Beveiliging e-mail tegen sim-swap

In NRC van vandaag 6 mrt staat een horrorverhaal over sim-swap: Hacken via de helpdesk: in twaalf minuten je digitale identiteit kwijt

https://www.nrc.nl/nieuws/2021/03/05/hacken-via-de-helpdesk-in-twaalf-minuten-je-digitale-identiteit-kwijt

Quote:

Van der Maaten werd afgelopen maand slachtoffer van een sim-swap. Een oplichter vroeg de helpdesk van T-Mobile om Svens 06-nummer te koppelen aan een andere simkaart. Het enige wat de dader nodig had: een smoes (‘mijn simkaart is stuk’), wat persoonsgegevens en een chatgesprekje van twaalf minuten. Van der Maaten raakte de toegang tot zijn e-mail kwijt en zag hoe de hacker een paar duizend euro aan bitcoins en andere cryptomunten probeerde weg te sluizen.

Het artikel komt met dit advies:

De provider [T-Mobile] raadt klanten met klem af om sms te gebruiken als extra beveiliging voor e-mail en andere digitale accounts. „Daar is het nooit voor bedoeld – we raden daarvoor authenticatie-apps aan.” Dat de helpdesk een fout maakte bij de controlevraag wordt betreurd. „We hebben de medewerker van feedback voorzien en er is aandacht besteed aan het creëren van awareness”, krijgt Van der Maaten te horen.

Freedom Mail maakt gebruik van een verificatiecode die naar het mobiele nummer van de gebruiker wordt gestuurd.

Is het mogelijk om risico’s als gevolg van sim-swap af te dekken?

2 likes

Heel goed punt!

Daarnaast is de prognose ook dat GSM als “veilig” niet echt stand meer houdt. We moeten er rekening mee houden dat SMS-verkeer op grote schaal opgevangen en meegelezen kan gaan worden:
https://harrisonsand.com/posts/gsm-security/

Er wordt ook snel over smart phones gesproken, maar die veilig inrichten en gebruiken gaat ook gepaard met veel dilemma’s, ook op het vlak van gebruikersvriendelijkheid. Ik verwacht dat met name hier ik niet de enige ben die er geen heeft.

Op het werk gebruiken we nu TOTP-calculators als tweede factor waarbij je een extra geheime code hebt en de calculator een zescijferige code uitrekent op basis van de huidige tijd en die geheime code. Dit voegt in ieder geval iets toe, maar het wordt enkel als tweede factor gebruikt, zeker niet als terugvalmogelijkheid zoals in het bovenstaande voorbeeld.

Wellicht dat er mogelijkheden kunnen komen met het afnemen van een hardware token vanuit Freedom. Zelfs daarmee lijkt het me lastig om een goede oplossing te vinden als er teruggevallen moet worden. Los hiervan is dan ook een bepaalde strengheid vanuit de helpdesk belangrijk, misschien zelfs met geregelde steekproefcontroles om dit aan te tonen?

1 like

Altijd leuk. De kracht van security hangt af van de mate waarin de 3 Bs invloed hebben: Bribe, Burglary en Blackmail. Met andere worden de menselijke schakel in het geheel.

Dat T-mobiel met klem afraadt om SMS te gebruiken als 2e factor, is volgens mij vooral om hun eigen straatje schoon te vegen. Het idee van de 2e factor is dat hij via een onafhankelijk 3e kanaal loopt. Dat GSM/SMS uit de lucht te vangen is en verder niet zo veilig doet er weinig toe, veel telefoons laten de inhoud van een berichtje zelfs op het beginscherm zien indien vergendeld. Kortom, het gaat er meer om dat de aanvaller niet ook over je telefoon (2e kanaal) kan beschikken. Op het moment dat de helpdesk van een telefoonprovider dan dus erg “behulpzaam” is om iemand anders aan jouw telefoon nummer te helpen dan is het wel erg makkelijk om als provider te zeggen dat een telefoon nummer of dienst daarover niet veilig is. Ik denk dus dat men kan stellen dat T-mobiel vind dat zij niet de moeite of verantwoordelijkheid hoeven te nemen om vast te stellen dat jij de (contractuele) eigenaar van het nummer bent dat je probeert over te nemen. Geen idee hoe andere providers hier over denken, ik hoop anders, maar vrees met grote vrezen.

Usability en Security zitten elkaar altijd in de weg. Reden om SMS te gebruiken is dat tegenwoordig het hebben van een mobiele telefoon normaal is, en dat je hem overal mee heensleurt. Het is ook een vrij goedkope methode.

Hardware zoals yubi-keys maken het zeker moeilijker om op afstand over te nemen, tenzij de helpdesk van wie dan ook je verhaaltje over dat je key kapot of kwijt is accepteerd en vervolgens je een tijdelijke toegang verstrekt. Want toegang tot je mail is nogal belangrijk, en ik denk niet dat er snel een slot op gezet zal worden waar geen achterdeurtje voor is.

Ik denk persoonlijk dat als je wil dat je email veilig is tegen een sim-swap, dat je simpelweg een email provider moet gebruiken die geen “wachtwoord vergeten” functie heeft. Dat is dan waarschijnlijk een door jezelf gehost mail-adres, die niet noodzakelijk veiliger is, maar wel anders, en daardoor minder gemakkelijk te kraken via social engineering.

2 likes

Er is met SMS wel meer aan de hand dan alleen SIM-Swapping.
Zie ook: https://www.cspsprotocol.com/ss7-hack/

1 like

Ik kan het nog leuker maken.
Onlangs had ik een micro sim kaart nodig voor mijn nieuwe smartphone.
Ik dus naar de kpn winkel.
Daar vroegen ze naar mijn 06 nummer.
Dat gegeven en hebben ze ingevoerd in hun computer.
Vervolgens NOEMDEN ze mijn naam en vroegen of het klopte. Daarna NOEMDEN ze mijn adres met dezelfde vraag. (met enige moeite had ik het zelfs mee kunnen lezen, maar dat bleek dus zelfs niet nodig)
Daarna liep de dame weg en kwam terug met een nieuwe micro sim kaart.
Ik had mijn id kaart al in handen, maar zelfs dat was niet nodig.
Zonder ook maar 1 gegeven te controleren, liep ik met slechts het melden van een telefoon nummer met een nieuwe simkaart de winkel uit en was de oude simkaart geblokkeerd.

Over totaal gebrek van privacy bescherming en al wat niet meer zij gesproken.

2 likes

Dus iedereen die jouw 06-nummer kent en twee keer het moeilijke woord JA kan uitspreken :roll_eyes:, die krijgt het beheer over jouw 06 in de schoot geworpen.

Oeps, en XS4ALL gaat nu op in dat bedrijf ? :crazy_face:
Knap hoe ze de Privacy daar dan blijven waarborgen.
Fijn dat :spraydot: Freedom Privacy in de genen heeft ingebouwd, dan zit ik toch liever hier. :heartbeat:

Wat Freedom wellicht zou kunnen doen om een vergeten wachtwoord te resetten is vragen om het MAC-adres van het modem en de (internet) verbinding tijdelijk te verbreken ofzo. Beetje omslachtig, lijkt op de methode van de Fritzbox waar je op een fysieke knop moet drukken, maar dan moet je als aanvaller toegang tot je woning krijgen om het modem op te sporen. Als je dan als Freedom helpdesk onaangekondigd belt, dan wordt het allemaal nog wat lastiger, tenzij je op vakantie bent natuurlijk, en je net ge-sim-swapped bent en de helpdesk dus geen idee heeft of ze echt met jou praten of niet.

Dan is er nog de methode van wachten. Banken doen dat bijvoorbeeld bij het verhogen van een pinlimiet. Daar heb je natuurlijk alleen wat aan als je er iets mee kan, bijvoorbeeld dat je een mailtje krijgt dat er een wachtwoord vergeten aanvraag is gedaan, en dat je pas na 4 uur daar wat mee kan tenzij je actie onderneemt en aangeeft dat jij die aanvraag niet gedaan hebt. Wel weer onhandig natuurlijk als je een mailtje moet lezen om de presentatie voor die ene vergadering op te halen. (Kun je ook zeggen: dan was je dus niet goed voorbereid.) Dit is net zo onhandig als niet kunnen betalen omdat je je pinlimiet moest verhogen. Uiteindelijk leer je ermee te leven.

Omdat Freedom dus een SMS-code gebruikt om je wachtwoord te resetten, zijn ze kwetsbaar voor deze (blijkbaar uiterst simpele) methode van aanval. (Ja, dus net zo kwetsbaar als iedere andere dienst die enkel op deze manier controleert dat jij het bent. @Drs_W denk dus niet dat het bij Freedom dus wel goed zit omdat ze je privacy waarborgen.) Ze zouden je dus beter kunnen opbellen, en wat informatie van je vragen. Omdat ze Freedom zijn (yay, privacy) weten ze eigenlijk vrij weinig van je wat iets meer privé is. Geen geboortedatum of plaats (als je geen fakeboek gebruikt dan), het enige wat ze eigenlijk weten dat gezamelijk een “geheim” zou kunnen zijn is het serienummer van het modem dat je van hen gekregen hebt … tenzij je natuurlijk de optie zonder modem hebt aangevinkt. (Zoals boven zou het MAC adres dat de gateway ziet als alternatief gebruikt kunnen worden.) De privacy zit hier dus eigenlijk danig een andere vorm van privacy in de weg. Voor een deel dus oplosbaar door een gezamelijk geheim (zoals een token, yubi-key of (Free)OTP oid) te gebruiken, maar dat kan je kwijt raken, kan gestolen worden, of simpelweg misbruikt. Opnieuw weer Bribe, Burglarly en Blackmail.

Wat er dus eindelijk nodig lijkt te zijn, is meerdere kanalen, waarover verificatie gedaan kan worden. Denk aan hoe Apple (en op een gelijke manier Android) andere apparaten gebruikt ter verificatie, of een alternatief email-adres of telefoonnummer nodig is. Een brief sturen zal niet snel genoeg gaan, maar een speciale Freedom app kan misschien helpen wanneer het wordt gebruikt ter verificatie van SMS, email, of combinatie daarvan. Misschien een speciale sim-kaart die geen telefoonnummer heeft (of een nummer dat niet overgenomen kan worden) en in het modem geplaatst wordt, om zo een bericht te kunnen versturen (bijvoorbeeld door het internet te onderbreken). Uiteraard wel bijzonder omslachtig.

Oh ja, en vergeet natuurlijk niet om een sterk wachtwoord voor je mail-adres in te stellen dat je nergens anders voor gebruikt :slight_smile:

2 likes

Mijn tip is
geef pas iets vrij na EN … uur wachten EN uitwisselen van de nodige gezamenlijke info:

.1. IPv4-adres en Hoofd-Mailbox
Je krijgt bij aanvang van jouw Internet-abo een vast IPv4-adres; dàt is gezamenlijke kennis (maar die kan een ander ook weten).
Een vreemde weet niet zeker welke mailbox jouw hoofdmailbox is (maar kan dat misschien nog gokken).

.2. betaalwijze/rekeningnummer
Via de incasso deel je met :spraydot: Freedom gezamenlijke info

  • bankrekening (Banknaam & laatste 7 cijfers)
  • houders-naam/-namen rekening
  • betaaltermijn (jaar of maand)
  • aanvangsmaand abonnement.

.3. serienummer Fritz indien van toepassing
:spraydot: Freedom wéét wie er een FritzBox hebben gekocht of gehuurd. Voor de 5-jarige garantie moet dat genoteerd staan.
:spraydot: Freedom kan iedere gebruiker NU vragen het Serie/Nummer van Fritz te mailen, voor zover ze dat (voor de 5-jarige garantie) al niet weten.
Voor de aanvrager is het van Fritz zèlf af te lezen als je er bij in de buurt bent…

.4. Thuis-even UITzetten
Een andere wijze is om tijdens het aanvragende-telefoongesprek ( niet via de Fritz bellend ! ) gezamenlijk af te spreken om op een bepaalde tijd het modem een tijd UIT te zetten, en op een afgesproken tijd weer AAN;
dit kan :spraydot: Freedom volgens mij redelijk direct volgen.

.5. Deel vooraf al een ‘Geheim
:spraydot: Freedom spreekt met elke klant één of meerdere geheimen af,
bijvoorbeeld “Mijn hond heet Fikkie tot het vuur uit is”
Daar kan een vreemde maar moeilijk achter komen.
(privacy: ik heb geen hond; of misschien juist wèl :crazy_face: omdat ik dat hier noteer)

.6. Op IP sturen ?!?
Kan :spraydot: Freedom op één-of-andere manier iets naar het uitgedeelde IP-adres van de Fritz sturen, wat de klant kan waarnemen?
Dat zou dan ook een extra mogelijkheid bieden.

.7. Pauze inbouwen, in ieder geval
:spraydot: Freedom zendt op alle bij Freedom bekende wijzes van deze abonnee (mail, bellen, SMS) een melding uit dat over 4 uur een nieuwe situatie gaat gelden (neem 's nachts een periode van 8 uur, zodat het ‘slachtoffer’ wakker is)
mèt daarbij de vraag om hoe-dan-ook te reageren !
Natuurlijk gebruikt :spraydot: Freedom hiervoor de reeds bekende (oude) contact-info van de klant.
Als al één wijze is gekaapt, dan komt er vast een andere wèl aan. Dus wordt het ‘slachtoffer’ gewaarschuwd.

.8. Géén APP !
Omdat lang niet iedereen een smartphone als levensgezel heeft, zal een APP niet kunnen werken voor iedereen.

Als bij de aanvraag :spraydot: Freedom meerdere van voorgaande zaken doet, dan wordt de kans op diefstal van de toegang wel kleiner.
En dat zònder dat de klant veel privacy hoeft op te geven.

Gebeurt dit op vakantie? Een tijdelijke SineNomine.MAIL gebruiken dat je een week van :spraydot: Freedom leent!

Volgens mij zijn er slimmeriken die vast nog meer handige en veilige zaken weten.
Gewoon in dit item toevoegen, en we helpen ons allemaal aan een iets zekerder toekomst.

Veilige wachtwoorden en overal verschillend is en blijft een handige tip van @mcfab

1 like

T-Mobile: door corona minder goede bescherming tegen sim-swapping

Meer slecht nieuws in NRC van zaterdag 20 mrt over sim-swapping.

https://www.nrc.nl/nieuws/2021/03/19/cryptoaccounts-van-tientallen-t-mobile-klanten-leeggehaald-via-limburgse-telefoonwinkel

Tientallen klanten van T-Mobile zijn via een datalek van een Limburgse telefoonwinkel hun telefoonnummer kwijtgeraakt. Meerdere slachtoffers van deze zogeheten ‘simswaps’ zijn vervolgens duizenden euro’s verloren omdat de hackers via een sms’je toegang kregen tot hun cryptoaccounts.

Vrijdag deed de politie een inval bij een telefoonwinkel in het Zuid-Limburgse Vaals. Van daaruit zijn medio februari negentig telefoonnummers gekoppeld aan een andere simkaart, zonder dat de betreffende klant dat wist. De Vaalse winkeleigenaar R., die NRC al eerder sprak, zegt gehackt te zijn „door onbekenden”. Hij ontkent betrokken te zijn bij de simswaps.

Ik begin nu het gevoel te krijgen dat de gevallen die deze krant boven water heeft gekregen wel eens het topje van de ijsberg zou kunnen zijn. Telefoonproviders hebben er natuurlijk alle belang bij om dit onder de pet te houden. Het kan veel wijdverbreider zijn dan in de openbaarheid komt.

Het lijkt me tijd dat freedom authenticatie via sms vaarwel zegt.

Het lijkt me tijd dat freedom authenticatie via sms vaarwel zegt.

Dit, of op z’n minst een alternatief aanbieden, bijvoorbeeld met gebruik van FreeOTP, dat voor de (grote meerderheid van) mensen die beschikken over een smartphone bruikbaar is.

Feitelijk, omdat je SMS niet uit kunt schakelen, en ook niet kan wijzigen in iets wat niet bestaat, is het beter om te zorgen dat je je Freedom mail niet gebruikt voor iets waarmee je dingen kunt aanschaffen e.d.
Redelijke kans dat je telefoon nummer op straat ligt als je bv. bij de GGD bent geweest of afgelopen zomer een papieren lijstje hebt ingevuld om op een terrasje een drankje te doen. :slight_smile:

3 likes

En er zijn ook andere implementaties beschikbaar die je op elke willekeurige computer kan gebruiken.

1 like

Het belangrijkste is dat je een tool gebruikt dat TOTP / HOTP methode ondersteund. (of mogelijk een yubikey, al zijn die laatste nog niet heel breed in gebruik).
FreeOTP kan alleen een backup bij google maken, FreeOTP+ is een fork die ook een export kan maken.

Ga binnenkort over naar Freedom internet en sta helemaal achter waar freedom voor staat en draag ze een warm hart toe.
Heb ook getwijfeld of ik het op moest schrijven, want er lezen mogelijk vast mensen mee die Freedom iets minder graag zien slagen.
Begrijp/weet ik dat Freedom nieuw is, en dat het kleine team hard werkt om alles goed te laten verlopen, dus daarom enkele kritische vragen/opmerkingen hier op dit forum om een paar gedachten te toetsen:

Zie dat ik 2-traps authenticatie in kan stellen voor webmail, maar om bij de 2fa prompt te komen moet ik gebruikersnaam en wachtwoord hebben.
Maar als iemand gebruikersnaam en wachtwoord van mij heeft, kan hij toch met ieder willekeurig emailprogramma in mijn email komen?
Dus wanneer/waarom is 2fa bij webmail dan zinvol?

Freedom internet statement: “Wij staan voor veilig en vrij internet”.
Veiligheid en privacy by design lijkt me dan erg belangrijk.
Moet Freedom dan alles wat security aangaat niet zoveel mogelijk in eigen beheer houden?
Freedom maakt zich met de veiligheidsstructuur zoals die nu is toch erg afhankelijk van medewerkers van telecomproviders en kan weinig doen om zichzelf en onze accounts te beschermen tegen fouten die daar gemaakt worden?(simswap)
Is dat nu de zwakste schakel in de beveiliging en hoe dat op te lossen?
Bijna alle providers lijken het hier, in ieder geval op het eerste gezicht, beter te doen:
Daar worden of extra controle vragen gesteld voordat je je vergeten wachtwoord kunt wijzigen, of je moet vanaf je eigen thuisnetwerk/IP ingelogt zijn voordat je een wachtwoord van email kunt wijzigen.

Weet dat het altijd een trade off is tussen gemak en veiligheid.
Maar kan en moet het niet beter?
En gaat hier iets in veranderen, en zo ja, wat en wanneer?

Extra controle vragen, een 2fa die je aan of uit kunt zetten(freedom) om “wachtwoord wijzigen” definitief te kunnen maken, of om in te loggen op “mijnfreedom”, andere oplossingen zoals hierboven genoemd, maakt mij niet uit.
Ben een volstrekte leek en kan niet bepalen wat goed en/of makkelijk te implementeren is.

Mogelijk klopt het niet wat ik zeg of overschat ik het veiligheidsrisico, hoor daarom graag jullie mening.

Hoi Sven,
Ik weet niet of ik je constatering helemaal begrijp, maar ik heb 2fa via een authenticator app ingesteld. Dit zorgt dat je na het inloggen een code nodig hebt.
Er is bij mij ooit iets misgegaan met mijn codes en om dit te herstellen moest mijn mailbox verwijderd- en opnieuw aangemaakt worden. De data die erop staat kan dus niet benaderd worden zonder die code (of herstelcodes), een veilig gevoel dus. Dit zie ik in ieder geval liever dan dat ze mijn geboortedatum of de naam van mijn eerste hond in moeten vullen om mijn wachtwoord te ontvangen.

Verder weet ik dat freedom gekozen heeft voor bepaalde leveranciers en hier strikte voorwaarden worden gesteld om privacy en veiligheid zo optimaal mogelijk te maken. Hier wordt dus zeker over nagedacht. Zo gaat er discussies over canal digitaal en hun hardware, hier staat geen netflix op omdat dit data deelt, ook wordt er gepraat over alternatieven en wordt hier bewust aangegeven dat leveranciers van deze alternatieven vaak minder op privacy letten.

Hopelijk stelt dit je een beetje gerust. Mocht je vragen hebben over bepaalde services is er vast iemand in deze community die je kunt helpen. Ook zit er veel kennis voor hardware en diensten die niet direct door freedom geleverd worden.

Stiekem ben ik erg trots dat ik dit avontuur vanaf de start volg. De mensen van Freedom timmeren hard aan de weg. Heel knap voor zo’n nieuwe club :slight_smile:

3 likes

Hear, Hear,…

En zeker met de behoorlijk kritische gebruikers die het zinkende XS4ALL schip verlaten hebben, de verwachtingen zijn hoog, en worden m.i. behoorlijk waargemaakt…

3 likes

Dat ik erg blij ben Freedom en het harde werk staat buiten kijf, anders was ik hier niet.
Kennelijk leg ik niet helemaal goed uit wat mijn probleem is.
Al je 2fa op webmail hebt ingeschakeld en je raakt die 2fa codes kwijt, dan kun je op je WEBMAIL inderdaad niet meer inloggen.
Maar toen je die codes kwijt was kon je wel met je username en password een nieuwe account aanmaken op bv outlook, en dan had je gewoon bij je email gekund! Dus ja, je webmail had je nooit meer bij gekund.
Het is vervelend als iemand je email kan lezen, maar het is nog veel vervelender als iemand je account overneemt en je er zelf niet meer in kunt, met alle gevolgen van dien.
Zal zeggen wat ik zelf getest heb bij de freedom email:
Ik heb een FREEDOM email adres aangemaakt, heb op webmail een 2fa aangezet en de zaak gesaved. Test: email naar webmail, inloggen op webmail met 2fa, werkt prima, MAAR:
Als ik mijn wachtwoord vergeten ben, (dus niet mijn 2fa code/totp app/telefoon kwijtgeraakt) en ik ga naar help, “wachtwoord vergeten”, dan hoef ik alleen mijn email adres in te vullen en dan krijg ik per sms een token dat ik in moet voeren en moet ik meteen een nieuw wachtwoord invoeren, dat is dan mijn nieuwe wachtwoord.
Dus iemand die in staat is simswap toe te passen, kan doen wat ik net zelf gedaan heb. Vervolgens kan die persoon inderdaad niet in mijn webmail, want hij heeft mijn 2fa code niet. Maar ik kan niet meer in mijn email omdat mijn sim geswapt is en mijn wachtwoord na die simswap veranderd is. En die persoon hoeft alleen maar in outlook mijn emailadres en dat nieuwe wachtwoord, wat hij zelf net aangemaakt heeft, te gebruiken om een account met mijn email adres op te zetten, en ik kan niks meer!
Dus vandaar mijn vragen:
-waarom 2fa voor webmail, want met bovenstaande truc is je 2fa toch zinloos?
-freedom maakt zich voor de beveiliging van onze accounts zo toch volledig afhankelijk van telecomproviders en hun medewerkers die veel te makkelijk nieuwe sim afgeven, en dat is toch een enorm zwakke schakel die ze niet zelf in de hand hebben?
Dat andere ISP het iets of veel moeilijker maken voor simswappers kun je zelf te kijken op hun sites welke acties je moet ondernemen bij “vergeten” password.

Graag jullie reacties.

1 like

Aah, dat is duidelijk inderdaad. Heb mijn mail niet ingesteld via SMTP, dit is inderdaad niet te beveiligen. Eens kijken of ik dit uit kan zetten.
Deze truc is inderdaad vervelend en hier ook toepasbaar :cry:

EDIT: Dit zeg ik verkeerd, natuurlijk gebruik ik op mijn telefoon wel een mailclient die onveilige protocollen gebruikt :cry:

Hoe zit dat eigenlijk met die super code die we in het begin gehad hebben.
Die was voor het geval, als je er niet meer in komt.
Bestaat die nog?

EDIT: Dit zeg ik verkeerd, natuurlijk gebruik ik op mijn telefoon wel een mailclient die onveilige protocollen gebruikt

Wat noem jij “onveilige protocollen”? Volgens mij word alleen maar POP3S en IMAPS aangeboden. Bedoel je dat er geen OAUTH2 authenticatie wordt gebruikt ofzo? (Maar die laatste is dus ook onveilig als er SMS wordt gebruikt om de initiele authenticatie/verificatie op te zetten – zoals bijvoorbeeld bij het “geweldige” outlook365.)