DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Gister las ik dit bericht over sim-swapping. Het komt erop neer dat iemand gewoon een provider belt die wat van jouw persoonsgegevens bij de hand heeft en zegt 'Hallo, met [naam slachtoffer], mijn sim-kaart is beschadigd en ik heb inmiddels een nieuwe. Kunnen jullie mijn sim-kaart overzetten naar die nieuwe sim-kaart?'
Ik schrok er een beetje van, omdat het bij veel vormen van fraude zo is dat er goedgelovigheid of onoplettendheid van het slachtoffer vereist is. Bijvoorbeeld van iemand die reageert op een spammailtje, zelfs eentje waarin 40 miljoen in het vooruitzicht wordt gesteld. Maar voor die sim-swapping hoef je zelf eigenlijk niets verkeerd te doen. Behalve dan misschien je persoonsgegevens openbaar online zetten op Facebook en je telefoonnummer gebruik om in te loggen.Verder ben je kennelijk afhankelijk van de integriteit van de medewerker van de provider.
Nu is mijn vraag hoe je sim-swapping kunt voorkomen.Sowieso lijkt het verstandig om geen tweefactoridentificatie met sms te gebruiken en om je telefoonnummer op zo weinig mogelijk sites te vermelden. Het probleem met sms'jes is dat ze niet gecodeerd worden. De veiligste manier van tweefactoridentificatie is kennelijk een security key, zoals deze.
Moet zeggen dat ik nog niet helemaal snap hoe het werkt. Stel dat iemand jouw nummer op zijn sim-kaart laat zetten, wat kan hij of zij dan? Daarmee kun je volgens mij nog niet inloggen op sites of op iemands WhatsApp. En ik weet niet of bijvoorbeeld sms'jes van iemand die slachtoffer is van sim-swapping, werkt het nummer dan op zijn eigen sim-kaart en op dat van de dader en krijgt de dader een soort kopieën van de sms'jes die het slachtoffer ontvangt?
Ben benieuwd hoe jullie hierover denken.
Ik schrok er een beetje van, omdat het bij veel vormen van fraude zo is dat er goedgelovigheid of onoplettendheid van het slachtoffer vereist is. Bijvoorbeeld van iemand die reageert op een spammailtje, zelfs eentje waarin 40 miljoen in het vooruitzicht wordt gesteld. Maar voor die sim-swapping hoef je zelf eigenlijk niets verkeerd te doen. Behalve dan misschien je persoonsgegevens openbaar online zetten op Facebook en je telefoonnummer gebruik om in te loggen.Verder ben je kennelijk afhankelijk van de integriteit van de medewerker van de provider.
Nu is mijn vraag hoe je sim-swapping kunt voorkomen.Sowieso lijkt het verstandig om geen tweefactoridentificatie met sms te gebruiken en om je telefoonnummer op zo weinig mogelijk sites te vermelden. Het probleem met sms'jes is dat ze niet gecodeerd worden. De veiligste manier van tweefactoridentificatie is kennelijk een security key, zoals deze.
Moet zeggen dat ik nog niet helemaal snap hoe het werkt. Stel dat iemand jouw nummer op zijn sim-kaart laat zetten, wat kan hij of zij dan? Daarmee kun je volgens mij nog niet inloggen op sites of op iemands WhatsApp. En ik weet niet of bijvoorbeeld sms'jes van iemand die slachtoffer is van sim-swapping, werkt het nummer dan op zijn eigen sim-kaart en op dat van de dader en krijgt de dader een soort kopieën van de sms'jes die het slachtoffer ontvangt?
Ben benieuwd hoe jullie hierover denken.
Dit is aan de provider om op te lossen, niet aan de gebruiker. Verschrikkelijk slechte beveiliging aan hun kant. Zie je overigens steeds meer, alles moet digitaal, maar het moet wel klantvriendelijk blijven dus bv een sim-swap moet zonder al te veel moeite uitgevoerd kunnen worden.
Hoe het werkt:
stel dat de 'hacker' (dit valt mijn inziens niet onder hacken) je mobiele nummer overneemt, dan krijgt hij vanaf dat moment alle telefoontjes en berichten, en jij krijgt niets meer. je gsm kan vanaf dat moment ook niet meer bellen, gebeld worden, smsen of smsjes ontvangen.
Wat kun je er mee?
de 'hacker' kan bv bij whatsapp aanmelden, nieuwe telefoon, verificatie sms kan hij gewoon ontvangen, vanaf dat moment komen alle whatsapp berichten bij hem binnen (wat niet slim is, whatsapp heb je waarschijnlijk sneller door als dat op je 'oude' telefoon niet meer werkt dan dat je geen smsjes of telefoontjes meer kan ontvangen)
de 'hacker' kan je hotmail/gmail/etc wachtwoord opvragen 'forgot my password' er word dan een sms met je nieuwe wachtwoord gestuurd, daarna kan hij inloggen op je mailbox
vervolgens kan hij bij de diverse sites facebook, bol.com, verzin maar iets.nl je wachtwoord resetten en een nieuw wachtwoord opvragen. Hij kan dan bestellingen bij bol.com doen op jouw account met achteraf betaling, hij haalt de pakketjes de volgende dag op bij het postkantoor, niemand die weet dat jij het niet was, tot de aanmaningen verstuurd worden per post.
[ Bericht 43% gewijzigd door #ANONIEM op 09-12-2018 14:48:52 ]
Hoe het werkt:
stel dat de 'hacker' (dit valt mijn inziens niet onder hacken) je mobiele nummer overneemt, dan krijgt hij vanaf dat moment alle telefoontjes en berichten, en jij krijgt niets meer. je gsm kan vanaf dat moment ook niet meer bellen, gebeld worden, smsen of smsjes ontvangen.
Wat kun je er mee?
de 'hacker' kan bv bij whatsapp aanmelden, nieuwe telefoon, verificatie sms kan hij gewoon ontvangen, vanaf dat moment komen alle whatsapp berichten bij hem binnen (wat niet slim is, whatsapp heb je waarschijnlijk sneller door als dat op je 'oude' telefoon niet meer werkt dan dat je geen smsjes of telefoontjes meer kan ontvangen)
de 'hacker' kan je hotmail/gmail/etc wachtwoord opvragen 'forgot my password' er word dan een sms met je nieuwe wachtwoord gestuurd, daarna kan hij inloggen op je mailbox
vervolgens kan hij bij de diverse sites facebook, bol.com, verzin maar iets.nl je wachtwoord resetten en een nieuw wachtwoord opvragen. Hij kan dan bestellingen bij bol.com doen op jouw account met achteraf betaling, hij haalt de pakketjes de volgende dag op bij het postkantoor, niemand die weet dat jij het niet was, tot de aanmaningen verstuurd worden per post.
[ Bericht 43% gewijzigd door #ANONIEM op 09-12-2018 14:48:52 ]
Social Hacking :-)quote:Op zondag 9 december 2018 14:42 schreef Banaanvragen het volgende:
[..] stel dat de 'hacker' (dit valt mijn inziens niet onder hacken) [..]
[X] Ik verklaar de policy en algemene voorwaarden voor gebruik van FOK! te hebben gelezen en ermee akkoord te gaan.
Op het moment dat zon simswap gebeurt, zal het signaal op je eigen simkaart direct wegvallen. Meeste mensen zullen dan ook direct contact zoeken met hun provider (of tenminste binnen een dag) neem ik aan.
Verder is het dus verstandig niet ales via je mobiele nummer te laten lopen, maar je Multi Factor door een app te laten lopen (authenticator app of iets dergelijks) die is gekoppeld aan een fysieke iets wat niet makkelijk overgezet kan worden (je telefoon in deze, waarop hij geïnstalleerd is)
Verder is het dus verstandig niet ales via je mobiele nummer te laten lopen, maar je Multi Factor door een app te laten lopen (authenticator app of iets dergelijks) die is gekoppeld aan een fysieke iets wat niet makkelijk overgezet kan worden (je telefoon in deze, waarop hij geïnstalleerd is)
Ze kunnen toch gewoon verlangen dat iemand zich met een ID bij de winkel meldt?quote:
Dit is aan de provider om op te lossen, niet aan de gebruiker. Verschrikkelijk slechte beveiliging aan hun kant. Zie je overigens steeds meer, alles moet digitaal, maar het moet wel klantvriendelijk blijven dus bv een sim-swap moet zonder al te veel moeite uitgevoerd kunnen worden.
Maar dat kan toch alleen als je je telefoonnummer op die site hebt vermeld? Ik heb het mijne weggehaald.quote:
Hoe het werkt:
stel dat de 'hacker' (dit valt mijn inziens niet onder hacken) je mobiele nummer overneemt, dan krijgt hij vanaf dat moment alle telefoontjes en berichten, en jij krijgt niets meer. je gsm kan vanaf dat moment ook niet meer bellen, gebeld worden, smsen of smsjes ontvangen.
Wat kun je er mee?
de 'hacker' kan bv bij whatsapp aanmelden, nieuwe telefoon, verificatie sms kan hij gewoon ontvangen, vanaf dat moment komen alle whatsapp berichten bij hem binnen (wat niet slim is, whatsapp heb je waarschijnlijk sneller door als dat op je 'oude' telefoon niet meer werkt dan dat je geen smsjes of telefoontjes meer kan ontvangen)
de 'hacker' kan je hotmail/gmail/etc wachtwoord opvragen 'forgot my password' er word dan een sms met je nieuwe wachtwoord gestuurd, daarna kan hij inloggen op je mailbox
Dan zou je zeggen dat je op bol.com de optie van achteraf betalen uit moet kunnen zetten.quote:vervolgens kan hij bij de diverse sites facebook, bol.com, verzin maar iets.nl je wachtwoord resetten en een nieuw wachtwoord opvragen. Hij kan dan bestellingen bij bol.com doen op jouw account met achteraf betaling, hij haalt de pakketjes de volgende dag op bij het postkantoor, niemand die weet dat jij het niet was, tot de aanmaningen verstuurd worden per post.
Ja, want wat Banaanvragen schrijft, geldt toch alleen voor zover je geen tweefactoridentificatie gebruikt?quote:Op zondag 9 december 2018 14:56 schreef Prof_Hoax het volgende:
Op het moment dat zon simswap gebeurt, zal het signaal op je eigen simkaart direct wegvallen. Meeste mensen zullen dan ook direct contact zoeken met hun provider (of tenminste binnen een dag) neem ik aan.
Verder is het dus verstandig niet ales via je mobiele nummer te laten lopen, maar je Multi Factor door een app te laten lopen (authenticator app of iets dergelijks) die is gekoppeld aan een fysieke iets wat niet makkelijk overgezet kan worden (je telefoon in deze, waarop hij geïnstalleerd is)
Verkeerd gebruikte naam, helaas zie je dat wel vaker: mijn inziens: hacken, het gebruiken van je technische skills gebruik maken van exploits en bugs (overigens niet te verwarren met een script kiddie). Daar heeft sim-swapping niets mee te maken.quote:
Nee, maar kennelijk kunnen zij een telefoonnummer overzetten op een andere sim-kaart.quote:
Het artikel heeft het over internetproviders, en dat lijken me niet degenen die de controle over je sim hebben?
Potato potatoquote:
[X] Ik verklaar de policy en algemene voorwaarden voor gebruik van FOK! te hebben gelezen en ermee akkoord te gaan.
Dat vind ik ook. en ook dat die procedure blijkbaar zo lek als een mandje is. Als je als provider weet dat iemand identiteitsfraude kan plegen en je de daaruit voortvloeiende schade mogelijk moet vergoeden dan scherp je dat toch aan?quote:
Voor het geval het niet te veel offtopic is, gebruiken jullie tweefactoridentificatie en, zo ja, welke?
Bijna Amerikaans makkelijk, hier zou social engineering een stuk lastiger moeten zijn.quote:
[..]
Dat vind ik ook. en ook dat die procedure blijkbaar zo lek als een mandje is. Als je als provider weet dat iemand identiteitsfraude kan plegen en je de daaruit voortvloeiende schade mogelijk moet vergoeden dan scherp je dat toch aan?
Zinloos als deze gekoppeld zit aan een mailaccount wat je kan resetten middels je telefoonnummer. Enige alternatief is een speciaal mail account nemen wat niet gekoppeld zit aan je telnr.quote:
Voor het geval het niet te veel offtopic is, gebruiken jullie tweefactoridentificatie en, zo ja, welke?
Ja, inderdaad.quote:Op zondag 9 december 2018 15:25 schreef Leandra het volgende:
[..]
Bijna Amerikaans makkelijk, hier zou social engineering een stuk lastiger moeten zijn.
Maar mijn e-mailaccount kent mijn telefoonnummer niet.quote:
[..]
Zinloos als deze gekoppeld zit aan een mailaccount wat je kan resetten middels je telefoonnummer. Enige alternatief is een speciaal mail account nemen wat niet gekoppeld zit aan je telnr.
Nee dat kunnen ze niet, de NOS heeft het verkeerd overgenomen van RTLNieuws.quote:
[..]
Nee, maar kennelijk kunnen zij een telefoonnummer overzetten op een andere sim-kaart.
Nagoed, halve waarheid tegenwoordig, zowat iedere mobiele telefoonprovider is een internetprovider omdat ze 4g aanbieden, maar niet iedere internet provider is een mobiele operator (xs4all bv is alleen een internet provider op het vaste net dus zonder mobiele telefoons)
Dan ben je al een stuk minder vatbaar, maar het is niet geheel onmogelijk.quote:
[..]
Maar mijn e-mailaccount kent mijn telefoonnummer niet.
Bij welke provider heb jij een mailaccount?
[ Bericht 7% gewijzigd door #ANONIEM op 09-12-2018 15:31:12 ]
Maar wat kunnen ze dan wel?quote:
[..]
Nee dat kunnen ze niet, de NOS heeft het verkeerd overgenomen van RTLNieuws.
Ik heb Hotmail.quote:
[..]
Dan ben je al een stuk minder vatbaar, maar het is niet geheel onmogelijk.
Bij welke provider heb jij een mailaccount?
Zoals eerderquote:
En je hebt nooit je mobiele telefoon nummer achter gelaten, bv bij het registreren (wat je je nu niet meer kan herinneren)? Probeer voor de gein eens je wachtwoord te resetten als je doet alsof je wachtwoord vergeten is.quote:
anders ben je een stuk minder kwetsbaar
Maar hoe was het eerder dan? Of begrijp ik je verkeerd?quote:
Ja, zou kunnen. Ik zal het proberen.quote:[..]
En je hebt nooit je mobiele telefoon nummer achter gelaten, bv bij het registreren (wat je je nu niet meer kan herinneren)? Probeer voor de gein eens je wachtwoord te resetten als je doet alsof je wachtwoord vergeten is.
anders ben je een stuk minder kwetsbaar
Ik heb het geprobeerd. Heel goed punt van je. Hotmail stelde voor om me te sms'en op mijn telefoonnummer terwijl ik dat had verwijderd bij mijn contactgegevens. Vervolgens bleek dat het nog stond bij mijn beveiligingsinformatie. Toen heb ik Hotmail gezegd me voortaan te mailen op een ander e-mailadres en met niet te sms'en. Nu heb ik een kruisverwijzing gemaakt van twee Hotmailadressen met elkaar.
[ Bericht 18% gewijzigd door Extraneus op 09-12-2018 15:44:23 ]
'zoals eerder' was een foutje, maar wat ze eerder konden met je account wat nu niet meer kan:quote:
[..]
Maar hoe was het eerder dan? Of begrijp ik je verkeerd?
[..]
Ja, zou kunnen. Ik zal het proberen.
Ik heb het geprobeerd. Heel goed punt van je. Hotmail stelde voor om me te sms'en op mijn telefoonnummer terwijl ik dat had verwijderd bij mijn contactgegevens. Vervolgens bleek dat het nog stond bij mijn beveiligingsinformatie. Toen heb ik Hotmail gezegd me voortaan te mailen op een ander e-mailadres en met niet te sms'en. Nu heb ik een kruisverwijzing gemaakt van twee Hotmailadressen met elkaar.
- sim wissel bij je provider laten uitvoeren
- ww (wachtwoord) reset van hotmail met een sms
- ww reset bij bol.com (voorbeeld), nieuwe ww in je mailbox
- shizzle bestellen bij bol.com, (via achteraf betalen, of als je het het hebt achter gelaten je creditcard gegevens) afhalen bij het postkantoor.
Wat eerder ook kon als je 2FA aan had staan.
- sim wissel bij je provider
- ww reset van hotmal
- 2fa je gegvens laten resetten (gaat vaak via mail en sms)
- ww reset van je bitcoin rekening
- inloggen op je bitcoin rekening met authy en je geresette wachtword
|
|
