blaatpraat schreef:Een interessante case die ik wel eens wens te delen met jullie:
Is al enkele keren aan bod gekomen hier. Komt bij alle providers voor. Hangt meer van de verkoper af dan iets anders.
blaatpraat schreef:Kan dat in feite zomaar, dat men geen controle uitvoert of dat nummer wel van mij is?
Juridisch is er niets bepaald, het is dus de policy van de operator die telt. We mogen er toch van uitgaan dat hun werkgever vereist dat ze de nodige verificaties uitvoeren. Helaas is zoals wel vaker de mens de zwakke schakel in het verhaal.
Dit wordt in de praktijk ook effectief misbruikt, niet om naar payphones te bellen (want dat kan men uiteindelijk wel terugvorderen), wel om account takeovers te kunnen doen dmv bv 2FA berichten die nog per SMS gestuurd worden te ontvangen en zo de nodige fiat of crypto te ontvreemden, nadat men via andere methodes al in bezit geraakt is van het paswoord.
Helaas is altijd de klant het slachtoffer en nooit de operator, waardoor die laatste ook niet de urgentie inziet (een klant minder, daar liggen ze niet meteen wakker van). Politie gaat ook nooit achter de operator in dit geval.
Moraal van het verhaal: afstappen van 2FA per SMS, in het algemeen security nooit laten afhangen van een simkaart, en alert zijn voor de tekenen van een sim-swap scam (bv plots geen enkel bereik meer hebben zonder aanwijsbare reden).