Twee-factor sms-verificatie beschermt u niet als hackers uw berichten kunnen onderscheppen

Omwille van de eenvoud beschrijven experts vaak tweefactorauthenticatie (2FA) als een systeem waarmee u zich alleen bij uw account kunt aanmelden als u iets aanbiedt dat u kent of iets dat u hebt.

Het ding dat je weet is duidelijk - de juiste combinatie van gebruikersnaam en wachtwoord. Het ding je hebt, is echter een ander verhaal. Op enkele uitzonderingen na, levert u niet echt iets op dat u bij zich hebt. U voert meestal een tijdelijke code in die op de een of andere manier wordt weergegeven op een apparaat dat u hebt. En welk apparaat heb je altijd bij je? Dat klopt, je mobiele telefoon.

SMS en tweefactorauthenticatie

Het sms'en van de tijdelijke toegangscode naar uw mobiele telefoon is een voor de hand liggende oplossing. Het is snel, het is goedkoop, en voor een tijdje waren er geen andere alternatieven. Tot op de dag van vandaag zijn er tal van online diensten die dit soort tweefactorauthenticatie bieden, en veel mensen gebruiken het, omdat ze denken dat het het meest verstandige is ter wereld.

Beveiligingsspecialisten twijfelen echter al een tijdje. Het punt is dat wanneer ze hun bezorgdheid uiten, ze vaak worden bekritiseerd omdat ze te paranoïde zijn, en het moet gezegd worden dat de scenario's die sommigen van hen beschrijven zo nu en dan niet erg plausibel zijn, vooral wat reguliere gebruikers betreft. In het geval van sms en tweefactorauthenticatie zijn de angsten echter gegrond in koude, harde feiten over de technologie in kwestie, en ze moeten niet lichtvaardig worden afgewezen.

SS7 - de oude technologie die we nog steeds gebruiken om sms-berichten te verzenden en ontvangen

Signaleringssysteem nr. 7 (SS7) is een verzameling protocollen die we onder meer hebben gebruikt voor het verzenden van tekstberichten sinds de eerste mobiele telefoons uitkwamen. De eigenlijke protocollen zijn al in 1975 ontwikkeld en net als elke technologie die meer dan veertig jaar oud is, hebben ook zij bewezen een of twee nadelen te hebben.

Uit veiligheidsoogpunt waren de dingen bijzonder zorgelijk, vooral in de afgelopen tien jaar. Experts hebben het sinds 2008 over SS7-kwetsbaarheden, met de eerste fouten waardoor slachtoffers kunnen worden gevolgd, en met latere ontdekkingen waardoor oplichters oproepen en berichten kunnen onderscheppen. In theorie zouden alleen telecommunicatieproviders toegang moeten hebben tot SS7-netwerken, maar in werkelijkheid kan iedereen naar de ondergrondse markten gaan en hulpmiddelen kopen waarmee ze door de informatiestroom kunnen bladeren.

Zodra ze de eerste kwetsbaarheden vonden, verklaarden experts dat SS7 onvoldoende was om de privacy van gebruikers te beschermen en zeiden dat iets moderners het zou moeten vervangen. Blijkbaar dachten telecommunicatieproviders echter dat de dreiging niet zo ernstig was en werden de oproepen van de beveiligingsgemeenschap genegeerd. In 2017 gebeurde het onvermijdelijke.

De Duitse vestiging van O2-Telefonica, een Europese mobiele serviceprovider, gaf toe dat sommige van zijn klanten hun bankrekeningen hebben leeggemaakt nadat criminelen een fout in het SS7-netwerk hadden misbruikt. Ten eerste gebruikten de hackers social engineering om slachtoffers te misleiden om malware op hun computers te installeren. Gewapend met gestolen gebruikersnamen, wachtwoorden en telefoonnummers probeerden de boeven midden in de nacht in te loggen op gebruikersaccounts. Vervolgens onderschepten ze de sms'en met de tweefactorauthenticatiecodes en haalden ze het geld met succes af.

In de nasleep van het incident begonnen meer mensen op zoek te gaan naar een nieuwere technologie om SS7 te vervangen, maar het is een feit dat we op dit moment gewoon geen alternatief hebben. Dit, naast de dreiging van sim-swapping, maakt sms als medium voor het overbrengen van 2FA-codes minder dan perfect. Betekent dit dat u in geen geval sms-tweefactorauthenticatie moet gebruiken?

Sms tweefactorauthenticatie is beter dan geen tweefactorauthenticatie

De sms heeft vooral fouten wanneer deze wordt gebruikt voor iets dat zo gevoelig is als 2FA-codes. Het moet echter gezegd worden dat sommige mensen een beetje meeslepen met de waarschuwingen. SS7-aanvallen zijn inderdaad niet alleen een theoretische mogelijkheid, maar een feit, zoals klanten van O2-Telefonica kunnen getuigen. Dit soort misdaad kan echter alleen worden gepleegd door geavanceerde hackgroepen die zowel zeer bekwaam als zeer gemotiveerd zijn. En in tegenstelling tot wat vaak wordt gedacht, zijn er niet zoveel in de buurt. De meeste cybercriminelen die op gebruikers jagen, hebben noch de kennis noch de middelen om een dergelijke aanval uit te voeren. Hetzelfde geldt voor sim-swapping.

En in ieder geval, zelfs als ze bekwaam genoeg zijn om sms-berichten te onderscheppen, maakt u, door tweefactorauthenticatie ingeschakeld te hebben, op zijn minst hun leven veel moeilijker. Dat is altijd goed.

Je zou nu moeten weten dat er een paar alternatieven zijn. Tweefactorauthenticatie-apps zoals Google Authenticator genereren hun codes lokaal, wat betekent dat boeven ze niet kunnen onderscheppen. En als u nog veiliger wilt zijn, kunt u altijd naar U2F-authenticatietokens kijken.

Zelfs deze opties zijn niet foutloos, maar vooral als u iets belangrijks beschermt, zoals uw e-mail of uw online bankaccount, doen ze het veel beter dan sms-berichten. Controleer de 2FA-opties voor alle services die u gebruikt en als u iets veiliger dan sms-berichten kunt kiezen, zorg er dan voor dat u dat doet. Zelfs als sms'en de enige optie zijn, moet u ervoor zorgen dat 2FA is ingeschakeld.