image

ENISA adviseert tegen gebruik van sms voor 2FA-codes wegens sim-swapping

maandag 6 december 2021, 12:17 door Redactie, 8 reacties

Wegens het risico van sim-swapping doen zowel eindgebruikers als banken er verstandig aan om codes voor tweefactorauthenticatie (2FA), waarmee erop een account kan worden ingelogd, niet via sms te versturen, maar hiervoor een app te gebruiken. Dat adviseert het Europees Agentschap voor cyberbeveiliging (ENISA).

Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken. De oorspronkelijke simkaart heeft daardoor geen toegang meer tot het netwerk, waardoor slachtoffers niet meer kunnen bellen, berichten versturen of mobiel internetten. Via het overgenomen telefoonnummer kunnen vervolgens accounts van het slachtoffer worden overgenomen, bijvoorbeeld door het opvragen van 2FA-codes en het uitvoeren van wachtwoordresets.

Om de sim-swap uit te voeren doen criminelen zich voor als het slachtoffer en bellen de telecomprovider om het nummer van het slachtoffer over te zetten. Ook komt het voor dat medewerkers van telecombedrijven worden omgekocht en vervolgens de sim-swap op verzoek van criminelen uitvoeren. Aangezien aanvallers gebruikmaken van persoonlijke informatie van het slachtoffer adviseert ENISA om geen privédata te verstrekken aan mensen die zich als medewerker van de telecomprovider voordoet en de hoeveelheid dat op websites en social media te beperken.

Verder wordt eindgebruikers aangeraden om bij het gebruik van tweefactorauthenticatie niet voor sms te kiezen, maar de 2FA-codes via een app te genereren. Ook geeft ENISA banken het advies om te stoppen met sms voor tweefactorauthenticatie en over te stappen op app-gebaseerde 2FA. "De laatste bankfraudes die met sim-swapping verband houden suggereren dat sms-2FA geen voldoende beveiligingsniveau biedt", aldus het Europees agentschap.

Aangezien app-gebaseerde 2FA afhankelijk is van biometrie, een pincode of wachtwoordgebaseerde authenticatie van de gebruiker, is er geen risico dat de 2FA-code wordt onderschept zoals met sms het geval is. ENISA voegt toe dat veel banken al 2FA-apps voor het autoriseren van transacties gebruiken en zo tweefactorauthenticatie via sms aan het vervangen zijn.

Image

Reacties (8)
06-12-2021, 14:47 door Anoniem
Mij is uitgelegd dat sim-wapping bij bepaalde Nederlandse telco's niet zo makkelijk op afstand is uit te voeren. Wie een telefoonnummer wil overzetten, moet eerst naar de winkel van de telco komen om dit mogelijk te maken. Probeer je het overzetten op een andere manier, dan wordt er door de telco niets overgezet.

Mochten er nog telco's zijn die deze methode nog niet kennen, dan wordt het hoog tijd dit zo snel mogelijk door te voeren.
06-12-2021, 16:18 door Anoniem
Door Anoniem: Mij is uitgelegd dat sim-wapping bij bepaalde Nederlandse telco's niet zo makkelijk op afstand is uit te voeren. Wie een telefoonnummer wil overzetten, moet eerst naar de winkel van de telco komen om dit mogelijk te maken. Probeer je het overzetten op een andere manier, dan wordt er door de telco niets overgezet.

Mochten er nog telco's zijn die deze methode nog niet kennen, dan wordt het hoog tijd dit zo snel mogelijk door te voeren.

1) We hebben (ook in NL) gevallen gehad van corrupt personeel in de telefoonwinkel (en/of bij de operator).

2) Niet heel Europa is hetzelfde - en de E in Enisa staat voor Europees .

3) Met covid in gedachten is systemen bouwen die afhangen van "mensen moeten naar een winkel komen" geen toekomstvaste strategie.
06-12-2021, 16:51 door Anoniem
2fa is een ingewikkelde manier van 2x een single point of failure optuigen en die kunnen niet-volgordelijk al gecomrpomitteerd zijn omdat ze afzonderlijk van elkaar geupdate en gebruikt kunnen worden. Net zo simpel als dat usb sticks prima middelen zijn om voor phishing te gebruiken. Ook al zijn de volumes op de usb volumes met gecodeerde opslag, er zitten stuur chips aan todgevoegd die op zichzelf ook zo’n single point of failure zijn aldus Arjen Kamphuis, Michael Snowden en Michael Haydon(voormalig sponsor van de geplaatste Iraanse kernreactor hack). Ook al zijn veel van de hacks achter de rug, de kans op verdere uit uiting en herhaling van zetten is ongelimmiteerd. 2FA biedt dus weinig echte toegevoegde waarde.
06-12-2021, 17:57 door Anoniem
Door Anoniem: 2fa is een ingewikkelde manier van 2x een single point of failure optuigen en die kunnen niet-volgordelijk al gecomrpomitteerd zijn omdat ze afzonderlijk van elkaar geupdate en gebruikt kunnen worden. Net zo simpel als dat usb sticks prima middelen zijn om voor phishing te gebruiken. Ook al zijn de volumes op de usb volumes met gecodeerde opslag, er zitten stuur chips aan todgevoegd die op zichzelf ook zo’n single point of failure zijn aldus Arjen Kamphuis, Michael Snowden en Michael Haydon(voormalig sponsor van de geplaatste Iraanse kernreactor hack). Ook al zijn veel van de hacks achter de rug, de kans op verdere uit uiting en herhaling van zetten is ongelimmiteerd. 2FA biedt dus weinig echte toegevoegde waarde.

Je hebt werkelijk geen idee waar je over praat. 2FA houdt veel meer tegen dan dat het toe laat. En 2x SPoF? Laat me niet lachen. Kijk eens hoe vaak Google is gehackt nadat ze hun token verplicht hebben gesteld.
—-

2FA over sms is en was een slecht idee, zoek maar eens na wat het ss7 protocol doet. Het is niet voor niets dat NIST al jaren 2FA door middel van SMS afraadt. Ik snap niet dat Enisa daar zo lang over gedaan heeft.
06-12-2021, 23:02 door Anoniem
Door Anoniem:
Door Anoniem: Mij is uitgelegd dat sim-wapping bij bepaalde Nederlandse telco's niet zo makkelijk op afstand is uit te voeren. Wie een telefoonnummer wil overzetten, moet eerst naar de winkel van de telco komen om dit mogelijk te maken. Probeer je het overzetten op een andere manier, dan wordt er door de telco niets overgezet.

Mochten er nog telco's zijn die deze methode nog niet kennen, dan wordt het hoog tijd dit zo snel mogelijk door te voeren.

1) We hebben (ook in NL) gevallen gehad van corrupt personeel in de telefoonwinkel (en/of bij de operator).

2) Niet heel Europa is hetzelfde - en de E in Enisa staat voor Europees .

3) Met covid in gedachten is systemen bouwen die afhangen van "mensen moeten naar een winkel komen" geen toekomstvaste strategie.
Ik zei "niet zo makkelijk", en niet "absoluut onmogelijk", want 100% beveiliging bestaat niet.
07-12-2021, 00:49 door Anoniem
Ik denk dat we ons beter eerst druk moeten maken over goede beveiliging en het gebruik van 2FA in zijn algemeen, ipv SMS als 'onveilig' te positioneren. Vroeg of laat worden de 2FA/MFA apps ook gehacked. Niets is waterdicht. Ik kan me niet voorstellen dat SIM swapping een enorm probleem is. Dit klinkt meer als een lobby voor een marketing app.
07-12-2021, 09:42 door buttonius
Bij Vodafone is sim swapping enkele jaren geleden geen enkel probleem.
Toen ik een nieuw sim kaartje nodig had (mijn - toen - nieuwe GSM telefoon gebruikt nano sim formaat en ik durfde het niet aan om mijn circa 20 jaar oude sim kaartje kleiner te knippen) ben naar een Vodafone winkel gestapt. Ik heb toen zonder mij te hoeven legitimeren en zonder het oude sim kaartje te laten zien voor EUR 5 een nieuw sim kaartje voor mijn nummer gekregen. We hebben het nieuwe sim kaartje (op mijn verzoek) even getest, maar als ik dat niet had gevraagd was ik zonder enige controle de deur uitgelopen.
Het zou natuurlijk kunnen dat Vodafone tegenwoordig veel beter controleert, maar ik denk het niet.
10-12-2021, 15:09 door Anoniem
Door Anoniem: Ik denk dat we ons beter eerst druk moeten maken over goede beveiliging en het gebruik van 2FA in zijn algemeen, ipv SMS als 'onveilig' te positioneren. Vroeg of laat worden de 2FA/MFA apps ook gehacked. Niets is waterdicht. Ik kan me niet voorstellen dat SIM swapping een enorm probleem is. Dit klinkt meer als een lobby voor een marketing app.
Vroeg of laat...Dit is wel heel snel:
https://www.security.nl/posting/733594/Mandiant%3A+aanvallers+omzeilen+MFA+via+herhaaldelijke+pushnotificaties
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.