T-Mobile: door corona minder goede bescherming tegen sim-swapping
Door de coronamaatregelen kon T-Mobile de afgelopen maanden gebruikers minder goed tegen sim-swapping beschermen. De provider ontving in deze periode een "handvol" klachten van klanten van wie het telefoonnummer door criminelen was overgenomen, zo meldt NRC.
Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken. De oorspronkelijke simkaart heeft daardoor geen toegang meer tot het netwerk, waardoor slachtoffers niet meer kunnen bellen, berichten versturen of mobiel internetten. Vaak wordt sim-swapping gepleegd door middel van social engineering, waarbij oplichters een telecomprovider bellen en zich voordoen als het slachtoffer.
Er zijn echter ook gevallen bekend waarbij medewerkers van telecomproviders bij de fraude betrokken waren. Zo arresteerde de politie vorige week nog drie medewerkers van een niet nader genoemde telecomprovider die hiervan worden verdacht.
In NRC doet een slachtoffer van sim-swapping zijn verhaal. Zijn telefoonnummer werd door middel van social engineering van de T-Mobile-helpdesk overgenomen. Een achternaam, 06-nummer, postcode, huisnummer, geboortedatum en rekeningnummer zijn voldoende voor de aanvaller om het telefoonnummer van het slachtoffer in handen te krijgen. De helpdeskmedewerker gaat bij een controlevraag over het bedrag van de laatste rekening de fout in.
Volgens T-Mobile kan het door de coronamaatregelen klanten minder goed controleren. "Als een verificatie-sms niet mogelijk is, sturen we klanten normaal gesproken naar de T-Mobile Shop om zich te identificeren met een legitimatiebewijs voor een sim-swap. Door Covid waren wij genoodzaakt onze winkels te sluiten en moesten wij deze maatregel tijdelijk aanpassen", aldus de provider tegenover NRC.
Sinds half december zegt de provider een handvol klachten van slachtoffers van sim-swapping te hebben ontvangen. Daarop zijn de procedures aangepast. Zo is het niet meer mogelijk om via de chat een sim-swap aan te vragen. Nu de winkels weer deels open mogen kunnen klanten zich weer fysiek legitimeren. Daarnaast is de provider bezig om tweefactorauthenticatie aan de online klantenomgeving toe te voegen.
T-Mobile betreurt dat de helpdeskmedewerker met de controlevraag de fout inging. "We hebben de medewerker van feedback voorzien en er is aandacht besteed aan het creëren van awareness", zo laat de provider aan het slachtoffer weten. Beide partijen zijn nog in discussie over de gevolgschade. De aanvaller wist door het handelen van T-Mobile allerlei accounts van het slachtoffer over te nemen.
24 voor de sim swap een SMS bericht zenden aan de oude SIM dat de SIM wordt overgezet.
Komt het bericht niet bekend voor? Bel met het telefoonnummer van de klantenservice.
Geen linkjes erin, geen nummers erin, anders zet je phishing weer op een spoor.
En ja: dan zit je legitieme gevallen even 24 uur in de weg. Laten we dat als wereld dan accepteren.
Of kunnen die iets niet oplossen door het ontbreken van een fysieke winkel.
Ik geloof er allemaal niks van, klinkt als smoes.
24 voor de sim swap een SMS bericht zenden aan de oude SIM dat de SIM wordt overgezet.
Komt het bericht niet bekend voor? Bel met het telefoonnummer van de klantenservice.
Geen linkjes erin, geen nummers erin, anders zet je phishing weer op een spoor.
En ja: dan zit je legitieme gevallen even 24 uur in de weg. Laten we dat als wereld dan accepteren.
Het probleem is dat veel mensen hun oude telefoon kwijt zijn als ze hun nummer (legitiem) willen overzetten.
24 voor de sim swap een SMS bericht zenden aan de oude SIM dat de SIM wordt overgezet.
Komt het bericht niet bekend voor? Bel met het telefoonnummer van de klantenservice.
Geen linkjes erin, geen nummers erin, anders zet je phishing weer op een spoor.
En ja: dan zit je legitieme gevallen even 24 uur in de weg. Laten we dat als wereld dan accepteren.
Het probleem is dat veel mensen hun oude telefoon kwijt zijn als ze hun nummer (legitiem) willen overzetten.
Inderdaad.
"telefoon verloren" zal een belangrijk percentage van de legitieme sim-swap vragen zijn.
Wel zuur - ik kan me heel goed de social engineering voorstellen waarin de vraag naar het bedrag op de laatste rekening gepareerd wordt.
"hoe kan ik dat nou zien, want zonder die telefoon kan ik ook niet op mijn bankrekening kijken"
(dat is echt wel plausibel - gezien de bankieromgevingen die een telefoon als tweede factor authenticator willen)
proces ontwerp is _ook_ moeilijk. En vooral als de last resort - met paspoort naar een kantoor/winkel is weggevallen.
24 voor de sim swap een SMS bericht zenden aan de oude SIM dat de SIM wordt overgezet.
Komt het bericht niet bekend voor? Bel met het telefoonnummer van de klantenservice.
Geen linkjes erin, geen nummers erin, anders zet je phishing weer op een spoor.
En ja: dan zit je legitieme gevallen even 24 uur in de weg. Laten we dat als wereld dan accepteren.
Het probleem is dat veel mensen hun oude telefoon kwijt zijn als ze hun nummer (legitiem) willen overzetten.
Waarom is dat een probleem? Als je niet binnen 24 uur belt is het legitiem en gaat de swap door.
Staat vinkje uit dan blokkeer je de functie bij de helpdeskmederkers om het over te zetten. Stuur bij wisseling van de opt-in opt-out een sms dat er een wijziging is aangevraagd en bij een werkelijke wijziging.
Bij te veel mislukte pogingen door een medewerker alert richting supervisor voor beslissing over verdere escalatie.
Voorkomt fraude door medewerkers, social engineering en informeert de eindgebruiker.
Voorkomt helaas niet goedgelovigheid en slordig beheer van inlogdata.
Volgens mij bewaart die app geen postcodes en rekeningnummers hoor. De GGD heeft wel je postcode na een coronatest, maar echt niet je rekeningnummer. Het is niet alsof je een geldprijs kunt winnen bij een negatieve test.
Nee, deze gegevens kun je eerder halen bij webshops die regelmatig lekken.
24 voor de sim swap een SMS bericht zenden aan de oude SIM dat de SIM wordt overgezet.
Komt het bericht niet bekend voor? Bel met het telefoonnummer van de klantenservice.
Geen linkjes erin, geen nummers erin, anders zet je phishing weer op een spoor.
En ja: dan zit je legitieme gevallen even 24 uur in de weg. Laten we dat als wereld dan accepteren.
Je zou ook even, ter controle, het oude nummer eerst even kunnen bellen. Kost 5 minuten en als er wordt opgenomen doe je verder onderzoek. Dat een provider dit niet doet zou je volgens mij verwijtbaar nalatig.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.