SMS'er er for usikre til to-faktor-autentifikation: For nemt at få et nyt sim-kort

Det er tid til at overveje at droppe sms'en som ekstra sikkerhedsled. Det er nemlig alt for nemt at fuske sig til et nyt simkort.

Det er alt for nemt at få udleveret et nyt simkort til en anden persons mobilnummer, og det bør få os til at overveje, om det er en god idé at benytte engangskoder via sms til to-faktor-autentifikation.

I et blogindlæg skriver sikkerhedsekspert Paul Ducklin fra Sophos, hvordan det er let for en svindler at overbevise en tilfældig mobilforhandler om, at svindleren skal have udstedt et nyt simkort til et eksisterende nummer.

I korte træk er det muligt at gå ind i en butik og fortælle, at man har mistet sin telefon, og at man gerne vil købe en ny. Det sker allerede, hvor målet er at bruge et stjålet kreditkort til at købe en telefon.

Men i samme handel kan svindleren overbevise forhandleren om, at der også skal udstedes et nyt simkort. I princippet skal forhandleren kræve gyldig legitimation, men hvis en afvisning af kunden betyder, at forhandleren går glip af salget, så kan det være lettere for svindleren at overbevise forhandleren om at se bort fra passende legitimation og eksempelvis nøjes med det stjålne kreditkort.

En sag fra USA, som The Register har beskrevet, viste for nylig, at det lykkedes en svindler at overtale en callcenter-medarbejder hos teleselskabet AT&T om at udstede et nyt simkort. Kortet blev derefter brugt til at få en sms-kode til at bryde ind i den pågældende kundes PayPal-konto.

Det krævede flere forsøg, indtil svindleren fik overtalt en callcenter-medarbejder, men vidner om, at det kan lade sig gøre at få et simkort til et nummer, som ikke tilhører én selv.

Drop sms - brug en app

Det er særlig problematisk, når det gælder to-faktor-autentifikation, fordi det skulle give ekstra sikkerhed, at du skal være i fysisk besiddelse af din telefon. Men med en sms-kode er det i stedet reelt simkortet, du skal være i besiddelse af, og de fleste teleselskaber og forhandlere har mulighed for at udstede et nyt simkort.

Så bliver det gamle simkort spærret, men inden den rigtige ejer opdager, at det ikke blot er en midlertidig fejl, så er det muligt eksempelvis at skifte adgangskoder og stjæle oplysninger eller få adgang til konti.

Derfor bør man ifølge Paul Ducklin overveje at droppe sms'er til to-faktor-autentifikation. Man kan stadig anvende mobiltelefonen, men så er det bedre at generere koderne via en app. Adgangen til app'en forudsætter, at man er logget ind, og den er installeret på telefonen.

Både eksempelvis Google og Facebook giver mulighed for at få koder via en app. Med en app er det også muligt at generere koder, selvom mobiltelefonen ikke er på et netværk.

To-faktor-autentifikation er velegnet til at øge sikkerheden mange gange i forhold til blot et brugernavn og en adgangskode og kan også hjælpe med om ikke andet at opdage forsøg på at udnytte et stjålent brugernavn og adgangskode.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Hansen

Det er alt for nemt at få udleveret et nyt simkort til en anden persons mobilnummer, og det bør få os til at overveje, om det er en god idé at benytte engangskoder via sms til to-faktor-autentifikation.

Det var sådan set derfor, at IETF-standarden TOTP blev udviklet for godt seks år siden, men det er da dejligt at høre, at Sophos nu også har opdaget det...

https://tools.ietf.org/html/rfc6238

  • 0
  • 2
Dan Mark

2-faktor via app er ikke mere sikker end simkort. Nu vil jer ikke poste et link til en C2 server med adgang til +10.000 rootede smartphones, meeeen de findes.

Det er immervaek mere besvaerlig at faa tilsendt eller gaa ned i butikken og faa et nyt simkort end at roote en bunke smartphones. Du opdager ogsaa ret hurtigt at dit nuvarende SIM-kort stopper med at virke.

Der hvor den virkelige trusel er mod SMS-2 faktor er SS7 hacking. Altsaa infrastrukturen bag mobilnetet. Hvor man faar adgang til SMS, voicemail eller direkte aflytning af mange mobiltelefoner paa samme tid.

Generelt skal man taenke i stordriftsfordele naar man taenker hacking. Med mindre det er Putin, Trump eller Bibi, du har pisset af.

Saa skal du smide alt dit elktronik ud og gemme dig midt inde i Rold skov, grave et hul du kan hoppe i naar du hoerer lyden af en drone eller Tupolev.

  • 5
  • 3
Leif Neland

"Sonofon, godaften. Der står en her, og siger dit simkort er blevet væk. Men det er jo ikke rigtigt, kan jeg høre."

Eller en form for automatisk kontrolfunktion, der kontrollerer om telefonen har været i brug, så kan der ikke skiftes kort uden ekstra manuelle kontroller, og måske en karenstid, hvor den rigtige ejer har tid til at melde tilbage.

Men med tilstrækkeligt mange svindlere og tilstrækkeligt med dårligt underviste, og entusiastiske medarbejdere, skal det nok lykkes at få et kort byttet i ny og næ.

Er teleselskabet ansvarlige for tab?

Det er vel en afvejning: skal teleselskabet betale erstatninger eller udviklere?

  • 5
  • 0
Michael Jensen

To-faktor bør være på et andet device end der hvor login sker.
Og da mobile enheder bruges til mere og mere, virker det lidt vovet at anvende dem til to-faktor-delen i det hele taget.
Det gav OK mening, dengang vi sad foran en "PC'er" og havde vores mobiltelefon som lommeudstyr til telefonopkald og SMS. - og der praktisk talt ikke var malware til telefonerne.
I dag er det smeltet så meget sammen, at to-faktor bør ske via noget helt andet. En Yubikey, et papkort, en RSA-token. Noget der er offline.

  • 5
  • 0
Benny Lyne Amorsen

Efterhånden som telefon og PC smelter mere og mere sammen, så kan PC'en f.eks. også bede Google App Store om at installere en app på telefonen.

Der var et vindue på måske 10 år hvor det var sikkert at bruge SMS. Det sluttede da hullerne i GSM og SS7 lidt for nemme at udnytte. Derefter var der vel ca. 5 år hvor det var nogenlunde sikkert at bruge en nøgle-app. Det er slut nu.

Kom nu alle sammen, opfind et kreditkort med numerisk tastatur og display. Det skal kunne lade sig gøre i 2017. Højst 50% tykkere end et normal kreditkort, please.

  • 1
  • 1
Kristian Rastrup

2FA står for en-cifrede % af logons.
Hvis vi bare kunne få folk til at bruge 2FA i det hele taget ville sikkerheden for den almindelige bruger med genbrugt password hæves væsentligt.
Så er det fløjtende ligegyldigt om det er via SMS eller app.

  • 7
  • 0
Klavs Klavsen

Sikkerhedsnøgler, såsom yubikey er super nemme at anvende.. De kan enddog bruges (til få af dens features) på android - og man kunne fikse det, så de virkede ligeså godt i en telefon som i en computer.
Yubikey (som jeg selv anvender - men der findes masser af andre producenter) - opbevarer en gpg nøgle og laver al signering, certificering og authentikering på kortet. Det kræver bare du kan pinkoden til yubikey'en - for at anvende den.

Den kan du anvende i en kompromiteret computer (eller tlf.) - og de kan stadigvæk ikke stjæle din 2FA. med yubikey kan man slå "touch" til - så man SKAL fysisk røre yubikey'en - for at den gør noget somhelst (mange lader den bare sidde ulåst i computeren - og så kan man jo misbruge den i den tid hvis man har hacket computeren).

Vi udleverer den ihvertfald til vores medarbejdere, som deres 2FA..

Og ellers så er der jo også mange der bruger RSA nøgler (6 tal man skal indtaste - lidt a la NemID nøglekort :) - det er bare meget dyrere :)

  • 2
  • 0
Michael Hansen

Så også hellere at folk brugte/tilbød mulighed for TOTP/HOTP der er standard baseret, så man kan bruge en authenticator af eget valg (det kunne f.eks væres google's / microsoft's / authy / eller en af de mange andre der bygger på standarderne), frem for SMS der ofte ikke kommer frem i tide / hvis overhovedet nogle gange.

Men det største problem er nu den general mangel på 2FA på diverse kritiske sider, f.eks paypal som nævnt i artiklen, de har 2FA i USA (men ikke for danske konti....).

Kan anbefale:
https://twofactorauth.org/#

Det site giver et godt overblik over hvem der understøtter 2FA.

Giv folk valgmuligheder istedet for one size fits all løsninger, ville langt hellere have en authenticator på min mobil end intet 2FA, eller skulle rende rundt med 20 forskellige kode kort / hw tokens.

  • 2
  • 0
Mogens Bluhme

Der kan også connectes via NFC men Apple tillader (ikke længere) 3.part's brug af det på IOS-devices. Det devaluerer gevaldigt værdien (bluetooth er et ringere alternativ).

Apple's motiver til dette tiltag har jeg lidt svær ved at gennemskue. Hvis jeg skal være rigtig paranoid er det fordi de vil sætte sig/låse deres brugere på området for betalingsløsninger. Men med NFC's rige anvendelsemuligheder virker det ude af proportioner. Det svarer til at en tyv bevidst ødelægger for 1 million for at løbe med en gevinst på 100 kr.

  • 1
  • 0
Jakob Gladbjerg

Det har længe været tid til, at skrotte SMS som 2 faktor validering – ikke kun pga. simkort.

Nu kan jeg desværre ikke finde det helt specifikke klip, men jeg mindes, at jeg så et program hvor de viste, at det var muligt at opsnappe SMS på Android telefoner også uden, at brugeren blev gjort opmærksom på, at telefonen havde modtaget en SMS. Det tætteste som jeg har kunnet finde er denne fra DR:

http://www.dr.dk/nyheder/viden/tech/video-saadan-stjaeler-apps-dine-priv...

Her skal brugere bare installere en app på sin Android telefon og så kan man jo læse med.

Brugeren vil jo opdage at teleselskabet har aktiveret et nyt simkort til nummeret, idet et nummer jo kun kan have et simkort tilknyttet ad gangen. Hvorimod en App som har læse adgang til beskeder ikke lige så let vil blive opdaget, idet der ikke er nogle synlige tegn på det. Her er det også lettere at ramme flere personer på en gang.

@Mogens Bluhme: Apple har aldrig haft åbent for NFS til 3 part. Det kommer vist i iOS 11, som kommer til efteråret. kilde: https://www.macrumors.com/2017/06/07/developer-access-iphone-nfc-chip-io...

  • 0
  • 0
Henrik Madsen

Der kan også connectes via NFC men Apple tillader (ikke længere) 3.part's brug af det på IOS-devices. Det devaluerer gevaldigt værdien

Enig

Desværre er IOS brugere skruet lidt underligt sammen.

Det burde jo være værdien på apple produktet som blev devalueret fordi folk fravalgte det fordi har en mangel, men desværre ser alt for mange apple device brugere verden som om alt drejer sig omkring deres i-device og på nærmest religiøst/bibelsk vis meddeler at kan et i-device ikke det, så er det fordi man slet ikke skal kunne.

Hvis apple tabte markedsandele fordi folk fravalgte i-devices fordi der mangler en ordentlig NFC understøttelse, så ville apple nok ende med at se lyset og åbne op for deres NFC chip.

  • 3
  • 0
Log ind eller Opret konto for at kommentere