Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Europol pakt mannen op die 100 miljoen aan cryptovaluta stalen via simswapping

Politiediensten in verschillende landen hebben acht mannen opgepakt die worden verdacht van simswapping. Ze zouden onder andere beroemdheden en influencers hebben opgelicht en van hen honderd miljoen euro aan cryptovaluta hebben gestolen.

De verdachten werden opgepakt door politie-eenheden uit het Verenigd Koninkrijk en de Verenigde Staten, België, Malta en Canada. De actie werd gecoördineerd door Europol. De organisatie schrijft dat er bijna een jaar onderzoek werd gedaan naar de groep.

Het is niet bekend op welke wijze de criminelen precies te werk gingen. Wel is duidelijk dat de aanvallers telefoonnummers van slachtoffers overnamen. Dat kan bijvoorbeeld door nieuwe simkaarten aan te vragen. Met de simkaart konden ze vervolgens accountresets aanvragen.

Met de gehackte accounts wisten de aanvallers geld te stelen, maar ook cryptovaluta. Met die tweede categorie wisten ze meer dan honderd miljoen dollar te stelen. Ook stalen de criminelen persoonlijke gegevens en namen ze socialemedia-accounts over om daar boodschappen op te zetten.

De criminelen wisten niet alleen 'gewone mensen' te hacken, maar ook beroemdheden, waaronder sporters en muzikanten en influencers. De verdachten zijn acht mannen van tussen de 18 en 26 jaar, die allemaal uit Engeland en Schotland kwamen.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

10-02-2021 • 14:50

150 Linkedin

Reacties (150)

Wijzig sortering
Hoe lastig is is het om een simwissel aan te vragen? Vragen providers niet door? Hiervoor moet toch wel ergens een beveiliging tegen ingebouwd zitten?
Best eenvoudig. In Nederland kun je bij T-Mobile een contractwachtwoord instellen. Dan moet je voor je een adreswijziging doorgeeft dat wachtwoord doorgeven, of anders met een paspoort in de winkel langs. Zonder zoiets kun je met een beetje acteerwerk best makkelijk een klantenservicemedewerker overtuigen volgens mij.
Ja, vaak wordt aan de telefoon alleen om postcode en geboortedatum gevraagd.
Ook worden de laatste cijfers van een IBAN nr nog wel eens gevraagd.
Zojuist iemand van t-mobile gesproken, ook wordt er nog een smsje met een verificatiecode gestuurd naar je telefoon wat je ook nog eens moet oplezen.
Dat omzeil je vrij makkelijk als je zegt dat je je oude simkaart kwijt bent geraakt of de pin/puk bent vergeten
Dan hoort een call medewerker terug te vallen op andere authenticatiemiddelen, in plaats van het dan maar te accepteren. Procesfout
Dat zou moeten...... maar https://www.youtube.com/watch?v=fHhNWAKw0bY is een mooie video hoe eenvoudig "social engineering hacking" is. Op min 1:00 begint het oplichten van de telefoniste van een TELCOM maatschappij

[Reactie gewijzigd door jobvr op 10 februari 2021 21:59]

Blijft een mooi filmpje. Deze gebruik ik nog wel eens bij mijn klanten als ik het heb over security, social engineering, etc.
Tja, maar als dit een redelijk anoniem callcenter is dat via een derde wordt ingehuurd is het lastig om een schuldige aan te wijzen.
Als je als bedrijf je outsourcing niet onder controle hebt is dat simpelweg nog een procesfout.
Kunnen ze niet zien dat de simkaart gewoon verbonden is met het netwerk?
Idd. Gewoon bellen of een SMS ping sturen. Als dat lukt, is het inderdaad aannemelijk dat er iets niet in de haak zit.
En als je je toestel verloren hebt of gestolen is? Dan kan t toestel prima aan staan als er word gebeld voor een simswap.

Ik heb ooit mijn telefoon laten liggen bij een werkgever in het buitenland - stond gewoon aan, maar heb vrij eenvoudig een simswap kunnen doen bij Vodafone. Kon toen gewoon online door het invoeren van het nieuwe Sim nummer.
Dan gaat hij van zelf uit als de batterij leeg is en diefstal kan je aantonen met een aangifte.
Klopt - maar soms (en ook in mijn specifieke geval) was de accu nog niet leeg toen de simswap werd gedaan - het gaat dus niet in elk geval op.

Ik denk dat daarom dit ook zo’n lastig iets is: je legt de bewijslast bij de aanvrager van een simswap. Sommige providers (zo toen ook Vodafone) stonden simswap toe via de website -> je hoeft dan alleen in te loggen op de website, zonder enige overige vragen.
Ja bij het afsluiten van een abo gelijk goed afspreken dat je een wachtwoord wil instellen voor veranderingen door te voeren als via telefoon en mail een verandering wordt gevraagd, dan kom je niet zomaar aan een nieuwe sim.
Eigenlijk zou je overal nog een wachtwoord moeten hebben dingen te kunnen wijzigen, een wachtwoord die alleen wij de servicedesk bekend is dan.

Ik weet dat er heel veel bedrijven zijn die gewoon aannemen met collega A te spreken en vervolgens het wachtwoord veranderen. Sommigen vragen dan nog wel naar de naam van de manager.

Okay je hebt gebruikers die dat wachtwoord ook gewoon vergeten, op afstand zou je misschien dan via de camera op de telefoon een passpoort/ID + beller kunnen verifiëren. Maar dan zit je weer met AVG..
Alleen bij de service desk bekend en dan hopen dat de service desk medewerkers allemaal 100% integer zijn? Mwah je wilt denk alleen dat de service desk kan zien dat het wachtwoord dat jij zelf ingevoerd hebt correct is.
Daar komt dan auditing en logging om de hoek kijken ;) Oh en rechten beperking. Niet zoals we bij de GGD zagen.
Je laat het lijken alsof daar tijd en geld voor is, laat staan ontwikkelaars voor te vinden zijn ;)
Telco's verdienen genoeg geld om dat netjes te regelen hoor, dat ze het niet willen is een ander verhaal.
Maar de nieuwe SIM wordt dan toch zeker naar je huidige adres gestuurd, en niet een willekeurig adres dat je dan pas noemt?

Of eventueel een verificatie-code als het een e-SIM is.
Mijn telefoon is bij de verhuizing gesneuveld en in de nieuwe telefoon doet de oude simkaart het niet goed of kan alleen via een e-SIM werken. Kunnen jullie een nieuw SIM of code sturen?
De smoezen kampioen heeft voor elke situatie wel een passende smoes klaar. Zolang er bij providers mogelijkheden zijn om van de procedure af te wijken zal het ook lukken om de procedure te omzeilen.
Ze zijn niet voor niks in die verschillende landen opgepakt. ;-)
Het is denk ik niet bij callcenters gebleven.
Gewoon langsgaan bij de winkel van de telecom-provider.
Ze hebben geen scan van je paspoort, ze hebben geen foto van toen je je abonnement aan ging.
Iedereen kan zich wat dat betreft voor jouw uitgeven als ze maar genoeg 'medelijden' weten te creëeren en geloofwaardigheid dat ze die controle kwijt zijn.

Want, een controlebericht sturen naar de persoon die 'tegenover je staat', zeg nou zelf, dat is toch idioot? (Het meest voorkomende antwoord op die vraag is ja, de enige logische om dit soort shit tegen te gaan, is nee.)
Ik heb meermaals nieuwe simkaarten (Vodafone en t-mobile) gewoon kostenloos gehaald bij de mediamarkt..... nieuw nummertje doorgeven aan de klantenservice of online aanpassen en voila, Ik was weer geholpen, maar kan dus ook voor verkeerde zaken gebruikt worden.
Nou dat is moeilijker achterhalen?

Iedere marktkraam / webwinkel / sportcafé waar jij ooit iets hebt betaald met je pin pas of iDeal heeft jouw iban

[Reactie gewijzigd door xbeam op 11 februari 2021 08:01]

Als iemand postcode en geboortedatum weet is de kring van mogelijke daders al behoorlijk klein.
Dat is toch praktisch publieke informatie? Zeker bij BN-ers
Geboorte datum kun je al via FB achterkomen, postcode ook wel via vrienden op sociale media. Social engineering gaat niet alleen om jou maar om je hele kring.
Wanneer je bestuurslid bent van een stichting staat je volledige naam, geboortedatum en -plaats, en het nummer en de afgiftedatum van je paspoort gewoon vermeld in de statuten*. De kring wordt dan ineens heel groot.

* Oprichting van de stichting was in 2005, dus geen idee of ze dat inmiddels al eens veranderd hebben.
Iedere webwinkel waar je ooit iets met iDeal hebt gekocht heeft jouw volledige naam, postcode en iban. Daarnaast vragen sommige webwinkels nog meer info waaronder een geboorte datum.

Korting vinden mensen ook altijd leuk hierdoor heeft iedere gewonen/ stenen winkel waar je met je pinpas betaald en een klantenkaart invult jouw iban, postcode en geboorte datum.

Het is maar op goed geluk dat die winkel je gegevens goed beveiligd en dat je die winkelmedewerker waarmee je een klantenkaart invult kan vertrouwen.

[Reactie gewijzigd door xbeam op 11 februari 2021 08:00]

Waaruit blijkt nu dat die controles en afhankelijkheid van die servicemedewerker voldoende zijn?
Zolang het dus van een servicemedewerker af hangt of die wel of niet (goed genoeg) gaat controleren is de oplossing dus niet makkelijk dat een wachtwoord voldoende is. Kan je nog zo mooi een wachtwoord hebben, kan je er alsnog mee te maken krijgen. Tegen de tijd dat ze dan maatregelen nemen is het al te laat voor de slachtoffers, is het geld weg etc. Op duizenden servicemedewerkers is het redelijk voorstelbaar dat een crimineel dat blijft kunnen doen.
of gewoon iemand kennen die bij t-mobile werkt.
En iedereen die daar werkt is corrupt?
Het probleem met dit risico is dat je maar een persoon nodig hebt dit het niet zo nauw neemt met de regels om een groot probleem te kunnen veroorzaken. Wat @eliasje opmerkt is daar net zo goed een voorbeeld bij, zonder iedereen die goed werkt erbij te betrekken. Ik lees in de opmerkingen niet terug waaruit nu blijkt dat dit 'moeten' controleren op een identiteitsbewijs voldoende is.
Er is zeker weten wel één medewerker van T-Mobile die in financiële moeilijkheden verkeert of niet zo van de regels is.
Best eenvoudig. In Nederland kun je bij T-Mobile een contractwachtwoord instellen. Dan moet je voor je een adreswijziging doorgeeft dat wachtwoord doorgeven, of anders met een paspoort in de winkel langs. Zonder zoiets kun je met een beetje acteerwerk best makkelijk een klantenservicemedewerker overtuigen volgens mij.
Een simkaart wordt alleen naar het bekende huisadres van de klant verstuurd. Voor het activeren van de simkaart moet je vervolgens eerst een via SMS ontvangen code invoeren op my T-Mobile voor de simkaart geactiveerd kan worden.
Nu de andere providers nog, daar is nog wel een wereld te winnen. Als dit soort procedures beter ingeregeld wordt bij de providers, scheelt dit een hoop werk voor de Nationale Politie en kunnen zij veel capaciteit vrij maken voor andere prioriteiten.
In theorie vragen ze je om wat gegevens die alleen jij zou moeten weten, maar daar zijn vast manieren omheen.

En, voor $100 miljoen kunnen ze een leger aan mensen inzetten die de callcenters infiltreren en zo toegang krijgen tot de systemen voor simwissels. Zou me niks verbazen als dat ook een factor is. Zie ook de 'hack' bij de GGD waar callcentermedewerkers gegevens konden uitprinten of exporteren en doorverkopen. Ik bedoel als je iemand z'n sofinummer hebt kun je ook best veel voor elkaar krijgen.
Ooit eens gehad dat ons appartement zonder gas en elektriciteit zat, bleek dat iemand op ons adres een nieuw energiecontract had afgesloten en niet had betaald, mevrouw van de desbetreffende energiemaatschappij vertelde dat hier eigenlijk nooit een check voor wordt gedaan... ehhh whatnow?
Valt mee. Stel je hebt als beroemdheid net een covid test laten doen bij de GGD.
Daar ga je...
.... creatief - maar wat gaan de telecom boeren hieraan doen? zij verstrekken een sim-swap die niet geauthoriseerd is en door verkeerd persoon ...
sim swappen zou niet zo makkelijk moeten zijn
Tot dat je zelf eentje normaal wil doen. Dan is het lastig :?
omdat jij als individue niet een volledige threat-analysis hebt gemaakt om de weak-spots van het systeem te exploiten
dat bedoe ik, ooit telecom retail gedaan, er zijn nogal wat controles en 'beschermende maatregelen' om dit te voorkomen. daarom vraag ik me oprecht af; hoe kan dat, en wat gaan die telecomboeren daaraan doen.
Telecomboeren denken: "ach als het misgaat, 500 euro telefoonrekening, daar komen we overheen".
De eventuele gevolgschade is namelijk voor een ander.
Tja, afgezien van dat ik je punt snap, is het ook van de zotte dat je bij je (crypto)geld kan als iemand bij je telefoonnummer kan.
Als ik het goed begrijp hebben ze op deze manier toegang tot de telefoonnummer van de klant,

en zowat alle 2-traps beveiligingen kan je resetten via een SMS op je gekende telefoonnummer,
dus op deze manier konden ze toegang krijgen tot al hun accounts (google, microsoft, ....) zo kan je natuurlijk ook je crypto wallet zijn wachtwoord resetten (of het wachtwoord is opgeslagen in je google keychain :) )
Gezien de bedragen waar het hier om gaat (al is onbekend bij hoeveel mensen) is het toch niet vreemd om crypto's op een coldwallet te zetten.
Geen idee,

Nooit met de crypto's mee gedaan,

Nu wel spijt van, heb toen crypto nieuw was even zitten nadenken of ik mijn PC niet zou laten op staan als ik naar werk ging, maar vond het zonde van de electriciteit en slijtage voor die 10tallen euro's dat het zou opbrengen :)

Oh had ik het toen maar gedaan en ze bijgehouden om ze nu te verkopen,

Maarja :)
Nu zijn ze wat waard, maar ja ik blijf er bij dat bitcoin te gemakkelijk word misbruikt, waardoor het waarschijnlijk op een gegeven moment verboden gaat worden in sommige landen.
Bij een gewone bank gaan wat belletjes af bij hun en bij de belastingdienst als ik 10 miljoen ontvang op mijn bankrekening, maar met bitcoins kan je dat gewoon overmaken naar iemand aan de andere kant van de wereld en betalingen doen voor criminele activiteiten waar nooit iemand achter komt.
Bij een adreswijziging zou de provider makkelijk kunnen zeggen : We hangen op, en ik bel u op het betreffende nummer op om de wijziging te voltooien.
Maar zo een "doortastende" methode heb ik nog niet meegemaakt.

Alleen als je telefoon écht kapot of gestolen is werkt dit scenario niet, maar dan wil je waarschijnlijk een vervanger en niet iets wijzigen.
Daarna blijven er volgens mij bijzonder weinig situaties over, die kun je denk ik best afvangen door te videobellen en paspoort verificatie.
Precies:

je zou bij gestolen sim een brief naar huisadres kunnen sturen met verificatie ter activatie en omgekeerd met adreswijziging terug kunnen bellen.
Simkaart vervangen alleen fysiek laten doen in de winkel, ik weet dat dit door Corona lastig is, maar telefoon reparaties mogen gewoon. Met ID / passpoort natuurlijk.

Ja het is minder fijn voor de eindgebruiker, maar wel 100% veilig.
Ja of inside persoon heeft die wissels geautoriseerd.
Zie post er boven.
Strekking van het verhaal voor ons als consument, 2FA via SMS is totaal niet meer te vertrouwen.
Zou het nu veiliger zijn om 2FA helemaal niet meer te gebruiken om dit wat in het artikel wordt besproken te voorkomen?
Nee, want zonder 2FA is alleen een wachtwoord voldoende. 2FA via SMS (en accountverificatie op basis van een telefoonnummer) is gevaarlijk, omdat een telefoonnummer en de communicatie over dat netwerk onderschept kan worden op verschillende manieren. Zie ook bijv. nieuws: 'Aanvallen via ss7-protocol om 2fa-sms'jes te onderscheppen nemen toe' of nieuws: Hacker Nohl toont afluisteren gesprekken via lek in telecominfrastruc..., dat zelfs helemaal om simkaarten heen gaat.
2FA via SMS is gevaarlijk, omdat een telefoonnummer en de communicatie over dat netwerk onderschept kan worden op verschillende manieren.
Altijd leuk van die problemen die al langere tijd bekend zijn, en dan zien hoe webwinkels en service providers (of hun payment providers) 3D Secure (AKA bevestigings-SMS) afgelopen jaar juist hebben moeten implementeren voor creditcardbetalingen omdat het sinds 31 December 2020 verplicht zou zijn vanwege PSD2 oid.

Ik heb vast de klok horen luiden, maar ik zit nu sinds jaren steeds weer allemaal SMS-codes over te typen bij het shoppen. En dat terwijl de ING de SMS-bevestiging juist al 10 jaar probeert uit te faseren.
2FA voor CC kan ook prima op andere manieren dan SMS, sinds geruime tijd kan dat bij bijvoorbeeld bij ICS gewoon via de app (meen al meer dan een jaar, zo niet langer). En zonder 2FA is het nog veel eenvoudiger om iets over te nemen dan met, ook al is het SMS (drempelverhogend). Maar het is natuurlijk beter om iets te doen als OTP en/of andere (hardware-based) tokens.
Nee, want hier geldt dat de ketting zo sterk is als de sterkste schakel. 2 Factor Authenticatie wil zeggen dat je aan beide toegangscriteria moet voldoen, niet de één of de ander.
Het lijkt me niet redelijk om te stellen dat als er 8 personen gebruik weten te maken van simswapping voor miljarden gebruikers 2fa via sms dan niet meer betrouwbaar genoeg is. Bijna geen systeem is zonder risico, dus de kans dat je er mee te maken krijgt en waarop dat gebaseerd is zou ook horen mee te tellen.
De grote partijen roepen al jaren dat 2FA via SMS niet te vertrouwen is. MITM, Sim swapping, telefoon jatten, veel te veel opties om een dergelijk systeem binnen te dringen.

Dus nee, het is niet op basis van dit bericht dat dat geroepen wordt, dit bericht is slechts een extra ondersteuning voor de stelling.
Je gebruikt het nieuws om een mening te hebben die niet lijkt te kloppen en als er dan kritiek komt probeer je daar niet op in te gaan door te wijzen naar andere meningen. Dat ook anderen er een mening over hebben wil nog niet zeggen dat het niet te vertrouwen is en al helemaal niet wat dat met deze 8 verdachten te maken heeft om het niet meer te vertrouwen. Daarbij lees ik nog steeds niet waar het verschil dan in zou zitten tussen er is afhankelijk van de situatie niet meer acceptabel of het is hoe dan ook niet meer acceptabel. Je kan dan altijd wel kan vinden dat iets niet meer te vertrouwen is omdat er een kans is dat het mis gaat. Wat heeft dat dan met deze 8 verdachten te maken? Je lijkt namelijk niet te bewijzen hooguit te beweren, zonder gerelateerde onderbouwing.

[Reactie gewijzigd door kodak op 10 februari 2021 15:46]

Ik gebruik het nieuws helemaal nergens voor. Ik reageer slechts op jouw stelling.

Dat Microsoft, Google, en zo'n beetje alle security specialisten ter wereld zeggen dat je geen SMS moet gebruiken als 2e factor wil zeggen dat je in alle redelijkheid moet aannemen dat SMS niet te vertrouwen is als 2e factor.

In mijn stuk komt nergens mijn mening naar voren. Er komt de mening van deze autoriteiten op het gebied naar voren en daar trek ik een logische conclusie uit. Wat jij daar verder over mijn mening in leest is aan jou, daar neem ik geen verantwoordelijkheid voor.
Alleen de kans dat iemand je wachtwoord heeft EN je sms onderschept, is in de praktijk klein. Beter dan een enkel wachtwoord maar om het nou onbetrouwbaar te noemen..
En deze reactie plaats je onder een artikel waarin het nu juist draait om het misbruiken van deze zwakte.
Het is dus theoretisch mogelijk en is nu ook in de praktijk al misbruikt.

Een wachtwoord van iemand achterhalen is in veel gevallen juist helemaal niet zo lastig, zie alle "have i been pwned" entries waarvan de wachtwoorden op straat liggen en de neiging tot hergebruik van wachtwoorden. Juist daarom is 2FA belangrijk en is het dus ook belangrijk dat je 2e factor niet ook allerlei zwaktes bevat.

[Reactie gewijzigd door Raafz0r op 10 februari 2021 16:59]

Misschien heb ik iets te snel geantwoord. Je hebt wel gelijk. Maar het is mijns inziens geen zwakte in het protocol 2FA met SMS, maar eerder bij een provider. Dat sim swapping simpeler is dan ik dacht is te zot, want je zou niet zomaar een SIM-kaart aan moeten kunnen vragen.

Desalniettemin is het inderdaad gebeurd, en is mijn reactie minder relevant.
Je gebruikt het nieuws om een een bewering te kunnen doen door er op te reageren. De mogelijkheid om te reageren is om discussie te kunnen voeren, niet om zomaar wat te beweren of te schrijven.

Je gaat daarbij nog steeds niet in op mijn opmerking en blijft nu steken in verwijzen in plaats van het te willen hebben of je opmerking wel klopt op basis van het nieuws. Reageer dan liever niet, het doel van het kunnen reageren is niet om zomaar wat te schrijven.


De reactie van @Polderdijk is alsof uit de aanhouding en het artikel iets blijkt voor alle consumenten. Ik lees niet terug dat dat klopt of waaruit dat dan zou blijken in het artikel.

Dan kunnen we wel andere meningen en onderbouwinge er bij halen maar dat maakt de conclusie op basis van het nieuws nog niet relevant. Dat blijkt pas door een relevante relatie aan te tonen. Ik kan er wel een geven: het blijkt weer te gebeuren dat er aan sim swapping gevolgen zitten. Maar dan komen we weer in de circel dat er altijd wel iets mis kan gaan en dit nog niet laat zien dat het daarom nu wel voor iedere consument onbetrouwbaar is. De onbetrouwbaarheid hangt niet alleen af van andermans mening, hoe graag die ook zouden willen dat je het met ze eens bent. Wat dus lijkt te ontbreken is wat hier nu het verschil zou maken. Is dat het gemak (en waardoor komt dat gemak), het aantal personen dat slachtoffer is (op hoeveel gebruikers is dat welke kans?) is dat verschil het bedrag (en wie merkt er nu in het totaal beschermde waarde hier nu duidelijk dat de schade te groot is om het als alle consumenten niet meer te vertrouwen?).

[Reactie gewijzigd door kodak op 10 februari 2021 15:58]

Je maakt het allemaal wel moeilijk, het enige relevante hier is dat 2FA via SMS onnodige risico's met zich meebrengt en dat er betere methoden zijn.
Dat is niet het enige relevante. De reactie waar het om ging is dat dit nieuws zou aantonen dat 2fa via sms voor consumenten totaal niet meer te vertrouwen.
De moeilijkheid zit er in dat je dat niet zo simpel op basis van dit nieuws kan stellen, en verwijzen naar andere meningen dat nog niet aantoont. Het kan dus niet simpelweg worden afgedaan als totaal niet meer te vertrouwen voor consumenten.
Tsja, als je er een semantische discussie van wilt maken dan ga vooral je gang. Inhoudelijk doet je relaas niets af aan de stelling.
Maakt niet uit, het blijft een gat die mogelijk misbruikt kan worden. Vooral als je veel geld erin hebt zitten is het aan te raden om risico's te verkleinen. 2FA SMS brengt gewoon een groter risico met zich mee dan 2FA via een authenticator.
Dan maakt het dus wel uit. Namelijk waarvoor je 2fa via sms gebruikt en hoe je de risico's, gemak en kosten voldoende zou spreiden. En zo zijn er voor aanbieders diverse afwegingen om wel of geen 2fa via sms aan te bieden. Het probleem lijkt me momenteel meer dat de afweging vooral bij de aanbieder van een dienst lijkt af te hangen dan invloed van de gebruikers. En om nu te zeggen dat miljarden gebruikers heel erg met de risico's van betrouwbaarheid zitten (behalve waarschijnlijk de slachtoffers) dat zie ik niet terug. Dus kennelijk hangt betrouwbaarheid van meer af dan dat anderen er wel eens last van kunnen hebben, of last hadden van deze 8 verdachten.
Het is niet veilig, maar in ieder geval veiliger dan alleen een wachtwoord. Om 2FA via SMS daarom volledig te ontraden vind ik ook te ver gaan. Dan heb je kans dat mensen terugvallen op enkel een wachtwoord. Zorg ervoor dat de alternatieven beschikbaar zijn (zoals TOTP via een authenticator app) en promoot die.
Daar hoort nmm ook bij dat de aanbieders die beperkte keuze bieden duidelijk moeten zij welke risicos er zijn en waarom ze het daabij toch aanbieden. Niet alleen bij 2fa via sms maar ook bij andre oplossingen. Het is anders te makkelijk om maar iets als 2fa via sms of authenticatie via wachtwoord aan te (blijven) bieden zonder dat de klanten voor wie het bedoeld is bewust zijn of dit wel voldoende is. Gebruikers worden nauwelijks betrokken in de beveiliging van hun eigen gegevens of eigendom bij een dienstverlener. Met als risico dat criminelen of zoals bij deze verdachten er grof gebruik van kunnen maken met de klanten als voornamelijke slachtoffers.
Strekking van het verhaal voor ons als consument, 2FA via SMS is totaal niet meer te vertrouwen.
Strekking van het verhaal is nooit je telefoonnummer gebruiken voor inloggen of reset mogelijkheden.

Zelfde als vandaag het artikel dat de overheid onder dwang telefoons mag ontgrendelen met je vingerafdruk. Nooit biometrische authenticatie gebruiken, desnoods alleen in combinatie met wachtwoord.
nieuws: Hoge Raad: politie mag telefoon onder dwang ontgrendelen met vingeraf...
Ik zou mij eerder zorgen maken voor een crimineel die je dwingt biometrische authenticatie te gebruiken dan de politie. Ik snap dit soort paranoia reacties niet zo op basis van zo'n nieuwsbericht. De politie mag dit alleen doen in bepaalde gevallen (proportionaliteit was deel van de uitspraak) en wil je echt je dagelijkse gemak opgeven, omdat er een theoretische kans is dat de politie dit zal doen? Een normale burger wordt al amper aangehouden en dan nog zal de politie je niet zomaar vragen om je gegevens in je telefoon. Laat staan je dwingen die te unlocken...
"proportionaliteit " tja, die term betekend helemaaaal niks meer.
"Een normale burger wordt al amper aangehouden" nee de politie gaat tegenwoordig bij je langs om je 'gedachten te checken' (no joke) als je voltrekt legale tweets plaatst. Hier zijn nu vele voorbeelden van.
De UK loopt hier nu voorop waarin de politie zelfs trots is op deze social media bezoekjes en ze gewoon post op twitter in de laatste 2-3jaar.
Ik zou mij eerder zorgen maken voor een crimineel die je dwingt biometrische authenticatie te gebruiken dan de politie.
In dat geval maakt biometrisch of normaal password weinig verschil.

De politie heeft nog bepaalde regels waar ze zich aan moeten houden. Officieel althans, in Nederland en veel andere relatief beschaafde landen. Ze mogen wel je biometrische authenticatie ontgrendelen door je vingerafdruk of face ID te gebruiken (ook als je dat niet wil). Ze mogen je niet met een $5 wrench slaan tot je het password geeft. Criminelen hebben daar over het algemeen minder moeite mee.
Ik snap dit soort paranoia reacties niet zo op basis van zo'n nieuwsbericht. De politie mag dit alleen doen in bepaalde gevallen (proportionaliteit was deel van de uitspraak) en wil je echt je dagelijkse gemak opgeven, omdat er een theoretische kans is dat de politie dit zal doen? Een normale burger wordt al amper aangehouden en dan nog zal de politie je niet zomaar vragen om je gegevens in je telefoon. Laat staan je dwingen die te unlocken...
Het gebeurt al bij reizigers die Amerika of Australië in willen. Telefoon ontgrendelen of je komt het land niet in.

Zie bijvoorbeeld dit artikel: I’ll never bring my phone on an international flight again. Neither should you.
Ik citeer:
Bikkannavar explained that the phone belonged to NASA and had sensitive information on it, but his pleas fell on deaf ears. He eventually yielded and unlocked his phone. The agents left with his phone. Half an hour later, they returned, handed him his phone, and released him.
Dat is toch totale verkrachting van je privacy :{
Nou heel simpel, je hoeft niet mee te werken aan je eigen veroordeling. De politie is niet altijd te vertrouwen. Daarom hoef je dus niet mee te werken als je wordt verdacht van iets.
Belangrijke toevoeging: als je een "celebrity" bent :)
Eens iets van Vice gezien met de titel "sim kids". Daar werden complete bankrekeningen van willekeurige mensen geplunderd, door een soort van scriptkiddies.

"Muhammad Li" (ofwel: Jan met de pet) heeft dus zeker wel wat te vrezen van dit soort praktijken.
Dat heeft er niks mee te maken, ja beroemdere mensen zijn makkelijker op te zoeken, maar jij of ik kunnen hiervoor ook gewoon slachtoffer van worden.

Ik gebruik 2FA via SMS nog bij 1 dienst (coinbase, gebruikt dit standaard), die ga ik voor de zekerheid maar even omzetten.
Definieer "celebrity". Anno 2021 is elke redelijk succesvolle YouTuber al een "influencer"...
Vroeger was je bekend als op tv kwam. Nu anno 2021 draaien youtubers tientallen keren de kijkers aantallen van vroeger. Niet zo gek dus dat die "beroemd" worden/zijn/gevonden worden.
dat zegt meer over het woord "influencer" dan over de personen :)
Ze beïnvloeden in 2021 op youtube ook miljoenen kijkers, wat je eerst alleen op tv kon doen.
U hebt 100 miljoen BC op uw accounts? :+
In het beste geval wil je hiervoor een apart telefoonnummer willen die niet bekend is naar de buitenwereld. Volgens mij was lang geleden door dit truucje ook LinusTechTips gehackt, waarbij Linus zn persoonlijke telefoonnummer gebruikte voor 2FA. Een hacker had zn provider gebeld en gezegd dat hij Linus was en dat zn SIM-kaart kapot/kwijt was.
Zn provider stuurde de hacker een vervangende SIM kaart, et voila. Sindsdien heeft Linus een simkaart met een nummer die niet te herleiden is naar zijn naam en visa versa.

Het is een manier van fishing. De provider zei dat ze andere procedures zouden opzetten waardoor het niet nog eens kon gebeuren, zoals verificatie dat je daadwerkelijk die persoon bent dat je zegt wie je bent.

[Reactie gewijzigd door Fordox op 10 februari 2021 15:10]

Klopt, SMS is een zwakke schakel.

Nog altijd beter dan helemaal geen 2FA, maar als je toch 2FA opzet zou ik dat zeker NIET via SMS doen.

Wat dat betreft erg storend dat er nog steeds instanties zijn die *alleen* maar 2FA via SMS aanbieden. Sommige creditcardmaatschappijen bijvoorbeeld.
Nog altijd beter dan helemaal geen 2FA
Dat is nog maar de vraag.... Is schijnveiligheid beter dan geen veiligheid? In dat tweede geval ben je in ieder geval allerter dan in het eerste geval.
Dus nee, slechte beveiliging is zeker niet beter dan geen beveiliging.
Valt wel mee. De hoeveelheid werk die je moet doen voor een simswap ga je niet doen voor de doorsneeconsument.
Ik doe regelmatig een simswap op werk (wij beheren vodafone nummers), Zoveel werk is dat niet? Simkaart nummer /06 invoeren van persoon, nieuwe simkaart nummer invoeren en op enter drukken.
Je belegt niet in cryptovaluta. Dat heet speculeren. Er is namelijk geen onderliggende asset die waarde heeft of waarde genereert.

De waarde van een cryptovaluta heeft ook weinig impact op het praktisch nut van die munt. Of een BTC nu 0,1 dollar is of 40000 dollar, voor een transactie maakt dat niet uit. De enige reden dat de koers nu stijgt is dat speculanten geloven dat de waarde nog meer gaat toenemen.

Onderliggend is een systeem dat ongeveer 10 transacties per seconde kan verwerken en daarbij de electriciteit verbruikt van een klein Europees land.

[Reactie gewijzigd door TLLRS op 10 februari 2021 15:25]

Er is namelijk geen onderliggende asset die waarde heeft of waarde genereert.
Deze bewering hoor ik vaker, ook van "specialisten" maar is een drogreden. De waarde van de asset zit hem in (de kosten van) het verkrijgen/maken/berekenen ervan en daarmee creer je de waarde.
Bijvoorbeeld; Ik ruil mijn arbeid in tegen jouw gemaakte elektriciteitskosten en daarmee geniet jij van mijn gedane arbeid en ontvang ik jouw bitcoin. Gezien de toenemende moeilijkheid is het dus ook logisch dat de waarde stijgt, de kosten om aan bitcoin te komen om mee te kunnen betalen nemen immers ook toe.
Ik kan morgen een nieuwe crypto starten die veel hogere difficulty heeft dan BTC. En toch zal die nieuwe crypto waardeloos blijven.

Leg eens uit, wat heb ik eraan dat voor een nieuwe BTC veel stroom is verspild? Kan ik zo een BTC dan gebruiken om een electrische auto op te laden? En waarom zijn oude BTC waar minder energie in zit dan niet goedkoper?

[Reactie gewijzigd door _Pussycat_ op 11 februari 2021 07:09]

Goed verwoord Tweakers, andere media berichten over de iCloud hack EN (klein erbij) deze mega roof.
Feit blijft of je nou up to date bent of niet, de mens blijft altijd de zwakke schakel in de ketting hoe sterk die ook is.
Ik gebruik nergens MFA/2FA dus wat dat betreft ben ik veilig.


*Was ironie smile vergeten, gelijk als ongewenst te modereren is ook wel overdreven. :+

[Reactie gewijzigd door Diablo_GT op 10 februari 2021 18:55]

Dan is alleen je wachtwoord nodig. Doormiddel van social engineering is er dus veel te halen bij jou ;)

2FA is juist een extra stop, en erg effectief. Alleen SMS zou ik niet vertrouwen maar een authenticator op je telefoon of een Yubikey zou ik toch wel aanraden.
Dan ben je juist kwetsbaarder. Als je een authenticator gebruikt ben je een stuk veiliger.
Dus wat kunnen wij hiervan leren: MFA, en dan het liefst met een stukje hardware als een YubiKey, is onontbeerlijk als je tegenstanders hebt die vastbesloten zijn je te willen plukken. En in het specifieke geval van bitcoin: je wallet in eigen beheer houden; geen "account resets".

[Reactie gewijzigd door roelboel op 10 februari 2021 14:55]

Dus wat kunnen wij hiervan leren: MFA, en dan het liefst met een stukje hardware als een YubiKey, is onontbeerlijk als je tegenstanders hebt die vastbesloten zijn je te willen plukken.
Wat is de backup als jij je YubiKey om wat voor reden dan ook verliest? Veel (online) diensten vallen terug op SMS authenticatie, zoals banken wanneer de smartphone-applicatiekoppeling mist.
Recovery keys, die je uitprint en thuis in de kluis opslaat. Moet je natuurlijk wel een kluis hebben en die stap niet overslaan. Maar idd, daarbuiten gaan bedrijven die je telefoonnummer weten vaak over op recovery via de telefoon.

Ik denk dat als je 2FA opzet, de waarschuwingen dat je data verloren gaat als je je yubikey verliest gewoon veel sterker nog moeten zijn. En als gebruiker van een dienst moet je dit risico ook zelf accepteren.

Ik heb zelf een authenticator app op mijn telefoon, ik DENK dat alles daar niet zo belangrijk is, of dat ik een mogelijkheid tot recovery heb, maar dat moet ik even dubbel checken. En natuurlijk de optie om telefonisch te resetten weghalen.
Recovery keys, die je uitprint en thuis in de kluis opslaat.
Zoek eens op youtube op 'Safe test' o.i.d.
Dan zal je zien dat de meeste safes zeer eenvoudig te openen zijn.
True, maar dan moeten ze ook weer eerst inbreken in je huis. Dat zie ik de meeste internet criminelen niet echt doen.
Ik zou het een zeer onprettige gedachte vinden als ik op vakantie ben, en ik weet dat een inbreker mijn kluis open zou kunnen maken en dan overal bij zou kunnen.
In theorie wel, in praktijk maak ik me daar geen zorgen over.
Wie genoeg verstand van techniek heeft om mijn crypto-sleutels te decoderen en te gebruiken die wordt geen inbreker. In theorie zou een inbreker mijn yubikeys, pgp-sleutels en dergelijken op de zwarte markt kunnen aanbieden aan hackers, maar eerlijk gezegd maak ik me daar nog geen zorgen over.
Dan moet die inbreker eerst weten dat jij crypto's hebt en je de nummers in je kluis hebt opgeslagen en zeker weten dat het een kluis is die hij kan openen. Een doorsnee inbreker zal misschien de kluis stelen en vervolgens het briefje met nummers weggooien.
En daarom zet je de fake keys in de kluis, en de echte keys in je vriezer ;)
Naar mijn idee kan je een tweede YubiKey nemen toch?

Je kan ook een softtoken op je huidige telefoon en een oude telefoon zetten voor hetzelfde effect.
Verwerpelijk natuurlijk, maar ook wel knap. Vraag me af welke domme fout ze hebben gemaakt waardoor ze gepakt zijn.
Niet Russisch te zijn ?
Verwerpelijk natuurlijk, maar ook wel knap. Vraag me af welke domme fout ze hebben gemaakt waardoor ze gepakt zijn.
Russia levert niet uit
https://www.vicetv.com/en.../5807cdf88d4338327e12b957
Ja of uit Libie, Soedan, Bhutan, Bhirma, Noord Korea of China komen, maar zelfs dan worden domme criminele vaak alsnog gepakt omdat ze overmoedig worden en toch een keer een vliegtuig instappen.

Of zoals de Baron, Vlugge Japie en B100 op de verkeerde kant van een eiland staan en ineens op Sint Maarten staan ipv Saint Martinique (wat weer gebaseerd is op de Heineken case denk ik).
Als je 100 miljoen kan stelen , behoor je wat mij betreft niet tot de "domme criminelen" groep
Staat natuurlijk los van de hoogte, en een slimme diefstal kan nog leiden tot domme acties dat tot een arrestatie leidt. :) 100 miljoen stelen en 100 miljoen kunnen besteden is daarnaast nog iets anders.
Er zullen vast nog veel meer betrokkenen zijn voor het innen/ eventueel doorsluizen.
Je kan het knap noemen maar waarop baseer je dat dan? Als dit mogelijk is kan het net zo goed betekenen dat het ze door een of meer providers wel erg makkelijk werd gemaakt om een sim swap te kunnen doen. Bijvoorbeeld niet genoeg controleren of iemand we de eigenaar is op basis van een paar gegevens die iemand kan stelen of namaken.
Mwah, een roof van 36 miljoen noemen ze al "De kraak van de eeuw".
https://panorama.nl/artikel/232983/de-kraak-van-de-eeuw

Dan vind ik het best knap om 100 miljoen te pakken zónder wapens en explosieven :)
Als we knap nu gaan vergelijken met wat iemand van een nieuwsmedium als bewoording gebruikt terwijl die niet noemt waaruit dat blijkt lijkt me net zo te makkelijk. Het doet er namelijk nogal toe wat voor moeite er is gedaan of hoe makkelijk het werd gemaakt. Laat je dat los dan kan je al snel iets te makkelijk opkloppen of afschuiven.
Als het ze heel weinig effort/skills/kennis heeft gekost dan is het toch juist NOG knapper?
Stel jij krijgt gegevens en geld van anderen in beheer, zet er nauwelijks bewaking bij en een crimineel kan dan makkelijk met die gegevens of dat geld wegkomen. Wat is daar dan knap aan? Het maakt dan toch juist uit wat de omstandigheden zijn, niet alleen dat iemand het lukte?
Ah, op die manier. Ja, als je ineens 100 miljoen vind, achtergelaten in een pinautomaat, en je besluit het te houden, dan maakt dit inderdaad geen knappe actie.
Er zijn ook mensen met schilderijen museums uitgewandeld. Hoe makkelijk het ook is, je moet het wel eerst uitvinden dát het makkelijk is. En dat was het hier niet, anders hadden wel veel meer mensen 100 miljoen gepakt achter de computer.
Anders hadden ze wel is een aanname en lijkt niet zo relevant zonder onderbouwing. Criminaliteit is niet zo simpel dat iemand meer neemt omdat het kan of hoe minder mensen het doen hoe moeilijker het zou zijn.

Voor criminaliteit telt bijvoorbeeld ook mee hoeveel moeite en geld iemand kan en wil investeren om er hopelijk geld mee te verdienen. Dat zie je bijvoorbeeld ook bij datadiefstal door medewerkers, gelegenheidsdiefstal enz. Het is hangt dus wel degelijk van de omstandigheden af en door alleen te willen kijken wat bevalt om iets knap te noemen maakt het nog niet alsof de crimineel iets knaps gedaan heeft, geluk heeft gehad enz.
Maar of iets makkelijk of moeilijk is is niet de essentie van knap. Het wiel uitvinden was iemand ook de eerste met het super simpele idee wat iedereen had kunnen bedenken. En toch vind ik het knap bedacht.

In dit geval, het idee was goed en dus knap bedacht. Dat ze het uiteindelijk slecht uitgevoerd hebben en zijn gepakt is een ander verhaal.

[Reactie gewijzigd door Dennisdn op 10 februari 2021 17:13]

Als je echt goed bent laat je niet merken dat je miljoenen hebt gejat. Maar goed, waarom zou je het jatten en er dan niks mee kunnen doen? Dus ga je uitgeven en dan gaat het fout.
Dit klinkt voornamelijk als social engineering en het misbruiken van vertrouwen van de gemiddelde consument in het ontvangen van een linkje waar men gretig op klikt.
Voor de leek hebben we in de cryptowereld een regel nummer 1: no keys no coins. Oftewel je bezit niets als je je coins op een exchange laat staan. Want met private keys gebruik je niet je simkaart of een account. Dat wordt alleen gebruikt om extern coins te beheren op een exchange. En die beheren eigenlijk je coins. Gebruik een eigen wallet en niet een “online” wallet

[Reactie gewijzigd door akaash00 op 10 februari 2021 15:08]

Wat bedoel je hier mee: "Gebruik een eigen wallet en niet een “online” wallet".
Een hardware wallet?
Daarmee bedoel ik wallets die niet gekoppeld zijn aan accounts online. Dit kunnen hardware maar ook software wallets zijn. Seeds zijn het enige wat je hoeft te beschermen.(je private keys)

[Reactie gewijzigd door akaash00 op 10 februari 2021 18:50]

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True