MFA/2FA beveiliging bij mobiele providers

Het viel me op dat er bij een mobiele telecom provider helemaal geen MFA/2FA aanwezig was, wat ik toch wel apart vond, gezien mobiele providers inmiddels toch wel ervaring zouden moeten hebben met SIM swapping attacks. Dus ik besloot eens om providers in NL af te gaan om te kijken wie welke MFA methode ondersteunt. Helaas bleken er meerdere te zijn die geen enkele vorm van MFA ondersteunen. Slechts ééntje ondersteunt een OTP authenticator. Zie de tabel in deze post voor het resultaat.

Over SIM swapping
SIM swapping is hack/scam waarbij een aanvaller de controle over een telefoonnummer/sim (van iemand anders) weet te bemachtigen via de provider. Vervolgens kan de aanvaller proberen om d.m.v. het gestolen telefoonnummer, password resets uit te voeren op andere accounts waar het telefoonnummer aan gekoppeld is. Bijv. Google accounts, accounts bij banken, PayPal etc.

Het wordt daarom meestal afgeraden om SMS verificatie te gebruiken voor belangrijke accounts, en een andere 2FA methode te gebruiken, want anders kan een aanvaller mogelijk via een SIM swap een wachtwoord reset uitvoeren op je andere accounts.

Bij mobiele providers wordt indien 2FA aanwezig is, vaak wel weer alleen SMS verificatie gebruikt. Bij een mobiele provider account zou ik zeggen dat SMS verificatie als tweede factor er bij, beter is dan alleen een wachtwoord. Maar als het niet gaat om een mobiele provider account, dan kan het toevoegen van SMS verificatie dus mogelijk de beveiliging juist zwakker maken bij een gerichte aanval.

Het lastige is dat de zwakheid vaak vooral in de beveiliging van de mobiele provider ligt, met name op het vlak van social engineering. Maar als de technische beveiliging bij een mobile provider account ook zwak is, door bijv. het ontbreken van MFA (multi factor authenticatie), zou bij het lekken van het wachtwoord ook kunnen leiden tot een SIM swap.

Hier wat gevallen van SIM swapping: https://www.bleepingcomputer.com/tag/sim-swap/
Ook Linus Tech Tips is er wel eens mee gehacked.

Verder hoeft social engineering niet altijd d.m.v. fraude op afstand te gaan. Een aanvaller kan bijv. ook de tablet van een filiaal manager van een telecom provider winkel uit zijn handen grissen met als doel om een sim swap uit te kunnen voeren door via de tablet klant/sim-gegevens te wijzigen. Ook omkoping van telecom provider medewerkers komt voor:
https://it.slashdot.org/s...llegally-swap-sims-report

T-Mobile employees from around the country are reportedly receiving text messages offering them cash in exchange for swapping SIMs.

MFA opmerkingen van providers
Apart is dat ondanks dat op de websites van diverse providers er in het algemeen wordt aanbevolen om MFA te gebruiken, veel van die providers zelf helemaal geen MFA hebben geimplementeerd voor hun klanten. Hierdoor kunnen klanten dus kwetsbaarder zijn voor sim swapping, en wekken de providers de schijn dat ze het wel hebben geimplementeerd.

Neem bijv. Ben.nl, met een blog post over 2fa:
https://www.ben.nl/blog/tweestapsverificatie/
Met daarin:

Je accounts beveiligen met tweestapsverificatie is heel belangrijk.

Maar ze bieden zelf dus helemaal geen 2FA voor klanten accounts aan, volgens een medewerker.

Bij Simyo heb je een vergelijkbare blog post over 2fa:
https://www.simyo.nl/blog...traakt-of-wordt-gestolen/

Inloggen met alleen een gebruikersnaam en wachtwoord is risicovol. Daarom is tweestapsverificatie bedacht.

Maar vervolgens bieden ze het zelf niet aan.

Ook bij Simpel hebben ze het niet, ondanks dat ze waarschuwen voor sim swapping:
https://www.simpel.nl/klantenservice/sim-swapping
(Wel zeggen ze dat ze bezig zijn het 2FA te testen.)

Resultaten
Ik ben de providers eens nagelopen, wie welke vorm van 2FA ondersteunt. Hier de resultaten.

Provider	SMS	Email	OTP authenticator	Verplicht
50+ mobiel	nee	nee	nee
Ben	nee	nee	nee
Budget Mobiel	nee	nee	nee
Simyo	nee	nee	nee
Simpel	nee (in test fase sinds nov 2023?)	nee	nee
Youfone (overgenomen door KPN)	ja (sinds april 2024, 2.5weken na overname door KPN)	nee	nee	Nee
Lebara	ja	nee	nee
KPN	ja	nee	nee	Ja
Vodafone	ja	nee	nee	Ja
hollandsnieuwe (onderdeel van Vodafone)	ja	ja	nee
Odido	ja	nee	ja	Ja

(Mocht er iets niet kloppen in deze tabel, dan hoor ik het graag.)

Discussie
Odido is dus slechts de enige die een OTP authenticator ondersteunt.

Deze uitkomsten zeggen verder weinig over hoe goed een provider bestand is tegen social engineering, maar als het op dit vlak al wat qua security ontbreekt, dan heb ik ook wat minder trouwen op het social engineering en technisch vlak.

Ook security track record van providers kan helpen bij selectie, door bijv. gewoon ernaar te googlen. Zo had Lebara in 2021 een bug waarmee telefoonnummers van andere klanten overgenomen konden worden.

In 2012 zijn verder ook meerdere providerse (Youfone, Lebara en Simpel) gehacked doordat een lek in de website van Frans Bauer. Hierbij ligt het probleem natuurlijk niet bij Frans Bauer, maar bij de webhost (Aspider) die blijkbaar zijn database servers dusdanig slecht had beveiligd dat je via het inbreken op de website van Frans Bauer, je ook meteen op een shared database server kon waar Youfone, Lebara en Simpel hun databases hadden draaien.

@bombadil in Nederland komt het ook voor.
https://www.rtl.nl/tech/a...rland-slachtoffers-hacken uit 2018

Het aantal slachtoffers van sim-swapping is dit jaar toegenomen, bevestigen verschillende grote Nederlandse telecomproviders tegen RTL Nieuws. Jaarlijks worden inmiddels honderden mensen op deze manier gehackt.

Het probleem is dat de afhankelijkheid ligt bij de provider, welke maatregelen zij geimplementeerd hebben. En die maatregelen zijn meestal niet publiekelijk in te zien.
Ook kan sim swapping uitgevoerd worden tegen betaling van medewerkers.
Verder heb je ook nog eSIMs, waarbij meestal niets fysiek opgestuurd hoeft te worden.

@swhnld "Buiten technische maatregelen zijn er ook organisatorische maatregelen."
Uiteraard hebben ze maatregelen, maar welke maatregelen providers exact hebben, is vaak niet of gedeeltelijk bekend, en of die maatregelen uberhaupt effectief zijn, is ook nog maar de vraag. Bovendien zie je steeds vaker dat omkoping wordt toegepast, wat lastiger tegen te gaan is.
In security is hoop of blindelings vetrouwen in een commerciele partij, meestal niet echt een goede strategie.

Providers hebben als doel winst maken en 2fa toevoegen kost geld.

Het implementeren van 2FA is technisch niet echt moeilijk. Het feit dat een aantal dat niet hebben gedaan, wekt eerder het idee dat dat uit gemaktzucht is (bijv. gemakkelijker als een klant op vakantie een gestolen mobiel heeft, en op afstand een eSIM swap krijgt van de provider) of uit het ontbreken van technische kennis.

Dus dat gaan ze alleen doen als bewezen is dat het in hun geval niet goed is, en dan gaan ze de kosten verhogen om de investering terug te verdienen want verbetering van de dienstverlening.

SIM swapping attacks worden meestal niet op grote schaal gedaan, maar gericht. Meestal dusdanig gericht dat de kosten voor de provider heel wat lager zijn dan de kosten die slachtoffers maken.

@swhnld Providers vinden 2FA ook belangrijk, alleen hebben sommigen dat nog niet geimplementeerd, maar dat komt nog. Het is een beetje vergelijkbaar met HTTPS, wat sommigen vroeger ook onzinnig en onnodig vonden. Verder hoef ik hier niets te bewijzen. Ik heb dit topic gemaakt omdat ik informatie wou delen. Dat jij MFA niet belangrijk genoeg vindt, mag je vinden, het punt dat je maakt is verder helder, ook al ben ik het er inhoudelijk niet mee eens.

jant schreef op vrijdag 9 augustus 2024 @ 21:16:
De ondersteuning van een individuele provider voor 2FA is natuurlijk mooi streven, maar dan is het vervolgens zaak gebruikers mee te krijgen. De markt dicteert een eenvoudige beschikbaarheid van dienstverlening. Daarbij speelt ook nog het issue van lieden die niet helemaal lekker meekomen met de digitalisering van de maatschappij.

De grote providers is het wel gelukt om klanten 2FA te laten gebruiken. Ook bijna elke nederlandse bank forceert 2FA. Daarmee wil ik niet zeggen dat iedereen mee kan komen, maar wel dat het overgrote deel mee kan komen en er al bekend mee is.
Mensen leren om fatsoenlijk om te gaan met hun wachtwoorden, is een stuk moeilijker dan mensen leren 2FA te gebruiken. Dus ook op het vlak van wachtwoorden draagt 2FA een steentje bij als aanvullende authenticatie factor om zwakke wachtwoorden te compenseren. (Ook al is dat niet de ideale route.)

Zoals al aangegeven staan de forum van tweakers en M(V)NO's niet vol met problematiek van SIM-swapping, dus er is ook (terecht) niet echt sprake van urgentie.

Dit forum niet, omdat de targets hier te klein zijn en de attacks vaak op bestelling gaan. Als een celeb of een CEO van aardig groot bedrijf wordt swapped, komen ze niet op een forum als GoT klagen en vragen om hulp, maar halen wel de kranten en andere media.