Cryptoaccounts van tientallen T-Mobile-klanten gekraakt via Limburgse telefoonwinkel

Simswap fraude Hackers hebben via een telefoonwinkel in Vaals de cryptoaccounts van tientallen T-Mobile-klanten kunnen kraken, de schade oplopend tot 8.000 euro per klant. De politie deed vrijdag een inval.

Via zogeheten ‘simswaps’ hebben klanten van T-Mobile duizenden euro’s verloren.
Via zogeheten ‘simswaps’ hebben klanten van T-Mobile duizenden euro’s verloren. Foto Adam Gault

Tientallen klanten van T-Mobile zijn via een datalek van een Limburgse telefoonwinkel hun telefoonnummer kwijtgeraakt. Meerdere slachtoffers van deze zogeheten ‘simswaps’ zijn vervolgens duizenden euro’s verloren omdat de hackers via een sms’je toegang kregen tot hun cryptoaccounts.

Vrijdag deed de politie een inval bij een telefoonwinkel in het Zuid-Limburgse Vaals. Van daaruit zijn medio februari negentig telefoonnummers gekoppeld aan een andere simkaart, zonder dat de betreffende klant dat wist. De Vaalse winkeleigenaar R., die NRC al eerder sprak, zegt gehackt te zijn „door onbekenden”. Hij ontkent betrokken te zijn bij de simswaps.

Er is volgens de politie een verband met een eerdere aanhouding in de regio Parkstad, eind februari. Toen werden drie T-Mobile medewerkers aangehouden in verband met simswaps. Volgens T-Mobile zijn de winkelmedewerkers op staande voet ontslagen vanwege ‘computervredebreuk’. De verdachten zijn weer op vrije voeten, maar het onderzoek gaat door.

De afgelopen weken meldden zich meerdere simswap-slachtoffers bij NRC. Sommigen van hen raakten duizenden euro’s kwijt omdat hackers de verificatiecodes van hun digitale portemonnees onderschepten en daarna bitcoins wegsluisden.

Beleggers in cryptovaluta

De slachtoffers hebben twee dingen met elkaar gemeen. Ze zijn klant bij T-Mobile – dat al vaker worstelde met simswapfraude – en ze beleggen in cryptovaluta. Dat maakt hen een aantrekkelijke prooi, want cryptoaccounts zijn regelmatig beveiligd met een tijdelijke code via sms. Dat is geen waterdichte methode – zeker niet als iemand anders je telefoonnummer overneemt. Beter is het om een aparte authenticatie-app te gebruiken.

Lees ook: Hacken via de helpdesk: in twaalf minuten je digitale identiteit kwijt

Een aantal van de slachtoffers nam contact op met NRC nadat ze het verhaal lazen van Sven van der Maaten uit Den Haag. Hij raakte zijn 06-nummer kwijt toen een oplichter de helpdesk belde. Vervolgens raakte Sven bijna een paar duizend euro aan cryptogeld kwijt. Svens geval was een foutje, aldus T-Mobile, toen NRC begin maart om uitleg vroeg.

Bij sim-swapping koppelt iemand anders jouw mobiele telefoonnummer aan een andere simkaart en ander toestel. Normaal gesproken moet je in de winkel je ID tonen als je om een simswap vraagt. Dat ging vanwege de lockdown niet. Volgens T-Mobile was slechts een ‘handvol’ klanten de dupe, zoals Sven.

Ondertussen was bij de provider echter al een onderzoek gaande naar een interne fraudezaak en een lek bij het dealerportaal, TAS genaamd. Vanuit een winkel in het Zuid-Limburgse Vaals zijn via dat TAS-portaal in één klap tientallen simswaps aangevraagd. Die simwissels (‘swaps’) zijn goedgekeurd, zonder medeweten van de T-Mobile-klanten.

‘Slachtoffer van hack’

R., eigenaar van de telefoonzaak in Vaals, beweert slachtoffer te zijn van een hack. Iemand heeft met zijn wachtwoord ingelogd op de dealeromgeving van T-Mobile. Vandaaruit zijn volgens hem negentig simswaps uitgevoerd. Hoe de hack tot stand gekomen is, weet hij niet. En hij weet ook niet of zijn wachtwoord voor het dealerportaal – dat maandelijks vervangen moet worden – is uitgelekt. „Ik heb nu een wachtwoord van tien tekens.”

De politie heeft vrijdag geen aanhoudingen verricht. Wel is, zo laat de politie weten, met de huiszoeking weer een nieuwe stap in het lopende onderzoek gezet en worden nieuwe aanhoudingen niet uitgesloten.

T-Mobile zegt de cybercriminelen al langer op het spoor te zijn en heeft daarom de hulp van de politie ingeschakeld. „Naar aanleiding van verdachte omstandigheden zijn er bij aanvullend onderzoek inbeslagnames gedaan van computers en simkaarten in de regio”, meldt T-Mobile vrijdag in een persbericht.

Inmiddels is R. afgesloten van het dealerportaal van T-Mobile. Hij kan sinds enige tijd voor zijn klanten geen simswaps meer aanvragen, vertelt hij aan NRC.

T-Mobile heeft de simswap-mogelijkheid via het dealerportaal na het datalek beter beveiligd. Elk simswapaanvraag wordt onderzocht en het dealerportaal nu extra streng gecontroleerd.

Systeem sloeg geen alarm

Op de beveiliging van het dealerportaal valt wel iets af te dingen.  De site is vrij vanaf internet te benaderen en je kunt er een nieuw wachtwoord aanvragen. Daarnaast sloeg het T-Mobile systeem geen alarm toen er tientallen aanvragen voor simswaps tegelijk binnenkwamen via de account van een kleine externe partij.

De provider is in gesprek met de slachtoffers, die schadevergoeding eisen. Een van hen is 8.000 euro aan cryptovaluta kwijtgeraakt, een ander ruim 6.000 euro. De schade bij anderen varieert: NRC weet van tientallen andere slachtoffers waarbij cryptoaccounts via soortgelijke simswaps gehackt zijn. In sommige gevallen zijn de bitcoins hier met succes weggesluisd.

Veel slachtoffers melden dat hun persoonsgegevens zijn gestolen bij een datadiefstal bij Ledger – een ‘veilige’ portemonnee voor cryptovaluta zoals bitcoin. Daarbij zijn enkele onderdduizenden adressen en telefoonnummers van Ledger-gebruikers buitgemaakt en in december gedumpt op een hackersforum.

Met deze data in handen kunnen cybercriminelen gerichte aanvallen uitvoeren op grote en kleine cryptobeleggers. Er lijkt een voorkeur te zijn voor slachtoffers met een Hotmail-adres – die mailaccounts zijn vaak met een sms beveiligd en dus ook via een simswap te kraken.

Criminelen gebruiken de persoonsgegevens die uit de datalekken bij Ledger en andere onlinediensten vandaan komen ook om cryptobeleggers op te bellen, lastig te vallen en af te persen. Honderden Nederlandse Ledger-gebruikers werden de afgelopen maanden regelmatig gebeld door vreemden die probeerden persoonlijke gegevens los te peuteren. Het doel: meer informatie verzamelen om uiteindelijk een succesvolle simswap uit te kunnen voeren.

T-Mobile heeft na deze simswapaanval de lat hoger gelegd, laat de provider weten. „Klanten die hun simkaart kwijt zijn of een kapotte simkaart hebben, dienen naar de winkel te gaan om hun nieuwe simkaart te activeren. Voor klanten die echt niet naar de winkel kunnen, worden deze doorgeschakeld naar een speciaal team die met extra maatregelen alsnog de simswap kunnen doen.”