Bristande rutiner hos stora teleoperatörer har gjort det skrämmande enkelt att komma över en annan privatpersons Googlekonto, kan Computer Sweden avslöja i dag. Allt förövaren behöver för att utföra attacken är offrets personnummer, mobilnummer och e-postadress, vilket alla är uppgifter man enkelt kan ta reda på.
Efter ett tips från en uppgiftslämnare, som vill vara anonym, testade Computer Sweden tillsammans med säkerhetsexperten David Jacoby på Kaspersky Labs att komma över ett Google-konto med den här metoden. Resultatet blev att vi rundade Googles tvåfaktorsautentisering och fick kontroll över kontot. Det tog fem minuter.
– Säkerhetsexperter har i flera år rekommenderat användare att slå på tvåfaktorsautentisering och genom den här attacken slår vi sönder den totalt eftersom det finns inget skydd för detta i dagsläget, säger David Jacoby, säkerhetsexpert på Kaspersky Labs.
Så här går attacken till:
Förövaren ringer helt enkelt upp offrets teleoperatör och ber att få offrets mobilnummer vidarekopplat till sitt eget mobilnummer. När förövaren står i telefonkön till operatören ber den automatiska svararen om personnumret, som skrivs in med knappsatsen.
Computer Swedens reporter testade att ringa Tele2 och på detta sätt vidarebefordra David Jacobys mobilnummer till vår reporters mobil. Kundtjänstpersonen hos Tele2 vidarebefordrade numret utan att blinka.
Kunde enkelt ta över kontot
Nästa steg består i att gå in på Googles inloggningssida och klicka på ”Glömt lösenordet” och välja att få den obligatoriska verifieringskoden uppringd till det registrerade mobilnumret, som nu alltså är vidarebefordrat till förövaren. Googles tjänst ringer då upp mobilnumret och en röst läser upp verifieringskoden. Vi testade även detta och kunde då enkelt ta över kontot.
Efter att verifieringskoden skrivits in är det en smal sak att byta lösenordet. Offret har nu helt förlorat kontrollen över sitt konto, och antagligen en stor del av sitt digitala liv.
I det här fallet handlade det om ett Google-konto, men metoden fungerar på vilket annat konto som helst där tjänsten kan ringa upp kontoägaren och genom en röst läsa upp en verifieringskod.
När David Jacoby testade att återställa sin vidarekoppling kunde han inte ens se att numret var vidarebefordrat, än mindre fick han en bekräftelse att så skett.
– Jag tycker att det var konstigt att jag inte kunde se att vidarekopplingen var aktiv genom att logga in på ”Mina sidor". Det kan vara så att jag inte hittade, men jag såg inget om det. Så om någon blir attackerad är det svårt att veta om attacken är aktiv eller inte. Det hade nog tagit mig flera dagar innan jag började kolla upp det.
– Det är en miss av telefonoperatörerna att de inte verifierar användaren mer. Jag vill inte peka finger på någon speciell operatör eller anställd utan mer lyfta fram ett problem. Jag som konsument vill ha bra support från mina leverantörer, men kanske inte på bekostnaden av säkerheten, säger David Jacoby.
Tele2 har i nuläget inga inrapporterade incidenter som kan kopplas specifikt till detta, säger Louise Ekman, presschef på Tele2, till Computer Sweden.
– Däremot har vi uppenbarligen brustit i våra rutiner då ni noterat denna möjlighet hos oss, och andra operatörer, och det är något vi ser allvarligt på. Vi har som rutin att genomföra autentiseringskontroller för att fastställa både våra privatkunders och företagskunders identitet. När det gäller våra privatkunder och mindre företagskunder ska vi alltid säkerställa kunden, genom till exempel. kontrollfrågor. Här ser vi att vi kan förtydliga rutinerna ytterligare för att säkerställa att detta görs, och det uppdaterar vi just nu. Vad gäller storföretag så samstäms dessa processer först och främst med det aktuella företagets säkerhetsrutiner, skriver Louise Ekman.
– Till följd av Computer Swedens uppmärksammande ser vi nu över våra rutiner för säkerställa att vi fortsättningsvis inte får in några incidenter kopplat till detta. Vi ska även se till att medvetandegöra medarbetare i vår kundtjänst på problematiken, så att de förblir vaksamma.
Enligt Computer Swedens uppgiftslämnare har metoden fungerat även hos Telia och Telenor.
När vi ber Telia om en kommentar svarar pressansvarige Inger Gunterberg i ett mejl till Computer Sweden att operatören begär identifiering med BankID både när kunden använder online-portalen och över telefon. Den rutinen fungerar uppenbarligen inte alltid, eftersom vår uppgiftslämnare med framgång testat att vidarekoppla sitt mobilnummer hos operatören.
Tagit fram ny rutin
Telenor säger till Computer Sweden att operatören har tagit fram en ny rutin för att se till att den här typen av bedrägeriförsök inte kan ske.
– Utöver kontrollfrågor som ingått sedan tidigare så görs även en motringning till det nummer man vill göra vidarekoppling från. Den utrullningen har vi arbetat med under den senaste tiden och genomför nu extrainsatser för att säkerställa att rutinerna följs av samtliga medarbetare på vår kundtjänst, säger Mikko Viitala, presschef på Telenor.
– Vi ser allvarligt på alla former av bedrägeriförsök och tittar även på möjliga ytterligare verifieringslösningar i samband med vidarekoppling av samtal.
Tre verkar ha lite bättre rutiner. När Computer Swedens uppgiftslämnare testade frågade Tres kundtjänst om faktureringsmetod, ungefärligt belopp per månad och liknande kundspecifik information, samt mellannamn och personnummer. Men genom att ge svävande och delvis felaktiga svar gick det att få igenom vidarekoppling. I detta fall valde vår uppgiftslämnare dock att avbryta innan kundtjänsten faktiskt utförde vidarekopplingen.
– Vi har en tydlig rutin för säkerhetsklassning. Av säkerhetsskäl kan vi inte berätta exakt hur det går till. Parallellt med vår manuella säkerhetsklassning arbetar vi med att införa BankID i vår växel. BankID kommer förbättra säkerheten ytterligare för våra kunder, också för oss som bolag. Vi känner oss i dagsläget trygga med att vi har en hög säkerhet för våra kunder, säger Mårten Lundberg, kommunikationschef på Tre.
Bristande rutiner av det här slaget kan få konsekvenser för operatörerna. Telia har tidigare delgivits ett tillsynsbeslut av PTS för två fall där Telia skickat nytt sim-kort till en obehörig.
Enligt Mikael Ejner, it-säkerhetsspecialist på PTS, ligger det nära till hands att tolka sådana incidenter som brott mot Lagen om elektronisk kommunikation LEK, även om lagen inte uttryckligen behandlar utskick av sim-kort eller vidarekopplingar.
Dessa tillsynsbeslut gäller dessutom alla operatörer, även om bara en av dem, i det här fallet Telia, tilldelats det specifika beslutet. Alla operatörer har skyldighet att rapportera incidenter av detta slag.
Computer Sweden har inte testat denna attack mot Microsofts, eller andras, nättjänster, men problemet sitter inte hos dessa, utan hos mobiloperatörerna. Funktionen för uppringd verifieringskod är delvis en funktion för att hjälpa synskadade att kunna återskapa konton, vilket David Jacoby på Kaspersky menar att det vore fel att ta bort.
Tvåfaktorsautentisering och återställning av lösenord bygger i stor grad på tilliten till teleoperatörernas hantering av kundernas abonnemang, det är svårt att undvika. David Jacoby på Kaspersky rekommenderar att användarna av nättjänsterna uppgraderar sin säkerhet till verifiering via Google Authenticator eller liknande. Det ger ett extra lager säkerhet som är betydligt svårare att bryta.
Läs också:
Nya larmet: Microsoft samlar in mängder av användardata från Office 365 – i hemlighet
Expertgrupp varnar: Stora risker med känsliga data i molntjänster
