CFCS: Cyberkriminelle vil gå efter digitale sim-kort

Cyberkriminelle vil forsøge at knække sikkerheden omkring fremtidens digitale sim-kort, eSim, blandt andet for at overtage folks telefonnumre, vurderer Center for Cybersikkerhed, der også opsummerer en række andre sikkerhedsmæssige udfordringer for telesektoren i en nyudgivet trusselsvurdering.

Den digitale udgave af sim-kort - de såkaldte eSim - kommer under pres fra cyberkriminelle. Det vurderer Center for Cybersikkerhed i en nyligt udgivet trusselsvurdering for telesektoren (PDF).

»Fysiske sim-kort vil over de kommende år gradvist blive erstattet med digitale sim-kort, også kaldet eSIM, som kunderne downloader fra teleudbyderen og installerer på en chip på den mobile enhed. I Danmark tilbyder visse teleudbydere allerede eSIM til kunder, som benytter mobile enheder, der understøtter teknologien,« lyder det i trusselsvurderingen, som fortsætter:

»CFCS vurderer, at cyberkriminelle vil forsøge at bryde sikkerheden ved eSIM, samt de procedurer som teleudbyderne anvender ved bestilling og levering af eSIM til kunderne, blandt andet med det formål at overtage mobilnumre.«

Den overordnede vurdering fra CFCS i forhold til sikkerhed og telesektoren er, at truslen fra cyberkriminalitet mod sektoren er 'meget høj.' Truslen fra cyberspionage vurderes til at være 'høj', mens cyberaktivisme er sat til 'middel', og truslen fra cyberterror vurderes til 'lav.'

Hvad cyberkriminaliteten angår, hvor truslen altså er sat til 'meget høj', så er flere af de eksempler, der nævnes i rapporten af generel karakter, og altså ikke noget, der specifikt vedrører telesektoren. Dette adresseres i rapporten.

»Cyberkriminalitet er drevet af ønsket om økonomisk vinding. Hovedparten af den cyberkriminalitet, som rammer telesektoren, er ikke entydigt rettet mod sektoren, men er forårsaget af cyberkriminelle, som går bredt efter virksomheder på tværs af samfundet.«

Blandt de generelle former for cyberkriminalitet kommer trusselsvurderingen blandt andet omkring ransomware og de såkaldte BEC-scams, altså hvor kriminelle for eksempel udgiver sig for at være en direktør i en organisation med henblik på at få eksempelvis en regnskabsmedarbejder til at overføre et beløb til angriberen.

Telefonnummer-tyveri

I rapporten nævnes også mere telespecifikke eksempler på, hvordan cyberkriminelle kan udgøre en trussel. Eksempelvis truslen i forhold til at få adgang til andres telefonnumre ved via eSim.

CFCS-rapporten nævner også kompromittering af teleselskabers selvbetjeningsløsninger som en måde at få adgang til folks fysiske sim-kort på.

»Ved at overtage en kundes mobilnummer kan de kriminelle få adgang til sms-beskeder med to-faktor kodeord, der giver adgang til online-tjenester såsom netbank eller webmail, hvor de kriminelle allerede har fået kendskab til brugernavn og kodeord. Ved hjælp af adgangen til selvbetjeningsløsningen kan de kriminelle forsøge at narre udbyderen til at sende kunden et nyt sim-kort, som så opsnappes af de kriminelle,« står der i rapporten.

I den forbindelse bliver det nævnt, at der i udlandet er eksempler på, at en teleudbyders kundekonti kompromitteres, fordi cyberkriminelle ønsker at overtage specifikke kunders mobilnumre.

Det er dog ikke nødvendigt at tage til udlandet for at finde eksempler på, at uvedkommende kan få adgang til sim-kort og dermed andres numre.

Den senere tid har Version2 og Ingeniøren således flere gange demonstreret, hvordan danske telebutikker uden at se den fornødne ID udleverer sim-kort til eksisterende telefonnumre.

Læs også: CFCS indkalder telebranchen til »konstruktiv snak« efter sim-kort-afsløringer

Læs også: Svindlerens drøm: Danske telebutikker udleverer sim-kort til eksisterende numre - helt uden at se ID

Læs også: Tele-svigtet fortsætter: Efter tre uger kan du stadig få andres sim-kort på dit glatte ansigt

SS7

En andet telespecifikt område, som cyberkriminelle ifølge CFCS-rapporten også har kig på, er SS7-netværket, som binder mobilnettene sammen.

»En avanceret metode til at opsnappe sms-beskeder er at kompromittere det såkaldte SS7-netværk, som forbinder alle verdens mobilnet, og omdirigere bestemte personers sms-beskeder til de kriminelle. Metoden er i 2018 blevet anvendt mod kunder hos den engelske Metro Bank, ligesom også enkelte kunder hos teleudbyderen O2-telefonica i Tyskland i april 2017 fik opsnappet sms’er med to-faktor kodeord til deres bankkonti.«

Læs også: Tyske hackere aflytter amerikansk politikers iPhone alene med kendskab til telefonnummer

CFCS vurderer dog, at kun få cyberkriminelle grupper er i stand til at gennemføre sådanne angreb, da det ifølge rapporten kræver en særlig viden at få adgang til, og ikke mindst kompromittere, SS7-netværket.

»Der er dog en risiko for, at kriminelle, som potentielt opnår denne adgang, vælger at stille den til rådighed for andre kriminelle mod betaling,« bemærkes det.

BGP-hijack

Blandt andre trusler mod telesektoren nævnes BGP-hijack og angreb mod DNS-servere.

Begge teknikker kan bruges til at omdirigere internettrafik til en server, en angriber kontrollerer.

»Der er avancerede hackergrupper, som forsøger at omdirigere internettrafik til falske hjemmesider for at opsnappe adgangskoder til digitale tjenester, sprede malware, eller vise reklamer, som genererer en indtægt til de kriminelle. Selvom det endelige offer er brugerne af internettet, så foregår angrebet ved at kompromittere teleinfrastruktur eller centrale internetservices i telesektoren,« hedder det i trusselsvurderingen.

Af rapporten fremgår det, at BGP-hijack går ud på at ændre i routingdata i en såkaldt Border Gateway Protocol-router, så internettrafik bliver sendt til den forkerte server.

»I april 2018 lykkedes det udenlandske cyberkriminelle at stjæle kryptovaluta ved hjælp af et BGP-hijack, som omdirigerede brugere af tjenesten MyEtherWallet.com til en falsk login-side,« bliver det bemærket i trusselsvurderingen.

Ifølge rapporten har hjemmesiden BGPStream.com, som overvåger BGP-routing på nettet, siden 2016 registreret omkring 200 mulige BGP-hijacks om måneden.

CFCS vurderer, at det kun er få cyberkriminelle, der har kapacitet til at udføre et BGP-hijack. I den forbindelse bliver det dog bemærket, at på grund at internettets opbygning så kan et BGP-hijack påvirke danske internetbrugere, uanset hvor i verden det sker.

Læs også: Netværksekspert: Lumske omdirigeringer viser at nettet er bygget af hippier til hippier

»Konsekvenserne af et BGP-hijack kan være særligt alvorlige, hvis det ikke lykkes en dansk teleudbyder at bortfiltrere falske BGP routinginformationer, som er opstået i, eller har spredt sig til, tilstødende netværk. Udover at omdirigere internettrafik kan et BGP-hijack medføre, at dele af internettrafikken bliver langsom eller afbrudt. Uden effektiv overvågning af ændringer i BGP-routning kan et BGP-hijack, som ikke giver trafikforstyrrelser, potentielt være effektivt i dage eller uger,« står der i trusselsvurderingen fra CFCS.

DNS-angreb

Angreb mod udbyderes DNS-servere nævnes som en anden måde, hvorpå cyberkriminelle kan omdirigere internettrafik.

»Kompromittering af en internetudbyders DNS-server kan omdirigere udbyderens kunder til falske hjemmesider. Det kan ske ved, at cyberkriminelle opnår uautoriseret adgang til serveren, eller ved at cyberkriminelle ændrer eller forfalsker de data, som udbyderens DNS-server modtager og gemmer fra andre DNS-servere på internettet,« står der i rapporten.

Her bliver det desuden bemærket, at denne trussel har medført en stigning i antallet af hjemmesider, der benytter DNSSEC. Det er en metode til at sikre integriteten af DNS-meddelelser. Globalt set skulle det dog kun være under 2,5 pct. af hjemmesiderne, der anvender teknologien.
https://www.dk-hostmaster.dk/da/dnssec
Cyberkriminelle forsøger også at få fat i internettrafik ved kompromittere og ændre i konfigurationen i kundeudstyr som hjemmeroutere. På den måde er det muligt at få routeren til at bruge DNS-servere, som de cyberkriminelle kontrollere.

Trusselsvurderingen nævner følgende eksempel:

»I sommeren 2018 ramte et sådan angreb mere end 100.000 hjemme-routere i Brasilien. Formålet var at sende brugerne til en falsk hjemmeside, som efterlignede den brasilianske bank Banco de Brazil.«

Cyberspionage

Truslen fra cyberspionage mod telesektoren er som nævnt vurderet til at være 'høj'. Formålet med cyberspionage er ifølge CFCS's udlægning, at indhente information, som har strategisk, sikkerhedspolitisk eller økonomisk betydning for aktøren.

Cyberspionage-truslen er »især rettet mod myndigheder og institutioner, der beskæftiger sig med udenrigs- og forsvarspolitik, samt samfundsvigtige og forskningstunge virksomheder,« fremgår det i trusselsvurderingen, som fortsætter:

»Telesektoren kan blive mål for cyberspionage, blandt andet fordi den leverer teleinfrastruktur og teletjenester til de ovenfor nævnte organisationer. Der er i udlandet eksempler på at statslige aktører har kompromitteret teleudbydere for at få adgang til opkaldsdata og sms-beskeder, eller for at aflytte kommunikation. De værktøjer og netværksenheder i teleinfrastrukturen, hvor der er adgang til kommunikationen, er særlig interessante for en angriber.«

I forbindelse med cyberspionage nævner rapporten flere af de værktøjer, som også de it-kriminelle gør brug af. Således kan eksempelvis angreb mod DNS-servere, BGP-hijack og SS7-netværket også blive brugt til spionage.

Cyberaktivisme og Cyberterror

Hvad truslen fra cyberaktivisme angår, så er vurderingen 'middel'. Cyberaktivisme kan eksempelvis være at nedlægge en tjeneste med DDoS-angreb, et andet eksempel kunne være at kompromittere en server for så at ændre indholdet på en hjemmeside.

»Formålet med cyberaktivisme er at skabe størst mulig opmærksomhed om en given sag, og formidle et budskab. Derfor varsles eller opfordres angreb i en del tilfælde på sociale medier, ligesom der er en tendens til, at fysisk aktivisme ledsages af cyberaktivisme,« fremgår det af rapporten.

Det bliver også nævnt, at mens der har været eksempler på cyberaktivisme mod telesektoren i udlandet, så vurderer CFCS, at cyberaktivister generelt ikke har fokus på telesektoren i Danmark.

Og så er der truslen fra cyberterror, der som i tidligere trusselsvurderinger fra CFCS vurderes til at være 'lav'.

Læs også: CFCS: Cyberkriminalitet og spionage udgør stor trussel mod dansk energisektor

»Militante ekstremister har i få tilfælde vist interesse i at udføre cyberterror, men CFCS vurderer, at de fortsat ikke har kapacitet til dette. De er på nuværende tidspunkt alene i stand til at udføre simple cyberangreb, der især har til formål at skabe opmærksomhed om og sprede propaganda for ISIL og andre militante ekstremistiske grupper,« står der i trusselsvurderingen for telesektoren.

Rapporten kommer omkring flere andre ting også, blandt andet destruktive cyberangreb. Altså hvor et cyberangreb fører til ødelæggelser i den fysiske verden. I den forbindelse nævnes det, at det kommende 5G-telenet kan øge risikoen for destruktive cyberangreb.

»Telesektoren understøtter et stigende antal digitale løsninger, som kobler den digitale og fysiske verden sammen. Den kommende 5G mobilteknologi forventes at medvirke til at øge denne sammenkobling yderligere. Udviklingen kan på mellemlang sigt medføre en stigende risiko for, at et alvorligt cyberangreb mod telesektoren kan føre til ødelæggelser i den fysiske verden.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere