'De bibliotheek voor de bestrijding van digitale criminaliteit'

Home » Cybercrime » Zet accounts om van tweestapsverificatie via SMS naar authenticator app. Waarom?

Zet accounts om van tweestapsverificatie via SMS naar authenticator app. Waarom?

Gepubliceerd op 8 december 2021 om 15:00

Wegens het risico van sim-swapping doen zowel eindgebruikers als banken er verstandig aan om codes voor tweefactorauthenticatie (2FA of tweestapsverificatie), waarmee erop een account kan worden ingelogd, niet via sms te versturen, maar hiervoor een app te gebruiken. Dat adviseert het Europees Agentschap voor cyberbeveiliging (ENISA).

Gevaren sim-swapping

Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken. De oorspronkelijke simkaart heeft daardoor geen toegang meer tot het netwerk, waardoor slachtoffers niet meer kunnen bellen, berichten versturen of mobiel internetten. Via het overgenomen telefoonnummer kunnen vervolgens accounts van het slachtoffer worden overgenomen, bijvoorbeeld door het opvragen van 2FA-codes en het uitvoeren van wachtwoordresets.

Social engineering

Om de sim-swap uit te voeren doen criminelen zich voor als het slachtoffer en bellen de telecomprovider om het nummer van het slachtoffer over te zetten. Ook komt het voor dat medewerkers van telecombedrijven worden omgekocht en vervolgens de sim-swap op verzoek van criminelen uitvoeren. Aangezien aanvallers gebruikmaken van persoonlijke informatie van het slachtoffer adviseert ENISA om geen privé data te verstrekken aan mensen die zich als medewerker van de telecomprovider voordoet en de hoeveelheid dat op websites en social media te beperken.

Sim Swap Aanval
Afbeelding – 1,4 MB 24 downloads

Authenticator

Verder wordt eindgebruikers aangeraden om bij het gebruik van tweefactorauthenticatie niet voor sms te kiezen, maar de 2FA-codes via een app te genereren. Ook geeft ENISA banken het advies om te stoppen met sms voor tweefactorauthenticatie en over te stappen op app-gebaseerde 2FA. "De laatste bankfraudes die met sim-swapping verband houden suggereren dat sms-2FA geen voldoende beveiligingsniveau biedt", aldus het Europees agentschap.

Aangezien app-gebaseerde 2FA afhankelijk is van biometrie, een pincode of wachtwoord gebaseerde authenticatie van de gebruiker, is er geen risico dat de 2FA-code wordt onderschept zoals met sms het geval is.

ENISA voegt toe dat veel banken al 2FA-apps voor het autoriseren van transacties gebruiken en zo tweefactorauthenticatie via sms aan het vervangen zijn.

ENISA REPORT Countering SIM Swapping
PDF – 2,3 MB 21 downloads

Bron: enisa.europa.eu, security.nl

Meer info over sim swapping 》

Meer info over tweestapsverificatie

Bekijk alle vormen en begrippen 》

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.

Meer nieuws over sim swapping


«