Nu er steeds meer digitaal wordt afgehandeld wordt het voor digiboeven ook steeds interessanter die digitale apparatuur ten eigen bate te kraken. Een van de belangrijkste elementen in digitale veiligheid, het telefoonnummer, blijkt uiterst gemakkelijk te stelen. Als de krakerboef eenmaal zover is kan hij/zij ook zaken doen, bijvoorbeeld door je bitcoinrekening te plunderen (als je die hebt, uiteraard).
In een toenemend aantal gevallen hebben criminele krakers telefoonbedrijven gevraagd het telfoonnummer van een slachtoffer over te zetten op een apparaat van de kraker. Als die criminele kraker eenmaal de zeggenschap heeft dan kan ie ook wachtwoorden veranderen. Ik vraag me dan af op welke gronden, dit is een Amerikaans verhaal, die telefoonbedrijven hun medewerking verlenen. Bovendien, denk ik dan, is dan ook de naam van de onverlaat bekend (of ben ik nou erg naïef?).
“Mijn iPad herstartte, mijn telefoon en computer. Het koude zweet brak me uit: Dit is ernstig“, zegt Chris Burniske die investeert met virtuele munteenheden als bitcoin. Eind vorig jaar raakte hij de zeggenschap over zijn telefoonnummer kwijt. Volgens de Federale Handelscommissie stijgt het aantal telefoonkapingen. In januari 2013 waren er ruim duizend van zulke gevallen, in januari 2016 ruim 2600.
Het lijkt er op dat vooral mensen met een bitcoin- of aanverwante rekening het slachtoffer van de aanval waren, mensen zoals Burniske. Een paar minuten nadat ze de controle over zijn telefoon hadden, hadden de criminele krakers het wachtwoord van zijn bitcoinportefeuille vervangen en liep de rekening leeg: zo’n 150 000 dollar verdween. Niet iedereen loopt daarmee te koop, maar er zijn er meer als Burniske. “Iedereen die ik ken in de cryptovalutasfeer is zijn/haar telefoonnummer kwijt”, zegt bitcoinondernemer Joby Weeks. Hij verloor eind vorig jaar zijn telefoonnummer en zo’n miljoen dollar, ondanks dat hij zijn telefoonmaatschappij had gevraagd voor extra beveiliging, nadat zijn vrouw en ouders de zeggenschap over hun telefoon kwijt waren geraakt.
Het ziet er naar uit dat de criminele krakers hun informatie halen van de sociale media. Transacties met bitcoinachtige valuta zijn onomkeerbaar, stelt de New York Times. Bij traditionele financiële instellingen is daar nog wel wat aan te doen, in het algemeen.
Zwarte levens tellen
Vorig jaar namen krakers het Twitter-profiel over van de beweging Zwarte levens tellen (Black Lives Matter) door eerst het telefoonnummer van voorman DeRay Mckesson te stelen. In sommige gevallen moest betaald worden voor gestolen bestanden, zoals naaktfoto’s of uitingen van seksuele uitzinnigheden. Zelfs beveiligingsdeskundigen zijn niet onkwetsbaar voor de telefoontruc. Telefoonmaatschappijen zullen iets moeten doen aan hun beveiligingsprocedures.
“Het toont de kwetsbaarheid van telefoonbeveiliging”, zegt Michael Perkin, verantwoordelijk voor de beveiliging van de cryptovalutabeurs ShapeShift. Telefoonmaatschapijen hebben beloofd om de veiligheid te verbeteren met, onder meer, ingewikkelder persoonlijke identificatienummers (PIN’s). Dat zou volgens de New York Times geen afdoende oplossing zijn.
De kwetsbaarheid van telefoonnummers is een onbedoeld gevolg van een tweestapsidentificatie. Dat zou veiliger zijn. Veel e-mailaanbieders en financiële bedrijven vragen hun klanten hun telefoonnummers te koppelen aan hun webprofiel om de identiteit te kunnen vaststellen, maar dat geeft iemand met dat telefoonnummer ook de gelegenheid het wachtwood te veranderen zonder de oorspronkelijke wachtwoorden te kennen. De kraker vult slechts in dat hij het wachtwoord vergeten is en een nieuwe code wordt verstuurd naar de (overgenomen) telefoon.
Volgens Perkin komen de aanvallers vaak met jankverhalen waarom een nummer moet worden overgezet (en vlug). “Deze gasten gaan wel 600 keer bellen voor ze er door zijn en iemand aan de lijn krijgen die idioot is”, zegt Weeks. Coinbase, een bitcoinportefeuille, raadt gebruikers aan hun portefeuille los te koppelen van hun telefoon. Gedupeerde gebruikers voelen zich genaaid en vinden dat de bedrijven de beveiliging moeten opschroeven.
Bron: New York Times