:format(webp)/s3/static.nrc.nl/bvhw/files/2021/03/data68192183-897554.png)
Normaal gesproken is Sven van der Maaten (26) de rust zelve. Als keeper – tot vorig jaar voetbalde hij professioneel bij Telstar – leerde hij kalm te blijven en overzicht te houden, ook onder druk.
Toch klinkt er nu paniek in zijn stem. „Mijn identiteit lag al half op straat. Nou hebben ze ook nog mijn email-account en een kopie van mijn paspoort. Iemand kan zich volledig voordoen als mij”, zegt Van der Maaten tijdens een gesprek met zijn provider.
„Ik begrijp het”, luidt de reactie, „maar T-Mobile kan er niets aan doen dat iemand uw nummer heeft overgenomen.”
Van der Maaten werd afgelopen maand slachtoffer van een sim-swap. Een oplichter vroeg de helpdesk van T-Mobile om Svens 06-nummer te koppelen aan een andere simkaart. Het enige wat de dader nodig had: een smoes (‘mijn simkaart is stuk’), wat persoonsgegevens en een chatgesprekje van twaalf minuten. Van der Maaten raakte de toegang tot zijn e-mail kwijt en zag hoe de hacker een paar duizend euro aan bitcoins en andere cryptomunten probeerde weg te sluizen.
Je kunt je onlinediensten beschermen met wachtwoorden, maar die zijn makkelijk te raden. Mail, digitale kluizen, betaaldiensten of klantenaccounts bieden daarom vaak extra beveiliging in de vorm van een tijdelijke code die naar je telefoonnummer wordt verzonden. Maar die zogeheten tweefactorauthenticatie via sms is nutteloos als iemand je 06-nummer heeft gekaapt en jouw sms’jes ontvangt. De dader heeft dan de sleutels tot je digitale leven.
:format(webp)/s3/static.nrc.nl/bvhw/files/2020/10/data63002608-c6252a.jpg)
Sim-swaps zijn een bekend fenomeen met grote impact. Vaak hebben cybercriminelen het op bitcoins gemunt – ze selecteren hun slachtoffers uit gestolen databases van cryptomarktplaatsen. In tegenstelling tot een gewone bankrekening kun je zo’n crypto wallet leegtrekken en anoniem blijven. Pakkans: nihil.
Svens verhaal toont de kwetsbaarheid van je digitale identiteit, dikwijls gekoppeld aan een telefoonnummer. De lockdown dwingt iedereen meer zaken via internet te regelen. Dat geldt ook voor telecomproviders. Die moeten hun klanten online legitimeren omdat dat in de winkel niet kan en moeten extra goed opletten dat ze niet worden misleid door cybercriminelen.
Dit is geen storing
Dinsdagavond 2 februari, rond half tien. Sven van der Maaten komt thuis van de voetbaltraining en stapt uit zijn auto. Hij kijkt op zijn iPhone. Geen 4G-verbinding meer, meldt het toestel. Ook bellen lukt niet meer. Een storing, denkt hij eerst. Hij heeft zijn rekening toch wel betaald?
Binnen, in het wifi-bereik van zijn Haagse appartement, krijgt Sven argwaan. Hij ziet aan notificaties dat er mail binnenkomt op zijn Hotmail-account, maar hij krijgt de mails op zijn telefoon niet geopend. Op zijn laptop komen de mails gelukkig nog wel binnen. Eén daarvan, van Microsoft: „Beveiligingsgegevens zijn verwijderd. Als u dit niet heeft gedaan, heeft een kwaadwillende gebruiker toegang tot uw account.”
Iemand heeft zijn Hotmail-account overgenomen – dat beveiligd was met zijn 06-nummer – en het wachtwoord gewijzigd. Ook de wachtwoorden van de digitale kluizen met cryptomunten krijgen een reset. Sven ziet de mails binnenkomen. Hij is machteloos.
Wat ging er mis? Rond half acht die avond kreeg de helpdesk van T-Mobile een chatbericht van iemand die zich Sven noemt.
19:26 Helpdesk: Hallo, wat kan ik voor je doen?
19:29 ‘Sven’: Hallo ik wil mijn sim activeren
19.31: Helpdesk: Hoi Sven, ik ga direct voor je aan de slag. Mag ik je achternaam, 06, postcode, huisnummer en geboortedatum?
Nep-Sven levert die gegevens. Zijn oude simkaart doet het niet meer, beweert hij. T-Mobile controleert dit niet. Hij moet controlevragen beantwoorden om zijn identiteit te verifiëren.
19:33 Helpdesk: Ik heb 2 vragen voor je.
Vanaf welk banknummer incasseren wij maandelijks? En wat was het bedrag van je laatste rekening?
‘Sven’ geeft het juiste bankrekeningnummer en zegt: “precieze bedrag weet ik niet maar ik heb het unlimited pakket van 25 euro.”
Dat is geen antwoord op de vraag. Veel T-Mobile-klanten hebben zo’n unlimited-abonnement van 25 euro. Maar de echte Sven betaalt ook voor een toestelkrediet, zijn laatste rekening was 56,40 euro. Toch gaat de helpdeskmedewerker akkoord. Een fout, geeft T-Mobile achteraf toe.
:format(jpeg):fill(f8f8f8,true)/s3/static.nrc.nl/images/gn4/stripped/data68155917-89fcb9.png|https://images.nrc.nl/r8uqG3MEzWBgyYgFo_thZtHGIkg=/1920x/filters:no_upscale():format(jpeg):fill(f8f8f8,true)/s3/static.nrc.nl/images/gn4/stripped/data68155917-89fcb9.png|https://images.nrc.nl/QxUKxb-XtltIZBswx2vXGzbXWjg=/5760x/filters:no_upscale():format(jpeg):fill(f8f8f8,true)/s3/static.nrc.nl/images/gn4/stripped/data68155917-89fcb9.png)
Illustratie Jasper de Bruin
19.38 Helpdesk: Ik heb goed nieuws voor je: de nieuwe simkaart is actief. Zet nog wel even je toestel uit/aan.
19:38 ‘Sven’: Oké, bedankt.
‘Dit gesprek kan worden opgenomen voor trainings- en kwaliteitsdoeleinden’, hoort iedereen die een helpdesk belt. Van der Maaten is sinds een jaar zelf helpdeskmedewerker, bij een bank. Hij kent de trucs die identiteitsfraudeurs toepassen om medewerkers te misleiden.
Van der Maaten legt zijn communicatie met T-Mobiles klachtenafdeling nauwkeurig vast. Zo wordt duidelijk waar de provider steken liet vallen. De oplichter kon via chat een simkaart activeren. Dat is laagdrempeliger dan een telefoongesprek, waarbij je in ieder geval nog een stem kunt beoordelen. Volgens T-Mobile zijn oplichters echter ook aan de telefoon net zo handig in social engineering – de vakterm voor online oplichting.
Nog een veelgebruikte oplichterstruc: nep-Sven meldt zich net voor sluitingstijd van de helpdesk. Een tijdstip waarop medewerkers vermoeid kunnen zijn en wellicht minder goed opletten. Bijkomend voordeel: het slachtoffer kan de helpdesk niet bereiken zodra de sim is overgezet.
De hackers konden Svens persoonsgegevens bemachtigen via de levendige onlinehandel in persoonsgegevens voor identiteitsfraude. Adresgegevens, telefoonnummers, wachtwoorden en bankrekeningnummers kosten in het zwarte circuit een paar euro per ‘setje’. De data worden gestolen of lekken uit.
Zo ontdekte RTL Nieuws bijvoorbeeld dat GGD-gegevens van op corona geteste Nederlanders worden verkocht. Ook Ticketcounter – dat betalingen regelt voor concerten en musea – maakte onlangs een groot datalek bekend. Vorig jaar werd een Amsterdammer aangehouden die een miljoen gebruikersaccounts van providers doorverkocht, voor sim-swapping. Deze week nog waarschuwde de Autoriteit Persoonsgegevens voor een ‘explosieve toename’ van het aantal hacks en datadiefstallen.
:format(webp)/s3/static.nrc.nl/bvhw/files/2021/03/data68738569-597ccd.jpg)
Minder scherp door corona
De politie houdt nog geen aparte cijfers bij van sim-swaps. Wel laat een woordvoerder weten dat deze fraude gaat worden onderzocht. Vrijdag maakte de politie bekend drie medewerkers van een helpdesk van een telecomprovider te hebben aangehouden die sim-swaps uitvoerden om cryptomunten van klanten te stelen. De provider zelf deed aangifte.
KPN en Vodafone beweren genoeg maatregelen te nemen om gebruikersaccounts te beschermen. Frauduleuze sim-swaps komen niet of nauwelijks voor, aldus deze providers.
T-Mobile verbeterde zijn beveiliging al eerder, na klachten over gekaapte nummers. Maar door de pandemie kan de provider minder scherp controleren, zegt T-Mobile in een reactie aan NRC:
„Als een verificatie-sms niet mogelijk is, sturen we klanten normaal gesproken naar de T-Mobile Shop om zich te identificeren met een legitimatiebewijs voor een sim-swap. Door Covid waren wij genoodzaakt onze winkels te sluiten en moesten wij deze maatregel tijdelijk aanpassen.”
T-Mobile zegt sinds half december een ‘handvol’ klachten te hebben gekregen zoals die van Sven. De procedures zijn aangepast – je kunt niet meer via chat een sim-swap aanvragen –, maar er zijn meer verbeteringen mogelijk. Zo biedt T-Mobile de optie om klantgegevens af te schermen met een extra wachtwoord. Dat die beveiliging niet standaard actief is, vindt Sven van der Maaten een gemis. „En waarom controleert de helpdesk niet of een simkaart die vervangen wordt nog actief is?”
Nu de winkels weer deels open mogen, kunnen klanten zich weer fysiek legitimeren. T-Mobile is nog niet klaar met het opschroeven van de beveiliging: „We zijn tweefactoridentificatie aan het uitrollen op onze online klantenomgeving.”
De provider raadt klanten met klem af om sms te gebruiken als extra beveiliging voor e-mail en andere digitale accounts. „Daar is het nooit voor bedoeld – we raden daarvoor authenticatie-apps aan.” Dat de helpdesk een fout maakte bij de controlevraag wordt betreurd. „We hebben de medewerker van feedback voorzien en er is aandacht besteed aan het creëren van awareness”, krijgt Van der Maaten te horen.
Daag ze niet uit
Een maand later heeft Van der Maaten zijn Hotmail nog niet terug. De hacker heeft de account beveiligd met een authenticatie-app – onkraakbaar. Heeft hij geen boze mail naar zijn eigen adres gestuurd? „Ik daag ze niet uit”, zegt Sven. „Het was de daders om cryptomunten te doen. Ik wil niet dat ze door mijn mail gaan spitten.”
Van der Maaten is met T-Mobile in discussie over de gevolgschade. Hij was weken bezig met het herstellen van alle accounts die gekoppeld waren aan zijn mailadres en vroeg een nieuw paspoort aan. De schade op zijn cryptoaccounts is beperkt gebleven tot wat gemiste koerswinst. Een van de digitale kluizen had hij beschermd met een usb-stick, de andere kluis wist hij net te redden.
Toen de hacker op die dinsdagavond in februari bitcoins probeerde weg te sluizen, zag Sven bij toeval een mail met een tijdelijke code voorbijkomen, en in kleine letters de optie om de account te blokkeren. Hij reageerde in een reflex.
„Als de hacker een fractie sneller was geweest met het invoeren van die code was ik mijn geld kwijt geweest”, zegt Van der Maaten. Een kwestie van reactievermogen, met een beetje keepersgeluk.
:format(webp)/s3/static.nrc.nl/bvhw/files/2016/09/data5260492.jpg)
Update 6/3: toevoeging sim-swap aanhoudingen in Limburg