image

FBI: gebruikers deurbelcamera's doelwit van swatting-aanvallen

dinsdag 29 december 2020, 17:24 door Redactie, 8 reacties

Eigenaren van deurbelcamera's en andere smart apparaten die over een microfoon en camera beschikken zijn het doelwit van swatting-aanvallen geworden, zo waarschuwt de FBI. Bij swatting wordt via een gespooft telefoonnummer de politie gebeld en een noodsituatie op een bepaalde locatie gerapporteerd, bijvoorbeeld een schietpartij of gijzeling. Op deze manier hoopt de beller dat er een SWAT-team op het beoogde slachtoffer wordt afgestuurd. In het verleden zijn bij swatting-aanvallen mensen om het leven gekomen.

Bij de nu waargenomen aanvallen weten de aanvallers de deurbelcamera van het slachtoffer te compromitteren en kunnen zo met de politie ter plekke communiceren. In sommige gevallen worden de beelden van de deurbelcamera via een livestream op internet uitgezonden. Een Amerikaans gezin werd vorige maand nog slachtoffer van een dergelijke aanval.

Volgens de FBI weten aanvallers de camera's over te nemen omdat slachtoffers hun wachtwoorden hergebruiken. De opsporingsdienst adviseert dan ook een uniek sterk wachtwoord of passphrase in te stellen voor de camera en van tweefactorauthenticatie gebruik te maken. De FBI zegt ook met fabrikanten in overleg te zijn hoe die klanten over deze aanvallen kunnen voorlichten.

Reacties (8)
29-12-2020, 20:38 door Anoniem
Moet toch niet moeilijk zijn die 2FA. Iets wat je hebt is de deurbel en iets wat je weet is je wachtwoord. Dan moet iemand al in de buurt van je huis komen om een van de factoren te compromitteren.

Maar ik zal wel te makkelijk denken hierover.
30-12-2020, 09:10 door Anoniem
Door Anoniem: Moet toch niet moeilijk zijn die 2FA. Iets wat je hebt is de deurbel en iets wat je weet is je wachtwoord. Dan moet iemand al in de buurt van je huis komen om een van de factoren te compromitteren.

Maar ik zal wel te makkelijk denken hierover.
Veel moeilijker is het om mensen te overtuigen van het nut van 2FA, en te zorgen dat ze het gebruiken.
30-12-2020, 09:34 door Anoniem
Door Anoniem: Moet toch niet moeilijk zijn die 2FA. Iets wat je hebt is de deurbel en iets wat je weet is je wachtwoord. Dan moet iemand al in de buurt van je huis komen om een van de factoren te compromitteren.

Maar ik zal wel te makkelijk denken hierover.
Dat is inderdaad iets te makkelijk gedacht. Als "iets wat je hebt" de deurbel is, moet je zelf de deur uitstappen om je te kunnen aanmelden aan je camera om te kijken wie er voor die deur staat (en dat ben je dan dus zelf). Dat schiet niet echt op...
30-12-2020, 12:02 door Anoniem
Ik geloof dat ik iets niet helemaal snap.

In het gelinkte artikel wordt beschreven hoe met het gespoofte telefoonnummer van het slachtoffer een valse melding van ernstig geweld te doen, zodat de politie daar met zware inzet op afgaat. Daarvoor is het niet nodig om op een Ring-deurbel of wat dan ook bij het slachtoffer in te breken, daarvoor is alleen het kunnen spoofen van een telefoonnummer nodig.

Vervolgens gaat het opeens over die gehackte deurbel. Is het idee dat de daders via de deurbel filmen wat er gaande is? Dat wordt niet vermeld, men stapt opeens over van het swatting-verhaal op het hacking-verhaal alsof het volkomen vanzelf spreekt dat dat ook gaande is.
30-12-2020, 12:50 door Anoniem
Door Anoniem: Ik geloof dat ik iets niet helemaal snap.

In het gelinkte artikel wordt beschreven hoe met het gespoofte telefoonnummer van het slachtoffer een valse melding van ernstig geweld te doen, zodat de politie daar met zware inzet op afgaat. Daarvoor is het niet nodig om op een Ring-deurbel of wat dan ook bij het slachtoffer in te breken, daarvoor is alleen het kunnen spoofen van een telefoonnummer nodig.

Vervolgens gaat het opeens over die gehackte deurbel. Is het idee dat de daders via de deurbel filmen wat er gaande is? Dat wordt niet vermeld, men stapt opeens over van het swatting-verhaal op het hacking-verhaal alsof het volkomen vanzelf spreekt dat dat ook gaande is.

Ik denk dat ook - dat deze swatting gedaan wordt door aso's die het gaaf vinden om life mee te kijken bij een swat inval .
30-12-2020, 15:04 door Anoniem
Door Anoniem: Moet toch niet moeilijk zijn die 2FA. Iets wat je hebt is de deurbel en iets wat je weet is je wachtwoord. Dan moet iemand al in de buurt van je huis komen om een van de factoren te compromitteren.

Maar ik zal wel te makkelijk denken hierover.

Sommige deurbellen in het goedkope Lidl, Kruitvat, Action kunnen dit niet.

Als de digitale bel is overgenomen kan je deze ook gebruiken om dingen te roepen door de staat.
In Home alone gebeurde dit zonder zonder bel al
30-12-2020, 19:10 door Anoniem
Door Anoniem:
Door Anoniem: Moet toch niet moeilijk zijn die 2FA. Iets wat je hebt is de deurbel en iets wat je weet is je wachtwoord. Dan moet iemand al in de buurt van je huis komen om een van de factoren te compromitteren.

Maar ik zal wel te makkelijk denken hierover.
Dat is inderdaad iets te makkelijk gedacht. Als "iets wat je hebt" de deurbel is, moet je zelf de deur uitstappen om je te kunnen aanmelden aan je camera om te kijken wie er voor die deur staat (en dat ben je dan dus zelf). Dat schiet niet echt op...
Als je thuis bent, kan je gewoon op je lokale netwerk kijken wie er voor de deur staat. Dat lost het hele FBI swatting probleem op. Als je niet thuis bent, slaat de deurbel alle beelden op en kan je toch niets want je kan het bellen aan de deur niet beantwoorden door de deur te openen.

Ik vind die reclames op youtube dat je tegen een inbreker kan roepen dat die weg moet gaan altijd wat naïef. Maar ik ben niet in de markt voor een slimme deurbel want ik huur dus ik moet het met de deurbel van de verhuurder doen. Die zit er denk ik niet op te wachten dat ik in zijn deur ga zitten zagen. Hoewel ze elders wel een intercom systeem met video hebben. Dat vind ik eigenlijk veel beter als een slimme deurbel.

Anoniem 20:38
31-12-2020, 21:16 door Anoniem
De zieke grappenmakers zien Ring-swatting blijkens dit BBC bericht als een soort van videolivestream "verdienmodel":

In November, NBC News highlighted a case in which police went to a Florida home after receiving a fake 911 call from a man saying he had killed his wife and was hoarding explosives. When they left the building after discovering it to be a hoax, officers reported hearing someone insult them via the property's internet-connected Ring doorbell.

In another incident [...] When they questioned the attacker via the device, he claimed to have compromised four different cameras at the location and to be charging others $5 to watch online.

https://www.bbc.com/news/technology-55499164

Ring heeft ontkend dat hun eigen systemen zouden zijn gecompromitteerd. Het bedrijf zegt gebruik te maken van tweestapsverificatie, wat inhoudt dat de eigenaren van Ring deurbellen alleen toegang zouden kunnen krijgen tot hun accounts vanaf een nieuwe computer als ze een code invoeren die via e-mail of sms naar hen is gemaild.

"However, if either of those forms of communication are also compromised the user remains vulnerable", aldus de BBC.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.