Sim-swap: bestolen door je eigen telefoonnummer

Cybercrime Oplichters misbruiken mobiele nummers om bankrekeningen en andere onlineaccounts te plunderen. Sim-swapping is in opmars, maar je simkaart heeft meer zwakke plekken. Hoe kun je je 06-nummer het beste beschermen?

Illustratie Tomas Schats

Opeens lig je eruit. De verbinding met het mobiele netwerk is weg. Aan- en uitzetten helpt niet. Iemand anders heeft de controle over je 06-nummer overgenomen, door een nieuwe simkaart aan te vragen met valse identificatie.

Sim-swapping heet deze vorm van oplichting. En zodra je het merkt, is het meestal te laat.

Dat ondervonden honderden Spaanse slachtoffers, die bij elkaar 3 miljoen euro kwijtraakten in een reeks sim-swapaanvallen. In januari rolde de Europese opsporingsdienst Europol samen met de Spaanse politie de bende op die bedragen tussen de 6.000 en 137.000 euro wegsluisde van bankrekeningen.

Dat ging zo: criminelen hadden de inloggegevens van de rekeningen al buitgemaakt. Om daadwerkelijk transacties uit te voeren onderschepten ze via de gekaapte simkaart het sms’je waarmee sommige banken eenmalige autorisatiecodes versturen. Die code is een extra beveiligingsstap. Sms wordt nog regelmatig voor deze zogeheten tweefactorauthenticatie gebruikt. Dat werkt prima, totdat je 06-nummer wordt overgenomen.

Sim-swappen treft ook prominente doelwitten. Jack Dorsey, topman van Twitter, verloor vorig jaar de controle over zijn eigen Twitter-account omdat iemand zijn telefoonnummer overnam. En de Amerikaanse cryptobelegger Michael Terpin raakte in één klap 24 miljoen dollar kwijt. Zijn digitale kluis, beveiligd met een sms-code, werd leeggeroofd toen dieven zijn mobiele nummer overnamen. Terpin probeert zijn provider AT&T tot een schadevergoeding te dwingen – tot nu toe zonder succes.

Afgelopen week waarschuwde Europol dat het aantal sim-swapaanvallen in Europa toeneemt. Als voorbeelden noemde het de Spaanse zaak en een bende die Oostenrijkse slachtoffers een half miljoen euro aftroggelde.

Lees ook: De hack van Twitter

Je simkaart kan gekaapt worden als iemand anders zich met een smoes meldt bij de provider – ‘ik ben mijn simkaart kwijt’ – en zich voor jou uitgeeft. Telecombedrijven controleren de identiteit van hun klanten, maar werpen omwille van de gebruiksvriendelijkheid niet al te hoge drempels op. Bij de helpdesks van telecombedrijven moet je een willekeurige reeks persoonlijke vragen beantwoorden als beveiligingscheck, in de telecomwinkel moet iemand zijn identiteitsbewijs tonen bij de aanvraag van een nieuwe simkaart.

Oplichters hebben het ook gemunt op online accounts van mensen bij telecomproviders. „Die accounts bevatten veel persoonlijke gegevens, waarmee helpdeskmedewerkers overtuigd kunnen worden dat ze met een legitieme gebruiker van doen hebben”, zegt Dave Maasland van beveiligingsbedrijf Eset. Hij vindt het niet goed dat gebruikersaccounts van providers alleen met een wachtwoord beveiligd zijn. „Tweefactorauthenticatie is nog niet de standaard. Dat maakt het gemakkelijk in te breken.”

De kleinste details tellen

In juli hield de politie een 22-jarige Amsterdamse IT-student aan die verdacht werd van het hacken van een miljoen gebruikeraccounts bij Belgische telecomproviders en Nederlandse bedrijven. Hij legde een database aan met 2,5 miljoen Belgische en 4,5 miljoen Nederlandse e-mailadressen, met de bedoeling die data te verkopen in combinatie met telefoonnummers en bankrekeningnummers. Volgens Belgische media vroeg hij 100 euro voor een lijst met 100 gecompromitteerde accounts. De gegevens werden onder meer gebruikt voor sim-swappen.

In het zwarte circuit wordt volop gehandeld in dit soort datasets, zegt Jornt van der Wiel van beveiligingsbedrijf Kaspersky. De data worden verzameld via kwaadaardige software die stiekem op computers is geïnstalleerd. Gestolen accountgegevens, afkomstig van eerdere datalekken, zijn ook een dankbare informatiebron: veel mensen hergebruiken hun wachtwoorden nog altijd – tegen beter weten in.

Naast inloggegevens zijn ook kleine details van belang voor cybercriminelen, legt Van der Wiel uit. „Om misbruik te voorkomen houden banken bij met wat voor soort beeldscherm en browser je inlogt en vanaf welke locatie. Op het moment dat iemand met een Linux-systeem uit Sint-Petersburg inlogt, gaat er een alarm af. Om zulke detectiemechanismes te omzeilen bouwen criminelen jouw computer virtueel na, inclusief beeldscherminstellingen, en gebruiken een internetadres bij je in de buurt.”

Lees ook deze reportage: Nieuwe simkaart? Dan moet je in China eerst je gezicht laten scannen

De simkaart wordt vast ingebouwd

De simkaart speelt een sleutelrol in veel oplichtingstrucs. SIM is een afkorting voor subscriber identity module, een smartcard die je registreert op het mobiele netwerk. Dit plastic kaartje gaat op den duur verdwijnen omdat de telecomsector overschakelt naar embedded sims of e-sims: simkaarten die vastzitten in de telefoon.

De jongste iPhone-generaties hebben e-sim en sommige Samsung-toestellen inmiddels ook. Als klant kun je meerdere nummers op één telefoon gebruiken. De telefoonmakers besparen ruimte in het toestel, die ze kunnen gebruiken voor een grotere batterij of nog een extra camera. De functionaliteit van zo’n ingebouwde sim verschilt niet van het fysieke kaartje, maar de uitgifte wel: dat gaat online, door het uploaden van een gebruikersprofiel via een beveiligde verbinding.

T-Mobile Nederland, dat in 2019 begon met e-sims, had aanvankelijk te weinig controles op de uitgifte. Kwaadwillenden konden zo makkelijk iemands 06-nummer overnemen, meldde RTL Nieuws vorig jaar. Inmiddels heeft T-Mobile de procedure aangescherpt. Vodafone, dat sinds deze zomer e-sims uitgeeft, vraagt naast een QR-code een extra verificatiestap die misbruik moet voorkomen. Volgens Maarten van Wely, manager mobiele consumentenproducten bij Vodafone, is het niet mogelijk een eenmaal gekoppelde e-sim over te nemen. KPN begint over enkele weken met e-sims en heeft ook extra voorzorgsmaatregelen genomen.

GSMA, de brancheorganisatie van alle telecomproviders, waarschuwde vorig jaar dat de uitgifte van e-sims beter gecontroleerd moeten worden. Maar volgens Jon France, beveiligingsexpert van GSMA, maakt e-sim het systeem uiteindelijk robuuster: „Bij sim-swappen is social engineering het belangrijkste wapen – helpdeskmedewerkers of personeel in telecomwinkels wordt misleid. De uitgifte van e-sims kun je centraal regelen en is dus makkelijker te beveiligen.”

Wat is de schade?

De Duitse beveiligingsspecialist Karsten Nohl wist in 2013 de versleuteling van de simkaart te kraken. In zijn ogen schiet de simkaart zelf niet tekort, maar de identiteitscontrole van de telecomproviders. Zolang simkaarten gekaapt kunnen worden is sms een kwetsbaar transportmiddel voor het beschermen van accounts of het verzenden van betaalbevestigingen. „Banken moeten niet vertrouwen op zo’n methode”, zegt Nohl.

Lees ook: Vijf verdachten aangehouden in omvangrijke cybercriminaliteitszaak

In Nederland bieden ING (7,9 miljoen particuliere klanten) en creditcardmaatschappij ICS (3,5 miljoen kaarthouders) nog altijd codes per sms aan. ING wil er dit jaar, na dertig jaar, mee stoppen. Net zoals de meeste banken beveelt ING consumenten aan de mobiele app te gebruiken als betalingsbevestiging. Zo’n bankapp is aan het fysieke toestel gekoppeld en kan niet via een simkaart worden gekaapt.

De Nederlandse banken meldden in 2019 bijna 8 miljoen euro schade door phishing naar beveiligingscodes, waarbij consumenten met andere oplichtingstrucs overgehaald worden hun code prijs te geven. „Sim-swappen speelt geen grote rol”, zegt een woordvoerder van Betaalvereniging Nederland. „Dat zal in de toekomst ook niet toenemen, omdat authenticatiecodes versturen via sms een afnemende zaak is.” Nog een geruststelling: wie toch door zijn eigen telefoonnummer bestolen wordt, krijgt volgens de Betaalvereniging in „99,9 procent van de gevallen” de schade vergoed.