Steeds vaker slaan sim-swappers hun slag in Nederland. Honderden mensen zijn de dupe van deze gewiekste wisseltruc met simkaarten. De hacker krijgt zo uw 06-nummer in handen en daarmee toegang tot waardevolle apps, accounts en data.

Wat is het?

Uw mobiele telefoonnummer is tegenwoordig meer dan alleen de tien cijfers waarmee u kunt bellen en gebeld kunt worden. Vaak is het ook de toegang (via tweestapsverificatie) tot allerlei apps, accounts en data. U kunt uw telefoonnummer bijvoorbeeld instellen om de toegang tot uw e-mail, DigID, sociale media of andere apps te herstellen als u uw wachtwoord kwijt bent. Met een verificatiecode via sms, kunt u uw account weer gebruiken en een nieuw wachtwoord instellen. 

Op het moment dat een crimineel zoiets kan doen, heeft die voor kortere of langere tijd toegang tot uw accounts. Zeker als iemand bijvoorbeeld cryptocurrency bezit of een publieke figuur is, is dat zeer interessant. Een hacker die zo’n account tijdelijk kan overnemen kan geld wegsluizen, persoonlijke content – denk aan foto’s en filmpjes – bemachtigen (waarmee het slachtoffer misschien is af te persen), e-mails sturen uit diens naam (denk ook aan CEO-fraude) of via zijn of haar sociale-media-accounts de meest idiote berichten de wereld in sturen. Dat de hacker uw telefoon ook kan gebruiken om gratis te bellen en te sms’en is in dit verband een onbeduidende bijvangst.

Europol waarschuwde in het meest recente IOCTA-rapport (Internet Organised Crime Threat Assesment) voor sim-swapping als ‘key trend’, die tot grote financiële schade leidt. Daarbij komt nog een extra gevaar nu telefoonproviders overstappen van het plastic kaartje naar de zogenaamde e-sim. Dat systeem blijkt nog een stuk makkelijker te kraken

Hoe werkt het?

De basis van sim-swapping is een ogenschijnlijk eenvoudige oplichterstruc. De criminele hacker belt uw telefoonprovider en overtuigt de klantenservice ervan dat u degene bent die belt. Het verhaal is: simkaart kwijt/kapot, graag het telefoonnummer overzetten op een andere simkaart. En die kaart – het zal u niet verbazen – is een kaart die de oplichter in bezit krijgt. Als de nieuwe simkaart vervolgens wordt geactiveerd, wordt de oude simkaart buiten werking gesteld. En zo komt het 06-nummer van het slachtoffer in handen van de oplichter.

De helpdeskmedewerker zal hoogstwaarschijnlijk wat controlevragen stellen, bijvoorbeeld geboortedatum, huisnummer of een aantal cijfers van het rekeningnummer waarmee u uw abonnement betaalt. Heeft de oplichter dergelijke gegevens in handen en/of is de medewerker even wat minder scherp of zorgvuldig, dan is het mogelijk dat de hacker de controle krijgt over uw telefoonnummer.

De eigenlijke eigenaar van het nummer hoeft het niet eens te merken, al zal de verbinding met mobiele netwerken wegvallen op het moment dat de crimineel uw nummer overneemt. Maar bent u op dat moment bijvoorbeeld op uw wifi-netwerk, of bent u helemaal niet met uw telefoon bezig, dan kan het even duren voor u onraad ruikt. Ondertussen kan de hacker bijvoorbeeld via sms-authenticatie codes opvragen die nodig zijn om banktransacties vanaf uw rekening te doen, betalingen doen via PayPal, in uw persoonlijke documenten rondneuzen enzovoort.

Let wel, sim-swapping is een flinke klus voor de oplichter, alleen al omdat hij of zij flink wat moet weten van het slachtoffer. Het moet dus wel iets opleveren. In tegenstelling tot andere hack-trucs waarbij het adagium is ‘even kijken waar toevallig een achterdeur openstaat’ is hier sprake van een gerichte actie op basis van de te verwachten buit en persoonlijke informatie. De hacker heeft de jackpot als voorafgaand aan de sim-swap al via malware of phishing toegang is verkregen tot online bankieren.

Sim-swapping voorkomen

Telecomproviders moeten aan de slag met deze vorm van fraude. Dat doen zij onder meer door de procedures voor het activeren van de eSim aan te passen en de identiteitscheck rondom simkaarten te verscherpen. Naar aanleiding van berichten over sim-swapping adviseren verschillende telecomproviders om een extra wachtwoord in te stellen als beveiligingscheck bij contacten met de klantenservice (telefonisch, via chat of in de winkel). 

Wat u verder zelf kunt doen: wees zuinig met het delen van informatie zoals uw telefoonnummer, geboortedatum, adres enzovoort. Als uw telefoonnummer en geboortedatum bijvoorbeeld op een openbaar Facebook-profiel staan, is dat zeer nuttige basisinformatie voor de hacker als hij contact opneemt met uw telefoonprovider. 

Daarnaast is het belangrijk uw account bij uw telefoonprovider (net zoals al uw accounts) te beveiligen met een sterk en uniek wachtwoord. 

Verder is het aan te bevelen voor al uw belangrijke accounts een inlog in te stellen die uit twee stappen bestaat, de zogenaamde tweefactorauthenticatie. De sms-code is een manier om dat te doen, en nog steeds beter dan eenfactorauthenticatie, maar zoals we in dit artikel uitlegden, door sim-swapping toch gevoelig voor misbruik. Andere opties die als tweede ‘factor’ te gebruiken zijn naast uw (supersterke) wachtwoord zijn authenticatie-apps (bijvoorbeeld Google Authenticator, Microsoft Authenticator of Authy) die een code genereren voor toegang tot een app, of een fysiek apparaatje dat via USB of draadloze communicatie de tweede stap voor toegang uitvoert. Sommige apps bieden zelf ook al mogelijkheden. Zo is uw WhatsApp-account – bij de meeste mensen een onuitputtelijke bron van informatie die privé is – te beveiligen met een extra zescijferige pincode. Dat doet u zo.

Deel dit:

Reacties