Beveiliging e-mail tegen sim-swap

In NRC van vandaag 6 mrt staat een horrorverhaal over sim-swap: Hacken via de helpdesk: in twaalf minuten je digitale identiteit kwijt

https://www.nrc.nl/nieuws/2021/03/05/hacken-via-de-helpdesk-in-twaalf-minuten-je-digitale-identiteit-kwijt

Quote:

Van der Maaten werd afgelopen maand slachtoffer van een sim-swap. Een oplichter vroeg de helpdesk van T-Mobile om Svens 06-nummer te koppelen aan een andere simkaart. Het enige wat de dader nodig had: een smoes (‘mijn simkaart is stuk’), wat persoonsgegevens en een chatgesprekje van twaalf minuten. Van der Maaten raakte de toegang tot zijn e-mail kwijt en zag hoe de hacker een paar duizend euro aan bitcoins en andere cryptomunten probeerde weg te sluizen.

Het artikel komt met dit advies:

De provider [T-Mobile] raadt klanten met klem af om sms te gebruiken als extra beveiliging voor e-mail en andere digitale accounts. „Daar is het nooit voor bedoeld – we raden daarvoor authenticatie-apps aan.” Dat de helpdesk een fout maakte bij de controlevraag wordt betreurd. „We hebben de medewerker van feedback voorzien en er is aandacht besteed aan het creëren van awareness”, krijgt Van der Maaten te horen.

Freedom Mail maakt gebruik van een verificatiecode die naar het mobiele nummer van de gebruiker wordt gestuurd.

Is het mogelijk om risico’s als gevolg van sim-swap af te dekken?

2 likes

Heel goed punt!

Daarnaast is de prognose ook dat GSM als “veilig” niet echt stand meer houdt. We moeten er rekening mee houden dat SMS-verkeer op grote schaal opgevangen en meegelezen kan gaan worden:
https://harrisonsand.com/posts/gsm-security/

Er wordt ook snel over smart phones gesproken, maar die veilig inrichten en gebruiken gaat ook gepaard met veel dilemma’s, ook op het vlak van gebruikersvriendelijkheid. Ik verwacht dat met name hier ik niet de enige ben die er geen heeft.

Op het werk gebruiken we nu TOTP-calculators als tweede factor waarbij je een extra geheime code hebt en de calculator een zescijferige code uitrekent op basis van de huidige tijd en die geheime code. Dit voegt in ieder geval iets toe, maar het wordt enkel als tweede factor gebruikt, zeker niet als terugvalmogelijkheid zoals in het bovenstaande voorbeeld.

Wellicht dat er mogelijkheden kunnen komen met het afnemen van een hardware token vanuit Freedom. Zelfs daarmee lijkt het me lastig om een goede oplossing te vinden als er teruggevallen moet worden. Los hiervan is dan ook een bepaalde strengheid vanuit de helpdesk belangrijk, misschien zelfs met geregelde steekproefcontroles om dit aan te tonen?

1 like

Er is met SMS wel meer aan de hand dan alleen SIM-Swapping.
Zie ook: https://www.cspsprotocol.com/ss7-hack/

1 like

Ik kan het nog leuker maken.
Onlangs had ik een micro sim kaart nodig voor mijn nieuwe smartphone.
Ik dus naar de kpn winkel.
Daar vroegen ze naar mijn 06 nummer.
Dat gegeven en hebben ze ingevoerd in hun computer.
Vervolgens NOEMDEN ze mijn naam en vroegen of het klopte. Daarna NOEMDEN ze mijn adres met dezelfde vraag. (met enige moeite had ik het zelfs mee kunnen lezen, maar dat bleek dus zelfs niet nodig)
Daarna liep de dame weg en kwam terug met een nieuwe micro sim kaart.
Ik had mijn id kaart al in handen, maar zelfs dat was niet nodig.
Zonder ook maar 1 gegeven te controleren, liep ik met slechts het melden van een telefoon nummer met een nieuwe simkaart de winkel uit en was de oude simkaart geblokkeerd.

Over totaal gebrek van privacy bescherming en al wat niet meer zij gesproken.

3 likes

Dus iedereen die jouw 06-nummer kent en twee keer het moeilijke woord JA kan uitspreken :roll_eyes:, die krijgt het beheer over jouw 06 in de schoot geworpen.

Oeps, en XS4ALL gaat nu op in dat bedrijf ? :crazy_face:
Knap hoe ze de Privacy daar dan blijven waarborgen.
Fijn dat :spraydot: Freedom Privacy in de genen heeft ingebouwd, dan zit ik toch liever hier. :heartbeat:

Mijn tip is
geef pas iets vrij na EN … uur wachten EN uitwisselen van de nodige gezamenlijke info:

.1. IPv4-adres en Hoofd-Mailbox
Je krijgt bij aanvang van jouw Internet-abo een vast IPv4-adres; dàt is gezamenlijke kennis (maar die kan een ander ook weten).
Een vreemde weet niet zeker welke mailbox jouw hoofdmailbox is (maar kan dat misschien nog gokken).

.2. betaalwijze/rekeningnummer
Via de incasso deel je met :spraydot: Freedom gezamenlijke info

  • bankrekening (Banknaam & laatste 7 cijfers)
  • houders-naam/-namen rekening
  • betaaltermijn (jaar of maand)
  • aanvangsmaand abonnement.

.3. serienummer Fritz indien van toepassing
:spraydot: Freedom wéét wie er een FritzBox hebben gekocht of gehuurd. Voor de 5-jarige garantie moet dat genoteerd staan.
:spraydot: Freedom kan iedere gebruiker NU vragen het Serie/Nummer van Fritz te mailen, voor zover ze dat (voor de 5-jarige garantie) al niet weten.
Voor de aanvrager is het van Fritz zèlf af te lezen als je er bij in de buurt bent…

.4. Thuis-even UITzetten
Een andere wijze is om tijdens het aanvragende-telefoongesprek ( niet via de Fritz bellend ! ) gezamenlijk af te spreken om op een bepaalde tijd het modem een tijd UIT te zetten, en op een afgesproken tijd weer AAN;
dit kan :spraydot: Freedom volgens mij redelijk direct volgen.

.5. Deel vooraf al een ‘Geheim
:spraydot: Freedom spreekt met elke klant één of meerdere geheimen af,
bijvoorbeeld “Mijn hond heet Fikkie tot het vuur uit is”
Daar kan een vreemde maar moeilijk achter komen.
(privacy: ik heb geen hond; of misschien juist wèl :crazy_face: omdat ik dat hier noteer)

.6. Op IP sturen ?!?
Kan :spraydot: Freedom op één-of-andere manier iets naar het uitgedeelde IP-adres van de Fritz sturen, wat de klant kan waarnemen?
Dat zou dan ook een extra mogelijkheid bieden.

.7. Pauze inbouwen, in ieder geval
:spraydot: Freedom zendt op alle bij Freedom bekende wijzes van deze abonnee (mail, bellen, SMS) een melding uit dat over 4 uur een nieuwe situatie gaat gelden (neem 's nachts een periode van 8 uur, zodat het ‘slachtoffer’ wakker is)
mèt daarbij de vraag om hoe-dan-ook te reageren !
Natuurlijk gebruikt :spraydot: Freedom hiervoor de reeds bekende (oude) contact-info van de klant.
Als al één wijze is gekaapt, dan komt er vast een andere wèl aan. Dus wordt het ‘slachtoffer’ gewaarschuwd.

.8. Géén APP !
Omdat lang niet iedereen een smartphone als levensgezel heeft, zal een APP niet kunnen werken voor iedereen.

Als bij de aanvraag :spraydot: Freedom meerdere van voorgaande zaken doet, dan wordt de kans op diefstal van de toegang wel kleiner.
En dat zònder dat de klant veel privacy hoeft op te geven.

Gebeurt dit op vakantie? Een tijdelijke SineNomine.MAIL gebruiken dat je een week van :spraydot: Freedom leent!

Volgens mij zijn er slimmeriken die vast nog meer handige en veilige zaken weten.
Gewoon in dit item toevoegen, en we helpen ons allemaal aan een iets zekerder toekomst.

Veilige wachtwoorden en overal verschillend is en blijft een handige tip van @anon49073608

1 like

T-Mobile: door corona minder goede bescherming tegen sim-swapping

Meer slecht nieuws in NRC van zaterdag 20 mrt over sim-swapping.

https://www.nrc.nl/nieuws/2021/03/19/cryptoaccounts-van-tientallen-t-mobile-klanten-leeggehaald-via-limburgse-telefoonwinkel

Tientallen klanten van T-Mobile zijn via een datalek van een Limburgse telefoonwinkel hun telefoonnummer kwijtgeraakt. Meerdere slachtoffers van deze zogeheten ‘simswaps’ zijn vervolgens duizenden euro’s verloren omdat de hackers via een sms’je toegang kregen tot hun cryptoaccounts.

Vrijdag deed de politie een inval bij een telefoonwinkel in het Zuid-Limburgse Vaals. Van daaruit zijn medio februari negentig telefoonnummers gekoppeld aan een andere simkaart, zonder dat de betreffende klant dat wist. De Vaalse winkeleigenaar R., die NRC al eerder sprak, zegt gehackt te zijn „door onbekenden”. Hij ontkent betrokken te zijn bij de simswaps.

Ik begin nu het gevoel te krijgen dat de gevallen die deze krant boven water heeft gekregen wel eens het topje van de ijsberg zou kunnen zijn. Telefoonproviders hebben er natuurlijk alle belang bij om dit onder de pet te houden. Het kan veel wijdverbreider zijn dan in de openbaarheid komt.

Het lijkt me tijd dat freedom authenticatie via sms vaarwel zegt.

En er zijn ook andere implementaties beschikbaar die je op elke willekeurige computer kan gebruiken.

1 like

Het belangrijkste is dat je een tool gebruikt dat TOTP / HOTP methode ondersteund. (of mogelijk een yubikey, al zijn die laatste nog niet heel breed in gebruik).
FreeOTP kan alleen een backup bij google maken, FreeOTP+ is een fork die ook een export kan maken.

Hoi Sven,
Ik weet niet of ik je constatering helemaal begrijp, maar ik heb 2fa via een authenticator app ingesteld. Dit zorgt dat je na het inloggen een code nodig hebt.
Er is bij mij ooit iets misgegaan met mijn codes en om dit te herstellen moest mijn mailbox verwijderd- en opnieuw aangemaakt worden. De data die erop staat kan dus niet benaderd worden zonder die code (of herstelcodes), een veilig gevoel dus. Dit zie ik in ieder geval liever dan dat ze mijn geboortedatum of de naam van mijn eerste hond in moeten vullen om mijn wachtwoord te ontvangen.

Verder weet ik dat freedom gekozen heeft voor bepaalde leveranciers en hier strikte voorwaarden worden gesteld om privacy en veiligheid zo optimaal mogelijk te maken. Hier wordt dus zeker over nagedacht. Zo gaat er discussies over canal digitaal en hun hardware, hier staat geen netflix op omdat dit data deelt, ook wordt er gepraat over alternatieven en wordt hier bewust aangegeven dat leveranciers van deze alternatieven vaak minder op privacy letten.

Hopelijk stelt dit je een beetje gerust. Mocht je vragen hebben over bepaalde services is er vast iemand in deze community die je kunt helpen. Ook zit er veel kennis voor hardware en diensten die niet direct door freedom geleverd worden.

Stiekem ben ik erg trots dat ik dit avontuur vanaf de start volg. De mensen van Freedom timmeren hard aan de weg. Heel knap voor zo’n nieuwe club :slight_smile:

3 likes

Hear, Hear,…

En zeker met de behoorlijk kritische gebruikers die het zinkende XS4ALL schip verlaten hebben, de verwachtingen zijn hoog, en worden m.i. behoorlijk waargemaakt…

3 likes

Aah, dat is duidelijk inderdaad. Heb mijn mail niet ingesteld via SMTP, dit is inderdaad niet te beveiligen. Eens kijken of ik dit uit kan zetten.
Deze truc is inderdaad vervelend en hier ook toepasbaar :cry:

EDIT: Dit zeg ik verkeerd, natuurlijk gebruik ik op mijn telefoon wel een mailclient die onveilige protocollen gebruikt :cry:

Op mijn telefoon is volgens mij nooit om de 2-factor authenticatie gevraagd, dus kan veilig zijn maar met wachtwoord ben je er.
Dus inderdaad niet het protocol maar de implementatie die geen 2fa support, zeg ik het dan beter?

Het kan zijn dat sommige systemen net met 2FA overweg kunnen.
Nextcloud kent een account (waarbij 2FA aanstaat etc).
En kan daarnaast voor dat account device accounts hebben. die device accounts hebben GEEN 2FA maar een werkelijk random wachtwoord van 30+ tekens dat na een eenmalige login met 2FA vastgelegd wordt.
(Via een normale login via de web interface kun je dat soort “device” accounts ook weer verwijderen.)

Mobiele provider Simpel (onderdeel van T-Mobile) heeft vanochtend een mailing met de misplaatste titel ‘Voorkom simswapfraude’. Alsof de grootste verantwoordelijkheid voor sim-swapping bij de klant ligt.

De titel had moeten zijn: ‘Hoe wij sim-swapping voorkomen’

https://www.simpel.nl/sim-swapping

1 like

@Sven De reden dat het nog niet mogelijk is om 2FA in de MIJNfreedom omgeving te doen is simpelweg omdat het nog niet gebouwd is. We zijn wel van plan om dit ook te maken voor de MIJNfreedom omgeving. Maar wanneer dat klaar is kan ik je niet vertellen.

4 likes

Als deze dan gebouwd wordt, zou er dan de mogelijkheid voor een Yubikey of een FIDO key ingebouwd kunnen worden?

1 like

Geen idee, maar lijkt mij in ieder geval een heel goed idee.

1 like

Keycloak als frontend:

Naast OpenID, en met wat hulpmiddelen kan ook Radius met een plugin:

Daarmee is ook hardware (modem banken, switchpoorten etc.) authentisering mogelijk.