Sms-hack laat zien waarom je een van deze apps nodig hebt

Krediet: BigTunaOnline/Shutterstock

Een recent verhaal illustreert hoe onveilig sms-berichten, en telefoonnummers in het algemeen, worden gebruikt als vormen van identificatie.

Vice News-verslaggever Joseph Cox werkte samen met een hacker met een witte hoed om te demonstreren hoe gemakkelijk het was om sms-berichten die bedoeld waren voor Cox' T-Mobile-telefoon om te leiden naar een ander telefoonnummer dat door de hacker werd beheerd. Cox heeft de sms'jes helemaal niet gekregen en ook geen meldingen op zijn telefoon gekregen dat de sms'jes werden omgeleid.



  • Cyber ​​Monday deals: bekijk nu al de beste aanbiedingen!

De hacker deed dit door een autorisatieformulier te vervalsen (met toestemming van Cox) om een ​​bedrijf dat sms-berichten omleidt voor bedrijven ertoe te brengen de sms-berichten naar zijn telefoon te sturen.

Veel bedrijven gebruiken dergelijke diensten zodat ondersteunend personeel computers kan gebruiken om via sms met klanten te communiceren — hier is een voorbeeld van een ander bedrijf van hoe het werkt .

Het bedrijf dat in het Vice News-stuk wordt uitgebuit, zegt dat de hack niet langer mogelijk is, althans met zijn eigen service. Maar misschien is het nog steeds mogelijk bij andere bedrijven die soortgelijke diensten aanbieden.

xbox-serie x 500 dollar

Uw telefoonnummer mag niet uw ID zijn

Dit verhaal onderstreept een punt gemaakt door een onafhankelijke beveiligingsverslaggever Brian Krebs een paar jaar geleden, en herhaalde in a blogpost die Krebs gisteren schreef (16 maart): Mobiele telefoonnummers mogen niet als identificatie worden gebruikt.

Het is te gemakkelijk om nummers naar andere telefoons te 'porteren', bijvoorbeeld door lief te praten of een medewerker van de klantenservice om te kopen. Het is te gemakkelijk voor criminelen om toegang te krijgen tot de interne werking van het wereldwijde telefoonnetwerk door telecomoperators in kleine landen om te kopen of te hacken, en zo sms-berichten naar elk nummer te kunnen doorsturen. En, in tegenstelling tot de meeste mobiele telefoongesprekken, zijn sms-berichten niet versleuteld.

Veel online diensten, variërend van WhatsApp en signaal om, zoals Cox opmerkte, Bumble en Postmates je mobiele telefoonnummer te behandelen als je primaire gebruikers-ID.

Duizenden meer online diensten gebruiken sms-berichten als de standaardvorm van tweefactorauthenticatie. Bijna alle online services gebruiken sms-berichten als de primaire manier om de identiteit van een gebruiker te bevestigen tijdens procedures voor het opnieuw instellen van wachtwoorden.

Als gevolg hiervan is het stelen van uw wachtwoord vaak de gemakkelijkste manier om uw online e-mail-, bank- of financiële account te kapen, maar door uw telefoonnummer te stelen.

11 pro vs pro max

In de afgelopen jaren hebben beleggers in cryptocurrency miljoenen dollars kwijt aan oplichters die hun telefoonnummers hebben gestolen en hun accounts hebben gekaapt.

We hebben anekdotes gehoord van mensen die frauduleuze afschrijvingen op hun Apple Pay-accounts omdat iemand zijn nummers naar andere telefoons heeft geporteerd - ook al zou dat onmogelijk zijn.

Het probleem zal niet snel worden opgelost

De ideale oplossing zou zijn om uw telefoonnummer zo min mogelijk als uw ID te gebruiken. U zou een rijbewijs niet vertrouwen dat gemakkelijk zonder uw medeweten kan worden gekloond of gestolen, of kan worden overgedragen aan een andere persoon wanneer u een andere auto krijgt. Je moet je telefoonnummer ook niet vertrouwen.

Helaas kunnen we bedrijven niet dwingen om ervan uit te gaan dat telefoonnummers onlosmakelijk verbonden zijn met één persoon.

Idealiter zouden bedrijven tijdens het resetten van hun wachtwoord altijd verificatiecodes naar e-mailadressen of mobiele apps sturen in plaats van naar telefoonnummers. Maar niet alle bedrijven begrijpen beveiliging zo goed als Google of Microsoft.

Voor veel bedrijven die zich normaal gesproken niet in de technische sector bevinden, is een mobiel telefoonnummer een snelle, gemakkelijke en universeel ondersteunde manier om met klanten te communiceren.

waar te koop rtx 3090

Daarom bieden de meeste bedrijven met een online aanwezigheid nog steeds alleen sms-berichten aan als de 'tweede factor' in tweefactorauthenticatie (2FA). Het is nog steeds een stuk beter dan helemaal geen vorm van 2FA te hebben.

Hoe u kunt stoppen zo afhankelijk te zijn van uw telefoonnummer?

Er zijn een aantal manieren om de schade tot een minimum te beperken, mocht uw mobiele nummer worden gestolen of uw sms-berichten worden doorgestuurd of bespioneerd.

Het eerste dat u moet doen, is als tweede factor controleren hoeveel online services u gebruikt die iets anders bieden dan sms-berichten. In het ideale geval zijn we op zoek naar ondersteuning voor authenticator-apps.

Authenticator-apps zijn gratis codegenerators die u op uw Android- of iOS-apparaat installeert. Authy en Google Authenticator zijn twee van de meest gebruikte, maar we raden ook LastPass, Duo, Microsoft en FreeOTP authenticator-apps aan.

Al deze apps zijn compatibel met elkaar en ze zijn eenvoudig in te stellen wanneer u zich inschrijft voor 2FA op de website van een bepaalde dienst. Je opent gewoon de app, richt de camera van je telefoon op een QR-code die op de website wordt weergegeven en typt vervolgens de code die verschijnt.

Online services die authenticator-apps ondersteunen, zijn onder meer Amazon, Dashlane, Discord, Dropbox, Facebook, Github, Google, Instagram, Keeper, LastPass, LinkedIn, Microsoft, Newegg, Paypal, Reddit, Slack, Snapchat, TurboTax, Twitter en Zoom. Er is geen reden waarom u sms-berichten voor 2FA met een van deze services zou moeten gebruiken.

beste espressomachines voor thuis

Twee grote technische diensten ontbreken echter in deze lijst.

Apple gaat ervan uit dat iedereen met een Apple ID ook een Apple-apparaat heeft (niet waar), en 'pusht' een tijdelijke inlogcode naar elk apparaat dat op die Apple ID is geregistreerd. Het enige alternatief is om die code via sms te verzenden. We denken dat Apple authenticator-apps van derden moet ondersteunen als een 2FA-optie.

Yahoo 'pusht' codes naar je telefoon via zijn mobiele Yahoo-app, die je op elk Android- of iOS-apparaat kunt installeren. Anders, zoals Apple, sms't het je de code.

Pushmeldingen zijn redelijk veilig - Google en Microsoft ondersteunen ze ook - maar je moet een nieuwe app installeren voor elke service die ze gebruikt. Aan de andere kant heb je maar één authenticator-app nodig.

Authenticator-apps en pushmeldingen zijn echter niet beschikbaar voor de meeste online services, vooral voor bedrijven die niet traditioneel in de technische sector actief zijn. Dit geldt helaas voor veel banken, zelfs de grote.

hoe de xbox-controller te koppelen

Maar in veel gevallen kunt u naar uw accountprofiel gaan en wachtwoord-reset en 2FA-codes naar een e-mailadres laten gaan in plaats van naar een telefoonnummer.

Moet je je telefoonnummer überhaupt gebruiken?

In zijn blogpost van gisteren raadde Krebs je aan nog een stap verder te gaan. Hij stelt dat je je telefoonnummers uit je online accountprofielen moet verwijderen, zodat diensten je niet kunnen bellen of sms'en.

Dat vinden wij niet realistisch. Zonder uw mobiele nummer te kennen, kunnen services die authenticator-apps niet ondersteunen u helemaal geen 2FA aanbieden.

Zelfs services die andere vormen van 2FA ondersteunen, kunnen u in geval van nood moeilijk bereiken, bijvoorbeeld als iemand probeert in te breken in uw account met een gestolen wachtwoord of toegang probeert te krijgen tot uw online bankrekening.

Totdat het Amerikaanse bedrijfsleven buiten de technische sector wijzer wordt en zich realiseert dat telefoonnummers niet gelijk zijn aan ID, zal dit probleem bij ons blijven. Als gebruiker kunt u uw risico echter minimaliseren door ze uw telefoonnummer zo min mogelijk te laten gebruiken.

De beste Google Pixel 4a-deals van vandaagBlack Friday Sale eindigt over19uur53minuten37droog Google Pixel 4a Google winkel $ 349 Weergave Google Pixel 4a 128GB... Walmart $ 470,01 Weergave Google Pixel 4a (4G) G025N ... Amazone $ 595 Weergave Bekijk meer Black Friday-uitverkoop deals bij Amazone Walmart Beste koop Dell We controleren elke dag meer dan 250 miljoen producten voor de beste prijzen