Sim swapping en de veiligheid van 2FA - Privacy en beveiliging

zondag 9 december 2018 00:30

Acties:

0 Henk 'm!

Topicstarter

Ik gebruik zelf al vrij lang 2FA op al mijn accounts (authenticators van Google, Outlook, etc) , echter voelt dit totaal niet veilig meer na het lezen van onderstaande artikelen:

https://nos.nl/artikel/22...-truc-van-criminelen.html
https://www.rtlnieuws.nl/...rland-slachtoffers-hacken

Naast de 'verplichte' authenticators zoals die van DigiD gebruik ik Authy, maar deze app is niet 100% compatible met alle diensten.

Ook iCloud heeft als enige 2FA optie een telefoonnummer (verplicht 1 nummer invoeren bij gebruik). In de eerste instantie stuurt Apple een code naar bijvoorbeeld je telefoon, maar geeft hiernaast ook de optie om een SMS te sturen:

Afbeeldingslocatie: https://i.ibb.co/ypFz2Rq/icloud.png

Je Apple ID wachtwoord kun je veranderen door je ID en telefoonnummer in te voeren. Zie ik nu iets over het hoofd of is mijn Apple account kwetsbaar voor sim swapping?

Alle input / suggesties betreffende 2FA en het eventueel uitzetten / vervangen hiervan zijn welkom

.

zondag 9 december 2018 00:35

Acties:

+2 Henk 'm!

Will_M

Intentionally Left Blank

Probeer 't zelf eens. Steek je huidige SIM in een iDevice waarop je (nóg) niet ingelogd bent met je Apple ID en probeer dat apparaat maar eens zo gek te krijgen om codes te ontvangen (of überhaupt iets te laten doen onder de credentials van jouw Apple ID).

Boldly going forward, 'cause we can't find reverse

zondag 9 december 2018 00:39

Acties:

0 Henk 'm!

franssie

Save the albatross

Het zit denk ik iets ingewikkelder in elkaar maar het is wel een zwakte van 2FA - je zoet dit niet lukraak maar bij eimand die je al even volgt lijkt mij omdat er dan ook wat te halen valt, dit is geen brute force attack maar meer een versie van social engenering.
dus als je de email adressen etc hebt is een bevestigings-sms om het wachtwoord van de email te herstellen zo geregeld en dus lijkt mij dat 2FA hier een risico toevoegt.

edit: en dat is niet zo moeilijk, probeer maar eens op iamnd zijn of haar mail account in te loggen en je krijgt vanzelf de optie of je een link wil op de sms eindigend op ********57 - als je dat nummer al hebt weet je wat je moet kapen. Is dat gelukt heb je email adres + sms = wachtwoord en dan kan je alle wachtwoorden van alles gaan aanpassen, creditcards vervangen na een adreswijziging etc etc.

Geen hogere wiskunde.

[ Voor 33% gewijzigd door franssie op 09-12-2018 00:42 ]

franssie.bsky.social | 🎸 Niets is zo permanent als een tijdelijke oplossing | Een goed probleem komt nooit alleen | Gibson guitar Fender Guitar God Damn Guitar

zondag 9 december 2018 00:43

Acties:

0 Henk 'm!

Will_M

Intentionally Left Blank

2FA is op zich niet zo moeilijk: Je moet iets hébben én iets wéten. Als je alles al wéét..... Dan is dat (fysiek) "hébben" deel vaak 't gemakkelijkste om achteraf te gaan regelen

[ Voor 5% gewijzigd door Will_M op 09-12-2018 00:43 ]

Boldly going forward, 'cause we can't find reverse

zondag 9 december 2018 00:46

Acties:

0 Henk 'm!

franssie

Save the albatross

Klopt, maar nu lijkt dus de simhaart ook een "weet" token te zijn geworden en is dus 2FA in zoverre zinloos totdat de providers gaan controleren wie de nieuwe sim aanvraagt. Gezien de kennis van de gemiddelde helpdesk medewerker daar ... ik snap dat het eenvoudig mogelijk is dit te doen.
Het erge is dus dat 2FA het makkelijker maakt om in te breken op een email account dan het was met een moeilijk wachtwoord.

franssie.bsky.social | 🎸 Niets is zo permanent als een tijdelijke oplossing | Een goed probleem komt nooit alleen | Gibson guitar Fender Guitar God Damn Guitar

zondag 9 december 2018 00:52

Acties:

+1 Henk 'm!

Will_M

Intentionally Left Blank

En dan kom je dus aan het embryo ....Nog voordat de kip uit een ei een kip wordt welke vervolgens weer nieuwe eieren kan leggen welke er nooit gekomen zouden zijn zónder een kip

Zolang mensen mensen blijven en daarbij doormiddel van "Social Engineering" het grootste lék in d'r eigen "systemen" zullen gaan zijn én blijven.....

Boldly going forward, 'cause we can't find reverse

zondag 9 december 2018 00:55

Acties:

+1 Henk 'm!

Contrez

Topicstarter

franssie schreef op zondag 9 december 2018 @ 00:46:
Klopt, maar nu lijkt dus de simhaart ook een "weet" token te zijn geworden en is dus 2FA in zoverre zinloos totdat de providers gaan controleren wie de nieuwe sim aanvraagt. Gezien de kennis van de gemiddelde helpdesk medewerker daar ... ik snap dat het eenvoudig mogelijk is dit te doen.
Het erge is dus dat 2FA het makkelijker maakt om in te breken op een email account dan het was met een moeilijk wachtwoord.

Dat aanvragen van een nummer overzetting baart mij dan ook het meeste zorgen. Tele2 geeft aan dat je 3 van de 5 beveilingsvragen goed moet hebben, vragen die ik bij het aanmaken van een account bij Tele2 dus nooit voorbij heb zien komen. Als dit "standaard" vragen zijn (bijv. wat is je geboortedatum, woonplaats, etc) lijkt mij dit verre van veilig. Aannemende dat iemand je nummer en e-mail adres weet, lijkt dat laatse ook niet echt moeilijk te verkrijgen.

Ik zou liever zien dat Nederlandse telecomproviders hun support gedeelte beter beveiligen (zoals ze dat bijvoorbeeld in Amerika doen door het toevoegen van een support PIN). De menselijke factor zal helaas altijd blijven

zondag 9 december 2018 01:23

Acties:

0 Henk 'm!

Will_M

Intentionally Left Blank

Contrez schreef op zondag 9 december 2018 @ 00:55:
[...]

Dat aanvragen van een nummer overzetting baart mij dan ook het meeste zorgen. Tele2 geeft aan dat je 3 van de 5 beveilingsvragen goed moet hebben, vragen die ik bij het aanmaken van een account bij Tele2 dus nooit voorbij heb zien komen. Als dit "standaard" vragen zijn (bijv. wat is je geboortedatum, woonplaats, etc) lijkt mij dit verre van veilig. Aannemende dat iemand je nummer en e-mail adres weet, lijkt dat laatse ook niet echt moeilijk te verkrijgen.

Ik zou liever zien dat Nederlandse telecomproviders hun support gedeelte beter beveiligen (zoals ze dat bijvoorbeeld in Amerika doen door het toevoegen van een support PIN). De menselijke factor zal helaas altijd blijven

Dat overzetten van een simpel "06-Nummer" (Nummer Portering) is niet iets wat jij zélf simpel even aan kunt vragen. Jij gaat een nieuw abonnement aan bij een andere provider en daarbij wordt jouw "oude" nummer op verzoek van de nieuwe provider over gezet waarbij de oude provider het nummer vrij moet geven.

Volgens mij wordt dat "vrijgeven" pas gedaan als beide providers het eens zijn over sluitende gegevens aangaande JOU én jouw betalingen

Boldly going forward, 'cause we can't find reverse

zondag 9 december 2018 13:50

Acties:

0 Henk 'm!

MxD

wimmel_1 schreef op zondag 9 december 2018 @ 01:23:
[...]

Dat overzetten van een simpel "06-Nummer" (Nummer Portering) is niet iets wat jij zélf simpel even aan kunt vragen. Jij gaat een nieuw abonnement aan bij een andere provider en daarbij wordt jouw "oude" nummer op verzoek van de nieuwe provider over gezet waarbij de oude provider het nummer vrij moet geven.

Volgens mij wordt dat "vrijgeven" pas gedaan als beide providers het eens zijn over sluitende gegevens aangaande JOU én jouw betalingen

En toch lukt het. Ik denk dat de medewerker je Simkaartnummer kan zien en zo de portering in gang kan zetten. Volgens mij is voor een portering "alleen" een simkaartnummer en het telefoonnummer nodig, als je die hebt is het zo gepiept.

Ik kan me ook voorstellen dat je een vervangende sim naar een ander adres laat sturen.