Simswappers stalen duizenden euro's aan cryptovaluta via datalek telefoonwinkel

Criminelen hebben door middel van simswapping tientallen bitcoin-houders hun cryptovaluta afhandig gemaakt. Dat gebeurde via een telefoonwinkel in het Limburgse Vaals. Per klant loopt de schade op tot maximaal 8000 euro, schrijft NRC.

Het T-Mobile-dealerportaal van de Vaalse winkel zou gewoon via het internet te benaderen geweest zijn en de criminelen zouden daarbij het wachtwoord van de eigenaar van de winkel hebben gebruikt. De eigenaar claimt zelf ook slachtoffer van een hack te zijn geweest. Het systeem maakte geen melding van de in sommige gevallen tientallen simswaps die tegelijk werden aangevraagd. Zeker negentig telefoonnummers zouden getroffen zijn door simswapping. Bij NRC hebben zich naar aanleiding van eerdere, soortgelijke berichtgeving tientallen slachtoffers gemeld. Volgens T-Mobile gaat het om een 'handvol' slachtoffers.

Volgens uitzoekwerk van de krant zouden de criminelen een voorkeur hebben voor bitcoin-houders die Hotmail-adressen gebruiken; die zouden vaak een sms-code als back-up-inlogmethode hebben. De slachtoffers zijn vermoedelijk uitgekozen op basis van data uit het Ledger-hardwarewallet-datalek die in december op het internet belandde. Met toegang tot de e-mailadressen verschaffen de criminelen vermoedelijk zich weer toegang tot hun cryptovaluta.

Normaal gesproken moeten klanten naar een T-Mobile-winkel komen met een identiteitsbewijs om een nieuwe simkaart met hun bestaande nummer te kunnen ontvangen. Wegens de maatregelen rondom het coronavirus is die eis echter losgelaten. T-Mobile laat weten dat naar aanleiding van deze praktijken de eisen rondom een nieuwe simkaart aanvragen aangescherpt zijn: klanten moeten toch naar de winkel met hun legitimatie. Wie niet naar de winkel kan komen, wordt met een 'speciaal team' in contact gesteld die 'met extra maatregelen' alsnog de sim-wissel kunnen doen. Tot slot zijn ook de protocollen voor identificatie 'verder aangescherpt'. T-Mobile zegt dat de zaak begon te lopen naar aanleiding van aangifte door het bedrijf.

De politie heeft op vrijdag ook een inval gedaan bij de Vaalse telefoonwinkel. Daarbij zijn echter geen aanhoudingen verricht. Verder stelt de politie dat de inval verband houdt met de arrestatie van drie T-Mobile-medewerkers in februari, in de regio Parkstad. Zij zouden ook aan simswapping gedaan hebben. Die drie zijn momenteel weer op vrije voeten.

Door Mark Hendrikman

Redacteur

Feedback • 20-03-2021 12:54
99 • submitter: juliank

20-03-2021 • 12:54

99 Linkedin

Submitter: juliank

Lees meer

T-Mobile schikt voor 500 miljoen dollar in Amerikaanse datalekzaak Nieuws van 26 juli 2022
T-Mobile onderzoekt claim van diefstal gegevens 100 miljoen Amerikaanse klanten Nieuws van 16 augustus 2021
Politie arresteert drie verdachten van simswapaanval op T-Mobile Nieuws van 21 juli 2021
Chinese politie en Tencent halen sites die gamecheats verkochten offline Nieuws van 31 maart 2021
Gegevens van miljoenen Nederlandse autobezitters zijn te koop op forum Nieuws van 25 maart 2021
Politie houdt drie werknemers telecomprovider aan op verdenking van simswapping Nieuws van 5 maart 2021
Europol pakt mannen op die 100 miljoen aan cryptovaluta stalen via simswapping Nieuws van 10 februari 2021
Twitter: aanvallers richtten zich op 130 accounts voor bitcoinscamming Nieuws van 17 juli 2020
Europol pakt twee bendes op die via simswapping miljoenen euro's stalen Nieuws van 13 maart 2020
Belgische provider Orange gaat e-sim ondersteunen Nieuws van 20 februari 2020
T-Mobile stuurt klanten verificatie-sms voor beveiliging e-sim Nieuws van 4 september 2019
'06-nummers T-Mobile zijn na komst e-sim makkelijker over te nemen door hackers' Nieuws van 27 augustus 2019
Meer producten en artikelen
Networking en security Mobiele netwerken Politiek en recht T-Mobile Datalek Hack Hackers Simkaart

Reacties (99)

-Moderatie-faq
99
98
76
13
0
14
Wijzig sortering
Malarky
20 maart 2021 14:04
Deze criminelen deden onder andere een restore van je Authy 2FA backup met behulp van de SMS Recovery option in Authy. Daarna werd je Microsoft email wachtwoord gereset door combinate SMS+2FA, wat weer standaard bij Microsoft kan.

Daarna konden ze elke crypto platform in puur dankzij de 06 simswap.

Bron: T-Mobile hack slachtoffer

Dit is een gevaarlijke flaw in Authy die ook door veel Tweakers gebruikt wordt: https://support.authy.com...ost-or-Inaccessible-Phone

Edit:

[Reactie gewijzigd door Malarky op 20 maart 2021 16:45]

Mayonaise
@Malarky20 maart 2021 15:16
Je account bij Authy wordt dan wel 24 uur gelocked, waarin je de tijd hebt om je account volledig te locken.
Malarky
@Mayonaise20 maart 2021 16:39
Een wachttermijn van 24 uur: https://authy.com/phones/reset/?proceed=true

Maar het issue hier was dat accounts in het weekend in de avond gesimswapped werden en het een paar dagen duurde bij T-Mobile om de nummers terug te zetten. Niet elke gebruiker realiseert zich binnen 24u dat hij een persoonlijk target van een hack is, ook omdat T-Mobile dat niet in de eerste 24u kan bevestigen ('je hebt geen bereik? misschien is je telefoon kapot'). Ook natuurlijk omdat het simwappen nog niet groots in de media was geweest voor deze casus.

Authy stuurt een sms naar je 06-nummer dat er recovery access op je account is aangevraagd en dat de teller afloopt, maar ja die hebben de slachtoffers nooit ontvangen na de simswap.

Dus als je niet binnen 24u zo beidehand was om te te realiseren dat ze op jou uit waren, was je wellicht te laat.

[Reactie gewijzigd door Malarky op 20 maart 2021 16:41]

Mayonaise
@Malarky21 maart 2021 02:35
Ik had na het resetten van mijn smartphone een email ontvangen dat ik 24 uur moest wachten om mijn "nieuwe device" toe te voegen. Vanuit de email kon ik melden of ik dit wel of niet had aangevraagd.
nsacrawler
@Malarky20 maart 2021 15:12
Helpt het instellen van een backup wachtwoord (wat ik heb gedaan) hiertegen? Ik dacht namelijk dat dan mijn tokens in Authy E2E encrypted waren.
elmuerte
@nsacrawler20 maart 2021 17:17
Volgens de documentatie is het zetten van een backup wachtwoord niet recoverable: https://support.authy.com...Backups-Password-Recovery
Recovery via SMS is niet mogelijk als je een backup wachtwoord ingesteld hebt.
pdukers
@elmuerte20 maart 2021 20:12
Daarnaast is het verstandig om authy op een tweede device te installeren en vervolgens multi-device uit te zetten. Al je bestaande installs blijven werken, maar je kunt geen nieuwe devices toevoegen!

Verlies je een device, dan je via je andere device multi-device weer aanzetten en een nieuw device toevoegen.
Cerberus_tm
@Malarky21 maart 2021 04:02
Konden de hackers trouwens elke abonnee van T-Mobile swappen, of alleen diegenen die klant waren van de desbetreffende telefoonwinkel in Vaals?
Malarky
@Cerberus_tm21 maart 2021 10:05
Elke abonnee via het Tmobile klant portaal.
Cerberus_tm
@Malarky21 maart 2021 15:47
Wel echt heel slecht van T-Mobile.
Unipuma
@Malarky20 maart 2021 15:13
Wordt bij de Authy 2FA backup restore ook de pincode die op Authy zit uitgeschakeld? Of is die voor de App en niet de onderliggende sleutels?
Malarky
@Unipuma20 maart 2021 16:43
Die pincode is apparaat specifiek, als je Authy op een nieuw apparaat installeert mag je opnieuw een pincode kiezen.
OverSoft
20 maart 2021 13:10
Je kan bij T-mobile ook een wachtwoord instellen die je moet gebruiken bij telefonisch contact. Zo helpen ze je pas verder als je dit wachtwoord uitspreekt.

Waarschijnlijk had dat in dit geval niet geholpen, omdat ze toch al in de interne systemen zaten, maar toch, het kan geen kwaad.
eborn
@OverSoft20 maart 2021 16:35
Een aantal jaren geleden, toen ik nog voor een inmiddels failliete winkelketen software ontwikkelde, hebben de meeste interne portalen een extra beveiligingslaag toegevoegd. Dit gold toen in ieder geval voor het opvragen van persoonlijke gegevens, wat enkel mogelijk was als de eigenaar goedkeuring gaf via SMS. Het is wel erg vreemd dat het omzetten van een sim, helemaal in bulk, zonder toestemming van de houder kan.
OruBLMsFrl
@eborn20 maart 2021 23:29
Probleem met SIM swapping is de 'klant' die zegt dat de telefoon in een put gevallen is inclusief SIM. Alles geprobeerd, maar moeten als verloren beschouwd worden. Graag een nieuwe SIM. Oh en ik regel alles online, ben een jaar geleden verhuist maar dat nooit doorgegeven. Dat wachtwoord wat ik altijd zou noemen als ik jullie belde, ach ja, stom natuurlijk, maar dat stond altijd in mijn telefoon. Op dat nummer zit wel heel mijn zakelijk netwerk, kan ik niet even veranderen nee. Enzovoorts...

Enige dat dan nog wel werkt is toch eigenwijs proberen te bellen en SMS'en naar die klant, als er wel gereageerd wordt is het foute boel natuurlijk. Een brief naar het laatst bekend adres, desnoods navraag op het nieuwe adres. Maar dat geeft je dan altijd forse vertraging voor mensen die echt in de penarie zitten, bepaald geen fijne klantenservice ervaring. Het zou me niets verbazen zou op enig moment een high-security abo 5 euro extra per maand kosten, puur vanwege de extra tijd en validaties die het met zich meebrengt als het een keer foutgaat. Te weinig klanten zullen daadwerkelijk akkoord gaan met een verloren nummer. Plus, dat wordt dan op enig moment toch weer opnieuw uitgegeven, heb je die risico's ook nog... dan maar een aanwijsbare barriére om mee te doen.
Cerberus_tm
@OruBLMsFrl21 maart 2021 04:00
Een nieuwe SIM-kaart kost nu ook al geld, toch? Dus T-Mobile krijgt de tijd die het eraan besteed wel vergoed.

Een brief naar je postadres lijkt mij een logische laatste optie, niet zonder validatie iemands SIM swappen. Met identificatie naar de T-Mobile-winkel lijkt mij ook ook goed, als op één na laatste optie.

Eventueel zou je het nog zo kunnen maken dat mensen vooraf kunnen instellen dat identificatie en brief niet nodig zijn, dat ze bewust het risico accepteren, als snelheid echt belangrijker voor ze is dan veiligheid. Zoiets heb je ook bij je bankrekening, waarbij je zelf kunt kiezen of je pinnen van buiten Europa toestaat.
OruBLMsFrl
@Cerberus_tm21 maart 2021 13:41
Daat moet T-Mobile dan wel extra mensen en systemen voor hebben, die dat allemaal gaan doen. Zulke protocollen zijn niet gratis. Nu kun je in de back-office kennelijk zo SIM-swappen, dat gaat dan operationeel echt wat meer geld en doorlooptijd kosten per SIM-swap, als je daar een 4-ogen principe en bevestigde terugbelacties in wilt opnemen. Time is money. Niet elke consument zal dat 'gedoe' willen, laat staan ervoor willen betalen. Interessant vraagstuk maatschappelijk.
eboellie
@OruBLMsFrl21 maart 2021 07:52
alles prima maar dan heb je een protocol dat je terug belt om te testen....
jellemdekker
@OverSoft20 maart 2021 13:24
Goede tip! Meer info op de site van T-Mobile: https://www.t-mobile.nl/k...-klantenservice/000217162
supersnathan94
@OverSoft20 maart 2021 18:06
“Battery horse staple”

“Akkoord, dan rest ons nu het overzetten van het telefoonnnummer”

:P
hooibergje
@supersnathan9421 maart 2021 07:43
correct!
mkurios
20 maart 2021 15:23
Vond een Authy artikel uit 2017 over simswapping. Raden dus een backup password aan, zodat je die niet zomaar kan restoren. En als je het al op meerdere devices hebt, kun je uitzetten dat het op nieuwe apparaten word geactiveerd. Net hier ook maar es gedaan dat laatste.
So, even if anyone has been able to get your username and password, or SIM-swapped your phone number, there is still no way they will be able to access your 2FA data synced with the Authy service.
bron: https://authy.com/blog/un...fa-the-authy-app-and-sms/
TigerXtrm
20 maart 2021 13:00
RAID is geen backup en SMS is geen 2FA.

Gebruik een app, mensen.
Malarky
@TigerXtrm20 maart 2021 13:55
Een bekende van mij is bijna ten prooi gevallen voor een veelvoud van een bedrag van 8000 euro in bitcoins aan deze TMobile hack en was zijn 06 inderdaad verloren.

De criminelen kunnen aan de hand van enkel SMS al je 2FA codes bij Authy restoren (flaw in authy). Daarna gebruiken ze sms + 2fa om je email wachtwoord te resetten.

Oftewel in luttele minuten hadden ze sms + email + 2FA tot hun beschikking. Dan komt het op andere beveiliging op je crypto platform aan, zoals een 7 dagen delay voor je kan transferen naar nieuw crypto adres

[Reactie gewijzigd door Malarky op 20 maart 2021 13:58]

back2basic
@Malarky20 maart 2021 14:16
Als je 'multi device' uitschakelt in settings van authy duurt het minimaal een dag voordat een nieuw device zich kan registreren.
Dat geeft in ieder geval enige vertraging tijdens een hack.
Malarky
@back2basic20 maart 2021 14:18
Dit slachtoffer is gered door de 7 dagen wachttermijn voor nieuwe transfers naar nieuwe blockain adressen op zijn crypto platform. Die is simpelweg niet te omzeilen dan de 7 dagen uit te zitten, ook als de optie wordt uitgeschakeld.

[Reactie gewijzigd door Malarky op 20 maart 2021 14:20]

hoi1234
@Malarky21 maart 2021 10:23
Hoe is deze flaw dan precies op te lossen? Ik maak namelijk ook gebruik van authy.

Trouwens is dit dan nieuw? Toen ik vorig jaar zomer m'n telefoon een reset gaf, bleef authy maar zeiken dat authy nog op mijn oude installatie actief was. Een aanvraag zodat je meerdere apparaten kunt gebruiken, duurde een paar dagen.

Als ik het goed begrijp kan ik toegang tot meerdere apparaten ook beter uitzetten?
Rutix
@hoi123421 maart 2021 15:18
Het is niet echt een flaw maar as designed. Je kunt een backup password zetten en dan is deze vorm van abuse niet meer mogelijk. https://authy.com/blog/un...fa-the-authy-app-and-sms/
comecme
@Rutix21 maart 2021 22:28
Maar dan je zo te lezen nog account recovery doen via een SMS. Dat duurt 24 uur, maar lijkt toch een risico te zijn. Of mis ik iets?
ChillinR
@Malarky20 maart 2021 14:21
Nog veel veiliger: een hardware wallet voor (de grotere hoeveelheden) cryptocurrencies, zodat je zonder fysiek apparaat geen transacties kunt uitvoeren.
Malarky
@ChillinR20 maart 2021 14:22
Als je een grote trader bent die zeer actief in options en futures handeld is dat allemaal helaas geen optie. Dat is alleen leuk voor de hodler.
ANdrode
@TigerXtrm20 maart 2021 13:03
Gebruik twee dongles (bijvoorbeeld yubikey) en geen SMS als fallback.

Een keten is zo sterk als de zwakste schakel.
timberleek
@ANdrode20 maart 2021 13:29
Maar dan een domme vraag (ik heb me niet verdiept)

Dan heb je toch nog steeds een single point of failure. Als iemand die yubikey jat kan hij overal bij (en jij nergens). Tuurlijk moeten ze dan bij jou in persoon zijn wat een andere manier van "aanvallen" is.

Maar zo'n yubikey moet je dan altijd bij je dragen en steeds inpluggen als je ergens wilt inloggen? Dat kan een aanvaller dan toch ook doen?

Of snap ik gewoon niet hoe dit werkt?
BrokenTable
@timberleek20 maart 2021 13:51
Je hebt dan een combinatie wachtwoord en yubi key waarmee je steeds moet inloggen. En een 2e yubi key op een veilige locatie als backup.
TigerXtrm
@timberleek20 maart 2021 13:42
Het werkt altijd in combinatie met een wachtwoord, en soms zelfs met een vingerafdruk. Maar in principe heb je gelijk ja. Zo'n Yubikey is dan ook net zo belangrijk als je huissleutel, zo niet belangrijker.
borbit
@TigerXtrm20 maart 2021 14:07
Huissleutel verliezen is zolang er geen adres aanzit geen enkel probleem lijkt mij.
Ducksy88
@borbit20 maart 2021 17:42
Zo is een Yubikey verliezen zonder email adres erbij ook geen enkel probleem.
Eelco de V
@TigerXtrm20 maart 2021 23:10
Wel zorgen dat je geen vingerafdrukken achter laat op je yubi key :)
Ducksy88
@timberleek20 maart 2021 17:44
Ja, je YubiKey is een mogelijk zwakte punt, maar het voordeel is dat het echt een fysiek ding is. Je kan niet remotely jouw 2FA-Yubikey stelen. En blijkbaar kan je wel een Authy 2FA op afstand stelen.

En het moet wel een heel dedicated crimineel zijn als 'ie jou IRL gaat opzoeken om je YubiKey afhandig te maken. Dan is een telefoonwinkeltje hacken en simswaps doen toch een stuk makkelijker zo vanachter je keyboard en terminal
MiesvanderLippe
@ANdrode20 maart 2021 13:56
Dan moet je dus wel twee Yubikeys. Of verdomde goed opletten met het uitprinten van je recovery codes!
FuaZe
@ANdrode20 maart 2021 13:10
Tja, als ze je password niet kunnen omzeilen, omzeilen ze wel je recovery methode.

Beste is dus gewoon om helemaal niets te hebben :p
Als je geld meteen uitgeven (:
lammert
@FuaZe20 maart 2021 16:16
Nog beter is het om je Bitcoin niet bij een online dienst op te slaan. Not your keys, not your coins.

Zolang je je private key offline opslaat is er letterlijk geen macht ter wereld die bij je Bitcoin kan komen.
_Pussycat_
@lammert21 maart 2021 03:50
*ahem*

https://xkcd.com/538/
genc007
@_Pussycat_22 maart 2021 13:58
ze kunnen ook je bankrekening leegplunderen met dezelfde methodes :-)

wat wel verschilt is dat je bank of overheid niet meer je assets kan bevriezen omdat je het niet eens bent met de overheid.
wellicht niet relevant in het westen, maar zeker wel elders op de wereld.
_Pussycat_
@genc00723 maart 2021 03:08
Dat is inderdaad een goed argument. Niet alleen bevriezen omdat de overheid je niet leuk vindt, maar bv. zoals in Malta alle eigendommen > 100 000 euro innemen, of in Griekenland het overmaken naar het buitenland blokkeren.

Ik ben helemaal geen cryptocurrency-fan, integendeel, maar dat moet ik toegeven is een serieus voordeel.
Andros
@FuaZe20 maart 2021 14:08
Cash in een kluis en deze begraven/vastbouten in de fundering. Nog beter, kluis volgooien met edelmetaal.
Morress
@Andros20 maart 2021 14:20
Betaald zo moeilijk bij de super :+
Bomberman71
@Morress20 maart 2021 23:55
Alsof je bij de AH kan betalen met BTC.
Darkstriker
@TigerXtrm20 maart 2021 13:03
Dit lijkt me toch een vulnerability in het systeem van hotmail. Om je password reset te krijg is blijkbaar alleen een factor nodig: SMS. Dat is natuurlijk funest als security model.
WhiteDog
@Darkstriker20 maart 2021 13:45
Dat is toch niet anders dan bij de gemiddelde website waar je een email krijgt met daarin een nieuw (tijdelijk) wachtwoord of een link om een nieuw wachtwoord in te stellen. Als ik in je email kan, kan ik vrij zeker in al je accounts waar geen 2FA is ingesteld.

Dat iemand zomaar je telefoonnummer kan overnemen is imho niet iets waar Hotmail rekening mee moet houden. T-Mobile is hier gewoon zwaar de mist ingegaan (Dealer-Portal publiek bereikbaar en geen verplichte 2FA bij aanmelden erop).
Mel33
@WhiteDog20 maart 2021 15:37
Wat ik mij afvraag, werkt je eigen sim nog?
En zie jij dan ook die sms? of zie jij niks en de dief wel?
michielRB
@Mel3320 maart 2021 17:50
Nee, je eigen sim wordt gedeactiveerd en de andere sim (van de scammer) wordt geactiveerd.
Ik meen dat BMW dit in het verleden toepaste. Er zat een sim in de multimediaset van de auto en je had een sim in je telefoon. Zodra je dat in de auto aangaf werd de sim in de multimediaset geactiveerd en in de telefoon gedeactiveerd. (bijv KPN ondersteunde/ondersteunt dit met zakelijk duo-sim abbo's)

[Reactie gewijzigd door michielRB op 20 maart 2021 18:58]

Mel33
@michielRB20 maart 2021 18:30
Ha dus je gaat het merken dat je geen sms ontvangt als je weer ergens inlogt waar je sms-2fa aan hebt staan.
supersnathan94
@Mel3321 maart 2021 10:26
Ja maar als het goed is doe je dat niet zo heel vaak. Meestal is een app the way to go. En met de tijd dat je het doorhebt is de kans groot dat het te laat is.
TheMak
@Darkstriker20 maart 2021 15:44
De vraag is natuurlijk ook of hotmail opgezet is als element in een security model. Niemand heeft in de begin dagen zijn identiteit geüploaded naar hotmail aan de hand waarvan die vastgesteld kan worden.
DoubleYouPee
@TheMak20 maart 2021 16:03
Hotmail is toch gewoon een microsoft account? Daar heb je nu ook je OneDrive op.
TheMak
@DoubleYouPee20 maart 2021 16:34
Niet persé, mijn OneDrive staat netjes geïnstalleerd op een fatsoenlijk outlook.com adres. Niet op mijn hotmail adres-naam die ik als student wel leuk vond. Maar ik vind het wel een nadeel van al die 2FA methoden dat je een bubbel creëert, waar je jezelf uit kan gooien. 2FA voor mijn werk vind ik geen probleem, want ik kan naar mijn baas om uit te leggen wat er gebeurt is. Mijn baas weet dat ik heb ben, en geeft toestemming voor een reset. (Nieuwe dongle, of app opnieuw aanmelden). Bij de bank ook niet, ik kan altijd mijn paspoort laten zien. Maar of ik over tien jaar al mijn 2FA accounts kan vrijzetten weet ik niet. Misschien een keer geswitched van android naar ios, en van internet provider gewisseld, google die ruzie krijgt met de EU.
DoubleYouPee
@TheMak20 maart 2021 16:54
Ja, OneDrive is geen hotmail, maar hotmail is wel een microsoft account.
2FA gewoon gebruiken met backup codes, die kan je opschrijven.
DoubleYouPee
@Darkstriker20 maart 2021 16:09
Alleen SMS? Hierboven staat 2FA+SMS.
Lijkt me toch stug dat je 2FA via 1FA (SMS) omzeild kan worden. Dan heeft het namelijk geen zin om 2FA te implementeren.
RogerDad
@TigerXtrm20 maart 2021 17:52
SMS is op zich geen 2FA, maar in combinatie met een wachtwoord en mits naar een 06-nummer wordt dit wel gezien als 2FA. Immers iets wat jij alleen weet (je wachtwoord) en iets wat jij alleen hebt (je smartphone waarop de SMS binnenkomt). Dat er zwakheden in dit systeem zitten (spoofing via het SS7 netwerk) is bekend, maar het is nog steeds veiliger dan 1FA. Zie ook NIST SP 800-63B: https://pages.nist.gov/800-63-3/sp800-63b.html
De essentie is dat je je eigen risico-analyse doet, gebaseerd op jouw situatie. Als het om veel geld gaat, dan is SMS zeker niet de beste keus als 2FA, aan de andere kant zie je ook genoeg mensen met EOL android versies, dus dat is de veiligheid van een secure OTP app ook beperkt.
supersnathan94
@RogerDad21 maart 2021 10:28
De essentie is dat je je eigen risico-analyse doet, gebaseerd op jouw situatie.
Ja das leuk, maar hoe moet je rekening houden met scenario’s als dit? Als consument kun je dit helemaal niet voorzien. hier kun je nooit tegenop analyseren.
CaDje
20 maart 2021 13:41
Is bekend waar de crypto valuta opgeslagen stond? Ik kan de link tussen de ledger leak en het crypto verlies nog niet helemaal plaatsen. Ik heb zelf ook een ledger, maar dat is juist de 2fa methode om bij mijn crypto te komen, daar heeft mijn mobiel nummer weinig mee te maken.

Daarnaast moet je dus ook nog eens eerst de email adressen aan het mobiele nummer koppelen, kun je zien of een mobiel nummer door T-mobile uitgegeven is? Tevens laat een website bij het 2fa inloggen via sms meestal niet het hele mobiele nummer zien, "SMS has been sent to xxxxxxx123".
Rannasha
@CaDje20 maart 2021 14:01
Is bekend waar de crypto valuta opgeslagen stond? Ik kan de link tussen de ledger leak en het crypto verlies nog niet helemaal plaatsen. Ik heb zelf ook een ledger, maar dat is juist de 2fa methode om bij mijn crypto te komen, daar heeft mijn mobiel nummer weinig mee te maken.
De goudmijn is meestal het email-adres. Als je toegang hebt tot de mailbox van je slachtoffer, dan weet je welke diensten hij of zij gebruikt en er zijn genoeg diensten die zaken als password-resets middels een email bevestiging afhandelen. Op die manier kun je dus ook in de accounts van je slachtoffer komen door een tijdje de emails op te vangen (en snel te verplaatsen of te verwijderen zodat je langere tijd actief kunt blijven zonder dat het slachtoffer het merkt).

Om een email account binnen te komen, kan bezit van het telefoonnummer handig zijn (niet alleen het nummer kennen, maar zelf toegang hebben tot dit nummer), want sommige email diensten gebruiken SMS als beveiligingsmethode bij het inloggen vanaf een onbekende locatie of zelfs bij een password-reset.

Met de gegevens van de Ledger leak heeft een aanvaller beschikking over de naam, het email adres, het telefoonnummer (en het huis adres) van een slachtoffer. Met het telefoonnummer gaat de aanvaller naar de telefoonprovider en probeert middels social engineering het telefoonnummer over te zetten op een nieuwe SIM. Omdat de aanvaller enkele andere persoonsgegevens kent (naam, adres), is dit wellicht makkelijker. Zodra de SIM swap gelukt is, begint de aanval op het email adres.

In principe is de combinatie telefoonnummer / naam / email adres (en eventueel huis adres) niet heel erg zeldzaam. Er zullen genoeg datasets zijn die gelekt zijn die deze gegevens bevatten. Wat de Ledger leak voor aanvallers interessant maakt is dat het gaat om een groep mensen waarvan de kans heel groot is dat ze actief zijn met cryptocurrencies, waardoor de kans op een aanval die daadwerkelijk wat oplevert een stuk groter is dan als je als aanvaller gaat werken met de data uit een lek bij een online kledingwinkel of iets dergelijks.

[Reactie gewijzigd door Rannasha op 20 maart 2021 14:01]

PatrickHuizinga
@CaDje20 maart 2021 13:51
Door de leak weet 'iedereen' jou email en telefoonnummer. Als jij vervolgens een account hebt bij een crypto-handelsplatform waarbij je je hebt aangemeld met dat email adress, maar zonder echte 2FA (sms telt niet als extra factor), dan volgt de crimineel dus de volgende stappen:

1. neem het telefoonnummer over
2. vraag wachtwoord reset aan bij hotmail
3. vraag wachtwoord reset aan bij het handelsplatform
4. boek alles over wat er op dat platform beschikbaar is
Frederik vd bal
@PatrickHuizinga20 maart 2021 14:13
Dus als ik het goed begrijp hebben ze via het ledger lek toegang gekregen tot de personen welke bezig zijn met crypto. Hierna hebben ze in de hotmail van deze mensen gekeken via welke tradingsplatforms en daar de crypto vanaf gehaald en niet van de ledger zelf?
Dit kan toch alleen met de seed woorden of de hardware ledger zelf?
pythagorasABC
@Frederik vd bal20 maart 2021 14:40
Er is een goede kans dat als je een hardware ledger hebt, dat je dan ook nog ergens wat op handelsplatformen hebt staan.

Als je alles op de hardware ledger zet, is er inderdaad geen enkele manier om daar bij te komen zonder dat je iemand zo ver kunt krijgen om op die ledger dingen over te maken/de seed worden aan je geeft.
DoubleYouPee
@PatrickHuizinga20 maart 2021 17:19
Ik vraag me af - als je bijv. bij Microsoft wél 2FA (app) hebt, maar SMS als recovery optie.. kan een 'hacker' dan SMS ook als 2FA gebruiken nadat hij het wachtwoord heeft gereset?

Als ik namelijk bij de 2FA prompt zeg "andere method" kan ik gewoon mijn huidige recovery method kiezen. Ik gok dat hier dan ook gewoon SMS tussen staat.

Met een telnr zou je in dat geval zowel wachtwoord als 2FA omzeilen? :?

[Reactie gewijzigd door DoubleYouPee op 20 maart 2021 17:25]

batjes
@PatrickHuizinga20 maart 2021 20:54
Mensen blijven hier wel herhalen dat SMS geen echte extra factor is, maar dat is het wel.
1) Iets dat je weet <> wachtwoord
2) Iets dat je hebt <> Telefoon, waar die SMS op binnen komt.

Het is alleen geen sterke 2de factor. Een authenticator is net als SMS een tweede factor (telefoon, waar je de code op krijgt dmv pincode/vingerafdruk/QRcode) die wel een heel stuk beter is.

SMS als 2de factor is nog altijd beter dan geen tweede factor met enkel een wachtwoord.
Aphelion
20 maart 2021 13:22
Wie is er nu verantwoordelijk voor de geleden schade?
kodak
@Aphelion20 maart 2021 14:07
Uit het nieuws maak ik op dat de slachtoffers klanten van t-mobile zijn en dat het bedrijf blind vertrouwde dat wie met een wachtwoord vanaf het internet kon inloggen op het dealerportaal een juiste simswap zou doen. Dat klinkt alsof t-mobile de klanten aan hun lot over liet om slachtoffer te kunnen worden.
Nystran
@kodak20 maart 2021 16:10
Ik zou idd naar T-mobile wijzen. Maar verantwoordelijk zijn, en daadwerkelijk alle schade vergoeden zijn twee andere dingen, zeker als het om telecombedrijven gaat.
tympie
@Nystran20 maart 2021 23:15
Misschien is het T-Mobile te verwijten dat het sim-swappen (te makkelijk) mogelijk was. Maar ook dan kun je denk ik niet simpelweg zeggen dat ze daarmee ook (volledig) verantwoordelijk/aansprakelijk zijn voor dit soort "gevolgschade". Je telecom-provider levert in principe gewoon simpele communicatiediensten: bellen en gebeld worden, sms, internettoegang. Daaraan de toegang tot (bitcoin-accounts ter waarde van) vele duizenden euro's koppelen is echter een beslissing / de verantwoordelijkheid van de gebruiker zelf. Geen enkele telecomboer adverteert dat (het security-niveau van) zijn dienst geschikt is voor een dergelijke toepassing, en de gebruiker had misschien dus beter iets meer info kunnen inwinnen bij zijn provider, of zelfs zwart-op-wit afspraken kunnen maken, over de geschiktheid van de dienst voor dit doel (nog los van het onderzoeken van de geschiktheid van sms voor 2FA in het algemeen).

[Reactie gewijzigd door tympie op 20 maart 2021 23:19]

Nystran
@tympie20 maart 2021 23:50
Zeker een goed punt. Zal bij particulieren in de voorwaarden afgedicht zijn, en zakelijk zal er ook over nagedacht zijn.
Anoniem: 1429318
@kodak20 maart 2021 16:02
Dus t-mobile erkent geen aansprakelijkheid?
WayLikeMark
@kodak20 maart 2021 23:39
Ik ben nog niet zo lang weg bij T-Mobile en kan zeggen dat, ondanks het artikel stelt, TAS (T-Mobile Activatie Systeem) niet toegankelijk is vanuit het WWW. TAS zelf is een website welke op het interne netwerk draait. Mijn vermoeden is dat hier gebruik is gemaakt een remote desktop applicatie. Als ik mag gokken de Chrome remote desktop plugin, .exe bestanden openen was namelijk niet mogelijk.

TMNL heeft imo geen blaam in deze.

Edit: Het interne beleid was dat PC’s aan het einde van de dag afgesloten diende te worden daardoor zou in de regel remote desktop niet meer mogelijk zijn. Als de crimineel in kwestie echter bij het sluiten van de winkel dit niet doet gaat die vlieger helaas niet op. Dat hier geen policy voor ingesteld is heeft, denk ik, te maken gehad met het updaten van SAP en het POS systeem wat regelmatig diende te gebeuren. Dit proces gebeurde altijd in de nacht en exacte datum verschilde van winkel tot winkel waardoor dit niet makkelijk in te regelen is.

Nu is de zaak in vaals zelf geen eigen TMNL winkel maar een reseller. Meeste resellers werken met een ander systeem (overkoepelend voor meerdere providers)

Edit 2: TAS wordt niet eens gebruikt voor het swappen van sims maar enkel voor activaties van abonnementen.

[Reactie gewijzigd door WayLikeMark op 20 maart 2021 23:48]

Dacuuu
20 maart 2021 13:05
Als je een google/gmail account hebt en account herstel via SMS staat aan, hier kan je hem uitzetten. Werk het beste via een normale browser is mijn ervaring. https://myaccount.google.com/security
Eustace
@Dacuuu20 maart 2021 13:15
Als je wachtwoordherstel per sms uitschakelt, wat is dan het alternatief?
Dacuuu
@Eustace20 maart 2021 13:21
Je kan een blaadje met 10 herstelcodes uitprinten
Je kan een alternatief mail adres opgeven
Je hebt wellicht nog de mogelijkheid om via je pc of laptop in te loggen als je telefoon kwijt bent.
Jaïr.exe
20 maart 2021 13:11
Denk dat Hotmail/Outlook eerder de voorkeur was gezien de beveiliging minder is dan Gmail. Bij Gmail wordt er direct een push notificatie worden gestuurd naar de gekoppelde telefoon (zowel iOS als Android) en vaak is dat standaard ingesteld. Hotmail/Outlook heeft enkel een app die je zelf moet instellen, wat de meeste mensen over het hoofd zien.

Gmail geeft direct een "kritieke beveiligings waarschuwing" als er een nieuw apparaat wordt gedetecteerd. Het account wordt zelfs bij voorzorg vergrendeld indien er verdachte activiteit plaatsvindt (bijv. het opzoeken van bepaalde geflagde zoektermen in de mailbox of teveel wijzigingen binnen de accountgegevens).

Maar wat doet Hotmail/Outlook bij een aanmelding vanaf een nieuw apparaat? Bij een IP dat ong. in hetzelfde land ligt, daar komt geen waarschuwing aan te pas. Enkel als vanuit China/India/Frankrijk/etc wordt aangemeld, dan komt er een mailtje bij het hersteladres én in de inbox. Maar het account wordt niet vergrendeld als dit mailtje wordt verwijderd of gegevens worden gewijzigd.

Sowieso 2auth via een applicatie is een goede oplossing, maar Hotmail/Outlook moet echt meters maken betreffende hun eigen diensten.

[Reactie gewijzigd door Jaïr.exe op 20 maart 2021 13:12]

supersnathan94
@Jaïr.exe21 maart 2021 10:32
Maar wat doet Hotmail/Outlook bij een aanmelding vanaf een nieuw apparaat? Bij een IP dat ong. in hetzelfde land ligt, daar komt geen waarschuwing aan te pas. Enkel als vanuit China/India/Frankrijk/etc wordt aangemeld, dan komt er een mailtje bij het hersteladres én in de inbox. Maar het account wordt niet vergrendeld als dit mailtje wordt verwijderd of gegevens worden gewijzigd.
Jawel hoor. Ik krijg namelijk netjes die mails van m’n zusje d’r account als ze weer eens remote op de wifi zit bij iemand. Allemaal binnen de regio. Moet je dus wel een alternatief adres in hebben gesteld.
dasiro
20 maart 2021 13:57
je zou denken dat ze in Nederland niet onveiliger omgaan met dit soort zaken, maar toch lees ik hier nooit van dit soort incidenten in België. Is het hier dan beter geregeld of is er gewoon geen journalistieke aandacht voor?
Tomatoman
20 maart 2021 20:23
Zeker negentig telefoonnummers zouden getroffen zijn door simswapping. Bij NRC hebben zich naar aanleiding van eerdere, soortgelijke berichtgeving tientallen slachtoffers gemeld. Volgens T-Mobile gaat het om een 'handvol' slachtoffers.
T-Mobile laat zich hier niet van zijn beste kant zien met zijn bewering dat het om ‘een handvol’ slachtoffers gaat. Het gaat in werkelijkheid om tien tot twintig maal zoveel slachtoffers als T-Mobile beweert. Dat is niet meer een kwestie van ‘bij wijze van spreken’, maar een doelbewuste bagatellisering van de omvang van deze fraude. Niet bepaald sjiek, T-Mobile :N

[Reactie gewijzigd door Tomatoman op 20 maart 2021 20:23]

1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee