Social engineering på højt niveau: Hackere stjæler adskillige konti kun med offerets telefonnummer

Illustration: PixieMe/Bigstock
Det er især værdifulde Instagram-handles, der er mål for de lavpraktiske men effektive angreb.

Flere amerikanere fortæller i en artikel fra Motherboard, hvordan hackere ved simpel SIM-svindel lykkes med at overtage adskillige af deres konti, selvom de bruger to tofaktor-identifikation.

Herunder Amazon, Instagram, Ebay, Netflix og Hulu-konti.

Hackerne har i al enkelthed ringet ofrenes teleselskaber op, udgivet sig for at være ofrene, og ved at opgive personnumre eller adresser har de fået teleselskabet til at overflytte nummeret til et SIM-kort, hackerne råder over.

Hovedformålet er ifølge det amerikanske techmedie at stjæle værdifulde Instagram-handles. En af ofrene har således Instagramkontoen @Rainbow, og en konto som den går for mellem 500 og 5000 dollar (3200-32.000 kr, red.).

Et ekstremt tilfælde er handlet @t, der for nylig blev solgt for 40.000 dollar (256.000 kr, red.) i bitcoin.

Blev ringet op af angribere

Angriberne ringer endda pårørende til offeret op, idet offerets eget SIM-kort ikke virker, og beder om flere informationer og koder. Og herfefter afpresses ofrene med de informationer, bagmændene har fået ud af det lavpraktiske hack.

Læs også: Facebookbrugere hacket med kendt mobil-sårbarhed

»Det var en forfærdelig nat. Ikke om jeg begriber, at hackerne var frække nok til også at ringe os op,« siger kæresten til et af ofrene, Adam Ostlund.

Motherboard skriver desuden, hvordan det er relativt nemt for hackere at finde ud af, hvilke numre der ligger bag hvilke instagram-konti. Hackere har endda sat en service op til netop dette.

Vil man helt forhindre dette, skal teleselskaberne ændre deres serviceniveau betragteligt, så de ikke kan flytte numre til allerede udstedte SIM-kort. Derudover bør diverse konti ikke kunne hackes med noget sendt over mobilen alene, hvilket vil gøre det betydeligt mere besværligt, skulle man for eksempel glemme sit kodeord.

Det er uvist, om den samme nummerflytning ville kunne foregå i Danmark.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henning Wangerin

Men der kræves en underskrift fra dig på et stykke papir, som udbyder SKAL fremsende til din folkeregisteradresse.

Det har nu ikke været nødvendigt de gange jeg har flyttet et nummer. (Men det sker nu også kun meget sjældent ;-) )

Det er uvist, om den samme nummerflytning ville kunne foregå i Danmark.

Til gengæld har jeg hver gang skulle opgive nummeret på sim-kortet. Og nej. Det har intet med telefon-numret at gøre ;-)

/Henning

  • 0
  • 0
Kjeld Flarup Christensen

Men der kræves en underskrift fra dig på et stykke papir, som udbyder SKAL fremsende til din folkeregisteradresse.


Det lyder ikke til at det er det som de har gjort.

Hvis du har to numre hos YouSee, så prøv om du kan få dem til at flytte den ene nummer over på det andet SIM kort. "Jeg har mistet min primære telefon og det nummer er altså vigtigt, jeg kan ikke vente de 10 dage Post Nord er om at levere et nyt SIM kort. Jeg har en nummer som jeg ikke bruger så tit, kan i ikke sende en nyt SIM kort til det og så flytte mit nummer over på det kort."

Jeg kender YouSee/TDC's backend, og det kan helt klart lade sig gøre.
Det er dog også ret nemt at dobbelt tjekke, at det er den samme kunde, som har de to numre.

Til gengæld har jeg hver gang skulle opgive nummeret på sim-kortet.


Private kan flytte numre ved udelukkende at oplyse SIM kort nummeret. Erhverv skal som regel komme med en fuldmagt.

Men der kræves en underskrift fra dig på et stykke papir, som udbyder SKAL fremsende til din folkeregisteradresse.


Den regel har jeg ikke hørt om. Det var i hvert fald ikke noget som vi praktiserede hos Viptel. I så tilfælde skulle vi så til at kræve CPR nummer, så vi kunne slå adressen op. Altså lige et privacy issue der kommer ind over.

Måske kan det klares med Nem id; Nå ja, men har vel lov at håbe.


Vi valgte faktisk Nem id fra, fordi vi ikke anså det for sikkert.

Det er jo faktisk både Telefonselskabet og kunden der har en stor interesse i at der ikke snydes. Og jeg mener at det er yderst sjældent at det går ud over en kunde. Derimod står Telefonselskabet ofte med en telefonregning, som ikke bliver betalt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere