SIM-swapping nog steeds actueel

Door: Night - 1 reactie
Afbeelding: Tim Reckmann

Eind augustus werd het Twitter-account van de maker van Twitter, Jack Dorsey, kort gehackt. Een paar minuten lang stuurde @jack racistische berichten de wereld in, voordat Dorsey zijn account opnieuw in bezit kon nemen. Hoe werd Dorsey voor de gek gehouden? Door SIM-swapping.

Hoewel SIM-swapping al enige tijd bestaat, is het nog steeds actueel. Dat blijkt wel uit het bovenstaande. Het wordt dus tijd dat we hierover het een en ander toelichten.

Hoe gaat SIM-swapping in zijn werk?

De hackers namen allereerst bezit van het telefoonnummer van Dorsey. Hiervoor namen ze contact op met de klantenservice van zijn telecom-aanbieder. De hackers hielden de persoon aan de telefoon voor de gek met het excuus dat de ​​SIM-kaart was gestolen of deze was verloren. Daarna deden ze het verzoek om het telefoonnummer over te dragen naar een andere SIM-kaart, die de hackers al in hun bezit hadden. Dit wordt SIM-swapping genoemd. De pincode van de originele SIM-kaart is in dit geval nutteloos, omdat het telefoonnummer naar een andere SIM-kaart wordt overgedragen. Een deel van de ‘schuld’ ligt dus bij de telecom-aanbieders.

De helpdesk van en telcom-aanbieder vraagt ​​normaal gesproken om persoonlijke informatie om de identiteit van de correspondent (geboortedatum, postadres, etc.) te verifiëren alvorens de overdracht uit te voeren. Vaak kan dit soort informatie echter min of meer vrij gemakkelijk op het internet worden gevonden.

Het volgende is minder duidelijk. Met het telefoonnummer van Jack Dorsey gebruikten hackers vervolgens één van de volgende twee methoden. Ze hebben ofwel een service, Cloudhopper, gebruikt om tweets via SMS te verzenden of gebruik gemaakt van de mogelijkheid om rechtstreeks via SMS te tweeten. Twitter heeft publicatie via SMS in ieder geval begin september tijdelijk opgeschort voordat dit in slechts enkele landen werd hersteld.

De hack was al eerder uitgelegd

Een paar weken voor de hack van Jack Dorsey had een ZDNet-columnist in een lang artikel verteld hoe zijn Twitter-account, maar ook zijn Google-account, was gehackt door SIM-swapping. De meeste online services bieden de mogelijkheid om hun account te beschermen met een tweede authenticatiefactor, voor het geval dat het wachtwoord is vergeten of in de verkeerde handen is gevallen. De gebruiker ontvangt deze tweede factor dan per SMS. Je ziet het probleem: in het geval van SIM-swapping krijgt de hacker dus de tweede code, die nodig is om verbinding te maken met het account, toegestuurd.

SIM-swapping is niet nieuw

De SIM-swapping hack is niet nieuw, maar er is wel veel over gepubliceerd na het hacken van de maker van Twitter. Diverse telecom-aanbieders hebben inmiddels samengewerkt aan een oplossing tegen deze zwendel. Deze oplossing, die binnenkort wordt gelanceerd, zorgt ervoor dat online diensten ‘weten’ of de SIM-kaart recent is gewijzigd. De online dienst kan het risico dat SIM-swapping bij een authenticatie zou vormen, dan beter beoordelen. De gebruiker krijgt dan een andere authenticatiemethode, als de SIM-kaart als ‘te recent’ wordt beschouwd. Online services moeten dit nieuwe systeem omarmen, zodat bescherming pro-actief is.

De tweede code die je Twitter, Google, Facebook, Amazon of andere accounts beschermt, kun je ontvangen via SMS. Je kunt deze code echter ook krijgen via speciale apps, zoals Authy, Step Two en 1Password of vervangen door een beveiligingssleutel, afhankelijk van de dienst. Apple biedt deze twee opties helaas niet, maar biedt wel een eigen Twee-factor-authenticatie-methode aan. Je kunt om SIM-swap te voorkomen, echter beter gebruik maken van een tweede factor dan een code per SMS te ontvangen. Zo’n tweede authenticatie-factor wordt dan gegenereerd door een app of een speciale authenticatie-sleutel. Telefoonnummers blijken nu eenmaal niet altijd veilig.

Authenticatie via de Authy-app
Authenticatie via de Authy-app (klik/tap voor groter). Afbeelding: Authy

De Europese richtlijn, de DSP2, voorziet in het beëindigen van de mogelijkheid om een validatiecode per SMS te verzenden. Je kunt bij online aankopen het beste kiezen voor een veiligere methode, zoals biometrische authenticatie. Deze richtlijn had op 14 september al in werking moeten treden, maar niet alle spelers zijn er klaar voor, Frankrijk en een aantal andere landen hebben de deadline uitgesteld tot 2022. Dat is jammer voor Apple, die hoopte te profiteren van deze nieuwe verordening om Apple Pay te kunnen promoten.

Is eSIM veiliger? Nee.

Zal de eSIM, die het einde van plastic SIM-kaarten aangeeft, een einde maken aan SIM-swapping? Integendeel, het zou het probleem zelfs kunnen actualiseren. Afgelopen maart waarschuwde de GSMA, de internationale vereniging van exploitanten, voor de risico’s van eSIM-misbruik.

Een onderzoek dat deze zomer door RTL Nieuws werd uitgevoerd, wees op een groeiende dreiging bij T-Mobile in Nederland. Er is voor Hackers niet langer de noodzaak om de klantenservice te misleiden en te wachten tot ze een nieuwe SIM ontvangen. Het wachtwoord van het T-Mobile-account van het slachtoffer is voldoende om op afstand een eSIM te genereren. Een T-Mobile-woordvoerder zei RTL dat het bedrijf zou onderzoeken hoe ze de beveiliging rond het beheer van de eSIM kunnen verbeteren.

Het advies om SIM-swapping te voorkomen – en het rampzalige domino-effect dat dit kan hebben –  zijn niet erg origineel. Gebruik verschillende wachtwoorden voor al je online accounts en schakel zo mogelijk tweefactor-authenticatie in. Als dat niet mogelijk is, selecteer dan een andere optie dan het ontvangen van de code via SMS. Zo kun je zelf de verspreiding van je persoonlijke gegevens op het internet beperken.

Reacties

1 reactie
  • Profielfoto
    GuZ

    Niet alle diensten bieden het, maar als het even kan zorg dan ook voor een backup verificatie methode.

    Als je bijvoorbeeld Google Authenticator op je mobiel gebruikt en je moet wisselen van mobiel (bv vanwege diefstal, verlies of schade) werkt je Authenticator app niet op je nieuwe apparaat na het terugzetten van een backup en word het een stuk lastiger om nog in je accounts te komen.

    Als SMS wegvalt als backup verificatie methode bieden sommige diensten nog backup codes die je in je password manager kunt opslaan.
    De opties voor backup methodes worden erg beperkt maar goed om te weten dat Sms lang niet overal veilig is.

    Hoe kun je weten welke sites op recente sim swaps checken?