Pay&Go sim S@T en/of WIB hacks

  • 2 August 2022
  • 43 reacties
  • 1293 Bekeken

Badge

Hi,

Op 30/07/22 ontvang ik een sms van nummer 8695 van “Jess Media” om mij te abonneren op de dienst “Mobifun”, 1 minuut later ben ik blijkbaar reeds geabonneerd op deze dienst, en dit zonder ook maar de sms te openen/bekijken, er zat ook geen link in, dus klikken kan ook niet.. gelukkig was dit op mijn tweede sim kaart (P&G) want een paar minuten later was er nog maar 1euro belkrediet over.. (initieel solden promo kaartje met 10euro krediet bij aankoop, eerder backup sim, testing & dergelijke, nooit herladen)

Zelf in ICT werkzaam, is dit een meer dan intrigerend gegeven en ga dus op zoek naar security advisories bij de alom vertrouwde NIST site, en wat blijkt;
Blijkbaar zijn de Pay&Go sim kaarten dus voorzien van ofwel S@T browser of WIB toolkit;

https://nvd.nist.gov/vuln/detail/CVE-2019-16256#VulnChangeHistorySection

Hierbij de (directe) link waar NIST naartoe verwijst (analyse)

https://blog.adaptivemobile.com/simjacker-next-generation-spying-over-mobile

In de bijlage kan je de logs vinden van welke trafiek er met de sim kaart is gebeurd (myproximus -> oproep & herlaad geschiedenis)
Er is geen log terug te vinden op de telefoon van gemaakte oproepen, en deze hebben allemaal een "verkeerstype" van "onbepaald", behalve de initiële sms (28/07) die wel geïdentificeerd is als sms, de payload van deze SMS heeft dus inderdaad gewerkt (informatie van de gsm "device" verstuurd naar dit eerste nummer zodat ze via crafted sms'en ("Jess Media" sms) commando's kunnen uitvoeren via de sim, de reden dat dit 2 dagen later is, is omdat ze vermoedelijk de payload van de sms'en specifiek op telefoon & patchlevel moeten afstemmen.
Alhoewel mijn telefoon beveiligd (knox), volledig up to date is en erbovenop nog een antivirus & netwerkbeveiliging aan boord heeft, is de zwakste schakel dus.. de sim kaart.. beveiliging is inderdaad maar zo sterk als zijn zwakste schakel..

Ik heb klacht ingediend via de proximus site, maar ik verwacht hier niet veel van, dus dan maar dit forum berichtje als referentie voor toekomstige of iedereen die hier al slachtoffer van is geweest.
Gezien de kleinschalige impact van een paar euro's meld ik dit niet aan de politie (het nog resterende krediet is enkel geldig voor bellen & sms’en), ik heb dit wel overgemaakt aan safeonweb, waarschijnlijk zijn ze bij cybersecurity  op de hoogte.

Wees in ieder geval voorzichtig met P&G nummers, je weet nooit waar die voordien voor werden gebruikt voor ze terug in roulatie worden gebracht na hun vervaldatum, het simkaartje heb ik intussen uit mijn mobile gehaald, die ik gezien deze gecompromitteerd is zal vervangen.

 

 


43 reacties

Reputatie 7
Badge +4

Conform de bestaande wetgeving dient Proximus uw klacht over te maken aan de betrokken leverancier (diensten van/door derden) en dient deze laatste te bewijzen dat u (wetens en willens) ingeschreven hebt op de betrokken dienst en indien dit niet kan, u terug te betalen

Sms’en type 8xxxx zijn gratis (en kunnen inderdaad bv. worden gebruikt om u te informeren over een inschrijving op een betalend abonnement via één of andere website)

Blijkbaar is het betrokken nr in gebruik voor Echovox (cfr bv. Proximus & Telenet websites voor diensten door derden)

Bij wie kun je terecht over diensten door derden? | Proximus

 

Mijns inziens is het totaal onaanvaardbaar dat Echovox van een e-mail adres proximus@mob.support gebruik maakt (kan maken) en dient dit door Proximus (juridische dienst) best eens van naderbij te worden bekeken)

 

Bij wie kan ik terecht met vragen over diensten van derden? (telenet.be)

 

@Magnitude Proximus stelt wel een klachtendossier op tegen derden  voor verder onderzoek en daarom best zoveel mogelijk privégegevens invullen/aanvullen in je → ForumProfiel, in de met "privé aangeduide tekstvelden, enkel proximusmedewerkers kunnen deze info bekijken.
In het vak "Ticket (Privé)" kun je nog bijkomende informatie zetten b.v. het betrokken nummer waarover het gaat.
Klik tenslotte onderaan links op "sla wijzigingen op"
Zodat de Proximus forummedewerkers hiermee aan de slag kunnen van zodra ze hier de draad opnemen.  

 

Badge

Beiden bedankt voor de info, ik zal de privé gegevens en klacht nr. aanvullen & op de hoogte houden van verder gevolg.

Hi,

Hetzelfde meegemaakt. Op 28/07/22 ontving ik een sms van nummer 8695 van “Jess Media” om mij te abonneren op de dienst “Mobifun”, 1 minuut later was ik blijkbaar reeds geabonneerd op deze dienst en 6€ van mijn P&G tegoed verdwenen. Op 04/08 weer 6€ afgehaald van P&G tegoed. STOP gezonden naar 9300. Bericht gekregen van 8695 “uw Mobifun dienst werd stop gezet” In totaal 12€ weg van P&G tegoed zonder ook maar iets gebruikt te hebben. Wat is Proximus zinnens hier aan te doen ?

Badge

Hi @Fons02 ,

Bedankt om dit te melden, er zullen zich zeker nog incidenten hebben voorgedaan, helaas..
Ik heb ook nog niets gezien/gehoord van klachten behandeling, security issues nemen nu eenmaal tijd, audits, logs, tracing enz, het is allemaal in een corporate procedureel kleedje gestoken en gezien de grootte van de userbase niet echt verwonderlijk, alhoewel security issues meestal een vorm van urgentie meekrijgen, er is altijd wel de vraag te stellen van hoe dit in juiste context naar buiten te brengen, het is maar hoe je "een" communicatie brengt ;-)

Momenteel ben ik de technische specificaties aan het doorploegen, voor de geïnteresseerden ;

Laatste revisie 2020-07
https://www.etsi.org/deliver/etsi_ts/131100_131199/131111/16.01.00_60/ts_131111v160100p.pdf

Versie van 2001, altijd interessant om te correleren
https://www.etsi.org/deliver/etsi_ts/131100_131199/131111/03.04.00_60/ts_131111v030400p.pdf

(hoofdstuk 6 -> "Proactive UICC")

Van zodra ik meer weet/zie/hoor, post ik het hier.

Reputatie 7
Badge +2

@Fons02 

we kunnen klacht indienen bij de betrokken derde dienst en laten nagaan of alle regels gevolgd zijn conform de wetgeving

Hiervoor hebben we je klantgegevens nodig.  Vul je je forumprofiel verder aan? Ook de betrokken gsm nummers?

Ter info:  Forum Profiel

 klikken op jouw ‘icoontje’/avatar

> Mijn profiel > Bewerk profiel

> vakken aangeduid met (privé) zijn alleen zichtbaar voor proximus medewerkers

> daar je gevraagde gegevens aanvullen,  en

> Sla wijzigingen op en laat ons dit weten

vriendelijke groeten

Tina

Hallo Tina,

 

De gevraagde gegevens werden aangevuld.

 

Met vriendelijke groeten,

Fons02 (Proximus - sectiechef op rust)

Badge

Ik ben gecontacteerd geweest door Proximus ivm mijn klacht, ze hebben het opgebruikte bedrag terug gestort op mijn P&G, waarvoor dank, hiermee is de commerciële zijde opgelost, maar niet het technisch probleem.
Even verder geanalyseerd met Proximus, waarbij de derde partij wel degelijk een "OK" bericht ontvangen had, wat dus bevestigd dat de simkaart misbruikt werd, ik kon er helaas niet verder op ingaan omdat mijn gesprekspartner niet technisch was, wat begrijpelijk is.
Dit is volledig in lijn met de NIST melding van Simjacker, ik heb wat Nederlandstalige uitleg hierover gevonden;

https://www.kaspersky.nl/blog/simjacker-sim-espionage/24279/
https://itdaily.be/nieuws/44981/sms-malware-steelt-locatiegegevens-smartphone/
https://www.security.nl/posting/624042/Surveillancebedrijf+zou+telefoons+via+speciale+sms%27jes+lokaliseren

Defcon 21 : The Secret Life of SIM Cards (voor de techies onder ons ;-)

https://www.youtube.com/watch?v=31D94QOo2gY

Gezien het bijna 3 jaar geleden is dat dit probleem werd aangekaart zou je denken dat dit opgelost is, maar niets is minder waar.
Het probleem overstijgt Proximus met een veelvoudig van telco’s en hun userbase, het doel van deze software op de simkaarten te hebben laat ik even buiten beschouwing hier (read the docs and find out ;-)
Zolang de software op de sim aanwezig is, blijft de sim "toegankelijk voor derden" zonder dat je het weet of iets op de telefoon terug van te vinden is.
Alle gekheid op een stokje en na het doorploegen van de etsi.org tech specs ziet het er naar uit dat er maar 2 opties zijn; de sim kaart omruilen voor een exemplaar zonder S@T browser en/of functie stack, ofwel remote de software uitschakelen (indien mogelijk)
 

Reputatie 6
Badge +2

@Fons02  Dag ik heb een dossier aangemaakt om dit alles na te kijken en de refund aan te vragen? De beheerder hiervan contacteert je. Groetjes Luc

Reputatie 6
Badge +2

@Magnitude  Voor u heb ik eveneens een dossier hiervoor aangemaakt. Groetjes Luc

 

 

Beste, ik heb hetzelfde probleem, om de 7 dagen gaat er 6 EURO van mijn belkrediet. Tot nu toe al om en bij de 40 EURO kwijt. Kan ik dit recupereren? Ik heb immers nooit mijn akkoord gegeven voor deze dienst. Het verontrust mij dan ook dat er zo misbruik kan gemaakt worden van mijn simkaart.

Reputatie 7
Badge +3

Dag @ingeg1986 kun je je klantgegevens toevoegen aan het klantprofiel hier, voor nazicht? Groetjes, Heidi

Dag @ingeg1986 kun je je klantgegevens toevoegen aan het klantprofiel hier, voor nazicht? Groetjes, Heidi

Dag Heidi,

Ik heb het gsm nummer toegevoegd waarop mijn vraag betrekking heeft, dus is het gsm nummer van mijn moeder

Reputatie 7
Badge +3

Bedankt @ingeg1986 ! Dossier 51118673 is voor haar opgemaakt, de dossierbeheerder zal jullie verder informeren. Groetjes, Heidi

 

Badge

@Luc.M & @HeidiE & @tina.b

Is het mogelijk dit dossier aan het security/technisch departement door te geven aub?
Het is niet enkel oplosbaar via commerciële correcties (zal eindeloos doorgaan), de info hierboven zal de technische dienst al hopelijk een voorsprong geven.
De technical paper hiervan vind je hier;

Simjacker Technical Paper

Alvast bedankt!

Reputatie 6
Badge +2

@Magnitude Ik heb je posts doorgemaild aan de technische dienst, verantwoordelijk voor het mobiele gebeuren.  Zij zullen u antwoorden. Groetjes Luc

Badge

@Luc.M 

Bedankt Luc!

Beste, ook mij is hetzelfde overkomen: op 12/08/2022 een sms van nummer 8695 van “Jess Media” om mij te abonneren op de dienst “Mobifun”, 1 minuut later ben ik geabonneerd op deze dienst, en dit zonder ook maar de sms te openen, laat staan van OK te hebben gestuurd.

Ik heb gelukkig op 14/08 al de dienst kunnen stopzetten door STOP te sturen naar 9300, waardoor “enkel”  een totaalbedrag van 4€ in werd van het “pay and go” saldo gehaald. (verdeeld over 4 SMS en , net zoals in de eerste post van Magnitude.

@Luc.M  en @HeidiE : Kan u ook een dossier aanmaken aub?

 

alvast bedankt,

mvg

Dear all, 
I’ve encountered the exact same situation roughly an hour ago, and 6 euros have been deducted from my P&G card. 
I have created this forum account and added the profile info (hopefully everything that needs to be filled is filled in) can I also pleae get a file created for my number @HeidiE and @Luc.M 
sorry for the english, my dutch isnt great 
also if theer anything else i need to do please do let me know
thanks in advance 
Tamas

Mijn dochter heeft dit ook meegemaakt. Kan er ook voor haar een dossier worden aangemaakt @Luc.M @HeidiE 

ik heb ook gebeld maar de mevrouw zei steeds hetzelfde dat mijn dochter waarschijnlijk op iets geduwd heeft op tiktok. Ze heeft geen tiktok….

Reputatie 7
Badge +3

Dag @Andrega dossier 51155435 is opgemaakt. De dossierbeheerder zal je verder contacteren. Groetjes, Heidi

Reputatie 7
Badge +3

Hi @drunk puppwr25 case 51155456 had been made, the case owner will contact you. Kr, Heidi

Reputatie 7
Badge +3

Dag @Sara79 ik heb dossier 51155479 opgemaakt, de dossierbeheerder zal jullie verder contacteren. Groetjes, Heidi

Dear @HeidiE ,

I made my first reaction to this forum post one week ago, so far the only reply I got was from you.
Via what means is the case owner meant to contact me? Is there somwhere i should go, am i suposed to do anything with the case number you provided? As of today a second sum of 6EUR was lifted from my SIM and appart from you ive hear nothing back from Proximus. 
I’m now back from vacation, would it be better to visit a Proximus store?
Thanks in advance,
Tamas

Bedankt @ingeg1986 ! Dossier 51118673 is voor haar opgemaakt, de dossierbeheerder zal jullie verder informeren. Groetjes, Heidi

 

Beste Heidi, 

 

Er zijn ondertussen twee weken gepasseerd zonder nieuws. Graag wil ik weten of het belkrediet gerecupereerd kan worden? 

Reageer