In dit artikel gaan we een van de ergste simkaart-scams bespreken die er is: sim-swap. Als uw gsm niet langer gedekt is, wees dan bang: er wordt een nieuwe telefoonfraude gebruikt die bekend staat als ‘SIM-swapping’, zodat een cyberaanvaller ons telefoonnummer dupliceert en dat systeem gebruikt om onze identiteit toe te eigenen, ons te authenticeren bij onze bank en ons te beroven al het geld.
De CEO van Twitter is het slachtoffer geworden van oplichting met simkaarten
Er zijn al slachtoffers van een fraude die voor andere doeleinden is gebruikt: Jack Dorsey, mede-oprichter van Twitter, had zijn serviceaccount gestolen met hetzelfde systeem, wat eens te meer de zwakte benadrukt van mechanismen zoals de sms-berichten voor twee- stap authenticatiesystemen. Oorspronkelijk waren ze een goede optie, maar zoals we in het verleden al zeiden, is het veel beter om onafhankelijke authenticatietoepassingen te gebruiken, en niet de sms-berichten die op dit gebied steeds kwetsbaarder worden.
Wat moet u NIET doen om te voorkomen dat de simkaart wordt verwisseld?
Er zijn hier twee duidelijke problemen: ten eerste is het bestellen van een dubbele simkaart relatief eenvoudig. Ten tweede dat het gebruik van sms als een systeem om tweestaps- of tweefactorauthenticatie (2FA) voor te stellen lange tijd kwetsbaar is geweest voor verschillende aanvallen, en dit is slechts de laatste – maar waarschijnlijk de meest verontrustende – van allemaal. .
Deze techniek maakt het mogelijk om de veiligheidsmaatregelen te omzeilen die de gsm plaatsen als instrument om onze identiteit te verifiëren, en dat is gevaarlijk zoals we hebben gezien in de economische sfeer, maar ook in veel andere scenario’s.
We schakelen de mogelijkheid om te tweeten via sms of sms tijdelijk uit om de accounts van mensen te beschermen.
– Twitter-ondersteuning (@TwitterSupport) 4 september 2019
Het werd deze dagen gedemonstreerd toen Jack Dorsey, mede-oprichter en CEO van Twitter, een soortgelijke aanval onderging waardoor plotseling aanstootgevende en racistische berichten op zijn Twitter-account (@jack) verschenen die later werden verwijderd.
Het wisselen van SIM-kaart kan identiteitsdiefstal tot gevolg hebben
Het probleem was te wijten aan die identiteitsdiefstal waardoor een telefoonoperator in de Verenigde Staten – het is niet gespecificeerd welke – de aanvaller toestond een duplicaat van de simkaart van Dorsey te bemachtigen, waardoor deze aanvaller op zijn beurt de functie van posten op Twitter kon gebruiken via sms-berichten was een van de oorspronkelijke kenmerken van de dienst.
De aanstootgevende berichten leidden tot een onmiddellijke reactie van Dorsey, die aankondigde dat Twitter de bezorging van berichten op het platform via sms onmogelijk maakte.
Bescherm uzelf tegen SIM-swap: hoe kunt u SIM-swapping voorkomen?
Het probleem met deze cyberaanval is dat het twee ver uit elkaar liggende gezichten heeft, beide met hun eigen onderling afhankelijke oplossing: als de twee niet worden opgelost, blijft het probleem bestaan.
De eerste zijn degenen die met die informatie omgaan, de operators, die veel veeleisender zouden moeten zijn als het gaat om het verstrekken van duplicaten van een simkaart. Identiteitscontroles hier zouden uitgebreid moeten zijn om de problemen te vermijden die in deze gevallen zijn opgetreden.
Banken, financiële instellingen en elk ander platform dat nog steeds sms gebruikt als een authenticatiesysteem in twee stappen, hebben ook lopende taken. Het is een populaire en handige methode, maar zoals we hebben gezien, is het lange tijd erg kwetsbaar, zoals opgemerkt door beveiligingsexpert Bruce Schneier. Het is om deze reden dat al deze bedrijven in twee stappen SMS uit hun authenticatiesystemen moeten verwijderen en andere alternatieven moeten gebruiken.
Gebruik 2FA / U2F tegen SIM-swapaanvallen
Een van de meest aanbevolen op dit moment zijn de authenticatietoepassingen die sms vervangen en op onze mobiele telefoons kunnen worden geïnstalleerd. Microsoft Authenticator, Google Authenticator of Authy behoren tot de bekendste, en als we ze kunnen gebruiken – het platform waarmee we werken moet die optie ondersteunen – zijn ze veel veiliger dan authenticatie via sms.
Nog interessanter zijn de U2F-sleutels (Universal 2nd Factor-sleutels), een open authenticatiestandaard die gebruik maakt van fysieke sleutels en die de FIDO2-standaard als laatste implementatie heeft. Fabrikanten als Yubico staan bekend om deze oplossingen, maar zelfs Google wilde onlangs dit segment betreden met zijn Titan Security Keys, al maakte het onlangs bekend dat een Android-telefoon ook een beveiligingssleutel zou kunnen worden.