Hoe vlot hack je een telefoonnummer?
Na het afluisterschandaal van News of the World vraagt iedereen zich af hoe makkelijk je een voicemail kan hacken. "Zeer makkelijk", zegt ex-hacker Kevin Mitnick.
De Britse rioolkrant die zondag werd opgedoekt hackte de voicemails van onder meer beroemdheden, slachtoffers van terreuraanslagen en royals. Volgens ex-hacker Kevin Mitnick hoef je echter geen doorgewinterde specialist te zijn om iemands berichten te beluisteren.
Een telefoon hacken, ook gekend als phreaking is volgens Mitnick eenvoudig, wat hij kort nadien – met toestemming - ook demonstreerde aan onze collega’s van CNet.
Mitnick slaagde er in de jaren tachtig en negentig in om vanop afstand in te breken bij de systemen van het Pentagon, de NSA, Dell en Compaq. Hiervoor zat hij vijf jaar in de gevangenis; sinds zijn vrijlating werkt hij als beveiligingsconsulent.
Caller ID
Tijdens de demonstratie geraakte hij zonder veel moeite in de voicemailbox door de apparatuur van de mobiele operatoren wijs te maken dat de inkomende oproep afkomstig is van het nummer dat de mailbox bezit. Je operator denkt dus dat je zelf naar de voicemail belt.
Dat kan eenvoudig met een voip-account en een zelfgeschreven script op basis van openbrontelefoonsoftware. Je kan zelfs zelf een identificatienummer instellen (het nummer waarvan je belt). Volgens Mitnick zijn er zelfs soortgelijke diensten die je zonder hackerskennis kan gebruiken.
Hoe vlot het hacken lukt hangt vooral af van de operator, zonder dat daarbij in detail wordt getreden. “Elke vijftienjarige die een eenvoudig script kan schrijven kan een voip-provider vinden die een identificatienummer vervalst, en dat in zo’n dertig minuten”, aldus Mitnick. “Als je niet zo vlot bent met programmeren, kan je een spoofingservice gebruiken en ervoor betalen.”
Operatoren vertrouwen nummer
Caller ID Spoofing, zoals de techniek heet, wordt al jaren gebruikt. In 2006 werden onder meer Paris Hilton en Lindsay Lohan het slachtoffer van de methode. Wel is de methode iets complexer dan die bij News of the world. Daar werden de standaard pincodes van de voicemailbox uitgeprobeerd.
Een preventiemethode die bij sommige operatoren mogelijk is, is het verplicht vragen van een pincode wanneer een voicemail wordt geraadpleegd, zelfs vanaf het eigen toestel. Dat voorkomt dat nagebootste nummers zonder controle de boodschappen kunnen opvragen. Al blijft het een beveiligingsfout dat operatoren een inkomend nummer vanzelfsprekend voor echt aannemen.
Na het afluisterschandaal van News of the World vraagt iedereen zich af hoe makkelijk je een voicemail kan hacken. "Zeer makkelijk", zegt ex-hacker Kevin Mitnick.
De Britse rioolkrant die zondag werd opgedoekt hackte de voicemails van onder meer beroemdheden, slachtoffers van terreuraanslagen en royals. Volgens ex-hacker Kevin Mitnick hoef je echter geen doorgewinterde specialist te zijn om iemands berichten te beluisteren.
Een telefoon hacken, ook gekend als phreaking is volgens Mitnick eenvoudig, wat hij kort nadien – met toestemming - ook demonstreerde aan onze collega’s van CNet.
Mitnick slaagde er in de jaren tachtig en negentig in om vanop afstand in te breken bij de systemen van het Pentagon, de NSA, Dell en Compaq. Hiervoor zat hij vijf jaar in de gevangenis; sinds zijn vrijlating werkt hij als beveiligingsconsulent.
Caller ID
Tijdens de demonstratie geraakte hij zonder veel moeite in de voicemailbox door de apparatuur van de mobiele operatoren wijs te maken dat de inkomende oproep afkomstig is van het nummer dat de mailbox bezit. Je operator denkt dus dat je zelf naar de voicemail belt.
Dat kan eenvoudig met een voip-account en een zelfgeschreven script op basis van openbrontelefoonsoftware. Je kan zelfs zelf een identificatienummer instellen (het nummer waarvan je belt). Volgens Mitnick zijn er zelfs soortgelijke diensten die je zonder hackerskennis kan gebruiken.
Hoe vlot het hacken lukt hangt vooral af van de operator, zonder dat daarbij in detail wordt getreden. “Elke vijftienjarige die een eenvoudig script kan schrijven kan een voip-provider vinden die een identificatienummer vervalst, en dat in zo’n dertig minuten”, aldus Mitnick. “Als je niet zo vlot bent met programmeren, kan je een spoofingservice gebruiken en ervoor betalen.”
Operatoren vertrouwen nummer
Caller ID Spoofing, zoals de techniek heet, wordt al jaren gebruikt. In 2006 werden onder meer Paris Hilton en Lindsay Lohan het slachtoffer van de methode. Wel is de methode iets complexer dan die bij News of the world. Daar werden de standaard pincodes van de voicemailbox uitgeprobeerd.
Een preventiemethode die bij sommige operatoren mogelijk is, is het verplicht vragen van een pincode wanneer een voicemail wordt geraadpleegd, zelfs vanaf het eigen toestel. Dat voorkomt dat nagebootste nummers zonder controle de boodschappen kunnen opvragen. Al blijft het een beveiligingsfout dat operatoren een inkomend nummer vanzelfsprekend voor echt aannemen.