Social Hacking :-)quote:Op zondag 9 december 2018 14:42 schreef Banaanvragen het volgende:
[..] stel dat de 'hacker' (dit valt mijn inziens niet onder hacken) [..]
Ze kunnen toch gewoon verlangen dat iemand zich met een ID bij de winkel meldt?quote:Op zondag 9 december 2018 14:42 schreef Banaanvragen het volgende:
Dit is aan de provider om op te lossen, niet aan de gebruiker. Verschrikkelijk slechte beveiliging aan hun kant. Zie je overigens steeds meer, alles moet digitaal, maar het moet wel klantvriendelijk blijven dus bv een sim-swap moet zonder al te veel moeite uitgevoerd kunnen worden.
Maar dat kan toch alleen als je je telefoonnummer op die site hebt vermeld? Ik heb het mijne weggehaald.quote:
Hoe het werkt:
stel dat de 'hacker' (dit valt mijn inziens niet onder hacken) je mobiele nummer overneemt, dan krijgt hij vanaf dat moment alle telefoontjes en berichten, en jij krijgt niets meer. je gsm kan vanaf dat moment ook niet meer bellen, gebeld worden, smsen of smsjes ontvangen.
Wat kun je er mee?
de 'hacker' kan bv bij whatsapp aanmelden, nieuwe telefoon, verificatie sms kan hij gewoon ontvangen, vanaf dat moment komen alle whatsapp berichten bij hem binnen (wat niet slim is, whatsapp heb je waarschijnlijk sneller door als dat op je 'oude' telefoon niet meer werkt dan dat je geen smsjes of telefoontjes meer kan ontvangen)
de 'hacker' kan je hotmail/gmail/etc wachtwoord opvragen 'forgot my password' er word dan een sms met je nieuwe wachtwoord gestuurd, daarna kan hij inloggen op je mailbox
Dan zou je zeggen dat je op bol.com de optie van achteraf betalen uit moet kunnen zetten.quote:vervolgens kan hij bij de diverse sites facebook, bol.com, verzin maar iets.nl je wachtwoord resetten en een nieuw wachtwoord opvragen. Hij kan dan bestellingen bij bol.com doen op jouw account met achteraf betaling, hij haalt de pakketjes de volgende dag op bij het postkantoor, niemand die weet dat jij het niet was, tot de aanmaningen verstuurd worden per post.
Ja, want wat Banaanvragen schrijft, geldt toch alleen voor zover je geen tweefactoridentificatie gebruikt?quote:Op zondag 9 december 2018 14:56 schreef Prof_Hoax het volgende:
Op het moment dat zon simswap gebeurt, zal het signaal op je eigen simkaart direct wegvallen. Meeste mensen zullen dan ook direct contact zoeken met hun provider (of tenminste binnen een dag) neem ik aan.
Verder is het dus verstandig niet ales via je mobiele nummer te laten lopen, maar je Multi Factor door een app te laten lopen (authenticator app of iets dergelijks) die is gekoppeld aan een fysieke iets wat niet makkelijk overgezet kan worden (je telefoon in deze, waarop hij geïnstalleerd is)
Verkeerd gebruikte naam, helaas zie je dat wel vaker: mijn inziens: hacken, het gebruiken van je technische skills gebruik maken van exploits en bugs (overigens niet te verwarren met een script kiddie). Daar heeft sim-swapping niets mee te maken.quote:
Nee, maar kennelijk kunnen zij een telefoonnummer overzetten op een andere sim-kaart.quote:Op zondag 9 december 2018 15:04 schreef Leandra het volgende:
Het artikel heeft het over internetproviders, en dat lijken me niet degenen die de controle over je sim hebben?
Potato potatoquote:
Dat vind ik ook. en ook dat die procedure blijkbaar zo lek als een mandje is. Als je als provider weet dat iemand identiteitsfraude kan plegen en je de daaruit voortvloeiende schade mogelijk moet vergoeden dan scherp je dat toch aan?quote:
Bijna Amerikaans makkelijk, hier zou social engineering een stuk lastiger moeten zijn.quote:Op zondag 9 december 2018 15:07 schreef Extraneus het volgende:
[..]
Dat vind ik ook. en ook dat die procedure blijkbaar zo lek als een mandje is. Als je als provider weet dat iemand identiteitsfraude kan plegen en je de daaruit voortvloeiende schade mogelijk moet vergoeden dan scherp je dat toch aan?
Zinloos als deze gekoppeld zit aan een mailaccount wat je kan resetten middels je telefoonnummer. Enige alternatief is een speciaal mail account nemen wat niet gekoppeld zit aan je telnr.quote:Op zondag 9 december 2018 15:23 schreef Extraneus het volgende:
Voor het geval het niet te veel offtopic is, gebruiken jullie tweefactoridentificatie en, zo ja, welke?
Ja, inderdaad.quote:Op zondag 9 december 2018 15:25 schreef Leandra het volgende:
[..]
Bijna Amerikaans makkelijk, hier zou social engineering een stuk lastiger moeten zijn.
Maar mijn e-mailaccount kent mijn telefoonnummer niet.quote:Op zondag 9 december 2018 15:26 schreef Banaanvragen het volgende:
[..]
Zinloos als deze gekoppeld zit aan een mailaccount wat je kan resetten middels je telefoonnummer. Enige alternatief is een speciaal mail account nemen wat niet gekoppeld zit aan je telnr.
Nee dat kunnen ze niet, de NOS heeft het verkeerd overgenomen van RTLNieuws.quote:Op zondag 9 december 2018 15:05 schreef Extraneus het volgende:
[..]
Nee, maar kennelijk kunnen zij een telefoonnummer overzetten op een andere sim-kaart.
Dan ben je al een stuk minder vatbaar, maar het is niet geheel onmogelijk.quote:Op zondag 9 december 2018 15:27 schreef Extraneus het volgende:
[..]
Maar mijn e-mailaccount kent mijn telefoonnummer niet.
Maar wat kunnen ze dan wel?quote:Op zondag 9 december 2018 15:30 schreef Banaanvragen het volgende:
[..]
Nee dat kunnen ze niet, de NOS heeft het verkeerd overgenomen van RTLNieuws.
Ik heb Hotmail.quote:Op zondag 9 december 2018 15:30 schreef Banaanvragen het volgende:
[..]
Dan ben je al een stuk minder vatbaar, maar het is niet geheel onmogelijk.
Bij welke provider heb jij een mailaccount?
Zoals eerderquote:
En je hebt nooit je mobiele telefoon nummer achter gelaten, bv bij het registreren (wat je je nu niet meer kan herinneren)? Probeer voor de gein eens je wachtwoord te resetten als je doet alsof je wachtwoord vergeten is.quote:
Maar hoe was het eerder dan? Of begrijp ik je verkeerd?quote:
Ja, zou kunnen. Ik zal het proberen.quote:[..]
En je hebt nooit je mobiele telefoon nummer achter gelaten, bv bij het registreren (wat je je nu niet meer kan herinneren)? Probeer voor de gein eens je wachtwoord te resetten als je doet alsof je wachtwoord vergeten is.
anders ben je een stuk minder kwetsbaar
'zoals eerder' was een foutje, maar wat ze eerder konden met je account wat nu niet meer kan:quote:Op zondag 9 december 2018 15:35 schreef Extraneus het volgende:
[..]
Maar hoe was het eerder dan? Of begrijp ik je verkeerd?
[..]
Ja, zou kunnen. Ik zal het proberen.
Ik heb het geprobeerd. Heel goed punt van je. Hotmail stelde voor om me te sms'en op mijn telefoonnummer terwijl ik dat had verwijderd bij mijn contactgegevens. Vervolgens bleek dat het nog stond bij mijn beveiligingsinformatie. Toen heb ik Hotmail gezegd me voortaan te mailen op een ander e-mailadres en met niet te sms'en. Nu heb ik een kruisverwijzing gemaakt van twee Hotmailadressen met elkaar.
Maar als ik jouw mail goed begrijp, komt het erop neer dat identiteitsfraude erg lastig wordt als het wachtwoord van je e-mail niet met een sms'je kan worden gereset.quote:Op zondag 9 december 2018 15:58 schreef Banaanvragen het volgende:
[..]
'zoals eerder' was een foutje, maar wat ze eerder konden met je account wat nu niet meer kan:
- sim wissel bij je provider laten uitvoeren
- ww (wachtwoord) reset van hotmail met een sms
- ww reset bij bol.com (voorbeeld), nieuwe ww in je mailbox
- shizzle bestellen bij bol.com, (via achteraf betalen, of als je het het hebt achter gelaten je creditcard gegevens) afhalen bij het postkantoor.
Wat eerder ook kon als je 2FA aan had staan.
- sim wissel bij je provider
- ww reset van hotmal
- 2fa je gegvens laten resetten (gaat vaak via mail en sms)
- ww reset van je bitcoin rekening
- inloggen op je bitcoin rekening met authy en je geresette wachtword
lastiger maar niet onmogelijk (geen idee of de wehkamp zo werkt, het is slechts een voorbeeld)quote:Op zondag 9 december 2018 16:08 schreef Extraneus het volgende:
[..]
Maar als ik jouw mail goed begrijp, komt het erop neer dat identiteitsfraude erg lastig wordt als het wachtwoord van je e-mail niet met een sms'je kan worden gereset.
Ja, heel vervelend als je afhankelijk bent van anderen. Dan maar zorgen dat zo weinig mogelijk bedrijven je telefoonnummer hebben.quote:Op zondag 9 december 2018 16:16 schreef Banaanvragen het volgende:
[..]
lastiger maar niet onmogelijk (geen idee of de wehkamp zo werkt, het is slechts een voorbeeld)
'Hallo wehkamp, ik kan niet meer inloggen omdat ik mijn wacthwoord niet meer weet en mijn mailadres niet meer in gebruik is, kunnen jullie die resetten voor mij? '
'Ja dat kan, maar dan wil ik wel zeker weten dat u het bent, ik heb een telefoon nummer waar ik een controle sms naar toe kan sturen' ...
Dat sowieso.quote:Op zondag 9 december 2018 16:26 schreef Extraneus het volgende:
[..]
Ja, heel vervelend als je afhankelijk bent van anderen. Dan maar zorgen dat zo weinig mogelijk bedrijven je telefoonnummer hebben.
Ik moest onlangs een kleinere sim hebben, maar moest gelukkig wel mijn ID laten zien. Vreemd dat jij dat niet hoefde idd. Moet niet mogen, lijkt me.quote:Op zondag 9 december 2018 17:42 schreef __Saviour__ het volgende:
Het verbaasde mij eerder al hoe enorm eenvoudig dit is. Voor een nieuw toestel had ik een kleiner type simkaart nodig. Bij een fysieke winkel van de provider kon ik dit zo regelen, zonder enige vorm van identificatie / controle.
Had eigenlijk nooit zo gemogen inderdaad, stukje onzorgvuldigheid van de medewerker dus.quote:Op zondag 9 december 2018 17:45 schreef spijkerbroek het volgende:
[..]
Ik moest onlangs een kleinere sim hebben, maar moest gelukkig wel mijn ID laten zien. Vreemd dat jij dat niet hoefde idd. Moet niet mogen, lijkt me.
Overal waar het kan en waarvan ik het weet, gebruik ik Authenticator van Google. Dat is gebaseerd op een open standaard, dus er zijn ook implementaties van andere partijen voor.quote:Op zondag 9 december 2018 15:23 schreef Extraneus het volgende:
Voor het geval het niet te veel offtopic is, gebruiken jullie tweefactoridentificatie en, zo ja, welke?
als ze het nummer van de kaart kunnen lezen moet dat kunnen, niet uitgaan van wat er fysiek op staatquote:Op zondag 9 december 2018 17:54 schreef Leandra het volgende:
In een winkel de oude sim met het juiste nummer kunnen leveren moet toch ook zo ongeveer voldoende zijn?
Klinkt verstandig allemaal. Toen ik dat soort dingen invulde, speelde al dat gehack nog niet zo. Maar ik ben het aan het herstellen.quote:Op zondag 9 december 2018 17:09 schreef spijkerbroek het volgende:
[..]
Dat sowieso.
Verreweg de meeste online bedrijven die van mij een telefoonnummer willen, krijgen 0612345678 of een ander, willekeurig, nummer. Ze kunnen me per email contacteren en dan is mijn telefoonnummer dus niet nodig.
En uiteraard alle niet-essentiële gegevens niet of onjuist invullen.
Postcode+huisnummer? 1012RJ 147. Tot het moment dat ik wil dat ze mij iets sturen, dan verander ik het wel in mijn eigen adres.
Dat ga ik doen. Alleen las ik ook weer dat er nogal wat omkoopbare providermedewerkers zijn.quote:Op zondag 9 december 2018 17:35 schreef sneakydesert het volgende:
Je kan bij de telefoonprovider een 'geheim wachtwoord' opgeven, die ze verplicht moeten vragen voordat ze je verder helpen.
Ja, zag ik ook. Ik twijfel nu tussen een authenticatorapp en een security key.quote:Verder zo min mogelijk sms gebruiken. Liefst andere vormen van 2factor authenticatie.
Wel oncomfortabel hoe makkelijk dat kennelijk kan gaan.quote:Op zondag 9 december 2018 17:42 schreef __Saviour__ het volgende:
Het verbaasde mij eerder al hoe enorm eenvoudig dit is. Voor een nieuw toestel had ik een kleiner type simkaart nodig. Bij een fysieke winkel van de provider kon ik dit zo regelen, zonder enige vorm van identificatie / controle.
Klinkt logisch, maar what about dat wat _Saviour_ heeft meegemaakt?quote:Op zondag 9 december 2018 17:48 schreef mschol het volgende:
oplossing kan vrij simpel zijn: defecte aim betekent dat je een nieuwe sim moet aanvragen die of aangetekend bezorgd wordt (met id verplichting) of persoonlijk afgehaald (met ID) moet worden; "ik heb al een nieuwe simkaart" kan niet
Ik zit op het internet sinds ergens rond 1990 en ook toen speelde hacking al.quote:Op zondag 9 december 2018 19:24 schreef Extraneus het volgende:
[..]
Klinkt verstandig allemaal. Toen ik dat soort dingen invulde, speelde al dat gehack nog niet zo. Maar ik ben het aan het herstellen.
Klopt, maar het heeft wel een beetje een vlucht genomen sinds toen volgens mij.quote:Op zondag 9 december 2018 20:57 schreef spijkerbroek het volgende:
[..]
Ik zit op het internet sinds ergens rond 1990 en ook toen speelde hacking al.
Hoe laagdrempeliger het internet, hoe meer mensen op het internet, hoe meer potentiële slachtoffers en dus hoe meer daders.quote:Op zondag 9 december 2018 21:41 schreef Extraneus het volgende:
[..]
Klopt, maar het heeft wel een beetje een vlucht genomen sinds toen volgens mij.
Ja, klinkt logisch. Het voelt als een wapenwedloop, om steeds te proberen je te wapenen tegen nieuwe identiteitsfraudetechnieken.quote:Op zondag 9 december 2018 21:50 schreef spijkerbroek het volgende:
[..]
Hoe laagdrempeliger het internet, hoe meer mensen op het internet, hoe meer potentiële slachtoffers en dus hoe meer daders.
Tegenwoordig is het idd social hacking, tegen het backdoors exploiteren van toen.
aangezien ik het over een oplossing heb zou zo'n situatie dan dus niet meer voorkomen: geen ID (evt zelfs icm overleggen van oude simkaart) , geen nieuwe/andere simkaartquote:Op zondag 9 december 2018 19:45 schreef Extraneus het volgende:
[..]
Klinkt logisch, maar what about dat wat _Saviour_ heeft meegemaakt?
Daar gaat het natuurlijk mis. Als je willynilly je data rondstrooit moet je niet jammeren als er misbruik van gemaakt wordt.quote:Maar voor die sim-swapping hoef je zelf eigenlijk niets verkeerd te doen. Behalve dan misschien je persoonsgegevens openbaar online zetten op Facebook en je telefoonnummer gebruik om in te loggen.
Sorry, ik lees nu pas dat je een oplossing aandraagt.quote:Op zondag 9 december 2018 22:29 schreef mschol het volgende:
[..]
aangezien ik het over een oplossing heb zou zo'n situatie dan dus niet meer voorkomen: geen ID (evt zelfs icm overleggen van oude simkaart) , geen nieuwe/andere simkaart
Mja, als je op Facebook trots foto's plaatst van je 30e verjaardag en ook bijvoorbeeld je geboorteplaats erbij staat, vind ik niet dat je vraagt om identiteitsfraude.quote:Op maandag 10 december 2018 07:36 schreef Mano_ het volgende:
[..]
Daar gaat het natuurlijk mis. Als je willynilly je data rondstrooit moet je niet jammeren als er misbruik van gemaakt wordt.
Niemand vraagt erom om benadeeld te worden.quote:Op maandag 10 december 2018 08:10 schreef Extraneus het volgende:
Mja, als je op Facebook trots foto's plaatst van je 30e verjaardag en ook bijvoorbeeld je geboorteplaats erbij staat, vind ik niet dat je vraagt om identiteitsfraude.
je zal denk ik het aanraak vlak moet aanraken, zo werkt mijn yubikey 4 iig wel, let wel dat ze niet zonder meer gebruikt kunnen worden voor authenticatie.quote:Op zaterdag 15 december 2018 15:18 schreef Extraneus het volgende:
Heeft iemand ervaring met deze security key? Ik overweeg er een te kopen, bij wijze van tweefactoridentificatie. Wat ik me afvraag, is of je elke keer dat je je computer gaat gebruiken de knop op dat apparaat moet indrukken? Ik hoop het niet, want ik heb een iMac en de USB-ingangen zitten aan de achterkant?
Hoe vak moet je dat doen? Alleen als je hem aanzet nadat je hem uit hebt gezet, of ook als hij in de sluimerstand heeft gestaan?quote:Op zaterdag 15 december 2018 15:37 schreef mschol het volgende:
[..]
je zal denk ik het aanraak vlak moet aanraken, zo werkt mijn yubikey 4 iig wel,
In welk opzicht? Want daar koop ik hem wel voor.quote:let wel dat ze niet zonder meer gebruikt kunnen worden voor authenticatie.
het unlocken en locken van een werkstation, lees je goed in over de verschillende protocollen e.d. die ze ondersteunen. (Zelf gebruik ik het als 2FA voor gmail, lastpass e.d.)quote:Op zaterdag 15 december 2018 15:44 schreef Extraneus het volgende:
[..]
Hoe vak moet je dat doen? Alleen als je hem aanzet nadat je hem uit hebt gezet, of ook als hij in de sluimerstand heeft gestaan?
[..]
In welk opzicht? Want daar koop ik hem wel voor.
|
Forum Opties | |
---|---|
Forumhop: | |
Hop naar: |