De Amerikaanse telecomprovider AT&T moet zich voor de rechter moet verantwoorden voor een ‘sim-swap aanval’ en de schending van de Federal Communications Act. Via zo’n aanval werd bij Michael Terpin, een investeerder in cryptovaluta en blockchain, 24 miljoen dollar gestolen.
‘Sim swapping’ is een digitale aanval waarbij iemands telefoonnummer gekaapt wordt. De hacker neemt contact op met de telecomprovider en doet zich voor als de eigenaar van het telefoonnummer. Providers vragen vaak naar de geboortedatum of het adres van klanten ter verificatie, maar die informatie is gemakkelijk online te achterhalen. De hacker zegt dat hij de simkaart kwijt is en vraagt een nieuwe aan, of vraagt om het nummer over te zetten naar een bestaande simkaart die al in zijn bezit is. Zodra dit geregeld is, kan de hacker de sms’jes met toegangscodes ontvangen op een ander toestel. Zo kan hij inloggen en de accountnaam overnemen van de rechtmatige eigenaar.
Bij Michael Terpin werden begin 2018 op die manier zo’n drie miljoen tokens gestolen die samen bijna 24 miljoen dollar waard waren. De dader, de 21-jarige Nicolas Truglia, werd in november gearresteerd. Het onderzoek naar Truglia loopt nog, maar Terpin heeft alvast een burgerlijke zaak tegen de man gewonnen waarin hij bijna 76 miljoen dollar van hem eist. Terpin spande ook een zaak aan tegen AT&T. De telecomoperator probeerde de zaak eerst onontvakelijk te laten verklaren, maar daar ging de rechter niet op in. AT&T zal zich dus moeten verantwoorden voor zijn aandeel in het misdrijf.
Terpin had eerder al problemen gehad met fraudeurs die op zijn telefoonaccount trachtten in te breken en daarom waren er bij AT&T bijkomende veiligheidsmaatregelen genomen. Die maatregelen (onder meer het ingeven van een bijkomende pascode vooraleer er gegevens naar een andere simkaart mochten overgezet worden), zouden niet gewerkt hebben. Terpin eist nu 224 miljoen dollar van AT&T.
Deze zaak roept interessante vragen op over de verantwoordelijkheden die mobiele telecomproviders dragen bij aanvallen met sim-swapping en andere hackingtechnieken. Criminelen zoeken naar de zwakke schakel in de authenticatieketting en vaak dat is de sms. Bovendien is het dikwijls verrassend eenvoudig om een sim-swap aanval te doen, want de technologieën die deze aanvallen opsporen, staan nog niet op punt.
‘Vergeet sms-authenticatie’
‘Diefstal van cryptovaluta is momenteel een belangrijke drijfveer voor sim swap-aanvallen vanwege de grote bedragen die snel gestolen kunnen worden en de geringe kans dat het gestolen geld ooit teruggevonden wordt’, zegt Paul Dunphy onderzoeker en cryptovalutaspecialist bij het cybersecuritybedrijf Onespan. ‘Sim swap-aanvallen roepen ernstige vragen op over de veiligheid van sms voor multifactor-authenticatie, waarbij het probleem van de beveiliging van online accounts naar de mobiele telecomproviders wordt geduwd. Het is bekend dat hun processen om nummers over te dragen de vastberaden cybercriminelen niet kunnen tegenhouden.’
Het resultaat van deze rechtszaak zal grote gevolgen hebben voor de ontwikkelaars van multifactor-authenticatie, meent Dunphy. Het zal interessant zijn om te zien hoe mobiele netwerken in de toekomst de veiligheid van hun nummeroverdrachten zullen ontwikkelen. ‘Mijn advies is om geen sms-authenticatie te gebruiken voor waardevolle online accounts en zeker niet voor accounts van cryptovaluta.’