Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Politie houdt drie werknemers telecomprovider aan op verdenking van simswapping

De Nederlandse politie heeft drie personen aangehouden, omdat ze verdacht worden van computervredebreuk, specifiek simswapping. Het gaat om verdachten die werkzaam waren bij een telecomprovider. Bij simswapping wordt iemands mobiele nummer overgenomen.

De politie zegt niet om welke telecomprovider het gaat. Door de werkzaamheden voor de provider kon de hoofdverdachte zien of het gelekte, overgenomen telefoonnummer hoorde bij de provider waar hij werkte. Als dat het geval was, kon hij de simkaart herprogrammeren. Zodoende was het telefoonnummer te koppelen aan een nieuwe simkaart en was de controle over te nemen. Volgens de politie kan er hierdoor toegang worden verkregen tot cryptovaluta-accounts, maar de politie laat in het midden in hoeverre dat ook daadwerkelijk is gebeurd en of er iets is gestolen.

Waarschijnlijk gaat het in deze kwestie om datalekken bij cryptovalutahandelaren. De politie beschrijft de algemene werkwijze en zegt dat er in de afgelopen tijd ook inloggegevens en telefoonnummers zijn gelekt bij cryptovalutahandelaren. Tweefactorauthenticatie is daarbij dan nog wel een obstakel, maar dat werd overwonnen door simswapping. Daardoor werd er controle verkregen over de telefoonnummers en kwam na de gelekte inloggegevens ook de sms met de verificatiecode in handen van de verdachten.

De politie onderzoekt nog of de twee overige verdachten betrokken waren en zegt meer aanhoudingen niet uit te sluiten. De aanhoudingen werden mogelijk toen de telecomprovider melding maakte van verdacht gedrag door een medewerker. Op basis daarvan startte de politie een onderzoek, wat geleid heeft tot de drie aanhoudingen.

Simswapping wordt vaker ingezet om cryptovalute te stelen. Vorige maand pakte Europol nog acht mannen op die van simswapping werden verdacht, waarbij ze voor honderd miljoen euro aan cryptovaluta zouden hebben gestolen van onder andere beroemdheden en influencers.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Joris Jansen

Nieuwsredacteur

05-03-2021 • 16:43

142 Linkedin

Submitter: joepsel

Reacties (142)

Wijzig sortering
Als je telecom provider op deze manier je mobiele nummer door criminelen heeft laten overnemen, is deze dan aansprakelijk voor alle geleden schade?
Jazeker. Een bedrijf is verantwoordelijk voor schade toegebracht aan derden door hulppersonen (art. 6:171 BW).
Art 6:171 ziet op niet-ondergeschikte hulppersonen (dus niet-werknemers). De klant kan de provider gewoon o.g.v. wanprestatie (art. 6:74) o.g.v. leidinggevende aansprakelijkheid (6:170) aanspreken. Het lijkt hier om werknemers te gaan dus 6:171 speelt geen rol.
Maar goed, de werkgever/provider is jegens de klant gewoon aansprakelijk omdat dat zijn wederpartij is. De werknemer is jegens zijn werkgever gewoon aansprakelijk voor schade veroorzaakt bij opzet of bewuste roekeloosheid. Dus provider kan, evt toegekende civiele schadevergoedingen, gewoon weer op zijn werknemer verhalen (art 7:661).
Het is niet de provider die je nummer overzet maar de crimineel die werkzaam is bij de provider.
Ik denk dat de provider niks te verwijten valt.

[Reactie gewijzigd door SpiriTNL op 5 maart 2021 16:58]

Dat is nog maar de vraag. De crimineel is gewoon een medewerken van de telecom provider. De vraag is welke veiligheden een telecom provider hiervoor ingebouwd heeft. Als het eenvoudig is voor een medewerker om aan sim swapping te doen en de provider daar een laakbare controle op heeft dan zou deze aansprakelijk gesteld kunnen worden.
De medewerker die dit doet kan dat neem ik aan doen uit functie van zijn/haar werkzaamheden bij die telecom provider. Als het een externe hack geweest was is het weer een ander verhaal.

Probleem is natuurlijk dat je als gedupeerde maar moet aantonen dat de telecom provider laakbaar gehandeld heeft.
Bij een bank is het eenvoudiger. Zou een medewerker geld van je rekening gebruiken dat is de bank gewoon verantwoordelijk.
Ik denk zelfs dat de medewerker die dit heeft gedaan de telecomprovider aansprakelijk kan stellen als er niet voldoende controlemechanismes waren om simswapping tegen te gaan. Dat maakt het immers interessant voor criminelen om medewerkers van telecomproviders onder druk te zetten om dergelijke handelingen uit te voeren. Ter vergelijking met een bank; daar mag je ook nooit in je eentje de kluis openen of grote financiële transacties uitvoeren maar gaat dat altijd via minimaal een tweede persoon. Niet alleen om te voorkomen dat de eerste medewerker fraudeert, maar ook zodat criminelen weten dat het geen nut heeft óm iemand te intimideren.
Interessante visie.
Dus als ik mijn lading die door zowel de werkgever, verlader en klant aan mij wordt toevertrouwd en ik trek hem halverwege leeg gewoon omdat het kan.
Kan ik dus iedereen aansprakelijk stellen.
Nouja, jouw werkgever heeft natuurlijk wel de verantwoordelijkheid om jou veilig te kunnen laten werken. Als dus via verbeteren van procedures het zinlozer wordt voor criminelen om jou onder druk te zetten om jou criminele handelingen te laten uitvoeren bij jouw werkgever, dan JA, jouw werkgever is dan zeker deels aansprakelijk.
Veilig werken ja dat moet een werkgever.
Procedures als die nodig zijn ook.
Maar laat het niet te gek worden. als jij geld van criminelen aanneemt om de boel te bedonderen ben je daar gewoon zelf voor verantwoordelijk.
Zou even kijken naar de rechtszaken tegen verschillende Politie mollen. die kregen ook geld van criminelen voor informatie. Is de politie daarvoor aansprakelijk nee. Trekken ze er lering uit, ja ik hoop het wel.

Uiteindelijk ben jij voor je eigen daden verantwoordelijk.
als een auto niet op slot is, er een laptop in ligt en jij jat die ben je gewoon een dief. Je moet met je poten van andermans spullen afblijven. Dat een auto open is en de laptop zichtbaar is, is geen excuus.
Klopt. Maar in dat laatste geval kan ook de eigenaar van die auto beboet worden. Toch bij ons in België. Zowel voor de auto niet op slot te doen als voor in het zicht laten liggen van waardevolle spullen.
Hier in nederland ook hoor, kreeg ooit eens een briefje op mn voorruit van mijn suzuki samurai dat als de volgende keer mn achterklep niet op slot was ik een boete kreeg..... Suzuki samurai, je weet wel, zo'n terrein autootje due een leren dakje had waarbij de achterkant dus met een rits dicht zat en dus nutteloos was om de achterklep op slot te doen omdat je gewoon de rits open kon doen en dan met de hendel van binnenuit open kon doen. Heb dan ook nooit die klep op slot gedaan, maar daarna ook nooit een boete gehad.
Oh, ik ben het helenaal met je eens hoor, tegen mensen die geld aannemen zul je weinig kunnen doen, maar die worden dan vaak ook niet onder druk gezet.
Dat klinkt alsof je koerier of chauffeur bent? Als je moet tekenen voor het aannemen en afleveren van goederen dan is het niet onredelijk om te verwachten dat je werkgever er voor zorgt dat er onderweg niks met die goederen kan gebeuren. Je zult dus de middelen moeten krijgen om je laadruim op slot te doen en de lading goed vast te zetten. Iemand die weet dat jij bijvoorbeeld dure TV's vervoert, kan jou dan niet onder druk zetten om een TV "uit de vrachtwagen" te laten vallen aangezien je weet dat het niet ongezien kan. Andersom kan je er zelf ook geen een stelen, want je weet dat je er niet mee weg komt.
Ben idd internationaal chauffeur.
En alles staat gewoon vermeld op de cmr cq de bijlages.
Maar tussentijds kan er veel gebeuren.
Ik ga er niet al te diep op in maar als de gelegenheid de dief maakt dan zou ik allang een rijk man geweest zijn.
Bij internationaal transport is je wagen toch geseald? Bij controles moet je laten stempelen en hersealen en uiteraard moet je vrachtbrief overeenkomen met wat er in de wagen zit. Volgens mij heeft men juist bij internationaal transport die keten redelijk op orde.
Ligt aan de lading.
Kostbare lading of gevoelige lading wel. ( dat kunnen ook tankcontainers tbv de chemie zijn).
Maar bedervelijke goederen zoals kaas of pallets vol met yoghurt weer niet.
Net als pallets, oud papier e.d.
Het is net wat de klant wil.
Is ook onhandig als je diverse adressen langs moet om te laden/lossen.

Controles, vind het wel goed dat ze er zijn.
Maar de ambtenaren zijn niet altijd even kundig.
Ik heb wel eens meegemaakt dat een Duitse beambte erop stond om een verzegelde adr tankcontainer los te maken voor controle.
Alles was in orde, maar hij wilde het toch zelf zien.
Toen ik mijn overal, laarzen en handschoenen aantrok en daarbij mijn volgelaats masker met filter opzette zag hij er toch maar vanaf.

Verstandige keuze.
En dat is precies wat schijnbaar in de telecomwereld ontbreekt, als iemand gewoon op eigen houtje bestaande nummers aan andere simkaarten toe kan kennen.
Voor een Sims swap moet je officieel ook tekenen. Alleen verwerkt de de provider een Sims wissel in de telecom winkel van de provider zelf meestal direct (binnen 15 min)

In dit geval kan het iedere willekeurige medewerker in een kpn, t-mobile of Vodafone winkel zijn geweest.
Ik denk zelfs dat de medewerker die dit heeft gedaan de telecomprovider aansprakelijk kan stellen als er niet voldoende controlemechanismes waren om simswapping tegen te gaan. Dat maakt het immers interessant voor criminelen om medewerkers van telecomproviders onder druk te zetten om dergelijke handelingen uit te voeren.
Dat zou heel misschien een argument kunnen zijn als die hoofdverdachte inderdaad door iemand anders onder druk is gezet. Maar het artikel wekt de indruk dat ie uit eigen beweging heeft gehandeld. Kunnen we het er alsjeblieft over eens zijn dat ie in dat geval hoe dan ook zelf aansprakelijk is?
Dat is iets voor de rechter om naar te kijken, dat is niet iets wat wij van buitenaf kunnen zien. Zelfs als de persoon heeft toegegeven het uit eigen beweging te hebben gedaan, kan het uit angst zijn dat bijvoorbeeld zijn familie iets wordt aan gedaan. Maar als er signalen zijn dat het simswappen al gebeurde voordat de andere twee er bij betrokken werden dan wordt de schuldvraag al duidelijker.
Ik denk dat de kans dat mensen die in een sleutel of lucratieve positie werken voor criminelen interessant zijn om om te kopen of onder druk te zetten. Kijk naar de politie, in de haven, vliegvelden of bij grote bedrijven waar bijvoorbeeld een omgekocht werknemer bewust op een link klikken om de beveiliging binnen open te zetten etc. Waar veel geld te halen is de kans steeds groter dat criminelen gebruik zullen maken van inside informatie.
Ik denk zelfs dat de medewerker die dit heeft gedaan de telecomprovider aansprakelijk kan stellen als er niet voldoende controlemechanismes waren om simswapping tegen te gaan. Dat maakt het immers interessant voor criminelen om medewerkers van telecomproviders onder druk te zetten om dergelijke handelingen uit te voeren.
Klinkt een beetje krom wat je schrijft. Een medewerker in de haven is ook een interessant doelwit voor (drugs)criminelen en worden ook vaak onder druk gezet. Hij zou dan zijn werkgever aansprakelijk moeten stellen als hij zelf over de schreef gaat? Lijkt me niet haalbaar in de rechtbank.
De vraag die dit artikel oproept is, of de huidige procedures bij de provider nog wel toereikend zijn.

GSM / SIM etc zijn ooit bedacht, met bepaalde beveiligingen, maar vast niet met in het achterhoofd dat er op een dag zaken als authenticatie van cryptovalutahandel op zouden leunen.

Hoe de rechter hier uiteindelijk over zou oordelen als de dader naar zijn werkgever zou wijzen, is niet goed te voorspellen. Er zit best veel ruimte op, zeker als het een zeldzame of zelfs eerste keer is dat zoiets voor de rechter komt en er dus geen precedent is. In de wet staan vaak termen als ‘goed rentmeesterschap’, ‘aannemelijk risico’, ‘al het mogelijke wat binnen zijn of haar macht ligt’, ‘verzachtende omstandigheden’ en ‘noodgeval’. Omschrijvingen waarbij het kwartje altijd twee kanten op kan vallen.
Wat een onzin! Een medewerker doet iets strafbaars, benadeeld daarmee de klant en dus ook het bedrijf waarvoor hij werkt. Vervolgens kan die medewerker volgens jou het bedrijf waarvoor hij werkt(e) aansprakelijk stellen omdat zij niet al het mogelijke hebben gedaan om te voorkomen dat die medewerker zijn strafbare feiten kon plegen?

Ik weet niet wat voor drugs jij gebruikt, maar geef mij eens het nummer van je dealer ;)
als je over zulke bedragen spreekt en specifiek weet welke nummers je moet targetten, dan kan je ofwel op zoek gaan naar iemand die op de positie werkt of iemand opleiden om ervoor te solliciteren en aangenomen wordt. Waarschijnlijk zal het de eerste situatie geweest zijn en als er een online wallet/account is gevonden waar een paar miljoen op staat die je uiteindelijk via een simswap kan leeghalen, dan is een paar duizend of honderdduizend euro een goede investering. Waarom denk je dat er in de haven zo zwaar wordt ingezet op controle van workflows met containers? eentje die verdwijnt of wordt geopend kan direct een paar miljoen omzet opleveren die anders misschien in beslag werd genomen
Kinderlijk eenvoudig. Maar wel terug te leiden tot een specifieke medewerker of werkplek (icm camerabeelden).
Daar heb je niets aan als klant.

De provider is primair verantwoordelijk richting de klant voor een betrouwbare dienstverlening. Dat de provider het vervolgens mogelijk ergens anders zou kunnen verhalen is een aparte zaak waar je als klant niets mee te maken heeft.

[Reactie gewijzigd door The Zep Man op 5 maart 2021 17:14]

Tja, dan wordt het gewoon op overmacht gegooid.
Dat zou wel eng zijn. Dan kun je namelijk als bedrijf altijd 'overmacht' claimen als een medewerker een misdrijf begaat waarvoor hij bedrijfsmiddelen heeft misbruikt. Schept dat niet een gevaarlijke precedent?

Volgens mij kan het bedrijf zijn handen alleen wassen van schuld als er een geldige VOG overlegd kan worden voor de medewerker (de verantwoordelijkheid ligt dan gedeeltelijk bij de overheid). Als die VOG er niet is is het bedrijf volledig verantwoordelijk voor wat de medewerker doet met de tot zijn of haar beschikbaar staande bedrijfsmiddelen. Vaak wordt dit afgevangen in de contracten, maar dan komt het argument van Zep naar voren waarbij men zich kan afvragen in hoeverre de klant hiermee te maken heeft.
Sorry, maar een VOG zegt helemaal niets. Een VOG is een waardeloos stukje papier wat ook nog eens per specifiek gebied moet worden aangevraagd. Meestal hoef je enkel als vaste kracht een VOG te overleggen, flexwerkers vallen hier vaak buiten. En al helemaal op je eerste werkdag is een VOG vaak niet geregeld.
Beetje schoonmaker kan heel makkelijk vertrouwelijke stukken (die op een printer of bureau liggen) inzien.
Eens met de rest wat je zegt, een VOG zegt enkel iets over mogelijk eerdere overtredingen. Het enige wat je daarmee bereikt is dat iemand die al eens veroordeeld zou zijn voor diverse soorten fraude / data diefstal / data lekken dus niet meer bij een telecom provider zou kunnen werken. Een hoop van dit soort misdaad zal op een bepaald moment voor het eerst gebeuren.
En al helemaal op je eerste werkdag is een VOG vaak niet geregeld.
Dit vind ik wel slordig. Bij ons krijgt iemand echt geen login als er geen VOG is overhandigd (en NDA).
Voor sommige functies gelden zelfs nog (véél) zwaardere eisen dan enkel een VOG, en wordt een volledige screening met antecedentenonderzoek gedaan.

Dat geldt voor mensen die in vaste dienst komen, voor ZZP-ers, voor mensen die een dag iets op het netwerk zouden moeten doen of wat dan ook.
Dit doen we niet omdat het voor ons administratief fijn is, maar omdat het moet, diverse klanten eisen dit en we werken met veel gevoelige data. Je kan niet het risico nemen om daar fouten in te maken, want mocht blijken dat iemand in het verleden al eens de fout in is gegaan en je hebt deze check laten liggen, dan heb je het wel over behoorlijke aansprakelijkheid.
[...]
Dit vind ik wel slordig. Bij ons krijgt iemand echt geen login als er geen VOG is overhandigd (en NDA).
Voor sommige functies gelden zelfs nog (véél) zwaardere eisen dan enkel een VOG, en wordt een volledige screening met antecedentenonderzoek gedaan.
Ik loop al wat jaartjes mee in de IT, en heb dit al bij diverse bedrijven meegemaakt. Bij de overheid staat het weliswaar in je contract als ontbindende voorwaarde dat het binnen een maand geregeld moet zijn, maar feitelijk betekent dit dat iedere nieuwe medewerker de eerste maand vrij spel heeft en flink wat schade kan aanrichten in zijn proef periode. En dan heb ik het niet over kleine datalekken.
Een VOG is een waardeloos stukje papier
Ik werk voor een groot containermaatschappij. Grote bedrijven hebben vaak speciale douanerechten. Vanwege de betere controle binnen de douane proberen criminelen vaker medewerkers van andere organisaties/bedrijven onder druk te zetten. Als gevolg hiervan eist de douane sinds wat jaren strengere eisen rondom de veiligheid van een bedrijf.

De douane gaf het gebrek van een VOG als nadeel. Dat een VOG een Nederlands iets is en het bedrijf wereldwijd werkt, plus vaak genoeg niet-Nederlanders in dienst neemt in Nederland (succes met die buitenlandse VOG) werd even over het hoofd gezien. Verder wisselen mensen van functies, plus zegt een VOG alleen iets indien er in het verleden iets is gebeurd.

Uiteindelijk kwam de VOG eis te vervallen, gelukkig. Er is wel serieus naar gekeken vanuit het bedrijf.
De praktische waarde van een VOG zal inderdaad vrijwel nul zijn. Ik doelde eerder op de juridische waarde, waaraan in dit geval denk ik wel wat mee gedaan zou worden.
Er zijn best voorbeelden waar het beter werkt. Als je hiermee kunt achterhalen dat iemand fraude heeft gepleegd zou je die persoon dan alsnog aannemen?

Of in de kinderopvang als het nieuwe personeelslid veroordeelt is als pedofiel, vind je het dan ook een waardeloos papiertje?

Of een beveiliger van waarde transport die net uit de gevangenis is voor een gewapende overval of plofkraak.
Een VOG is een moment opname, van er is niets bekend. Alleen in de Kinderopvang is er continu screening inzake de VOG ma zegt ook dan nog niet super veel, ja je hebt geen crimineel verleden.
In een strafzaak misschien niet, maar in een civiele zaak mogelijk wel. De provider heeft geen misdrijf begaan maar is wel verantwoordelijk voor de handel en wandel van het personeel. Eventuele schade zou misschien wel geclaimd kunnen worden bij de provider.
Er is ook een trend gaande dat criminelen via social media kunnen zien bij welk bedrijf je werkt en je proberen over te halen info te geven of mee te werken voor veel geld en dat zie je bij verschillende bedrijven en zelfs overheids instellingen. Denk maar een aan de GGD, banken of zelf de politie. Als je zelf ergens neerzet dat je bij provider X, bankX, ziekenhuis X of Verzekering X etc. werkt dan weten ze je wel te vinden.

Whatsapp is ook een issue om mensen op te sporen en vooral in groepsverband waar criminelen proberen om in bedrijfsgroepen te komen en zo info te krijgen of hulp om iets te regelen. Het is een probleem wat de afgelopen jaren enorm toeneemt en nu vooral met corona versneld.

Ik en mijn vrouw werken bij twee verschillende bedrijven en wij mogen geen whatsapp gebruiken als het gaat om bedrijfsinformatie of in bedrijfsgroepen bedrijfsinformatie bespreken en dat is ook puur dat Whatsapp aan de voorkant redelijk versleuteld is , maar aan de achterkant niet en daarnaast is het advies om geen whatsapp via je pc/laptop te gebruiken.

Ik snap dat niemand wat geeft om privacy of zijn eigen gegevens en ongetwijfeld denk je er anders over, maar iedereen heeft een keuze en gebruik wat je zelf wil.
Whatsapp is gewoon end to end versleuteld, dus zowel aan voorkant als achterkant.
Whatsapp is gewoon end to end versleuteld, dus zowel aan voorkant als achterkant.
Ondanks de versleuteling kan ik prima de naam van een directeur invoeren, incl een plaatje. Vervolgens voordoen als die directeur en vragen aan een andere medewerker om iets te doen. Dit is allemaal prima mogelijk ondanks de versleuteling.
Natuurlijk is de provider ( als zijnde werkgever) verantwoordelijk.
Uiteraard zullen de betrokken medewerkers op de keien gezet worden en justitieel vervolgd maar de werkgever zal ook zeker aansprakelijk kunnen worden gesteld voor de opvolgende schade bij de klanten.
Het is op zijn minst slordig te noemen als je de security op dit vlak niet op orde hebt.
Ik zou eerder zeggen de werknemers die de criminele fouten begaan hebben,
Een werkgever is tot een bepaald punt verantwoordelijk voor zijn werkgevers, maar kan me moeilijk voorstellen dat dit ook geld voor zware criminele feiten, als een bankbediende fraude pleegt, is het toch ook niet de bank die hiervoor opdraait?
Zeker wel! Een bedrijf kan zich niet achter z'n medewerkers verschuilen. Als een medewerker van mijn bank vandaag mijn account leegt, dan moet de bank dat betalen.

En langs die weg is de bank ook aangemoedigd dat te voorkomen. Bij diverse banken gewerkt: er zijn echt medewerkers zat dat kunnen doen (en ook moeten kunnen doen), denk o.a. aan het systeem voor telefonisch overboeken. Tal van borging zorgt ervoor dat ze 't niet in hun eentje kunnen, niet onopgemerkt, die rechten niet zo maar krijgen, etc, etc.

Maar bij een bank is het wel overzichtelijker dat je je geld in bewaring hebt gegeven. Is de mogelijkheid me via mijn nummer te authentiseren onderdeel van de dienst die ik van mijn telecomprovider afneem? In welke mate wel / niet?
Tal van borging zorgt ervoor dat ze 't niet in hun eentje kunnen, niet onopgemerkt, die rechten niet zo maar krijgen, etc, etc.
Wat je vaak ziet bij bedrijven die veel met klantgegevens werken is dat de medewerkers pas toegang krijgen tot de informatie (account/rekening/....) nadat ze de klant een aantal vragen hebben laten beantwoorden.
Is de mogelijkheid me via mijn nummer te authentiseren onderdeel van de dienst die ik van mijn telecomprovider afneem? In welke mate wel / niet?
Simpel gezegd, nee. Je provider is daar niet voor verantwoordelijk. Als ik hier zeg dat ik jouw wachtwoord per email naar je doorstuur dan valt half tweakers over mij heen. Wachtwoord in plain-text? Not done!

Maar ik heb jaren geleden een SMSC voor een telco beheerd. De SMS'jes komen gewoon in plain-text over het SS7 (of SS7 over IP) binnen en die kun je gewoon met een wireshark-achtige tool uitlezen. En daar hangen we onze beveiliging aan op?! Toegegeven, niet iedereen kan dat, maar een email onderscheppen doe je ook niet zo maar even.
Ik werk nu bij een telecom provider, die logs zijn versleuteld tegenwoordig, enkel de mensen van LI hebben hier de mogelijkheid toe als ze de tracing opzetten voor de politie.
Dit neemt niets af van het feit dat SMS als MFA methode onveilig en niet meer van deze tijd is.
Is het niet zelfs zo dat wanneer een SS7 centrale van een dubieus eiland XYZ zich aanmeld met mijn 06 dat dan al het verkeer daar naar toe gerouteerd wordt ?

Tijd zat om sms’je binnen te laten komen tot de NL centrale mijn toestel weer aanmeld
In de door jou beschreven situatie is de bank verantwoordelijk voor het geld. Bij een telecomprovider ligt dat toch anders? Die is niet verantwoordelijk voor jouw cryptovaluta.
Maar wellicht dat dit soort gevolgschade wel te verhalen valt.
10 jaar geleden moesten we bij de Abn Amro iig de transacties goed laten keuren door een collega - het 4 ogen principe. In je eentje kon je praktisch niets.
Ik ben geen jurist, maar daarvoor zouden ze onzorgvuldig moeten zijn geweest, lijkt me.
Denk het niet, heb zelf bij een provider gewerkt en simwissels doe je best veel op een dag afhankelijk van je locatie. Beetje de normaalste zaak bij een provider dus. Dat kan je niet lastig maken. Alles wordt wel netjes gelogd. Enige manier om aan die log te ontkomen is door de inlog van een collega te gebruiken ergens waar geen cameratoezicht is, maar lang zal dat ook niet duren.
Ik denk dat ze dat niet zomaar zijn, eventueel de specifieke medewerker persoonlijk maar dat zal een civiele zaak zijn. In principe is het enige wat er gebeurd is dat je afgenomen dienst (telefoonnummer en telefoonverbinding) niet meer werkt en zeker met consumentenabo's heb je daar weinig tot geen SLA op. Verder is het natuurlijk zuur voor de eventuele slachtoffers maar hopelijk een goede wake-up call dat het gebruik van iets wat niet van jouzelf is of niet in jouw eigen beheer is, niet heel slim is als 2FA.
Ja, maar de verantwoordelijkheid is in de voorwaarden afgegrendeld. En je kunt ook nog stellen dat de dienst niet als doel authenticatie heeft gehad.

Bij T-Mobile zakelijk zie ik een limiet van 250.000 per gebeurtenis, en 9 ton bij dood of letsel. Als er veel geld op een crypto rekening staat is dekt dat niet alles.
Ja, maar de verantwoordelijkheid is in de voorwaarden afgegrendeld.
Ze kunnen zoveel in die voorwaarden zetten, een consument is behoorlijk beschermd vanuit de wet. Dat gaat boven voorwaarden. Een fout van een medewerker is nog steeds een fout van het bedrijf. Indien het auditen lastig is is dat nog steeds aan het bedrijf om een oplossing te zoeken.

In dit geval zijn medewerkers moedwillig aan de slag gegaan om crypto te stelen. Dit gaat niet om een toevallige gebeurtenis meer. Het bedrijf heeft criminelen in dienst en had niet genoeg audit mogelijkheden gemaakt zodat dit op zou vallen. Dingen als "authenticatie" is te technisch gehad, is meer een bijzaak/methode.
Als bedrijf hoor je goede diensten te verlenen, zeker als het gaat om zeer persoonlijke diensten zoals een telefoondienst met telefoonnummer. Niet voor niets gelden er voor dit soort diensten ook nog aparte wettelijke eisen zodat klanten er op kunnen vertrouwen. En de telecombedrijven zetten deze diensten ook zelf voor hun klanten in als zeer persoonlijk. Dat een crimineel iets doet toont al aan dat het bedrijf kennelijk onvoldoende heeft gedaan om het probleem te voorkomen, en nu het ook nog een medewerker is maakt dat het bedrijf alleen maar duidelijker verantwoordelijk.
Een bedrijf valt of staat met de mensen die voor je werken. Zijn ze integer? Dan gebeurden dit soort dingen niet.
Het is niet zo zwart-wit:
- (potentiele) criminelen wegen de pakkans af;
- Naarmate het te winnen bedrag groter wordt zijn meer mensen geneigd tot een criminele daad;
- Als het slachtoffer enkel “rijke bitcoin eigenaren” zijn, zijn meer mensen bereid mee te werken dan stelen “van een oud vrouwtje”
- Belangrijker: criminelen kunnen van veel telcom medewerkers dankzij social media en foto geo tagging het prive adress achterhalen. Als jij prive wordt bedreigt om een sim te swappen wat doe je dan? Uiteraard beweren ze dat ze je kind pakken op het schoolplein als je naar de politie gaat.

Je kan mensen niet onderverdelen tussen integer en niet-integer. Wie heeft er nooit een pen van het werk naar huis genomen en daar gelaten? Wie print er wel eens prive op het werk?

Wie heeft er wel eens een korte prive afspraak gehad tijdens werkuren terwijl die dat officieel moest melden dan of uren voor boeken in urenregistratie systeem?

[Reactie gewijzigd door Malarky op 6 maart 2021 03:18]

Ik denk dat er nog wel verschil zit tussen uit gemak/luiheid zonder te vragen iets doen waar je wel goedkeuring voor kan krijgen en het breken van wet computervredebreuk met alle risico’s voor reputatieschade (wat je werkgever je dus geen goedkeuring voor zal geven)

Ik denk dat de meeste werkgevers daar niet heel anders over zullen denken

(Voor de rest ben ik het wel met je eens)

[Reactie gewijzigd door Ayyylias op 6 maart 2021 10:04]

Mensen hebben niet door wat het “stelen” van een pen kan betekenen.

Bij een werkgever waar ik heb gewerkt hadden we een visitatie systeem. Iedereen die bij sluit van het pand weg ging moest op die knop drukken. Als ie rood was mocht je je zakken legen. Pen of mesje mee werd absoluut niet op prijs gesteld. Nu zal het de eerste keer niet direct tot ontslag leiden, maar je kreeg wel een waarschuwing. En na zoveel officiële waarschuwingen kon je gewoon gaan.
Wtf, waar heb jij gewerkt? Ik zou het persoonlijk niet fijn vinden als mensen hun half afgekauwde, gebruikte pennen terug bij de nieuwe kantoorspullen zouden dumpen.
Het was ook niet dat je het bij de kantoorspullen moest leggen, maar je had een kluis waar je dergelijk spul neer mocht leggen. Ook omdat je niet met een mes over straat mag natuurlijk.

Pennen, rol toiletpapier, pak A4. Maakt niet heel veel uit, maar is gewoon niet de bedoeling.
Nja een mes begrijp ik nog wel, een kok zou niet zijn werk staal naar huis moeten meenemen. Maar een kluis voor een bic pen? Visitaties? Wat voor tent was dit?
Naja niet alleen voor de pen natuurlijk, rekenmachine, mesje, pen, badge, gewoon zaken die je alleen op de werkvloer nodig hebt.

Die tent was overigens gewoon gangbare bouwmarkt. Maakt niet echt uit welke. Ze doen het vrijwel allemaal namelijk.
Het enige wat in jouw reactie inderdaad NIET zwart/wit is, is jouw 4e punt (bedreiging van jezelf/familie/vrienden). De overige punten hebben 100% te maken met hoe integer je bent als werknemer, en er is niets zwart/wits aan:
- Wanneer je de pakkans gaat afwegen om zo tot een misdaad te komen, ben je al niet integer meer.
- Of je met jouw misdaad nu 100 euro verdient of een miljoen, je bent hoe dan ook niet integer meer.
- Of jouw slachtoffer nu 1500 per maand verdient of een rijke bitcoin eigenaar is, je bent niet integer meer.
- Of je nu een pen steelt of een auto, het is hoe dan ook moreel gezien fout, en dus niet integer.
Er is natuurlijk ook wel een verschil tussen iets privé afdrukken (wat zover ik weet niet eens crimineel is tenzij je ermee een extreme schadepost veroorzaakt) of opzettelijk iemands leven (gedeeltelijk) overneemt door simswapping. Bedenk je wel dat je dan mobiel niet meer bereikbaar bent op het nummer dat je gewend bent, waar anderen jou op kunnen bereiken.

Niet dat 2FA dmv sms nu zo verstandig is, dus daar moeten instellingen en bedrijven ook van af stappen (looking at you, Transip, Digid en zo zijn er vast meer). Ik weet dat Digid allang niet via sms hoeft, maar ik hoef er ook niet een aparte app voor, ik heb al twee totp apps in gebruik...
Absoluut, helemaal mee eens. Integriteit is een variabel 🙃
Phoe, dat is wel gehaaid zeg. Denk je veilig te zijn met twee factor authenticatie en wordt je account alsnog leeggehaald...
Op mijn crypto accounts kan ik me niet herinneren dat een nummer genoeg is, misschien wel in de ketting via herstel van je e-mail, echter met auth app van Google ertussen red je het niet met je mobiele nummer alleen. Ik redeneer vanuit iOS Apple eco.
echter met auth app van Google ertussen red je het niet met je mobiele nummer alleen.
Je bedoelt TOTP, wat met veel meer applicaties kan omdat het puur offline is en een open standaard betreft.

Wat is het hersteltraject van je 'crypto' account als jij je smartphone/Apple account kwijtraakt?

[Reactie gewijzigd door The Zep Man op 5 maart 2021 17:11]

Je kan toch ook gewoon back-ups maken van TOTP codes.
Nergens claim ik iets anders. Wat je zegt beantwoordt echter mijn vraag niet. Sinds wanneer maken gebruikers backups?

Neem aan dat die backups er niet zijn. Wat dan?

[Reactie gewijzigd door The Zep Man op 5 maart 2021 19:17]

Dan zijn die mensen niet slim bezig en kan het inderdaad erg slecht aflopen :)

Een account bij bv. Authy is wel handig voor TOTP.

[Reactie gewijzigd door SmokingCrop op 5 maart 2021 19:27]

Dan is die gebruiker dom dat hij geen back-ups heeft gemaakt en is het zijn eigen fout dat die niet meer aan zijn crypto's kan...
Je vroeg het hersteltraject van TOTP en dat is simpel, offline back-up terug zetten en gaan, als die gebruiker geen back-up heeft gemaakt heeft dat toch niets met de technologie te maken.

Dat is hetzelfde als iemand die zijn hardware wallet verliest en zijn seedphrase niet meer vind, jammer maar jou crypto's zijn eeuwig verloren. Ik zou zeggen, bedankt aan allen die dit voorhebben om het aanbod te verkleinen en de prijs te verhogen.
Mja de theorie en de praktijk van dit soort dingen is niet altijd hetzelfde. Als je ze opbelt met een zielig verhaal dat je je authenticator kwijt bent zou het zomaar kunnen dat SMS auth opeens genoeg blijkt te zijn, eventueel in combinatie met andere info die een crimineel mogelijk in handen heeft via data leaks zoals een paspoortscan.
Bij Kraken kan ik me dit moeilijk voorstellen, aangezien je daar zelf verschillende OTP codes nodig hebt voor withdrawal, login en wijzigen instellingen.
Bij Binance mail verificatie, sms verificatie en OTP code, voor in te loggen en voor withdrawal.
Als je support gaat bellen, en je komt aan met valse paspoortscan gaan ze dat toch ook zien via de webcam die ze ook gebruiken voor KYC verificatie (Binance is hier wel de uitzondering aangezien zij voor crypto naar crypto trading geen KYC vereisen)
Maar als je echt op veilig wil spelen laat je nooit geen te groot bedrag op de exchange staan, maar zet je dat op je hardware wallet, als je deze natuurlijk verliest en je seed phrase kwijt raakt, dan zijn je crypto's natuurlijk gone forever.
Het word al jaren door alle security experts van de daken geroepen dat MFA via sms niet veilig is, om de exacte reden als wat er hier gebeurd is.
Het word al jaren door alle security experts van de daken geroepen dat MFA via sms niet veilig is, om de exacte reden als wat er hier gebeurd is.
En daarbij zeggen ze ook, dat als er geen andere mogelijkheid geboden wordt, het beter is dan helemaal niets ....
Wat ook een feit is, het blijft dan nog altijd beter als enkel een wachtwoord, met 100km/h door de bebouwde kom rijden is ook veiliger als met 300km/h door de bebouwde kom te rijden...
Maar ik ken geen enkele major crypto exchange die geen andere MFA mogelijkheden bied als sms.
Dan zullen ze toch eerst het wachtwoord moeten hebben, en dat is al zeer moeilijk.
Het probleem is dat je vaak ook nog eens een password reset via sms kan uitvoeren. Je hebt met die sim swap dan zowel het wachtwoord als de 2FA te pakken.
Dan is sms dus feitelijk je enige factor.
Tot er inderdaad malware op je GSM staat, een simswap is meestal een gerichte aanval

[Reactie gewijzigd door maevian op 5 maart 2021 18:52]

Rian van Rijbroek ben jij dit?
@comc66 gast neem even adem.

[Reactie gewijzigd door IceQb op 9 maart 2021 18:40]

Precies, je legt je beveiliging letterlijk in de handen van de medewerkers van je telco. Volgens mij hoef je voor sims programmeren niet eens een hele hoge functie daar te hebben.
Maar als er op deze manier wordt "gehackt" is geen enkele authenticator veilig. Iedere transactie waar een sysadmin toegang heeft tot systemen kan onderschept worden. En alles ksn gelogd worden maar dat is pas achteraf zichtbaar.
Het word al jaren door alle security experts van de daken geroepen dat MFA via sms niet veilig is,
Het ligt eraan waarvoor. Inloggen in je favoriete spel? Waarschijnlijk geen probleem. Inloggen in je bank? Nope.
Als je favoriete spel blijkbaar zodanig interessant is voor derden dat er 2FA op te activeren is, heeft je account/character waarschijnlijk een directe (verhandelbare items) of indirecte (bestede tijd) waarde, waardoor je alsnog niet wilt vertrouwen op een tweede factor die niet van jou is en niet door jou beheerd wordt. Vergelijkbare zaken zijn ook gebeurd bij bijv. Twitter-accounts met korte namen of met veel volgers. Directe financiële waarde is nul, je kan niet als een bankrekening geld eraf halen, maar je bestede tijd is waardeloos geworden en eventueel valt zelfs een van je inkomstenbronnen weg.

Daarnaast kan je je afvragen wat een game met jouw telefoonnummer moet terwijl er prima oplossingen als TOTP zijn, in zowel hardware als software.

[Reactie gewijzigd door DataGhost op 5 maart 2021 17:17]

Als je favoriete spel blijkbaar zodanig interessant is voor derden dat er 2FA op te activeren is, heeft je account/character waarschijnlijk een directe (verhandelbare items) of indirecte (bestede tijd) waarde,
Mwoah. Dat kan ook relatief zijn. Bushokjes worden niet gesloopt omdat ze zo’n symbolische waarde hebben.

Snoepwinkels hebben geen verhoogde last van winkeldiefstal omdat de goederen zo verhandelbaar zijn.

Games zijn vaak ook een doelwit simpelweg omdat verveelde tieners elkaar nogal eens op onconventionele wijze te grazen nemen. Iemand zijn account verpesten is daar eentje van.

[Reactie gewijzigd door Keypunchie op 5 maart 2021 18:16]

Ik kan voor het grootste deel van mijn accounts een vorm van 2FA activeren en het is soms zelfs standaard aanwezig/verplicht. Dat betekent niet dat al die accounts het waard zijn om op in te breken en risico's te lopen met simswapping, meer dat het tegenwoordig standaard geimplementeerd wordt naast een gebruikersnaam en wachtwoord.

Op spellen wordt er bv ook vaak 'gehackt' om een eigen account beter te maken/spullen op het spel te stelen. Puur in-game gedoe dus. Dan wil je wel 2FA, maar gerichte simswapping zullen we daar niet snel zien, of we moeten echt met iemand te maken hebben die volledig voor een spel leeft...

Ik heb ook liever TOTP voor mijn belangrijke accounts dan dat ik mijn telefoonnummer gebruik, maar vooral omdat dat ook op offline devices werkt. Mijn nummer is me niet veel meer waard en ik krijg er dus ook geen enkele code op binnen (ook geen bank/crypto meer). Alle andere vormen via online devices en services (mail) beschouw ik als 'veiliger' maar niet waterdicht. Mogelijk paranoïde.
Als je favoriete spel blijkbaar zodanig interessant is voor derden dat er 2FA op te activeren is, heeft je account/character waarschijnlijk een directe (verhandelbare items) of indirecte (bestede tijd) waarde, waardoor je alsnog niet wilt vertrouwen op een tweede factor die niet van jou is en niet door jou beheerd wordt.
Het gaat erom dat iemand gericht simswapping gaat doen voor een spel, wat onwaarschijnlijk is.

Iedereen heeft een bankaccount. Niet iedereen speelt een specifiek spel.

[Reactie gewijzigd door The Zep Man op 5 maart 2021 17:45]

volgens mij heeft iedereen een sofi / id nummer die je gebruikt bij de overheid, bv gemeente inloggen, uwv, belastingdienst zorgverzekeraar... etc, werken ze allemaal via dit systeem om in te loggen...
l
Al bijna sinds het begin van 2FA via sms zijn er waarschuwingen dat je niet te veel op je telefoonnummer moet rekenen alsof je daar als klant voldoende controle over hebt. Je maakt gebruik van een nummer dat een bedrijf voor je regelt maar waar je nauwelijks controle over hebt dat ze dat goed regelen. Het mag dan wel makkelijk zijn om dat telefoonnummer te gebruiken maar bij gemak komen vaak nadelen die je liever wil voorkomen. Oorspronkelijk was 2FA daarom met iets wat je werkelijk had, niet wat een ander voor je zou leveren als dienst zoals een telefoondienst of een service in de cloud.
2FA via google is veilig, 2FA via sms is niet veilig
Verschil, Google is via het toestel, de ander is simkaart
Het staat een beetje cryptisch in het artikel, maar waar het in essentie om gaat is dat criminelen sommige systemen met tweefactorauthenticatie weten te kraken. De eerste factor in het authenticatieproces is daarbij bijvoorbeeld een wachtwoord of een biometrisch gegeven zoals een vingerafdruk – daar gaat het in dit geval NIET om. Waar het wel om gaat is de tweede factor in het authenticatieproces, namelijk de hardware. Dat kan de telefoon zijn, maar in dit geval gaat het om de simkaart. Normaliter beschikt alleen de accounthouder over de bewuste simkaart, maar met simswapping wordt de simkaart feitelijk gekloond (of omgewisseld met het origineel). Daarmee krijgt de crimineel opeens de tweede factor in handen en resteert voor hem de opgave om het wachtwoord te achterhalen.
Een SIM-wissel (Engels SIM swap) is het proces waarmee je een nieuwe SIM kaart aan een klant geeft, bijvoorbeeld als de huidige SIM kwijt of stuk is. Daarmee wordt feitelijk het abonnement en het nummer aan de nieuwe SIM gehangen.

Wat ik in deze ‘hack’ nog niet helemaal snap, is dat de klant feitelijk onbereikbaar zou moeten worden, omdat de oude SIM gedeactiveerd wordt. Je zou het dus direct moeten merken als gebruiker. Tenzij ze in staat zijn om weer terug te wisselen naar de oude SIM.
Volgens de NOS vond het voornamelijk snachts plaats. Tegen het einde van de nacht konden ze de SIM gewoon terug swappen.
Je kunt ook met twee SIM-kaarten tegelijk bereikbaar zijn: het is een keuze van de telefonieaanbieder wat hij aanbiedt.
Dat kan niet. Er kan maar 1 Sim kaart actief zijn per nummer
------------------------

[Reactie gewijzigd door maevian op 5 maart 2021 19:12]

Ja, maar dat is niet de standaard. Het is niet mogelijk om een tweede Sim aan te vragen. Als je dat wil, krijg je twee nieuwe Sims en vervalt je huidige. Daarmee zal je het als gebruiker dus altijd merken omdat je huidige Sim het dan niet meer doet.
Kun je niet in het systeem van de provider kortstondig een nummer aan een andere SIM-kaart koppelen, dan de code door de tweede factor ontvangen en dan het nummer weer terug te zetten op de simkaart van de klant. Als je dan in de nacht doet heeft de klant het misschien helemaal niet in de gaten.
Ligt er aan wat je kortstondig noemt. Simwissel bij ons op werkt is na ca. 5 min actief. Wissel, codes ontvangen en terugwisselen kan dus in ongeveer 10min.

Als ik het artikel zo lees klinkt het ook best interessant; 'simswap', herprogrammeren, ect.
Het is letterlijk gewoon een paar keer klikken in een systeem om een 06-nummer aan een simkaart te koppelen, meer niet.
Als het maar 10 minuten duurt, is de kans dat het in de nacht wordt opgemerkt heel klein. Misschien kan het zelfs overdag zonder dat iemand argwaan krijgt.
Nee dit kan niet. Zodra de sim is geswapped is de oude simkaart niet meer te activeren.
Ik weet niet wat er anno 2021 (nog) mogelijk is, maar het terugswappen was wel degelijk mogelijk uit eigen ervaring (destijds Vodafone, moest wel door KS gedaan worden)

Als eindgebruiker zelf Sim terug stappen kan dat normaal niet volgens mij, eenmaal gebruikt vervalt ie
Ik lees dat de politie aangeeft dat het juist ‘s nachts gebeurt zodat de klant het niet merkt. In tien minuten is alles weer normaal. Soms nemen ze het nummer langer over om verschillende accounts via SMS-verificatie te kapen. Dan zetten ze het na een uur weer terug.
Dit werkt alleen als de tweede factor via SMS of telefoongesprek gaat toch? Als de tweede factor uit een app komt, of een eigen apparaatje zoals een Random Reader, dan heeft simswapping geen zin lijkt me.
Ja. Daarom wordt al jaren aangeraden geen SMS te gebruiken als tweede factor.
Het is toch algemeen bekend dat 2FA o.b.v. SMS geen veilige manier is om te authenticeren
En toch is het nog 1 van de meest gebruikte methoden, maar kan het ook niet begrijpen.
Dat je enkel SMS gebruikt voor minder gevoelige accounts, maar je crypto account waar dus letterlijk geld op staat, dan verdien je het bijna om alles kwijt te raken.
Je moet niet slim zijn om geld te hebben en dus mogelijk te verliezen
Neem aan dat hier gewoon logs bij zijn? Dit moet dan ook makkelijk te traceren zijn door de provider intern zelf toch :) ?
Ik had vorig jaar van provider gewisseld met mijn 2e sim. Ik ging op whatsapp inloggen en kwam gewoon op iemand anders account. Blijkbaar had zij ook van nummer gewisseld, maar bij whatsapp nooit de nummer veranderd en gewoon in gebruik blijven houden.

Bovendien heeft de provider te snel een oud nummer hergebruikt en aan iemand anders (mij) gegeven.

Het was wel heel makkelijk om hier misbruik van te maken. Gewoon bij whatsapp aanmelden en via sms verifieren. Als ik kwaadwillend zou zijn kon ik geld vragen of mogelijk bij andere inloggegevens komen (naam en andere gegevens kon ik achterhalen via contactennamen).

Sms verificatie is gewoon slecht.
“Door de werkzaamheden voor de provider kon de hoofdverdachte zien of het gelekte, overgenomen telefoonnummer hoorde bij de provider waar hij werkte”

Dit kan zelfs werkelijk bijna elke klantenservice medewerker, die bijv bij teleperformance etc werken. Weinig providers hebben hun klantenservice nog intern. Nou weet ik alleen niet meer hoe die site heet.... maar daarop kon je tot tig jaar geleden zien door wie(welke provider, niet de persoon) en bij wie een nummerovername is aangevraagd.

Desbetreffende bedrijf is als ware een tussenpersoon voor een nummerovername tussen providers.

Naast inlog is er ook geen verdere controle. Je kunt alle nummers opzoeken.

Edit: weet het weer, porting XS :)

[Reactie gewijzigd door Quintiemero op 5 maart 2021 18:39]

Hierom wil je dus nooit 2FA via zoiets braks als SMS.

Desondanks blijven banken, credit card maatschappijen, overheidsinstanties, DigiD, verzekeraars, enzovoort dit hardnekkig doen :{
Ik weet uit eigen bron dat een paar weken geleden mensen werkzaam bij 1 van de 3 grote providers benaderd werden via mail om simswaps uit te voeren tegen betaling van "8000 usd voor een week werk" Deze mensen werden gevonden via openbare profielen op sociale media. Medewerkers van de telco hebben daar intern melding van gemaakt en die hebben toen aangifte gedaan en het personeel gewaarschuwd.
En een dergelijke actie lezen we graag: niet op in gaan en melden!

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True