Europol pakt sim-swappers op die 3,5 miljoen euro buitmaakten
Europol heeft in samenwerking met Europese politiediensten twee bendes sim-swappers opgerold die bij elkaar 3,5 miljoen euro wisten te stelen. De eerste bende bevond zich in Spanje en bestond uit personen tussen de 22 en 52 jaar, afkomstig uit Italië, Roemenië, Columbia en Spanje.
Deze bende wist meer dan honderd slachtoffers te maken, waarbij er bedragen van tussen de 6.000 en 137.000 euro van de rekeningen van slachtoffers werden gestolen. De werkwijze van de verdachten was volgens Europol eenvoudig. Eerst wisten ze via malware gegevens voor internetbankieren te stelen. Veel banken maken echter gebruik van tweefactorauthenticatie voor het bevestigen van transacties.
Vervolgens werd er van sim-swapping gebruikgemaakt. Bij sim-swapping weten oplichters een telecomprovider zover te krijgen om het mobiele telefoonnummer van het slachtoffer over te zetten naar een andere simkaart, die reeds in het bezit is van de oplichter. Op deze manier kunnen criminelen de bankcodes ontvangen en de transactie uitvoeren. In dit geval maakten de verdachten gebruik van vervalste documenten om bij de telecomproviders een kopie van de simkaart van het slachtoffer aan te vragen, meldt Europol.
Nadat de verdachten controle over het telefoonnummer van het slachtoffer hadden werd het aanwezige geld naar rekeningen van katvangers overgemaakt. De frauduleuze transacties vonden vaak binnen één of twee uur plaats. Slachtoffers zouden pas na deze tijd ontdekken dat hun telefoonnummer niet meer werkte. De verdachten, die door de Spaanse politie werden aangehouden, zouden op deze manier 3 miljoen euro hebben buitgemaakt.
De tweede bende, die uit veertien personen bestond, opereerde vanuit Roemenië. Deze bende maakte ook gebruik van gestolen bankgegevens en sim-swapping. Met deze gegevens werd vervolgens ingelogd op een bank-app en een transactie klaargezet die bij kaartloze geldautomaten konden worden opgenomen. Hiervoor verstuurde de bank een code via sms. Aangezien de verdachten deze code ontvingen konden ze het geld ook daadwerkelijk opnemen. Deze bende wordt verdacht van het stelen van meer dan 500.000 euro.
Voorkomen
Beide bendes wisten eerst de bankgegevens van hun slachtoffers te stelen. Europol geeft dan ook advies tegen malware en phishing, zoals het up-to-date houden van software, het niet openen van links en bijlagen in onverwachte e-mails, niet te reageren op e-mails of telefoontjes die om persoonlijke informatie vragen, tweefactorauthenticatie voor online diensten te gebruiken in plaats van sms-codes en wanneer mogelijk gevoelige online accounts niet aan het telefoonnummer te koppelen. Verder word geadviseerd om de simkaart van een pincode te voorzien en die met niemand te delen.
[1] https://www.security.nl/posting/638976/Secure+SMS+2FA+Proposal.
[1] https://www.security.nl/posting/638976/Secure+SMS+2FA+Proposal.
[1] https://www.security.nl/posting/638976/Secure+SMS+2FA+Proposal.
Want je denkt dat de bende die de eerste factor (username/password) weet te stelen niet het geheime-tel-op-bij getal dat je voorstelt weet je stelen.
[1] https://www.security.nl/posting/638976/Secure+SMS+2FA+Proposal.
En een belangrijke reden dat organisaties zo graag SMS 2FA inzetten, is dat niet iedereen een smartphone heeft, en versleutelde SMSjes niet decrypted kunnen worden op non-smart toestellen.
Want je denkt dat de bende die de eerste factor (username/password) weet te stelen niet het geheime-tel-op-bij getal dat je voorstelt weet je stelen.
Echter, als het de bende lukt om alles mee te lezen wat jij invoert bij jhet inloggen, houdt alles op; dat kun je niet digitaal beveiligen (en hoeven ze ook jouw geheime code niet te weten). Daar helpt echt niets tegen (vergelijkbaar dat mensen verleid worden om zowel user-ID, wachtwoord en 2e factor code invoeren op een site met een lijkt-op-domeinnaam: als aanvallers meteen die gegevens doorzetten naar de echte website, heeft die 2FA je geen zier geholpen). Dit is echt helaas pindakaas.
Het probleem van wachtwoorden is dat mensen ze hergebruiken en/of te raden exemplaren kiezen. Organisaties weten dat en daarom zetten ze graag 2FA in. Het redactie-artikel bewijst nogmaals dat SIM-swapping aanvallen werken, en dat kwaadwillenden zo ook -eenvoudig- die tweede factor in handen kunnen krijgen. Dus zijn beide factoren uiterst zwak. Met mijn voorstel probeer ik niet 100% veiligheid te creëren (dat kan nl. niet), maar om die tweede factor aanzienlijk sterker te maken. Zonder dat er aanvullende software voor nodig is, en dumbphones gebruikt kunnen blijven worden voor 2FA.
Mijn voorstel is zeker ook zinvol voor mensen die niet in de val van een fake website trappen, hun devices redelijk beveiligd hebben en unieke wachtwoorden gebruiken - maar wiens wachtwoord desondanks toch in verkeerde handen valt. Bijvoorbeeld doordat de server kortstondig gehacked is geweest, er een foute admin met z'n tengels bij kon, of dat wachtwoorden onbedoeld gelogd werden en zo in foute handen konden vallen. Of doordat iemand, zonder dat te beseffen, een voorspelbaar algoritme gebruikt om "willekeurige" wachtwoorden te genereren. Of unieke wachtwoorden gebruikt voor elke site door de domeinnaam van de site achter één standaard wachtwoord te plakken - zoals "piposecurity.nl", "pipofacebook.com" etc.
Kunnen we niet - ah zeg ik dan - dan neemt u daarvoor de verantwoordelijkheid.
Nee zeggen ze - lees onze privacyspullen.
Wel kijk - als u niet kan wat ik vraag - dan is de bank verantwoordelijk. Ze zijn in kennis gesteld van wat een goeie practice zou zijn! Ze moeten handelen als een goede huisvader.
Laten we eerlijk zijn een SMS of de opvolger ervan - gebruiken als 2e factor - dan kan je net zogoed rooksignalen gebruiken. Want de achterliggende systeem zijn lek - dat is geweten en al meermaals bevestigd.
Persoonlijk ben ik groot voorstander van een SAML oplossing. Waarbij de centrale authenticatie goed beveiligd is met een push notificatie.
Persoonlijk ben ik groot voorstander van een SAML oplossing. Waarbij de centrale authenticatie goed beveiligd is met een push notificatie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.