En ny anfallsväg?
John Biggs från Techcrunch skrev i en artikel om hur han och andra som äger eller arbetar med kryptovalutor utsatts för riktade hackerattacker där gärningsmännen använt offrens mobilabonnemang som anfallsväg. I attackerna har brottsoffrens mobilabonnemang blivit kapade och därmed har gärningsmannen fått tillgång till att ta emot SMS och därigenom komma igenom offrets tvåvägsautentisering. Även New York Times skriver om liknande händelser som har drabbat personer som handlar med kryptovalutor.
Tvåvägsautentisering ökar säkerheten genom ett extra lager av säkerhet kopplat till en specifik enhet som bara du har tillgång till.
Brian Krebs från Krebs on security ifrågasätter nu säkerheten hos tvåvägsautentisering i en av sina artiklar.
”Not all two-step authentication methods are equally secure. Probably the most common form of secondary authentication — a one-time code sent to your mobile device via SMS/text message — is also the least secure” – Brian Krebs
Krebs fortsätter med att skriva om att app-baserad tvåvägsauktorisering som t.ex. Google authenticator är betydligt säkrare att använda.
Han får uppbackning i detta av bland annat Lorrie Cranor, Chief Technologist på Amerikanska federala handelskommissionen som i sin artikel skriver om sin personliga upplevelse där hennes identitet blev kapad genom att någon tog ut ett nytt SIM-kort i hennes namn:
”A store employee explained that a thief claiming to be me had gone into a phone store and “upgraded” my two phones to the most expensive iPhone models available and transferred my phone numbers to the new iPhones.” – Lorrie Cranor
I USA rapporterades det 2016 att 6.3% av alla identitetsstölder varit attacker där mobilabonnemang kapats. I Sverige finns det ingen statistik över antal bedrägerifall där mobilabonnemang har varit anfallsvinkeln, men BRÅ rapporterar att antal fall i kategorin Datorbedrägerier har ökat med 39% mellan 2015 och 2016. Från 1 juli 2016 finns även kategorin Olovlig identitetsanvändning hos BRÅ där identitetskapningar kommer att hamna men ännu finns ingen specifik rapport att tillgå.
Vad kan jag göra för att inte bli drabbad?
Än så länge är Sverige relativt besparat från attacker där mobilabonnemang används och mycket av ansvaret ligger i hur företag och operatörer hanterar säkerhetsrisker.
Fråga din mobiloperatör hur de hanterar abonnemangsbyten och simkortsbyten i butik.
När det gäller säkerhet av mobilabonnemang kan du fråga vilka rutiner just din operatör har mot att någon annan tar ut abonnemang i ditt namn eller gör ändringar på dina abonnemang via kundtjänst.
Om företaget har en applikation istället för SMS, välj att använda denna.
Om möjligt välj företag som har en applikationsbaserad tvåvägsautentisering istället för en som förlitar sig på SMS. Med en applikation läggs ytterligare ett lager av säkerhet till då gärningsmannen även behöver skaffa tillgång till appen.
Med en extern säkerhetsdosa ökar skyddet ytterligare mot bedrägerier
Det finns fortfarande många råd för att öka din säkerhet generellt.
Som privatperson finns det åtgärder du kan göra för att minimera risker:
Exponera inte dina personuppgifter på internet i onödan. Undvik att skriva personliga uppgifter i forum där vem som helst kan läsa dem om du inte måste.
Spärra din adress mot adressändring för att undvika att någon beställer varor i ditt namn och skickar till en annan adress.
Spärra ditt personnummer mot kreditupplysningar, vilket kan förhindra att gärningsmän gör stora köp eller tar lån i ditt namn.
Man kan även göra följande generella åtgärder för att minska risker:
- Inte använda samma lösenord på olika platser på internet
- Välja ett lösenord som inte är för enkelt
- Spara inte kortuppgifter på sajter där du är osäker på hur de hanterar dina uppgifter
- Öppna inte e-post eller länkar där du inte känner till avsändaren
- Vara förberedd. Ha en lista över vilka kort och konton som behöver spärras om olyckan är framme (bank, bensin, matbutiker, etc.)
Mer information finns att läsa hos bland annat Polisen och IIS – Internetstiftelsen i Sverige
Vad gör jag om jag blivit drabbad?
- Polisanmäl alltid händelsen
- Spärra betalkort hos utgivare
- Spärra ditt personnummer mot kreditupplysningar
- Byt lösenord på sajter och applikationer
- Stulna eller borttappade körkort anmäls utöver till polisen även till transportstyrelsen