.png)
Stjal millioner ved å kapre SIM-kort - er “BankID på mobil” sikkert nok?
20 May, 2019
Hacking av SIM-kort blir stadig mer vanlig, og politiet blir mer og mer observant. Det skumleste er at du selv ikke merker at du er hacket. BankID på mobil, som er den enkleste og mest sorgfrie påloggingsmetoden hittil, knyttes det stor usikkerhet til.
Ni personer er siktet for å kapre SIM-kort og stjele kryptovaluta fra privatpersoner. I følge rettsdokumenter utgjorde overtrampet mer enn 2,4 millioner dollar. Hackingen skjedde ved hjelp av enten bestikkelse eller ved skjult sammensvergelse mellom hackerne og leverandører av mobilnettverk til å opprette kopier av SIM-kort.
De påståtte hackerne står for flere svindel- og identitetstyveri, mens telefonselskapets ansatte er siktet for bedrageri. Hver ansatt risikerer å sone opp til flere tiår i fengsel dersom de blir dømt. Tidligere i år ble en amerikaner den første personen dømt til fengsel for å bruke denne teknikken.
Tofaktorautentisering er usikker ved bruk av SIM-kort i mobiltelefon?
Med tilgang til telefonnummeret ditt, kan svindlere omgå sikkerhetsforanstaltninger som tofaktorautentisering, som gir dem kontroll over offerets SIM-kort. SIM-kapring blir stadig mer vanlig, og politiet blir mer og meir observant. Det skumleste er at du selv ikke merker at du er hacket.
BankID har svart på dette på FAQ:
"Hvis jeg har BankID på mobil og noen klarer å hacke mobilen min, kan det føre til at jeg blir svindlet og/eller at identiteten min kan bli stjålet?
100 prosent sikre kan ingen være! Bankene følger utviklingen nøye og utvikler stadig nye løsninger for å opprettholde og forbedre sikkerheten. Dette er ikke bare i din, men også i høyeste grad i bankens interesse".
BankID er til tross for spor av krisemaksimering, ansett for å være blant de sikreste autentiseringsmetodene.
Hva med fremtidens eSIM som erstatning for tradisjonelle SIM-kort?
Dette er nok en utfordring for BankID som innebærer at samtaler og identitet går via en IP-telefonløsning over internett. Chipen vil følge telefonen og du kan bytte telefon og abonnement med ditt nummer helt SIM-kortfritt. Det er god grunn til å anta at det i forbindelse med de mulighetene 5G-nettet åpner for, er en ideell kombinasjon for ID-tyver og de som er eksperter på hacking. Samtidig blir dette en nøtt for både internasjonale og nasjonale sikkerhetsmyndigheter.
Svindlere fra "Microsoft"
Uttalige samtaler fra utlandet som hevder de ringer fra Microsoft er nemlig i denne kategorien svindlere. De tar et eksisterende norsk mobilnummer og ringer fra dette. I et tilfelle der vår redaksjon ble oppringt, kontaktet redaksjonen vedkommende norske eier av "SIM-kortet" og informerte om at vi hadde fått oppringing fra "Microsoft". Eieren kunne opplyse om at dette hadde skjedd flere ganger og at mobilnettverkleverandøren ikke kunne gjøre noe med det. Eieren hadde skiftet nummer flere ganger.
Hva betyr dette for BankID? Er BankID trygt nok?
Ved bruk av BankID bruker du multifaktorautentisering.
BankID uten mobil (strengeste sikkerhetsnivå):
Det er noe du vet - personnummer og passord.
Det er noe du har - kodebrikke (strengeste nivå kan også gjennomføres uten kodebrikke!).
BankID på mobil (nest strengeste sikkerhetsnivå):
Det er noe du vet - fødselsnummer og passord.
Det er noe du har - SIM-kort i mobiltelefon.
Det er noe du er - ID knyttet til SIM-kort - men er det nok i disse dager?
Prosedyren for å hacke din personlige BankID på mobil er vanskelig, men ikke umulig. Du kan bli frastjålet personnummer og passord gjennom falske nettsteder. Det eneste som gjenstår er at de kaprer SIM-kortet ditt. Du kan forestille deg skaden som kan følge fra dette. Alt kan hackes, men du kan selv gjøre det vanskeligere å utføre. Og det blir mer og mer vanskelig å oppdage i tide at du er på en falsk portal som stjeler fra deg ID-en din.
BankID uten mobil med kodebrikke er svært vanskelig å hacke fordi de da må stjele kodekalkulatoren din i tillegg til personlig passord og personnummer.
Andre tofaktorautentiserings-metoder
Google Authenticator er enda mer unikt enn SMS. Her må de fysisk stjele telefonen din eller få tilgang til sikkerhetskoder i forbindelse med Google Authenticator. Det siste henter du ut i sammenheng med registreringen på en portal, skriver det ut og "legger det under puten".
Så langt synes det som Google Authenticator og lignende er det sikreste påloggingsalternativet som reduserer risiko maksimalt for å bli hacket. I stedet for å flytte til mer komplekse prosedyrer, tar vi et skritt tilbake og bruker video som dokumentasjon for å bekrefte en ID. Akkurat som du ville når du besøker en person i det virkelige liv.
Selvfølgelig er dette heller ikke vanntett (bruk av falske dokumenter), men vi har en bedre og direkte måte å bedømme om denne personen er som han/hun hevder å være. Video i kombinasjon med sertifiserte prosesser som BankID vil sikre hvem som er i den andre enden. Derfor prioriterer vi videokommunikasjon i vår plattform.
Nasjonal Sikkerhetsmyndighet
Etter en samtale med Nasjonal Sikkerhetsmyndighet gav informasjonssjef Trond Øvstedal følgende kommentar:
"Tofaktorautentisering er viktig. All tofaktorautentisering er bedre enn ingenting, men ikke alle løsninger er like bra".
Avslutning
Dette er nok noe det jobbes med for tiden. Vi mener det er en grunn til å sette fokus på utfordringen som samfunnet står overfor, nemlig økende kompetanse i hackermiljøene både nasjonalt og internasjonalt, samt at terskelen i disse kretsene for å faktisk misbruke tyvegodset fra norske bedrifter og myndigheter til det ytterste ligger faretruende høyt i dag.
Kilder:
The verge. (2019). A hacking ring stole millions by hijacking SIM cards, feds say. Hentet fra https://www.theverge.com/2019/5/11/18564381/community-hacking-sim-hijacking-cryptocurrency
Wikipedia. (2019). Multi-factor authentication. Hentet fra https://en.wikipedia.org/wiki/Multi-factor_authentication