Slachtoffer sim-swapping voor 100.000 dollar bestolen
Een Amerikaanse man die het slachtoffer van sim-swapping werd is voor 100.000 dollar bestolen. Bij sim-swapping belt een oplichter de telecomprovider van het slachtoffer op en overtuigt een medewerker om het mobiele nummer over te zetten naar een andere simkaart, die reeds in het bezit is van de oplichter.
Het overkwam Sean Coonce, die werkzaam is bij BitGo, een bedrijf dat zich bezighoudt met het beveiligen van cryptotransacties. Het lukte een aanvaller vorige week om het telefoonnummer van Coonce naar zijn toestel over te zetten. Vervolgens resette de aanvaller het wachtwoord van het Google-account van Coonce. Die merkt op dat hij geen verbinding meer met het netwerk van zijn telecomprovider heeft.
Niet veel later ontvangt hij ook meldingen op zijn toestel om in te loggen op zijn Google-account. Coonce denkt dat de twee zaken met elkaar verband houden. Hij probeert in te loggen op zijn account, maar dat lukt niet, aangezien de aanvaller het wachtwoord heeft veranderd. Aangezien het laat is gaat Coonce naar bed. In de tussentijd is de aanvaller bezig om het wachtwoord van het Coinbase-account van Coonce te resetten.
De aanvaller verwijdert de resetmail van Coinbase, zodat Coonce niets doorheeft wanneer hij weer toegang tot het account krijgt. De volgende dag gaat Coonce langs zijn telecomprovider, die denkt dat er een probleem met zijn simkaart is en geeft hem een nieuwe. Op deze manier kan Coonce de controle over zijn account terugkrijgen, maar heeft niet door dat er een wachtwoordreset voor zijn Coinbase-account is aangevraagd.
In de avond verliest Coonce weer verbinding met het netwerk en krijgt meldingen dat hij is uitgelogd van zijn Google-account. Hij denkt dat het om dezelfde problemen gaat en besluit het de volgende dag op te pakken. Het is de aanvaller weer gelukt om het telefoonnummer van Coonce over te nemen en zijn e-mailwachtwoord te resetten. De aanvaller voltooit de wachtwoordreset van het Coinbase-account en leegt de cryptowallet van zijn slachtoffer. Tevens doet hij verschillende aankopen die hij ook opneemt. In totaal gaat het om een bedrag van meer dan 100.000 dollar dat Coonce verliest.
Coinbase bevestigt dat een gebruiker op zijn account heeft weten te loggen en het geld heeft overgemaakt naar een adres buiten Coinbase. Het geld is dan ook weg, stelt Coonce. In een terugblik op het incident laat hij weten dat er meerdere momenten waren dat de alarmbellen hadden moeten afgaan. Toch besloot hij niet te handelen. "Ik heb mijn online veiligheid nooit zo serieus genomen omdat ik nooit een aanval heb meegemaakt. En hoewel ik mijn risicoprofiel begreep, was ik gewoon te lui om mijn middelen te beveiligen met de discipline die ze verdienden."
Afsluitend doet Coonce verschillende aanbevelingen, zoals het gebruik van een hardwarematige wallet om cryptovaluta te beschermen, dat op sms gebaseerde tweefactorauthenticatie niet voldoende is, gebruikers hun online footprint moeten verkleinen, het verstandig is om een tweede e-mailadres voor belangrijke zaken te gebruiken en wachtwoorden via een offline wachtwoordmanager te beheren.
Je kunt 99 keer de aanval stoppen maar de 100e keer is het raak
Beter geef je geen telefoon nummer.
Wat ze hier hebben gedaan zou niet bij t-mobile hebben gewerkt omdat de activatie code van je nieuwe sim naar je oude sim wordt gestuurd via sms.
https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124?sk=4c29b27bacb2eff038ec8fe4d40cd615
Wat ze hier hebben gedaan zou niet bij t-mobile hebben gewerkt omdat de activatie code van je nieuwe sim naar je oude sim wordt gestuurd via sms.
en wat nou als je de provider belt dat je de oude simkaart kwijt bent?
ja meneer die moet u dan zoeken want daar gaan we de activatie code naar versturen.
Wat ze hier hebben gedaan zou niet bij t-mobile hebben gewerkt omdat de activatie code van je nieuwe sim naar je oude sim wordt gestuurd via sms.
en wat nou als je de provider belt dat je de oude simkaart kwijt bent?
ja meneer die moet u dan zoeken want daar gaan we de activatie code naar versturen.
Het kan wel maar niet zo makkelijk als het in Amerika kan.
Ik bedoelde tweefactorauth op Coinbase. Maar ook tweefactor op Google via Google Authenticator had hier geholpen. SMS is geen echte tweede factor, het heeft te weinig zekerheid. Wat faalde was waarschijnlijk het 'lost password' proces dat een SMS OTP stuurt (2x). Dat is wellicht Google te verwijten, maar dan blijft nog steeds acuut reageren openstaan.
Wat natuurlijk ook opvalt is het volgende vraagteken: Coonce is werkzaam bij een IT Security bedrijf, vermoedelijk een professional. En dit is niet de eerste keer dat een professional zo iets overkomt. Als zij er al niet meer in slagen zich van identiteitsfraude te vrijwaren, hoe kunnen we dat dan in vredesnaam van leken vragen?
ID-fraude in de breedste zin van het woord is een gigantisch probleem. Indien de situatie niet veranderd mag gemiddeld iedere Nederlander verwachten in een gemiddeld leven twee keer slachtoffer te worden. Een VS-burger het dubbele. De financiële schade valt meestal wel mee, in bepaalde gevallend de reputatieschade echter allerminst (het gevreesde Computer Zegt Nee). We zullen beter met authenticatie van vooral de meer kritische financiële transacties om moeten leren gaan en tevens moeten leren de reputatieschades snel en effectief te kunnen herstellen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.