Reacties voor: Zo werkt de simkaart-hack en dit kun je eraan doen
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Dat is geen hack, maar meer social engineering.
Een wachtwoord voor de klantenservice bestaat al wel in Nederland. Mijn man nam laatst contact op met Vodafone om voor ons allebei iets te checken. Mijn gegevens kreeg hij echter niet direct. Ik werd gebeld door de Vodafone medewerker om toegang te geven. Daarbij kreeg ik meteen de optie om een wachtwoord in te stellen dat ik aan mijn man kon geven zodat hij ook toegang kon krijgen tot mijn gegevens mocht hij een volgende keer bellen.
@Jordy: Waar vind jij die optie bij Vodafone precies? Voor zover ik kan zien heb je bij Vodafone alleen een wachtwoord voor My Vodafone en niet voor de klantenservice waarmee je bijvoorbeeld iemand anders toestemming kan geven om dingen voor jou te regelen (ik ben zelf Vodafone-klant)
In essentie draait het om het feit dat beheerders van identiteiten (te) zwakke procedures hanteren mbt het wijzigen van de identiteit zelf, of directe metadata. Hierbij is altijd de afweging tussen gebruikersgemak en kosten versus een waterdichte registratie en wijzigingen. Aangezien gebruikers niet al te veel gedoe en snel (weer) bij hun identiteit willen kunnen, begrijp ik wel waarom er nog steeds diensten met zwakke procedures zijn. Voorbeeld: vroeger kreeg je bij ING een wachtwoord reset of een account alleen via een brief. Nu wil ik niet voorstellen omdat weer in te voeren, maar blijkbaar vonden gebruikers dit niet zo prettig en heeft ING gebruikersgemak en de kosten zwaarder laten wegen en risico’s op andere manieren afgedekt.
Het door eikultjur voorgestelde ‘wachtwoord’ On gegevens aan te passen bij een identiteitbeheerder is weer een pleistertje-plakken. Denk even aan de omgang met wachtwoorden door de gemiddelde gebruiker en je weet dat dit de volgende aanvalsverdrag wordt. Leuk bedacht maar dit is niet de oplossing. Een betere oplossing zou zijn als een door alle partijen vertrouwde partij bevestigd dat meneer Jansen inderdaad meneer Jansen is. Bijvoorbeeld door DigID of een marktpartij, of nog beterder: meerdere partijen.
Belgische providers vragen naar het nummer van je identiteitskaart vooraleer je iets kan veranderen ivm je gsmnummer, of andere kaart bestellen en zo. Identiteitskaartnummer is in principe moeilijk te achterhalen door hackers…
Ik snap alleen 1 ding niet. Ze moeten toch het simkaartnummer hebben? Dan moet je toch de post onderscheppen?
Volgens mij mis ik iets in dit artikel. Nadat de sim wissel is uitgevoerd, zal de oude sim niet meer werken en kan de oorspronkelijke eigenaar van het nummer niet meer gebruik maken van mobiele diensten. Dit zou voor elke gebruiker een reden moeten zijn om zijn/haar provider te bellen en eisen dat dit wordt opgelost.
Ik weet niet of de optie ook in de app of online mogelijk is. Toen de medewerker mij belde om te verifieren dat mijn man mijn gegevens mocht inzien, gaf hij aan dat deze optie er was en toen moest ik het mondeling aan de telefoon doorgeven.
Ik heb geen mooie account naam ergens maar wel een heel mooi 06 nummer, wat ook veel geld kan opleveren:)
Dit is inderdaad niet goed gelezen. Volgens het artikel zeggen de hackers dat de SIM kaart verloren is geraakt, en vragen ze het nummer te porten naar een andere kaart die al in hun bezit is. Ik weet niet of dat in Nederland überhaupt wel kan.
@Johan: Tuurlijk kan het. Anders ben je je nummer kwijt omdat je je simkaart kwijt bent.
Nee dit kan niet in Nederland, een nieuwe simkaart gaat via de provider zelf.
Simkaart bestel je bij provider onder mom van defect mijne. Krijg je gewoon 1 toegestuurd, en moet je later zelf activeren.
Of je vraagt bij telecom shop om simkaart, zijn gratis
En inderdaad je ziet zelf heel snel als je geen bereik meer heb, meteen actie ondernemen.
@PeliileP: goed plan. Maar het heeft een nadeel: als ik moet bellen naar bijvoorbeeld KPN, dan duurt het zo 5 minuten voor je eindelijk iemand aan de lijn krijgt en dan wil je wel graag meteen geholpen worden. Als ik dan eerst meerdere partijen moet gaan inschakelen die kunnen bevestigen dat ik het wel echt ben, dan is er geen telefonist(e) die me nog kan helpen. En als ik voor elk wissewasje naar een KPN kantoor moet gaan om bijvoorbeeld m’n vingerafdruk te laten scannen zodat ze weten dat ik het ben, dan word ik toch ook niet echt blij. Maar… het is wel veiliger…
Als de simkaart “Hack” zo werkt dan zit je in ieder geval veilig bij KPN. Simkaarten worden alleen naar het geregistreerde adres gestuurd. Bij eventueel twijfel (recente adreswijziging of iets dergelijks) wordt er een verificatie sms gestuurd. Ook is het niet mogelijk om een willekeurig simkaartje te activeren. Dit moet verstrekt zijn aan de klant.
@Suzanne: There’s an app for that…
Telecom providers zouden de optie touch id of face id kunnen inbouwen in de app…die na handmatige actie van de provider in geschakeld wordt…soort verzoek inschieten idee…op het moment dat diegene aan de telefoon hangt met het verzoek tot wijzigen gegevens of nieuwe simkaart aanvraag…indentiteit checken en de aanvraag is door..
Just a thought… 😉
@Richard: mmm dat klinkt goed 😊
@Suzanne: Vind ik ook…al zeg ik het zelf 🤣
Dit is bij mij het geval. Als ik een nieuwe simkaart aanvraag ben ik dan hier vanaf?