koppelcode niet aangevraagd

Dat zijn scam sms'jes.

Zie mijn antwoord hier

Ik vraag me wel af hoe die mensen aan die telefoonnummers komen want het lijkt mij wel een beetje te toevallig dat Odido klanten dit krijgen. Volgens mij is er ergens een data-lek geweest bij Odido.

In ieder geval niet op reageren en als ze bellen gewoon de verbinding verbreken.

Zie ook artikel hier

https://opgelicht.avrotros.nl/alerts/artikel/odido-klanten-opgelet-valse-sms-en-telefoontje-om-jouw-odido-account-te-koppelen/

Nee, de SMS’jes zijn legitiem. Gestuurd door Odido.

Maar, omdat de boeven geprobeerd hebben een dergelijk account te koppelen. De boeven vertellen Odido dat zij de bezitter zijn van telefoonnummer 0612345678. Dan zegt Odido: als dat echt jouw nummer is, dan kan je de code zien die ik net naar dat nummer heb gestuurd.

Dus de SMS is legitiem.

MAAR, als daarna die boeven (die beweren tegen Odido dat het hun nummer is) vervolgens de ECHTE eigenaar opbellen en met een stomme smoes die ECHTE eigenaar zover krijgen dat ze die code voorlezen, dan is het gebeurd, dan is het account in handen van de boeven.

De reden dat deze zo populair zijn, is omdat de security van Odido heel kut is.

Deze code is nodig om het account te koppelen, maar daarna ben je gelijk ingelogt, en blijf je ook ingelogt totdat je daar expliciet wat aan doet. Ook voor een simwissel daarna is NIET MEER een sms verificatie nodig. Omdat die Odido beveiliging zo kut is, is deze truc populair.

Odido heeft dit over zichzelf (strict genomen: haar klanten) afgeroepen.

Ja, maar hoe komen ze aan de 06 nummers van Odido klanten?

(Volgens mij sturen ze een mail en geen sms als je via e-mail probeert in te loggen en zegt 'vergeten' dus dit moet via 06 gedaan zijn)

In het geval van targeted richting specifieke bedrijven: via scrapen van bijv linkedin, of een van de vele information brokers (als IT Manager kreeg ik regelmatig sales calls op mijn niet-publieke zakelijke 06; het is minder geworden sinds ik heel agressief GDPR mails ben gaan sturen)

Maar voor de ergste boeven, die simpelweg een Odido 06 willen als target, omdat ze alleen een SIM willen, om te misbruiken: de ACM.

Zoek naar de status van een 06 direct, of vraag de lijst op van 06-nummers met filters: toegekend, actief, en categorie: mobiel. (Of download de CSV)

Pak een random blok, totdat je Odido ziet:

Dan heb je een goeie plek om te beginnen. Maar hoe zit het dan met porteren, hoor ik je denken. Dat check je door het nummer even expliciet/individueel te zoeken, en dan krijg je te zien welke provider het op moment bij hoort:

Dan weet je dat het een Odido nummer is. Dan kan je het proberen aan een MyOdido te koppelen en ze daarna te bellen, om net te doen alsof je van Odido bent.

​@rvk01 Het proces is trouwens als volgt (als reactie op je “Volgens mij sturen ze een mail en geen sms als je via e-mail probeert in te loggen en zegt 'vergeten' dus dit moet via 06 gedaan zijn”)

Dit is hoe ik het begrijp, hoe ik het me herinner van toen ik het getest heb met mijn eigenlijk 06-nummer. Het kan zijn dat ik er iets naast zit.

1. Je download de Odido app op een telefoon
2. Je opent de app en maakt een nieuw account met een random emailadres dat je hebt
3. Voor de email wordt een bevestigingslink gestuurd (“is dit wel je email? klik op de link om email te bevestigen”)
4. In de Odido app geef je aan dat je je mobiele nummer wilt toevoegen aan het Odido-app-account. “Bestaand abonnement koppelen.” Hiervoor hoeft je alleen maar een 06-nummer in te vullen. Er is geen enkele andere informatie nodig om dit te doen.
5. Op dat moment stuurt Odido de SMS die we eerder gezien hebben, met de vier-cijferige code
6. Als op dat moment het 06-nummer (wat in stap 4 is ingevuld) gebeld wordt, met de melding dat men van Odido helpdesk is, en dat er zojuist een code is gestuurd, en de klant leest die code voor, dan is het 06-nummer gekoppeld aan het MyOdido account van de boeven.
7. Jackpot. Ik weet dat met een nummer dat onderdeel van een zakelijk abo, er op dit moment een simswap gedaan kan worden zonder enige verdere sms/code of andere check! Ik weet niet wat er mogelijk is bij consumenten, maar meestal zijn zakelijke nummers beter beveiligd dan consumenten. Zo kan een consument zelf een eSIM aanvragen via de Odido app, maar de zakelijke gebruiker in kwestie kan dat niet. (Maar dus wel via de methode die de boeven gebruiken.)

Deze methode is op dit moment zo populair, omdat bij stap 4 geen enkele extra informatie wordt gevraagd. Odido doet zo absurd streng over tikfouten in een naam als je bijv. ook al glasvezel gekoppeld hebt, maar in een “blanco” MyOdido account een 06 toevoegen is compleet YOLO zonder enige checks of informatie behalve die 4 cijfers die de gebruiker krijgt.

Bij glasvezel toevoegen wordt tenminste om geboortedatum gevraagd. Dat is ook niet “goede” beveiliging, want ik weet van best veel mensen wanneer ze jarig zijn, hoe oud ze zijn, en wat hun postcode is, maar het is veel beter dan niks. Het maakt het onmogelijk om een random nummer te kapen met alleen het 06-nummer zelf (en de publieke info van ACM).

Daarnaast is het bericht dat Odido verstuurt in stap 5 niet optimaal. Er staat “deel deze nooit met anderen” maar dat is vaag, en mensen doen dat toch (te vaak.) Er zou tenminste iets moeten staan als “Als je niet zelf deze code hebt aangevraagd, negeer dit bericht dan” of bijvoorbeeld “Odido medewerkers zullen NOOIT om deze code vragen” of iets dergelijks. De bewoording zoals hij nu is, is overduidelijk niet voldoende.

Ook slecht is dat men na het aanmaken van het Odido account is ingelogd op de app, en er na het toevoegen van het 06-nummer NIET MEER een bevestiging nodig is. Weet je hoe irritant het is dat je ELKE KEER dat je op de website van MyOdido inlogt zo’n stomme SMS krijgt? Nou, als je de app open hebt, en al met email was ingelogd en dan een mobiel nummer toevoegt, dan kan je alles wat de app met die mobiel kan ZONDER SMS VERIFICATIE. Het is niet onlogisch om zo’n SMS prompt die blijkbaar cruciaal is om op de website in te loggen, ook tenminste éénmaal te vereisen tussen de stap van toevoegen, en daarna daadwerkelijk wijzigingen (zoals simswap) uit te voeren. Als de app alleen maar zou “herstarten” om de verandering te doen, dan zou dat al helpen.

Ook slecht is dat het inloggen op de Odido app kan zonder SMS verificatie. Op de website is dat elke keer nodig. Maar op de mobiele app is “biometrics” voldoende. Maar dat bevestigt alleen dat de telefoon waar de app op geinstalleerd staat, hetzelfde is. Dat bevestigt niet dat je eigendom hebt van het 06-nummer in kwestie, wat een SMS verificatie wel doet.

Als laatste, en dit is de allerergste: ik heb letterlijk in de praktijk meegemaakt dat één van de collega’s via de MyOdido truc die hier omschreven staat, ze had per abuis die code doorgegeven. Daarna is een SMS gekomen met de melding “Hallo, je hebt een eSIM besteld voor deze aansluiting” en daarna een melding “Hallo, je nieuwe simkaart is nu actief.” Ze hebben een simswap uitgevoerd op een zakelijke lijn waar dit sowieso niet mogelijk had moeten zijn zonder de telecombeheerder, en ze hebben dit gedaan zonder dat iemand (de telecombeheerder of de gebruiker van de telefoon) daar iets voor hoefde te bevestigen. Dat is extreem slechte beveiliging. Dit is toendertijd netjes gemeld, er kwamen wat algemene meldingen over hoe je niet codes moet doorgeven en verder is er niks mee gedaan.

Totdat Odido fixt dat je niet een simswap kan uitvoeren zonder expliciete bevestiging van de oude SIM of een telecombeheerder blijft deze methode populair, en blijven mensen slachtoffer worden van gestolen SIM-toegang en daardoor SMS spam.

Zo streng als dat de verificatie hier op de community is, zo lek als een mandje is die dus op Mijn Odido 🤓