Het is een nieuwe truc van hackers: ‘sim swapping’. Met deze methode kunnen criminele hackers je telefoonnummer in zijn geheel overnemen, simpelweg door de klantenservice van je telecomprovider op te lichten. Zodra het de hacker is gelukt om controle te krijgen over je nummer, kunnen veel online accounts die aan dit nummer zijn gekoppeld worden gekraakt. Dat meldt RTL Nieuws.
Het aantal slachtoffers is het afgelopen jaar fors toegenomen. Dit jaar zijn al enkele honderden consumenten slachtoffer van de hackmethode. Slachtoffers zijn zowel mensen met een telefoon abonnement plus toestel als mensen met een sim only.
Lek in klantenservice van telecomproviders
Hoe werkt het? Hackers hebben met sim swapping dus een nieuwe manier gevonden om mensen te hacken. En het is heel lastig om jezelf daar tegen te beschermen. Sim swapping is dus een hack-truc waarbij hackers jouw 06-nummer overnemen. Door jou 06-nummer krijgen ze toegang tot veel online accounts zoals je email, betaaldiensten en social media. Zo kun je vaak een email adres herstellen met behulp van een telefoonnummer.
De hackers bellen jouw telecomprovider op en doen zich dan voor als de eigenaar van jouw 06-nummers. Vervolgens geven aan dat ze hun telefoon zijn verloren en het telefoonnummer willen activeren op een nieuwe simkaart. Wanneer de telecomprovider daarmee instemt, wordt jouw simkaart geblokkeerd en je 06-nummer geactiveerd op de simkaart van de hacker.
Wat kan de hacker daarmee?
Vervolgens heeft de hacker volledige controle over het nummer. Ook wanneer er bij log-in portals gevraagd wordt om een twee-factor-verificatie via sms. Op deze manier kunnen ze geld stelen door bijvoorbeeld je bitcoins of Coinbase wallet te plunderen, of dreigen zij met het verspreiden van gevoelige informatie (video’s en foto’s) in ruil voor geld.
‘Sim swapper’ meldt zich bij RTL Nieuws
Oliver was zo’n beruchte hacker die aan sim swapping deed. Hij is slechts 21 jaar en volgens hem is de hackmethode een fluitje van een cent. Hij heeft tienduizenden euro’s verdiend met de methode. Voornamelijk door diverse cryptocurrency-accounts te hacken en de digitale portemonnee leeg te trekken. Hij gaf aan dat de klantenservice van de telecomproviders vaak zo lek als een mandje waren. “Ik belde altijd rond vier uur ’s middags, dat is het moment dat veel medewerkers naar huis gaan en snel problemen willen oplossen.”
Gerichte aanvallen
Volgens experts wordt de methode voornamelijk gebruikt voor een zeer gerichte aanval. De methode vergt namelijk enige arbeid. De methode legt een zwakke plek in de online beveiliging bloot. Zelf de veilig geachte twee-staps-verificatie is niet bestand tegen de methode. Experts adviseren dan ook om je telefoonnummer niet meer te koppelen aan diverse online accounts. Zo kun je je telefoonnummer verwijderen bij Hotmail en Gmail, waardoor de email niet te herstellen is met behulp van een smsje naar het telefoonnummer. Experts raden wel af om twee-staps-verificatie te blijven gebruiken, omdat dat “altijd nog veiliger is dan géén extra beveiligingsstap.
Beveiligingsmaatregelen?
Nu horen wij jezelf afvragen: kan dit zomaar? Is één simpel belletje naar de provider voldoende om een heel 06-nummer over te nemen? Kan iemand zich zomaar als mij voordoen? Het zit zo: telecomproviders vragen als check wel om jezelf te identificeren, bijvoorbeeld om de laatste cijfers van je bankrekeningnummer te noemen. Ook word je naam, adres en email adres gevraagd.
Het blijkt echter dat de hacker zorgvuldig te werk gaat en deze informatie dan ook al tot zijn beschikking heeft. Vaak kan dit worden verkregen uit eerdere hacks, of door deze informatie van een medewerker van een telecomprovider te kopen. Niet iedere medewerker trapt hier in, maar dan proberen de hackers het vaak gewoon bij de volgende. Net zo lang tot het lukt.
Beveiligingsstappen niet waterdicht
Het beveiligingslek heeft dus voornamelijk te maken met ‘menselijk falen’ van de klantenservice. De medewerker van de klantenservice heeft de gebruiker onjuist geverifieerd. Om dit te voorkomen hanteren telecomproviders soms enkele beveiligingsstappen. Sommige providers sturen een verificatie-sms om te verifiëren dat je daadwerkelijk dit verzoek voor een sim-wissel hebt ingediend.
Kan je de sms-code niet voorleggen? Dan wordt het verzoek voor de nieuwe simkaart niet geaccepteerd. Andere provider kiezen ervoor om de simkaart per post op te sturen. Naar verluid zijn T-Mobile en met name Tele2 het gemakkelijkst om te besodemieteren.
In een reactie geeft Tele2 aan het hier niet mee eens te zijn. Volgens hen worden er vijf beveiligingsvragen gesteld die goed beantwoord dienen te worden. Bij T-Mobile en Vodafone is het mogelijk een wachtwoord in te stellen dat moet worden doorgegeven voordat er wijzigingen worden aangebracht.
“Al met al zijn deze beveiligingslagen niet waterdicht. Soms worden medewerkers omgekocht en hebben de hackers zelfs toegang tot de systemen van de providers. Hierdoor kunnen zij zelf een simkaartwissel doorvoeren,” aldus RTL Nieuws.
Beveilig jezelf!
Hoe bescherm je jezelf tegen sim-swapping? Het is belangrijk dat je je telefoonnummer dus verwijdert van al je online accounts. Verwijder je telefoonnummer bijvoorbeeld als herstel-optie bij Gmail en Hotmail.
Stel tevens tweestapsverificatie in via de app Google Authenticator. Hierbij moet je om toegang te krijgen tot je accounts eerst een twee-factor-code opvragen via deze app. Stel bij je telecomprovider tevens een wachtwoord in indien mogelijk. Zo wordt er een extra beveiligingsstap ingebouwd en maak je de kans op een hack kleiner.