KPN zou de klantenservice voor abonnee's beter moeten beveiligen

  • 11 september 2018
  • 2 reacties
  • 145 keer bekeken

Het telefoonnummer is nog steeds voor veel mensen een vorm van authenticatie voor verschillende diensten, met als belangrijkste: DigiD. Echter dagelijks zijn er nog steeds gevallen waarbij men de controle over het telefoonnummer kwijt raakt aan een kwaadwillende, waardoor die kwaadwillende effectief de identiteit, en dus het leven, van een slachtoffer kan overnemen. Dit gebeurt op basis van het begrip social engineering (https://nl.wikipedia.org/wiki/Social_engineering_(informatica)).

Social engineering aanvallen zijn alleen mogelijk bij een klantenservice als er een menselijke factor aanwezig is tijdens de identificatie van de abonnee. Dit omdat mensen altijd vatbaar voor emoties blijven, ongeacht hoe streng de instructies ook zijn waar een klantenservice operator zich aan moet houden, en hoe goed ook een operator is getraind. In deze demonstratie zie je een klassiek voorbeeld van het toepassing van social engineering op een klantenservice: https://www.youtube.com/watch?v=lc7scxvKQOo
Je ziet dat de klantenservice gevoelig is voor de zogenaamde situatie van een moeder in paniek die zich voordoet als de vrouw van de abonnee, waardoor zij uiteindelijk de volledige controle krijgt over de abonnee zijn account en telefoonnummer.

Er zijn vier criteria waar aan moet worden voldaan om dergelijke social engineering aanvallen te kunnen voorkomen:
1.Abonnees moeten OAuth TOTP codes kunnen instellen voor hun accounts die zij vervolgens nodig hebben om de klantenservice afdeling voor abonnees te kunnen bereiken. Abonnees kunnen een TOTP app naar keuze kiezen (Google Authenticator, FreeOTP, Authy, Microsoft Authenticator, etc...). Een alternatief op TOTP zou een verificatie prompt kunnen zijn dat via de MijnKPN app (vergelijkbaar met hoe Google Prompt werkt voor Google accounts).
2. Voordat een abonnee de klantenservice en dus een mens kan bereiken, vraagt een geautomatiseerd systeem om de gebruikelijke NAW-gegevens, geboortedatum, laatste drie cijfers van het IBAN, en een TOTP code. Als de TOTP code na een beperkt aantal pogingen incorrect is, wordt het gesprek automatische beëindigt, en mag de beller vervolgens terugbellen om het opnieuw te proberen.
3. De klantenservice afdeling voor abonnees moet een apart afgeschermde afdeling zijn. Indien een kwaadwillende naar de klantenservice afdeling voor algemene zaken belt om toegang te vragen tot een account, moet de klantenservice de beller adviseren om te bellen naar de afdeling voor abonnees, ongeacht of de beller de NAW-gegevens, geboortedatum en laatste drie cijfers van IBAN doorgeeft.
4. Mocht het geval zich voordoen dat een echte abonnee zowel zijn toegang tot zijn TOTP authenticator applicatie als ook toegang tot het registratie email adres heeft verloren (email adres voor herstel om TOTP opnieuw in te kunnen stellen), dat er in dat geval een brief per briefpost wordt verstuurd naar het adres van de abonnee met daarin een eenmalige tijdelijke link of code om TOTP opnieuw te kunnen instellen (vergelijkbaar hoe het herstellen van toegang tot een DigiD account werkt).

Met de opkomst van authenticatie alternatieven zoals OAuth TOTP, U2F, prompts en het nieuwe WebAuthn, stapt de wereld langzaam maar zeker af van het model waarbij het telefoonnummer centraal staat in de beveiliging van een persoon zijn digitale leven. Echter tot de tijd dat nergens meer SMS-verificatie als 2FA wordt aangeboden, is het van essentieel belang om het praktisch onmogelijk te maken voor een kwaadwillende om iemand anders zijn telefoonnummer over te kunnen nemen.

P.S. Ik weet niet zeker of dat dit onderwerp in dit subforum thuishoort. Indien niet, dan wil ik een moderator verzoeken om dit naar het juiste subforum te verplaatsen.

2 reacties

Reputatie 7
Badge +30
Zeker mee eens. Maar t is altijd een afweging tussen gebruiksgemak.

Heb je overigens cijfers van hoeveel dit voorkomt? Ik heb namelijk een beetje twijfels dat dit nog steeds heel veel voorkomt.
Zeker mee eens. Maar t is altijd een afweging tussen gebruiksgemak.

Je zou het kunnen implementeren als een optioneel feature. Als de kosten te hoog zijn om het zelf te implementeren, zijn er veel security bedrijven die een drop-in oplossing aanbieden. Als je daarnaast ook zoveel mogelijk gebruiksgemak wilt behouden, dan zou men in de MijnKPN een prompt 2FA functionaliteit kunnen integreren.

Heb je overigens cijfers van hoeveel dit voorkomt? Ik heb namelijk een beetje twijfels dat dit nog steeds heel veel voorkomt.

Ik denk niet dat je dat argument moet willen gebruiken om je security wel of niet te verbeteren. Het aantal slachtoffers is zelden bepalend voor de ernst van een kwetsbaarheid.

Reageer