In de afgelopen jaren zijn honderden Nederlanders slachtoffer geworden van sim-swapping. Deze vorm van cybercrime wordt ingezet om mobiele telefoonnummers over te nemen en daarmee op verschillende manieren geld te verdienen. In dit artikel wordt uitgelegd hoe sim-swapping werkt en welke stappen je kunt zetten om het risico op sim-swapping te verkleinen.
Hoe werkt sim-swapping?
Om een 06-nummer te kunnen overnemen, begint een hacker met het verzamelen van persoonsgegevens. Van een specifiek individu worden bijvoorbeeld de naam, het adres, de geboortedatum en het rekeningnummer verzameld. Deze persoonsgegevens kunnen gevonden worden door datalekken, maar soms ook door social media-accounts van de betreffende persoon af te speuren en eventueel accounts te hacken met makkelijk te raden wachtwoorden. Vervolgens koopt de hacker een simkaart en belt de telecomprovider van het slachtoffer (zoals T-Mobile en Tele2) om het telefoonnummer over te zetten naar de nieuwe simkaart.
De medewerker aan de telefoon stelt de hacker enkele beveiligingsvragen, zoals het adres en de geboortedatum. Op die manier probeert de telecomprovider de identiteit van de beller te verifiëren. De hacker heeft deze informatie vooraf verzameld en kan dus meestal zonder problemen antwoord geven op de beveiligingsvragen. Ondanks meerdere beveiligingslagen, die zijn ingesteld sinds het fenomeen sim-swapping bekender werd, lukt het de hacker vaak om het telefoonnummer over te laten zetten naar de simkaart in zijn bezit.
Daarvoor gebruikt de hacker, indien nodig, ook slimme trucs. Zo worden op de achtergrond geluiden van een huilende baby afgespeeld om medelijden op te wekken en worden de telecomproviders vooral gebeld aan het einde van de werkdag, wanneer de medewerkers op het punt staan naar huis te gaan. Als het niet lukt bij de ene medewerker, dan lukt het op een later tijdstip wel bij de andere medewerker.
Daarnaast is het in sommige gevallen bekend dat medewerkers van telecomproviders bewust hebben meegewerkt aan sim-swapping. Zij werden bijvoorbeeld betaald voor het verschaffen van antwoorden op beveiligingsvragen of installeerden programma’s in het computersysteem van de provider, waarmee toegang werd verschaft tot de computers.
Hoe verdient een hacker geld met sim-swapping?
Het sim-swappen is voor een hacker een arbeidsintensieve vorm van cybercrime. Immers, de hacker moet vooraf informatie verzamelen en steeds opnieuw bellen naar de provider. Toch is sim-swapping populair, omdat het uiteindelijk veel geld oplevert. Hoe zit dat precies?
Zodra het telefoonnummer is overgezet naar de nieuwe simkaart, heeft de hacker toegang tot alle informatie op de telefoon van het slachtoffer. Dat biedt de hacker veel verschillende mogelijkheden. De toegang tot betaaldiensten, zoals PayPal, is het meest interessant voor de hacker. Daarmee kan hij of zij een gehele bankrekening plunderen, waarbij vaak vele duizenden euro’s worden buitgemaakt. Ook zijn de hackers specifiek geïnteresseerd in cryptocurrencybeurs Coinbase en bitcoin brokers. Het komt geregeld voor dat de slachtoffers zijn geselecteerd op basis van hun betrokkenheid bij bitcoins. Van deze slachtoffers worden soms miljoenen euro’s gestolen.
Daarnaast kunnen hackers toegang krijgen tot verschillende apps door middel van sms-verificatie, zoals een DigiD-account. In combinatie met de bij de hacker bekende persoonsgegevens kan zo’n hacker dan inloggen in allerlei webportals en gevoelige informatie inzien, leningen verhogen et cetera.
Social media-accounts kunnen worden gehackt en daar kan vervolgens losgeld voor worden gevraagd. Dat geldt ook voor het hacken van bijvoorbeeld e-mailaccounts. Als het slachtoffer niet betaalt, dan publiceert de hacker gevoelige foto’s of documenten.
Hoe merk je dat je slachtoffer bent geworden van sim-swapping?
Slachtoffers van sim-swapping merken pas dat hun telefoonnummer is overgezet naar een andere simkaart, zodra ze geen mobiele verbinding en geen bereik meer hebben. Het slachtoffer kan dan niet meer bellen, het internet niet meer gebruiken en geen berichten versturen. Als het slachtoffer dit opmerkt, is het meestal al te laat. De hacker heeft dan lang genoeg toegang gehad tot de telefoon van het slachtoffer om er geld aan te verdienen.
Hoe verklein je het risico op sim-swapping?
Het risico op sim-swapping is afhankelijk van verschillende factoren. Allereerst is het de verantwoordelijkheid van de telecomprovider om voldoende veiligheidsmaatregelen in acht te nemen. Dit kan bijvoorbeeld gedaan worden door medewerkers alert te maken op deze vormen van cybercrime en de mogelijkheid aan te bieden om een pincode in te stellen als extra beveiligingsmaatregel.
Daarnaast kun je jezelf wapenen tegen sim-swapping op verschillende manieren. Het is belangrijk om zo min mogelijk accounts te koppelen aan jouw telefoonnummer. Veel apps en websites vragen een telefoonnummer als vorm van dubbele authenticatie en bieden geen alternatief aan. Bij andere apps zijn er wel alternatieven. Een voorbeeld daarvan is een authenticator-app, waarmee je tweestapsverificatie kunt realiseren. Het wordt aangeraden om daar gebruik van te maken. Een andere tip is om oplettend te zijn bij het delen van persoonsgegevens online en alert te zijn wat betreft de bescherming van jouw gegevens.
Bronnen: