Beheerders van website die OTP-codes onderschepte aangeklaagd in VK
In het Verenigd Koninkrijk zijn drie mannen aangeklaagd voor het beheer van OTP.Agency, een website die one-time password (OTP) probeerde te stelen. De website maakte gebruik van een abonnementsvorm en richtte zich vooral op phishers die al over de inloggegevens van hun slachtoffers beschikten en nog een OTP-code nodig hadden om op accounts in te loggen.
Klanten van OTP.Agency konden het telefoonnummer van hun slachtoffers invoeren, die vervolgens werden gebeld en een opgenomen bericht kregen te horen dat er ongeautoriseerde activiteit op hun account had plaatsgevonden. Vervolgens werd het slachtoffer gevraagd om via een app op zijn telefoon een OTP-code te genereren en die op het toestel in te voeren. De ingevoerde OTP-code werd daarna doorgestuurd naar de klant van OTP.Agency.
Volgens het Britse National Crime Agency (NCA) zijn tussen september 2019 en maart 2021 ruim twaalfduizend mensen via de dienst van OTP.Agency aangevallen. De beheerders van OTP.Agency haalden de website in februari 2021 offline, kort nadat het in een artikel van it-journalist Brian Krebs werd genoemd. De nu aangeklaagde verdachten werden in maart 2021 aangehouden. De drie zijn aangeklaagd voor het maken en leveren van producten die bij fraude zijn te gebruiken.
OTP via een proxy als deze, of tegenwoordig blijkbaar retesimpel via SIM-swap is dus onveilig.
Yubikey's eerste product, hun OTP dus, was/is gewoon briljant wat dat betreft.
Maargoed, gerichte phising wordt dus gevaarlijk.
Jubikey is niet helemaal een OTP in de zin van een 6 cijferige pincode....
Dus de aanval moet anders, je heb de encryptie op de usb sleutel nodig. Dus ja ybikey is wel degelijk een antwoordt op deze aanval.
(Tenzij de aanvaller jouw yubike heeft, de usb sleutel, en in de pc kan steken die de login probeert te doen.)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.