Overslaan en naar de inhoud gaan

TAN-codes onveilig door traagheid telco's

'Als ze niet piepen, niets doen'. Dat blijkt toch steeds weer het uitgangspunt van grote dienstverleners in de interneteconomie. Deze keer zorgt het gebrek aan daadkracht van telefoonmaatschappijen voor problemen, althans voor een aantal internetbankierende Duitsers.
internetbankieren
© CC BY 2.0 - Flickr.com - cropped from original
CC BY 2.0 - Flickr.com - cropped fro

Hoeveel Duitsers slachtoffer zijn geworden van cyberroof is onduidelijk. Maar het staat wel vast dat internetbankierende consumenten die als tweede beveiligingsfactor een TAN-code toegestuurd krijgen, slachtoffer zijn geworden van een digitale overval. Telecomaanbieder O2-Telefonica heeft dat namelijk tegenover de Süddeutsche Zeitung bevestigd, evenals een aantal zegslieden die wegens geheimhoudingsplicht anoniem wensen te blijven. Of het probleem tot Duitsland beperkt is, is ook niet helder.

Zoals wel vaker maken de cybercriminelen ook hier weer misbruik van een probleem dat al jaren bekend is. In dit geval schuilt het probleem in de manier waarop telecomnetwerken ingericht zijn. In het bijzonder gaat het om het SS7-protocol. Dat vervult binnen telecomnetwerken verschillende functies. Het wordt bijvoorbeeld gebruikt voor het opzetten, beheren en verbreken van verbindingen, het opmaken van de rekening, het doorverbinden van oproepen, tonen van naam en nummer van de beller, het opzetten van drieweggesprekken en ander intelligente netwerkdiensten, en het bellen van 800- en 900-nummers.

Signaling System 7-protocol blijkt al jaren lek

Er wordt nog gesteggeld over de vraag of het een fout is, of gewoon een onderdeel van het oorspronkelijke ontwerp. Maar feit is wel dat dat Signaling System 7-protocol aangrijpingspunten biedt voor mensen met minder eerzame bedoelingen. Dat was al sinds 2008 bekend, na een publicatie van Tobias Engel. In 2014 werd ook jan publiek duidelijk dat SMS af te luisteren is via dit protocol, na publicaties in The Washington Post en de Süddeutsche Zeitung. Een jaar geleden liet Amerikaans Congreslid Ted Lieu - die in 2014 al om actie vroeg - zijn mobieltje via het SS7-protocol hacken om de ernst van de situatie te onderstrepen.

Voor zo'n hack heeft de cybercrimineel wel de bankgegevens en het telefoonnummer nodig van zijn slachtoffer in spe. Maar als die eenmaal bemachtigd zijn, heeft de mobiel gedistribueerde TAN-code zijn nut als de tweede beveiligingsfactor verloren. Via het SS7-protocol en een toegang tot het nummeruitwisselingssysteem - voor eenmalig zo'n 1000 euro - wisten de hackers het telefoonverkeer van hun slachtoffer om te leiden naar een nummer van hun keuze, en was de laatste barrière voor het plunderen van de internetrekening genomen.

In Duitsland maatregelen genomen

In Duitsland hebben O2-Telefonica en Vodafone naar eigen zeggen maatregelen genomen tegen deze vorm van hacken; ze staan voortaan niet meer toe dat de aanvraag om een nummer door te schakelen van buiten hun eigen netwerk komt. Het is onduidelijk of daarmee alle problemen zijn  opgelost. En het is sowieso onverklaarbaar waarom eerst ook mensen echt schade hebben moeten ondervinden voordat de telco's zo'n simpel ogende maatregel doorvoeren.

Situatie in Nederland onduidelijk

In Nederland maakt alleen ING gebruik van via de mobiele telefoon verspreide TAN-codes als laatste verdedigingswal. ING verklaart desgevraagd dat het op de hoogte is van het bericht in de Süddeutsche Zeitung. Maar TAN-codes per SMS zijn nog steeds veilig genoeg voor het autoriseren van transacties, stelt ING. "Onze veiligheidsexperts houden continu de ontwikkelingen met betrekking tot veilig bankieren in de gaten. De veiligheid van online bankieren is voor ons zeer belangrijk en we investeren er dan ook fors in. Daar waar nodig nemen we extra maatregelen om fraude vroegtijdig te detecteren en te voorkomen", verklaart ING in een reactie per e-mail. ING wil niet in detail op deze maatregelen ingaan, om "internetcriminelen niet wijzer [te] maken dan ze al zijn."

Het probleem met het SS7-protocol is natuurlijk niet in de eerste plaats de verantwoordelijkheid van ING. KPN en Vodafone, partijen die er echt over gaan, hebben nog niet gereageerd op vragen over eventuele risico's van het gebruik van SS7-protocol in Nederland.

Artikel op 04-05-2017 om 16:02 uur geüpdate met reactie van ING.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in