Social engineering på højt niveau: Hackere stjæler adskillige konti kun med offerets telefonnummer

18. juli 2018 kl. 10:115
Social engineering på højt niveau: Hackere stjæler adskillige konti kun med offerets telefonnummer
Illustration: PixieMe/Bigstock.
Det er især værdifulde Instagram-handles, der er mål for de lavpraktiske men effektive angreb.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Flere amerikanere fortæller i en artikel fra Motherboard, hvordan hackere ved simpel SIM-svindel lykkes med at overtage adskillige af deres konti, selvom de bruger to tofaktor-identifikation.

Herunder Amazon, Instagram, Ebay, Netflix og Hulu-konti.

Hackerne har i al enkelthed ringet ofrenes teleselskaber op, udgivet sig for at være ofrene, og ved at opgive personnumre eller adresser har de fået teleselskabet til at overflytte nummeret til et SIM-kort, hackerne råder over.

Hovedformålet er ifølge det amerikanske techmedie at stjæle værdifulde Instagram-handles. En af ofrene har således Instagramkontoen @Rainbow, og en konto som den går for mellem 500 og 5000 dollar (3200-32.000 kr, red.).

Artiklen fortsætter efter annoncen

Et ekstremt tilfælde er handlet @t, der for nylig blev solgt for 40.000 dollar (256.000 kr, red.) i bitcoin.

Blev ringet op af angribere

Angriberne ringer endda pårørende til offeret op, idet offerets eget SIM-kort ikke virker, og beder om flere informationer og koder. Og herfefter afpresses ofrene med de informationer, bagmændene har fået ud af det lavpraktiske hack.

»Det var en forfærdelig nat. Ikke om jeg begriber, at hackerne var frække nok til også at ringe os op,« siger kæresten til et af ofrene, Adam Ostlund.

Motherboard skriver desuden, hvordan det er relativt nemt for hackere at finde ud af, hvilke numre der ligger bag hvilke instagram-konti. Hackere har endda sat en service op til netop dette.

Vil man helt forhindre dette, skal teleselskaberne ændre deres serviceniveau betragteligt, så de ikke kan flytte numre til allerede udstedte SIM-kort. Derudover bør diverse konti ikke kunne hackes med noget sendt over mobilen alene, hvilket vil gøre det betydeligt mere besværligt, skulle man for eksempel glemme sit kodeord.

Det er uvist, om den samme nummerflytning ville kunne foregå i Danmark.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
20. juli 2018 kl. 01:35

Men der kræves en underskrift fra dig på et stykke papir, som udbyder SKAL fremsende til din folkeregisteradresse.

Det lyder ikke til at det er det som de har gjort.

Hvis du har to numre hos YouSee, så prøv om du kan få dem til at flytte den ene nummer over på det andet SIM kort. "Jeg har mistet min primære telefon og det nummer er altså vigtigt, jeg kan ikke vente de 10 dage Post Nord er om at levere et nyt SIM kort. Jeg har en nummer som jeg ikke bruger så tit, kan i ikke sende en nyt SIM kort til det og så flytte mit nummer over på det kort."

Jeg kender YouSee/TDC's backend, og det kan helt klart lade sig gøre. Det er dog også ret nemt at dobbelt tjekke, at det er den samme kunde, som har de to numre.

Til gengæld har jeg hver gang skulle opgive nummeret på sim-kortet.

Private kan flytte numre ved udelukkende at oplyse SIM kort nummeret. Erhverv skal som regel komme med en fuldmagt.

Men der kræves en underskrift fra dig på et stykke papir, som udbyder SKAL fremsende til din folkeregisteradresse.

Den regel har jeg ikke hørt om. Det var i hvert fald ikke noget som vi praktiserede hos Viptel. I så tilfælde skulle vi så til at kræve CPR nummer, så vi kunne slå adressen op. Altså lige et privacy issue der kommer ind over.

Måske kan det klares med Nem id; Nå ja, men har vel lov at håbe.

Vi valgte faktisk Nem id fra, fordi vi ikke anså det for sikkert.

Det er jo faktisk både Telefonselskabet og kunden der har en stor interesse i at der ikke snydes. Og jeg mener at det er yderst sjældent at det går ud over en kunde. Derimod står Telefonselskabet ofte med en telefonregning, som ikke bliver betalt.

4
18. juli 2018 kl. 17:47

Men der kræves en underskrift fra dig på et stykke papir, som udbyder SKAL fremsende til din folkeregisteradresse.

Det har nu ikke været nødvendigt de gange jeg har flyttet et nummer. (Men det sker nu også kun meget sjældent ;-) )

Det er uvist, om den samme nummerflytning ville kunne foregå i Danmark.

Til gengæld har jeg hver gang skulle opgive nummeret på sim-kortet. Og nej. Det har intet med telefon-numret at gøre ;-)

/Henning

3
18. juli 2018 kl. 15:52

Men der kræves en underskrift fra dig på et stykke papir, som udbyder SKAL fremsende til din folkeregisteradresse.

BUM. Problem løst for længe siden.

Måske kan det klares med Nem id; Nå ja, men har vel lov at håbe.

1
18. juli 2018 kl. 10:49

....Så nu skal man også til at holde sit telefonnummer hemmeligt..... Uanede perspektiver åbner sig efterhånden i den digitale verden.