SIM swapping: wat is het, waarom is het zo gevaarlijk en hoe voorkom je het?

Twee smartphones die virtuaal Simkaarten uitwisselen
Klik hier voor een samenvatting van dit artikel
In een notendop: wat is SIM swapping?

Bij SIM swapping nemen hackers of cybercriminelen de controle over je mobiele telefoonnummer over. Ze halen alles uit de kast om de medewerker bij het telecombedrijf te overtuigen dat jij een slachtoffer in nood bent. Door hem of haar op het verkeerde been te zetten, proberen ze de werknemer over te halen om een simkaart op afstand te activeren.

Op dat moment kan het slachtoffer niet langer met zijn smartphone verbinding maken met het netwerk van zijn provider. De fraudeur kan het gekaapte telefoonnummer gebruiken om online accounts van zijn slachtoffer over te nemen, WhatsApp-fraude te plegen of twee-factor-authenticatie te omzeilen.

Providers voeren een permanente strijd tegen cybercriminelen en doen er alles aan om hen te slim af te zijn. Jij bent echter niet afhankelijk van telecombedrijven of machteloos. Ook jij kunt allerlei maatregelen treffen om niet het volgende slachtoffer van SIM swapping te worden:

  • Deel niet teveel persoonlijke informatie over jezelf online;
  • Bedenk sterke wachtwoorden voor je online accounts;
  • Activeer (indien mogelijk) twee-factor-authenticatie voor online diensten;
  • Houd je software up-to-date;
  • Neem contact op met je provider bij verdachte activiteiten.

Wil je weten hoe hackers je mobiele nummer overnemen, hoe vaak SIM swapping in Nederland voorkomt en hoe de grootste providers van ons land proberen het te voorkomen? Lees dan het gehele artikel.

Bij SIM swapping nemen hackers jouw 06-nummer over en gebruiken deze om je online accounts te kapen, jou af te persen of je geld te stelen. En het ergste is, je hebt het vaak pas in de gaten als het te laat is. Door SIM swapping vallen er in ons land jaarlijks tientallen slachtoffers. Het totale schadebedrag van deze hackerstruc is onbekend, maar vaak gaat het om enkele duizenden euro’s per geval.

Wat is SIM swapping?

Virusje valt twee Simkaarten aanSIM swapping betekent dat hackers of cybercriminelen jouw telefoonnummer kapen. Als kwaadwillenden de macht hebben over je 06-nummer, kunnen ze hier allerlei nare en vervelende dingen mee doen. In de volgende paragraaf staan we daar uitgebreid bij stil.

SIM swapping is een vorm van social engineering. Dat is een methode die hackers gebruiken om mensen iets te laten doen wat ze normaal gesproken nooit zouden doen. Denk aan het doorgeven van je inloggegevens, de pincode van je bankpas of geld overmaken naar de rekening van oplichters. Of zoals gedragsdeskundigen zeggen: social engineering is een vorm van gerichte psychologische manipulatie waarbij alles draait om misleiding.

Dat is precies waar het bij SIM swapping om gaat. Oplichters proberen een medewerker van een telecombedrijf op het verkeerde been te zetten door zich voor te doen als een ander. Door de identiteit van een ander aan te nemen, proberen ze de controle te krijgen over jouw telefoonnummer. Het misbruiken van andermans identiteit noemen we ook wel identiteitsfraude.

Waarom is SIM swapping zo gevaarlijk?

Dat je niet langer kunt bellen, sms’en en internetten op je smartphone als een ander jouw telefoonnummer kaapt, is vervelend. Tegelijkertijd is dat de minste zorg van je probleem. SIM swapping is om verschillende redenen gevaarlijk.

Online accounts overnemen

Drie accoutns waarvan er een is overgenomen

Veel online accounts zijn gekoppeld aan een mobiel telefoonnummer, waaronder social media als Facebook en Instagram. Online platforms en diensten vragen gebruikers om hun 06-nummer door te geven als wachtwoordhersteloptie. Zo kunnen zij hun inloggegevens resetten als ze deze zijn vergeten.

Als een ander toegang heeft tot jouw telefoonnummer, kan hij (zonder jouw medeweten) het wachtwoord veranderen van je social media accounts. Je kunt dan niet langer inloggen op je profiel. Als een hacker eenmaal de baas is over je account, kan hij namens jou berichten plaatsen. Je (online) reputatie kan hij kinderlijk eenvoudig te grabbel gooien bij jouw volgers, vrienden, kennissen, familieleden of collega’s.

Niet alleen social media accounts worden vaak via een 06-nummer overgenomen. Ook online betaaldiensten, bankrekeningen, cryptowallets en e-mailadressen zijn regelmatig het doelwit van cybercriminelen. Als een oplichter eenmaal toegang heeft tot je e-mailadres, kan hij tevens bij foto’s, video’s en andere bestanden die zijn opgeslagen in de cloud.

Als daar intiem of erotisch getint beeld- of videomateriaal tussen staat, kan SIM swapping van het ene op het andere moment overgaan in sextortion. Van een lege cryptowallet omdat al je bitcoins zijn gestolen, wordt uiteraard ook niemand blij.

Mensen oplichten door WhatsApp-fraude

Infographic waarbij een hacker middels een link toegang krijgt tot iemands WhatsApp

Oplichters kunnen het mobiele telefoonnummer van een slachtoffer misbruiken om zich voor een ander uit te geven. Dat gebeurt bijvoorbeeld bij WhatsApp-fraude. Een bedrieger doet alsof hij jou is en zoekt contact met iemand met wie je goed bevriend bent. Vaak doet een oplichter alsof hij in acute financiële problemen zit en vraagt of je een rekening kunt betalen om hem uit zijn benarde situatie te helpen.

Om je over te halen zo snel mogelijk te betalen, praat de dader je een schuldgevoel aan: als je niet onmiddellijk geld overmaakt, komt de gerechtsdeurwaarder langs en neemt hij zijn spullen in beslag. Eenmaal betaald kan het slachtoffer fluiten naar zijn geld.

De politie ontving in 2020 wekelijks gemiddeld 150 aangiftes van WhatsApp-fraude. Door de coronapandemie liep dit aantal tussen april en augustus op tot 700 aangiftes per week. De Fraudehelpdesk bevestigt deze trend. Afgelopen jaar ontving de organisatie meer dan 11.000 meldingen van WhatsApp-fraude, vier keer zoveel als in 2019.

Volgens de meest recente politiecijfers wordt er landelijk gemiddeld honderd keer per dag aangifte gedaan van vriend-in-noodfraude. De totale financiële schade wordt geschat op 13 miljoen euro. Voor demissionair minister van Justitie en Veiligheid Ferdinand Grapperhaus was dit aanleiding om een wetsvoorstel voor te leggen aan de Tweede Kamer om WhatsApp-fraude harder aan te pakken.

Multifactorauthenticatie omzeilen

Infographic met een hacker die multifactorauthenticatie omzeilt

Multifactorauthenticatie of tweestapsverificatie is een manier om je accounts extra goed te beveiligen. Naast een gebruikersnaam en wachtwoord (iets dat je weet) heb je tevens een toegangscode nodig om in te loggen (iets waar je over beschikt). Deze code wordt vaak per sms naar gebruikers opgestuurd.

Als een hacker de controle over jouw telefoonnummer heeft, ontvangt hij deze beveiligingscode en kan hij de extra beveiligingslaag die multifactorauthenticatie creëert omzeilen. Het is alsof je hem de sleutel van je huis geeft zodat hij ongestoord kan inbreken en je mooiste en duurste spullen meenemen.

Zo nemen hackers je mobiele telefoonnummer over

De term SIM swapping suggereert misschien dat iemand jouw simkaart uit je smartphone steelt. Zo werkt dat niet in praktijk. De kans dat jij dan de dader op heterdaad betrapt, is groot. Hackers zijn een stuk sluwer en nemen geen risico. Waarom zouden ze, als ze van een veilige afstand jouw 06-nummer kunnen overnemen? Hieronder lees je hoe ze te werk gaan.

Infographic van hoe een hacker je telefoonnummer overneemt

Stap 1: informatie over het slachtoffer verzamelen

Voordat een oplichter naar de klantenservice van het telecombedrijf belt, doet hij zijn huiswerk. Een goede voorbereiding is het halve werk en maakt de oplichtingstruc des te geloofwaardiger. Hij speurt het internet af om zoveel mogelijk over zijn slachtoffer te weten te komen. Denk aan een naam, adres, telefoonnummer, geboortedatum, burgerservicenummer (BSN) en bankrekeningnummer.

Dit zijn gegevens die de klantenservice nodig heeft om jouw identiteit vast te stellen. Ook moet de oplichter weten bij welke provider zijn slachtoffer een telefoonabonnement heeft.

De meeste informatie is via openbare bronnen zoals social media te vinden. Gegevens die een hacker niet via deze kanalen kan achterhalen, zijn vaak te koop. Op het dark web is het mogelijk om tegen betaling complete databases met persoonsgegevens en wachtwoorden te kopen. Dit soort gegevens belanden vaak op straat door datalekken bij bedrijven en online dienstverleners. Hackers betalen voor deze inloggegevens slechts een paar cent per slachtoffer. Een kleine investering om iemands meest privacygevoelige gegevens te achterhalen.

Tip: via platforms als Have I Been Pwned en Scattered Secrets kun je in de gaten houden waar privégegevens en wachtwoorden zijn gelekt. Als je een wachtwoord voor meerdere sites gebruikt en deze blijkt gestolen te zijn bij een cyberaanval, is het verstandig om deze overal te veranderen.

Stap 2: simkaart aanschaffen

Om een 06-nummer over te nemen, heb je een simkaart nodig. Een simkaart van de provider waar het doelwit een abonnement heeft, om precies te zijn. Deze is kinderlijk eenvoudig te bestellen, zowel online als offline, en kost slechts een paar euro. Als de oplichter de simkaart in zijn smartphone steekt, doet hij niets: hij kan geen verbinding maken met het netwerk, en dus ook niet bellen, sms’en of internetten. Dat komt omdat de simkaart nog moet worden geactiveerd. Daarvoor neemt de hacker contact op met het telecombedrijf.

Stap 3: nieuwe simkaart activeren

Nu de hacker een simkaart en de informatie heeft die nodig is om zich voor te doen als zijn slachtoffer, belt hij de klantenservice van het telecombedrijf (het kan tegenwoordig ook via de chat). “Goeiedag, u spreekt met (…). Mijn simkaart is beschadigd en werkt nu niet meer. Ik heb alvast een nieuwe simkaart gekocht, kunt u deze voor mij activeren?”

De medewerker aan de andere kant van de lijn doet dat niet zomaar. Hij moet eerst de identiteit vaststellen van de beller. Daarvoor stelt hij een aantal controlevragen, zoals wat zijn adres, postcode, geboortedatum of de laatste vier cijfers van zijn bankrekeningnummer zijn. Nu komen de gegevens die de hacker eerder heeft bemachtigd van pas: hij hoeft de antwoorden op de controlevragen alleen nog maar op te lezen.

Als de medewerker van het telecombedrijf de goede antwoorden voorbij hoort komen, activeert hij de door de hacker gekochte simkaart. De werknemer zet het mobiele nummer over op de simkaart. Binnen een paar tellen licht het signaalicoontje op en heeft de oplichter bereik. Hij bedankt de medewerker voor de moeite en hangt op. Het 06-nummer van zijn slachtoffer is van hem. Nu kan hij aan de haal gaan met het telefoonnummer.

SIM swapping in praktijk

Misschien denk je dat het aantal slachtoffers en de financiële schade door SIM swapping meevalt. Feit is dat dit fenomeen steeds vaker in het nieuws is.

In maart 2020 arresteerde Europol, samen met de Spaanse Nationale Politie en speciale politie-eenheden van de Guardia Civil, 12 personen. Zij werden ervan verdacht onderdeel uit te maken van een criminele organisatie die meer dan drie miljoen euro had gestolen bij een reeks SIM swapping aanvallen in Spanje. Ze sloegen meer dan honderd keer toe. Per aanslag stalen ze tussen de 6.000 en 137.000 euro van bankrekeningen van nietsvermoedende slachtoffers.

Hetzelfde gebeurde in Oostenrijk en Roemenië. Na een acht maanden durend onderzoek arresteerden de Roemeense nationale politie en de Oostenrijkse Bundeskriminalamt begin 2020 14 leden. Zij maakten deel uit van een bende die in het voorjaar van 2019 tal van slachtoffers maakten door middel van SIM swapping.

Nadat ze de controle hadden overgenomen van het telefoonnummer van hun slachtoffers, logden ze in via een app voor mobiel bankieren. Met de autorisatiecode die ze per sms ontvingen, maakten ze geld over naar andere betaalrekeningen. Geschat wordt dat de daders op deze manier meer dan een half miljoen euro hebben gestolen.

In februari 2021 rekende Interpol acht hackers in. In minder dan een jaar tijd stalen zij een bedrag van 100 miljoen dollar aan bitcoin en andere cryptocurrency van influencers, popsterren en hun families. Dankzij SIM swapping konden de verdachten multifactorauthenticatie omzeilen en het geld ongemerkt naar hun eigen cryptowallet oversluizen.

SIM swapping in Nederland

Velen denken dat SIM swapping een ver-van-mijn-bed show is. Niets is minder waar: ook in ons land vallen er slachtoffers. In februari 2021 klopte een telecombedrijf aan bij de politie in de regio Parkstad, omdat een medewerker ‘verdacht gedrag’ vertoonde. De politie ging op onderzoek uit en kwam al snel bij drie verdachten uit. Ze werkten allemaal voor dezelfde provider. Ze probeerden een zakcentje bij te verdienen door cryptovaluta van nietsvermoedende slachtoffers te stelen.

De hoofdverdachte had toegang tot het informatiesysteem van zijn werkgever. In een oogopslag kon hij zien of een telefoonnummer gelekt was of niet, en of het thuishoorde bij de provider waarvoor hij werkte. Als dat laatste het geval was, kon hij het nummer op een andere simkaart zetten en activeren. Zo kreeg hij toegang tot de crypto-accounts van anderen. Volgens de politie hadden de verdachten een programma geïnstalleerd waarmee ze toegang kregen tot de computers van het telecombedrijf. De arrestanten worden verdacht van SIM swapping en computervredebreuk.

Het onderzoek ging na de arrestatie verder. Hierdoor kwam een telefoonwinkel in Vaals in beeld. Door een datalek raakten tientallen klanten van T-Mobile hun telefoonnummer kwijt. De slachtoffers verloren ieder duizenden euro’s, omdat de daders per sms toegang hadden tot hun cryptowallet.

Hoe het lek heeft kunnen ontstaan is nog altijd onduidelijk. De eigenaar van de zaak beweert het slachtoffer te zijn van een hack en vermoedt dat de dader zijn wachtwoord voor het dealerportaal is uitgelekt. Daardoor konden aanvallers ‘simswaps’ uitvoeren. Slachtoffers denken dat hun persoonsgegevens gestolen zijn bij een datadiefstal bij Ledger, een digitale portemonnee voor cryptovaluta. In december 2020 werden honderdduizenden adressen en telefoonnummers van Ledger-gebruikers buitgemaakt en op een hackersforum gezet.

Door aanvullend onderzoek kreeg de politie in juli opnieuw drie verdachten in het vizier. Het ging om een 21-jarige man uit Stein, een 23-jarige man uit Heerlen en een 21-jarige man uit Elsloo. Ze worden verdacht van computervredebreuk, witwaspraktijken en diefstal van cryptovaluta. Bij het doorzoeken van hun woningen nam de politie mobiele telefoons, gegevensdragers en contant geld in beslag. Tot op heden is de zaak nog niet afgerond door de politie.

Waarom is SIM swapping zo effectief?

Er zijn verschillende redenen waarom SIM swapping zo effectief is. In de eerste plaats omdat de medewerker van het telecombedrijf de beller aan de andere kant van de lijn zo goed mogelijk van dienst wil zijn. Dat is immers de reden waarom ze door de provider zijn aangenomen.

Bovendien geeft het een voldaan gevoel als je weet dat je iemand uit de brand hebt geholpen. Dat is goed voor het zelfvertrouwen van de medewerker, zeker als hij een compliment krijgt van zijn leidinggevende voor het goede werk en het eindresultaat (een tevreden klant).

Oplichters hebben er ook een handje naar om de perfecte situatie te creëren waarin ze nog eerder geholpen worden. In een interview met RTL Nieuws vertelt ‘Oliver’ (niet zijn echte naam), een hacker die aan SIM swapping deed, dat hij via zijn laptop babygeluiden aanzette om sympathie te wekken bij de medewerker. Hij of zij was dan eerder geneigd hem te helpen.

Een andere methode die hij veelvuldig gebruikte, was om het telecombedrijf vlak voor het einde van de werkdag te bellen. Medewerkers willen na een dag hard werken naar huis en handelen de laatste telefoontjes daarom snel af.

Een andere reden waarom SIM swapping zo doeltreffend is, komt omdat het van afstand een stuk lastiger is om de identiteit vast te stellen van degene die om hulp vraagt. Als iemand via een filiaal van de provider aanklopt met de vraag of hij een nieuwe simkaart kan krijgen, kun je naar een paspoort of ander identiteitsbewijs vragen. Ook kun je deze persoon in de ogen kijken. Goed getrainde mensen zien aan de hand van lichaamstaal en gedrag of iemand zenuwachtig is, staat te liegen, of oprecht in de penarie zit. Via de telefoon kan dat niet.

Hoeveel SIM swapping slachtoffers telt ons land?

Het is moeilijk te zeggen hoeveel Nederlandse slachtoffers het fenomeen SIM swapping kent. De politie houdt geen exacte cijfers hierover bij, zoals het geval is bij misdrijven als woninginbraken, fietsendiefstallen of roofovervallen. Bobby Markus, woordvoerder bij de politie, vertelt tegenover VPNGids.nl dat er afgelopen jaar “vermoedelijk tientallen” Nederlanders aangifte of melding hebben gedaan van SIM swapping. Hij bevestigt dat de schade varieert tussen “de tientallen en duizenden euro’s.”

De Fraudehelpdesk zegt dat ze dit jaar slechts vijf meldingen over SIM swapping heeft ontvangen. “De meeste andere meldingen blijken uiteindelijk over spoofing te gaan”, zo vertelt woordvoerder Tanya Wijngaarde. Daar komt bij dat niet iedereen aangifte doet, laat staan de financiële schade meldt. De Fraudehelpdesk heeft tot nu toe slechts één melding gekregen waarbij het slachtoffer 1.000 euro schade heeft geleden als gevolg van SIM swapping.

Providers lijken zelf ook weinig zicht op het aantal gedupeerden te hebben. T-Mobile zegt bijvoorbeeld dat het sinds half december 2020 “een handvol klachten” heeft ontvangen over SIM swapping. Tegelijkertijd erkent de provider dat het aantal slachtoffers toeneemt. T-Mobile wijt deze toename aan de coronapandemie: daardoor kan het bedrijf klanten minder goed controleren.

“Als een verificatie-sms niet mogelijk is, sturen we klanten normaal gesproken naar de T-Mobile Shop om zich te identificeren met een legitimatiebewijs voor een simswap. Door COVID waren wij genoodzaakt onze winkels te sluiten en moesten wij deze maatregel tijdelijk aanpassen”, zegt het telecombedrijf tegenover NRC.

Deze maatregelen nemen providers tegen SIM swapping

SIM swapping kent misschien niet het grootst aantal slachtoffers, de gevolgen zijn daarentegen vaak zeer ernstig. Providers doen er dan ook alles aan om SIM swapping tegen te gaan. We hebben de drie grootste telecomproviders van Nederland – T-Mobile/Tele2, KPN en VodafoneZiggo – benaderd met de vraag hoe zij optreden tegen SIM swapping.

T-Mobile/Tele2

T-Mobile Tele 2 LogoT-Mobile laat in een reactie weten dat ze een permanente strijd voert tegen criminelen en er alles aan doet om hen te slim af te zijn. Door de gebeurtenissen in de telefoonwinkel in Vaals (zie paragraaf ‘SIM swapping in Nederland’) heeft de provider de procedures en protocollen aangescherpt. Klanten die hun simkaart kwijt zijn of waarvan de simkaart beschadigd is, kunnen niet langer via de chatapplicatie op de website een nieuwe simkaart activeren.

Daarvoor moeten zij zich bij een filiaal van het bedrijf melden, met legitimatiebewijs. Klanten die echt niet naar de winkel kunnen, worden in contact gebracht met een speciaal team. Met extra maatregelen kunnen deze medewerkers alsnog een simswap uitvoeren.

In de nabije toekomst kunnen klanten van T-Mobile hun gegevens met een extra wachtwoord nog beter beschermen. Daarvoor gebruikt het telecombedrijf twee-factor-authenticatie. Klanten worden aangespoord om hiervoor een authenticatie-app te gebruiken, zoals Google Authenticator, Microsoft Authenticator of Authy. Om klanten alvast aan dit idee te laten wennen, loopt er op dit moment een pilot om klanten de mogelijkheid te geven om per sms tweestapsverificatie in te stellen.

Verder start T-Mobile een bewustwordingscampagne om klanten te vertellen over de gevaren van SIM swapping en wat ze kunnen doen om te voorkomen dat ze zelf het slachtoffer worden. Callcentermedewerkers worden voorgelicht over hoe criminelen te werk gaan om een nieuwe simkaart te activeren. De provider zegt haar medewerkers actief te gaan controleren. “Bij onregelmatigheden volgt onderzoek en flinke sancties als blijkt dat medewerkers misbruik maken van hun bevoegdheden in onze systemen”, zo laat het telecombedrijf weten.

Tot slot heeft T-Mobile een taskforce ingesteld om ‘structurele oplossingen’ te bedenken voor SIM swapping.

KPN

KPN LogoZo transparant als T-Mobile/Tele2 is KPN helaas niet. De provider laat weten dat ze de maatregelen die ze tegen SIM swapping neemt niet kan toelichten. In een reactie zegt KPN het volgende: “SIM swapping is geen nieuw fenomeen en komt bij KPN op dit moment niet tot nauwelijks voor. Wij doen er alles aan om dit fenomeen ook tegen te gaan en we monitoren dit nauwgezet. Ook hebben we onze processen erop ingericht om dit soort praktijken te kunnen voorkomen. Mocht er aanleiding zijn om extra maatregelen te treffen, dan zullen we dat uiteraard doen.”

Waarom KPN geen openheid van zaken geeft, komt waarschijnlijk omdat het bedrijf cybercriminelen en hackers niet in de kaart wil spelen. Door details prijs te geven over het tegengaan van SIM swapping, kunnen oplichters deze informatie gebruiken om manieren te bedenken om de getroffen maatregelen te omzeilen. Dan wordt het voor de provider nog lastiger om haar klanten hiertegen te beschermen. De beste manier om dat te bereiken, is door terughoudend te zijn met het prijsgeven van informatie over procedures.

Op het community forum van KPN schrijft een moderator het volgende over het tegengaan van SIM swapping: “Wanneer je bij ons een nieuwe simkaart aanvraagt, sturen we deze naar het bij ons bekende adres. Bovendien moet je zelf de simkaart na ontvangst nog activeren. En voor andere aanpassingen zoals een adreswijziging wordt altijd een grondige verificatie gedaan. Daarbij hoort ook een verificatiecode die je per sms toegestuurd wordt. Zo doen we er alles aan om te voorkomen dat anderen iets met jouw gegevens of abonnement kunnen doen.”

VodafoneZiggo

Vodafone Ziggo LogoNet als KPN laat VodafoneZiggo niet het achterste van haar tong zien als het gaat om het bestrijden van SIM swapping. In een schriftelijke reactie laat de provider weten dat het zwaartepunt ligt op het verificatieproces en het trainen van medewerkers.

“Vodafone voert verscheidene veiligheidsprocedures en processen om SIM swapping-oplichting en andere telefoonfraude te voorkomen. Deze richten zich onder andere op meerdere verificatie methoden en momenten tijdens het simswap proces. Ook het trainen en voorlichten van helpdeskmedewerkers en winkelpersoneel speelt hierin een belangrijke rol. Deze procedures en processen worden regelmatig getraind en continu geëvalueerd en aangescherpt op basis van nieuwe inzichten. Dit heeft in de afgelopen jaren geleid tot een aanzienlijke daling in het aantal fraudegevallen.”

Op het online forum schrijft de provider dat klanten een wachtwoord kunnen afspreken met de klantenservice. Klanten die een nieuwe simkaart aanvragen, moeten dit wachtwoord doorgeven. Weten ze het wachtwoord niet of zijn ze deze vergeten, dan mogen medewerkers geen veranderingen aanbrengen in het systeem. Oftewel, dan kun je fluiten naar een nieuwe simkaart.

Daarnaast voert VodafoneZiggo verificatie per sms uit voordat een simkaart wordt omgezet. Als een ander je nummer probeert over te zetten naar een andere simkaart, kun je nog ingrijpen om dat te voorkomen.

Zo voorkom je dat je slachtoffer wordt van SIM swapping

Als je het slachtoffer bent van SIM swapping, kan dat hele nare gevolgen hebben. Je doet er dan ook goed aan om je hiertegen te wapenen. Maar hoe? Hoe zorg je ervoor dat een ander niet ongemerkt je 06-nummer overneemt? Wij hebben een aantal tips voor je op een rij gezet:

Infographic met tips over hoe je SIM swapping kunt voorkomen

Houd er rekening mee dat deze adviezen niet 100 procent waterdicht zijn. Als klantgegevens op straat belanden door een datalek, ligt het buiten onze macht om daar iets aan te doen. In dat geval helpt het alleen als je je wachtwoord(en) aanpast of tweestapsverificatie inschakelt.

Tip 1: deel niet te veel persoonlijke informatie online

Stel, je bent geslaagd voor het rijexamen. Voor de meesten is dat een mijlpaal die ze het liefst met de hele wereld willen delen. Hoe kun je dat beter doen dan een selfie met je rijbewijs in beeld te plaatsen op social media? Dan weet iedereen in jouw omgeving dat je de trotse eigenaar bent van het roze papiertje. Vanaf dat moment hebben ze ook jouw pasfoto, BSN-nummer en andere gevoelige informatie. Hackers smullen van dit soort plaatjes.

Dit voorbeeld laat zien dat je voorzichtig moet zijn met wat je op internet plaatst. Dat geldt niet alleen voor je rijbewijs, maar ook als je iets zegt over je hobby’s, werkgever, de sportvereniging waar je lid van bent, je verjaardag of een avondje stappen. Door op social media over dit soort zaken en belevenissen te schrijven, zijn ze niet langer privé. Er zijn hackers en cybercriminelen die dit soort informatie verzamelen en misbruiken om je online accounts te stelen. Daar komt bij dat het soms lastig (of bijna zelfs onmogelijk) is om deze informatie definitief van het web te verwijderen.

Wil je toch over je beslommeringen kunnen vertellen op social media? Gebruik dan de privacyinstellingen van deze platformen om jouw pagina en berichten af te schermen voor de buitenwereld. Stel in dat alleen bekenden en vrienden deze gegevens kunnen bekijken. Maar vertrouw hier niet blindelings op: denk van tevoren goed na wat de eventuele gevolgen kunnen zijn van jouw post.

Tip 2: bedenk en gebruik sterke wachtwoorden voor je online accounts en je simkaart

‘Welkom123’, ‘wachtwoord’, ‘123456’, ‘qwerty’, ‘iloveyouprincess’. We kunnen het niet vaak genoeg zeggen dat dergelijke wachtwoorden hartstikke onveilig zijn. En toch zijn er meer dan genoeg mensen die hun online accounts met dit soort wachtwoorden beschermen. Onverstandig. Het is beter om voor iedere website of applicatie een sterk en uniek wachtwoord te verzinnen. Mochten je inloggegevens dan toch in de handen van hackers belanden, zijn de gevolgen en eventuele schade beperkt. Op onze website staat een handleiding over hoe je veilige en sterke wachtwoorden maakt en beheert.

Naast je online accounts is het ook verstandig om je simkaart te beveiligen. Door een pincode in te stellen, beperk je de toegang tot je simkaart. Bij Samsung-telefoons, de populairste smartphones in ons land, ga je naar ‘Instellingen’ > ‘Biometrie en beveiliging’ > ‘Andere beveiligingsinstellingen’ > ‘Vergrendeling simkaart instellen’ om een pincode voor je simkaart te creëren.

Zonder deze code is het onmogelijk om een simkaart te ontgrendelen en gebruiken. Het is een simpele, maar doeltreffende beveiligingshobbel voor hackers. Onthoud deze pincode goed en deel deze met niemand.

Tip 3: activeer (indien mogelijk) twee-factor-authenticatie voor online diensten

Zoals we eerder uitlegden is het omzeilen van twee-factor-authenticatie één van de grootste gevaren van SIM swapping. Toch is het verstandig om je online accounts met tweestapsverificatie te beveiligen, als dat mogelijk is. Zeker als je op een veilige en verantwoorde manier je cryptowallet wilt beheren. Door je digitale portemonnee te beveiligen met multifactorauthenticatie (MFA), maak je het hackers een stuk lastiger om in te breken.

Let op: gebruik geen MFA-methode waarbij de toegangscode via sms wordt verstuurd. Koppel je telefoonnummer als het even kan niet aan online accounts met gevoelige data. Kies liever voor een authenticatie-applicatie die je op je smartphone installeert. In de Google Play Store en App Store staan genoeg van dit soort apps, waaronder die van Google, Microsoft en Authy. De apps van deze bedrijven zijn gekoppeld aan een toestel in plaats van een telefoonnummer. Bovendien maken zij iedere 30 seconden een nieuwe toegangscode aan, die onmogelijk van een afstand te achterhalen is door kwaadwillenden. Zeker als je een fors bedrag aan bitcoin of andere cryptovaluta beheert, is een MFA-applicatie een goed idee.

Tip 4: houd al je software up-to-date

Nieuwe updates installeren is om meerdere redenen een goed idee. Mogelijk bevat de update nieuwe features voor het besturingssysteem of een applicatie. Maar nog belangrijker is dat ontwikkelaars op deze manier potentieel gevaarlijke beveiligingslekken dichten. Privégegevens en andere vertrouwelijke informatie worden zodoende beter beschermd tegen hackers en cybercriminelen.

Zorg ervoor dat niet alleen je besturingssysteem en apps up-to-date zijn. Dezelfde boodschap geldt ook voor antivirusprogramma’s, webbrowsers en andere programma’s die je op je computer of mobiele apparaten gebruikt. Hiermee samenhangend: als je een berichtje krijgt met daarin een verdachte link van een afzender die je niet kent of vertrouwt, open deze URL dan niet. Voor je het weet heb je een virus, Trojaans paard of andere vorm van malware te pakken.

Tip 5: neem contact op met je provider bij verdachte activiteiten

Heb je plotseling geen ontvangst meer? Of merk je dat je ineens niet meer op internet kunt als je niet verbonden bent met een wifinetwerk? Dan kan dat een aanwijzing zijn dat je telefoonnummer is overgenomen. Kán, want een storing verklaart eveneens waarom je van het ene op het andere moment niet meer bereikbaar bent. Als dat het geval is, staat dat vaak op de website van je provider, of sites als allestoringen.nl.

Vertrouw je de boel niet? Neem dan contact op met het telecombedrijf waar je een abonnement hebt afgesloten. Mocht er sprake zijn van SIM swapping, dan kunnen zij jou adviseren over vervolgstappen. Je bankrekening controleren op vreemde afschrijvingen of andere verdachte activiteiten is één van de eerste dingen die je moet doen. Kom je bijvoorbeeld aankopen tegen die je niet hebt gedaan, maar zijn er wel bedragen van je rekening afgeschreven? Bel dan onmiddellijk de bank om de situatie uit te leggen.

Daarnaast raden wij aan om zoveel mogelijk bewijs te verzamelen en de wachtwoorden voor je online accounts aan te passen. Zeker als je hetzelfde wachtwoord voor meerdere accounts gebruikt.

Conclusie: SIM swapping is de oorzaak van veel ellende, maar is te voorkomen

Experts op het gebied van cybersecurity zeggen het maar al te vaak: de mens is de zwakke schakel als het gaat om informatiebeveiliging. Bij SIM swapping is dat niet anders. Zonder dat je er misschien erg in hebt, geef je allerlei informatie weg op internet die cybercriminelen kunnen gebruiken om je telefoonnummer over te nemen. Verder proberen oplichters medewerkers van telecombedrijven bewust op het verkeerde been te zetten door te doen alsof ze een hulpbehoevend slachtoffer zijn. Daarvoor halen ze alles uit de kast en gaan ze soms uiterst creatief te werk.

SIM swapping is effectief en vaak ook lucratief. Er zijn genoeg voorbeelden van oplichters die hiermee duizenden euro’s en meer hebben verdiend. Totdat ze tegen de lamp aan liepen. De grote telecombedrijven kijken niet lijdzaam toe en hebben allerlei maatregelen getroffen zodat criminelen niet zomaar je mobiele nummer kunnen overnemen. Zelf kun je ook het nodige doen om ervoor te zorgen dat jij niet het volgende slachtoffer wordt.

We hopen dat je na het lezen van dit artikel beseft dat SIM swapping geen ver-van-mijn-bed show is en aan de slag gaat om jezelf tegen dit fenomeen te beschermen. Een gewaarschuwd mens telt voor twee.

Veelgestelde vragen: wat is SIM swapping?

Bij SIM swapping proberen hackers en cybercriminelen het 06-nummer van een nietsvermoedend slachtoffer over te nemen. Als ze eenmaal de controle over hun mobiele nummer hebben, kunnen ze allerlei nare en vervelende dingen doen, zoals zijn online accounts overnemen, zich voordoen als een ander of hun cryptowallet plunderen.

SIM swapping is zo effectief, omdat het voor medewerkers van telecombedrijven telefonisch moeilijk is om de identiteit van de beller vast te stellen. Daarnaast hebben oplichters er een handje naar om de situatie naar hun hand te zetten om medewerkers te manipuleren, vaak zonder dat ze daar erg in hebben.

Grofweg hebben hackers slechts drie stappen nodig om een telefoonnummer van een smartphone over te nemen.

  1. Allereerst struinen ze het internet af om zoveel mogelijk over hun doelwit te weten te komen. Denk aan voor- en achternaam, adres, telefoonnummer, geboortedatum, naam van de provider, burgerservicenummer en bankrekeningnummer. Veel informatie is te vinden via openbare bronnen als sociale media. Meer privacygevoelige gegevens worden vaak via het dark web gekocht.
  2. Om een telefoonnummer opnieuw te activeren, hebben hackers een simkaart nodig. Deze zijn online en offline verkrijgbaar en kosten vaak maar een paar euro.
  3. Tot slot bellen ze naar het telecombedrijf waar het slachtoffer een telefoonabonnement heeft afgesloten. Ze gebruiken de informatie die ze eerder verzameld hebben om een aantal controlevragen te beantwoorden. Als ze alles goed beantwoorden, activeert de medewerker de simkaart.

Providers treffen allerlei maatregelen om SIM swapping te voorkomen. Bij sommige telecombedrijven moeten klanten zich met een identiteitsbewijs melden bij een filiaal om een simkaart te activeren. Providers bieden klanten de mogelijkheid om hun gegevens met twee-factor-authenticatie te beschermen. Andere partijen sturen een nieuwe simkaart enkel naar het adres dat in hun systeem bekend is. Aan een adreswijziging gaat altijd een grondige verificatie vooraf.

Verder worden medewerkers continu getraind om signalen van SIM swapping te herkennen en houden providers bewustwordingscampagnes om klanten te informeren over het fenomeen.

Naast telecombedrijven kan jij het hackers zo lastig mogelijk maken om je mobiele telefoonnummer te kapen:

  1. Deel niet te veel persoonlijke informatie over jezelf op het internet;
  2. Bedenk sterke wachtwoorden voor je online accounts;
  3. Activeer (indien mogelijk) twee-factor-authenticatie voor online diensten;
  4. Houd je software up-to-date; en
  5. Neem contact op met je provider bij verdachte activiteiten.
Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
3
Reacties
Plaats een reactie
  1. Aansluitend op mijn eerdere reactie deze ochtend: Het blijkt dat de Google authenticator wel gebruikt kan worden als 2FA toegangscontrole voor de eigen Google account. Excuses voor de verwarring.

  2. Leerzaam artikel, dank. Enig idee waarom Google nog steeds gebruik maakt van SMS bij de 2FA om bij je account te komen ipv hun eigen online authenticator? Zou toch veiliger zijn lijkt mij?

    • He Wout, 2FA via sms één van de opties die Google Authenticator biedt om je online account bij Google (en aanbieders van andere diensten zoals Twitter en PayPal) te beschermen. Ook voor andere aanbieders van 2FA-diensten bieden dit veelal als mogelijkheid, omdat het gemak biedt voor gebruikers. Na het lezen van dit artikel weet je dat sms niet de meest veilige optie is om je accounts te beschermen. Microsoft waarschuwde daar vorig jaar al voor: https://www.vpngids.nl/nieuws/microsoft-waarschuwt-pas-op-met-multifactorauthenticatie/.

Een reactie plaatsen