Lebara dicht simswap beveiligingslek

Man houdt simkaart vast tussen zijn vingers

Lebara heeft een beveiligingslek op zijn website gedicht. Hierdoor was het mogelijk om het telefoonnummer van een ander te kapen. Klanten kunnen vanaf nu met een gerust hart hun mobiele nummer overzetten op een nieuwe simkaart.

Dat schrijft de NOS. De omroep kreeg een tip van een anonieme bron en ging op onderzoek uit. Het lukte techredacteur Joost Schellevis drie keer om een telefoonnummer over te zetten op een nieuwe simkaart, waarbij hij een verificatiestap oversloeg.

Verificatieproces was niet goed afgedicht

Als je bij Lebara een mobiel nummer wil overzetten naar een nieuwe simkaart, heb je twee simkaarten nodig: de simkaart die je momenteel gebruikt en een nieuwe. Op dat moment ben je alleen bereikbaar op je oude simkaart, op de nieuwe kaart staat een tijdelijk nummer dat je nodig hebt om hem te activeren. Daarvoor moet je een verificatieproces doorlopen om te voorkomen dat een ander je telefoonnummer overneemt.

Dat proces loopt als volgt. Via de website van Lebara moet je twee keer een verificatiecode per sms aanvragen. De eerste keer dat je deze code ontvangt, moet je hem bevestigen op je oude simkaart. De tweede verificatiecode die je ontvangt, voer je in op de nieuwe simkaart. Het tijdelijke nummer op deze kaart wordt dan omgezet naar je eigen telefoonnummer.

In praktijk bleek het verificatieproces eenvoudig te omzeilen. Het was namelijk mogelijk om beide verificatiecodes op de nieuwe simkaart uit te voeren. Met andere woorden, iedereen die een simkaart van Lebara aanschafte, kon op deze manier het mobiele nummer van een ander kapen.

Lebara: ‘Dit is een wake-up call’

De NOS meldde het beveiligingslek aan Lebara. De provider haalde de overstapmodule direct offline en loste het probleem op. Een woordvoerder van Lebara noemt het voorval een ‘wake-up call’. “Wij betreuren het dat dit kon gebeuren. Veiligheid staat bij ons voorop, dus we hebben het zo snel mogelijk opgelost”. Volgens hem is er geen aanleiding om aan te nemen dat er misbruik is gemaakt van het lek. Het is niet langer mogelijk om op deze manier het telefoonnummer van een ander over te nemen. Het probleem speelde zowel bij klanten met prepaidkaarten als bij klanten met een abonnement.

Dit kunnen criminelen met je 06-nummer

Het kapen van een mobiel nummer van een ander noemen we ook wel sim swapping. Als je de controle hebt over andermans telefoonnummer, kun je daar nare dingen mee doen. Veel online diensten zijn gekoppeld aan een 06-nummer, zoals sociale media. Dit nummer kan worden gebruikt om een speciale inlogcode te ontvangen die je, naast je gebruikersnaam en wachtwoord, moet invoeren om toegang te krijgen tot je account. Of om het wachtwoord voor je account te resetten. Dit noemen we ook wel tweestapsverificatie. Iemand die jouw mobiele nummer heeft overgenomen ontvangt deze codes ook en kan zodoende jouw accounts overnemen.

Als je de controle hebt over het telefoonnummer van een ander, kun je hiermee zijn of haar WhatsApp-account overnemen. Cybercriminelen proberen op deze manier nietsvermoedende slachtoffers op te lichten door zich voor te doen als een ander. Ze doen alsof ze in acute financiële nood verkeren en geld nodig hebben. Zodra het slachtoffer geld overmaakt naar hun rekening, kunnen ze fluiten naar hun centen. Deze vorm van fraude noemen we ook wel WhatsApp-fraude. Naar schatting levert deze vorm van fraude jaarlijks een schadepost op van zo’n 20 miljoen euro.

Ook kunnen kwaadwillenden met je mobiele nummer je e-mailadres overnemen, foto’s en video’s van je Google- of Apple-account downloaden, producten bestellen via online betaaldiensten of je cryptocurrency wallet legen. Normaal gesproken voorkom je dit soort scenario’s door tweestapsverificatie in te stellen. Als een ander met jouw nummer aan de haal gaat, heb je daar niet zoveel aan. Om die reden waarschuwde Microsoft afgelopen jaar om sommige beveiligingsmechanismen voor multifactorauthenticatie niet blind te vertrouwen. Sms is er één van.

Over Lebara

Lebara is een zogeheten mobile virtual network operator (MVNO). Dat houdt in dat het bedrijf niet over een eigen telecommunicatienetwerk beschikt, maar gebruik maakt van het netwerk van een ander. In het geval van Lebara is dat KPN. De provider betaalt hiervoor een vergoeding aan KPN. Lebara is sinds 2004 actief in Nederland en heeft naar eigen zeggen meer dan 800.000 klanten.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen