ENISA adviseert tegen gebruik van sms voor 2FA-codes wegens sim-swapping

[Captain Kirk]

Wegens het risico van sim-swapping doen zowel eindgebruikers als banken er verstandig aan om codes voor tweefactorauthenticatie (2FA), waarmee erop een account kan worden ingelogd, niet via sms te versturen, maar hiervoor een app te gebruiken. Dat adviseert het Europees Agentschap voor cyberbeveiliging (ENISA).

Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken. De oorspronkelijke simkaart heeft daardoor geen toegang meer tot het netwerk, waardoor slachtoffers niet meer kunnen bellen, berichten versturen of mobiel internetten. Via het overgenomen telefoonnummer kunnen vervolgens accounts van het slachtoffer worden overgenomen, bijvoorbeeld door het opvragen van 2FA-codes en het uitvoeren van wachtwoordresets.

Om de sim-swap uit te voeren doen criminelen zich voor als het slachtoffer en bellen de telecomprovider om het nummer van het slachtoffer over te zetten. Ook komt het voor dat medewerkers van telecombedrijven worden omgekocht en vervolgens de sim-swap op verzoek van criminelen uitvoeren. Aangezien aanvallers gebruikmaken van persoonlijke informatie van het slachtoffer adviseert ENISA om geen privédata te verstrekken aan mensen die zich als medewerker van de telecomprovider voordoet en de hoeveelheid dat op websites en social media te beperken.

Verder wordt eindgebruikers aangeraden om bij het gebruik van tweefactorauthenticatie niet voor sms te kiezen, maar de 2FA-codes via een app te genereren. Ook geeft ENISA banken het advies om te stoppen met sms voor tweefactorauthenticatie en over te stappen op app-gebaseerde 2FA. "De laatste bankfraudes die met sim-swapping verband houden suggereren dat sms-2FA geen voldoende beveiligingsniveau biedt", aldus het Europees agentschap.

Aangezien app-gebaseerde 2FA afhankelijk is van biometrie, een pincode of wachtwoordgebaseerde authenticatie van de gebruiker, is er geen risico dat de 2FA-code wordt onderschept zoals met sms het geval is. ENISA voegt toe dat veel banken al 2FA-apps voor het autoriseren van transacties gebruiken en zo tweefactorauthenticatie via sms aan het vervangen zijn

 

bron: https://www.security.nl