnummer is voldoende om bijvoorbeeld je Yahoo email wachtwoord te resetten. Dus feitelijk is het dan 1 factor verificatie.

Op echte 2 factor verificatie moet het overnemen van een telefoonnummer geen impact hebben, aangezien ook nog je wachtwoord vereist is.
29-08-2017, 12:07 door jetinternet
Je hebt echt niet zoveel simkaarten nodig. Gebruik een online nummer en dienst zoals bijvoorbeeld Twillio.
29-08-2017, 13:07 door Anoniem
Op het moment dat de mobiele provider een simkaart of telefoonnummer afstaat aan de verkeerde persoon, dan lijkt het toch dat deze daarmee verantwoordelijk wordt voor de schade die daardoor ontstaat. Nu hebben we het natuurlijk wel over de VS, waar rechten (beter: privileges) van burgers contractueel sterk ingeperkt kunnen worden door bedrijven. In Europa mag dat gelukkig niet.
29-08-2017, 14:16 door Anoniem
De authenticatie zelf heeft niet gefaald. De telfoonnummers worden door social engineering + slechte procedures ontfutseld.

Geen enkele authenticatie helpt tegen menselijk falen.
29-08-2017, 20:46 door Anoniem
Door Anoniem: Het is kennelijk vrij eenvoudig om iemand zijn telefoonnummer te ontfutselen, zozeer zelfs dat het gebrek aan robuustheid in SS7 vooralsnog minder een probleem is.

Op zich is dat al interessant, maar het geeft ook aan dat "beveiligingsmaatregelen" als het vereisen van een telefoonnummer stoelen op aannames die kennelijk niet opgaan. Zoals hier de gedachte dat een mobiel nummer belangrijk voor je is en je er dus wel zuinig op zal zijn. Leuk gedacht, maar daar hebben criminelen lak aan, dus die motivatie voegt geen veiligheid toe, maar legt wel extra druk op de accounthouder (en wellicht aanstaand slachtoffer).

Dit is dus een denkfoutje, in zekere zin vergelijkbaar met de denkfout die je terugziet bij voorstanders van biometrie. Denk maar na waarom.

Of liever, het is niet zozeer een denkfout, het laat zien dat (in beide gevallen) de motivatie voor die "beveiliging" er niet is voor de accounthouder, maar om de andere partij uit de wind te houden. "Voor uw en onze veiligheid" is dus minus het "uw en", terwijl het meestal wel de accounthouder extra werk en rompslomp kost. Slim he?

zeer intelligente redenatie die ik zeker kan volgen.....
29-08-2017, 23:32 door Anoniem
En de criminelen hebben overal hun vriendjes en vriendinnetjes al binnengesluisd.

Dit gebrek aan veiligheid op de digitale infrastructuur wordt weerspiegeld in de reële wereld van elke dag,
omdat het ene een aspect is van het andere. Pakkans gering, winst geoptimaliseerd.

Je je dit ieder moment realiseren kan je helpen, al denk je volgens geheel andere patronen als de cybercrimineel.
Sommige bedrijven laten personeel al chippen, dan blijven ze wie ze zijn ondanks de eventuele diefstal van hun BSN.

Voor BIC en SWIFT zijn we allemaal alleen nog maar "nummers".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.