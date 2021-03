Apple iPhone 5, met simkaart.

Bij elkaar is het een aardig spaarpotje, voor de inrichting van zijn nieuwe woning. Eriks bitcoins en andere cryptomunten zijn 6.340 euro waard als een onbekende hacker op zondagochtend 21 februari zijn telefoonnummer overneemt. De verbinding valt weg en een half uur later is Eriks digitale kluis – beveiligd met een extra sms-code – leeg. Weg spaarpotje.

„Ik schaam me ervoor dat ik zo bestolen ben”, zegt Erik. „Je geeft in eerste instantie toch jezelf de schuld.” Dat gevoel deelt hij met de andere slachtoffers die zich bij NRC meldden na een recente simswap-aanval bij T-Mobile. Ze komen liever niet met hun echte naam in de publiciteit. Wel willen ze graag hun ervaring delen: dat ze ten onrechte vertrouwden op een sms’je als extra veiligheidscheck voor waardevolle accounts. En dat ze ervan uitgingen dat een telecomprovider hun telefoonnummer niet zo makkelijk uit handen zou geven.

Hoe dit artikel tot stand kwam NRC sprak met betrokkenen en slachtoffers die zich meldden naar aanleiding van een eerder verhaal over simswappen. Zij gaven inzicht in aangiftes, e-mails, transacties en communicatie met T-Mobile. De namen van slachtoffers zijn gefingeerd, hoe ze echt heten is bij de redactie bekend. Microsoft hielp op verzoek van NRC mee de gekaapte Hotmail-accounts los te weken van de hackers. Ook ervaringen met sim-fraude? U kunt contact opnemen met nrc. Uw reacties

Simkaarten gaan soms stuk of moeten worden vervangen. Dan kan een provider je telefoonnummer koppelen aan een nieuwe simkaart. Daarbij controleert de helpdesk de identiteit van de klant door een rijtje extra vragen of – veiliger – een verificatie-sms’je of een QR-code.

Lukt die verificatie niet, dan moet je naar de winkel. Maar tijdens de lockdown, van half december tot en met februari, hoeven T-Mobile-klanten die een simswap-aanvraag doen zich niet te legitimeren in de winkel. Dat geeft oplichters speelruimte om iemands 06-nummer te kapen via de helpdesk. Ze bellen of chatten met een smoes – „kapotte sim” – en hopen zich door de controlevragen heen te bluffen.

Lees ook: Hacken via de helpdesk: in 12 minuten je digtitale identiteit kwijt

Half februari vinden criminelen nog een simswap-truc: een datalek bij een externe T-Mobile-dealer. Via de account van een kleine telefoonwinkel in het Limburgse Vaals voeren criminelen tientallen simswaps uit. De klanten weten van niets. Ze merken alleen dat hun telefoon opeens geen verbinding meer heeft – geen data, geen gesprekstoon.

Met de gekaapte 06-nummers breken de hackers in op mailaccounts. Ze lijken een voorkeur te hebben voor Hotmail-adressen, die ze met een wachtwoordreset via de telefoon overnemen. De criminelen weten precies wie ze moeten hebben. Er zijn gestolen databases van cryptowebsites in omloop met mailadressen en telefoonnummers van honderdduizenden klanten.

Een gerichte aanval loont, want dankzij de bitcoinhausse is identiteitsdiefstal lucratiever dan ooit. Via de achterliggende blockchaintechnologie kun je bitcointransacties volgen, maar wie de transactie doet, blijft anoniem. De pakkans is vrijwel nul.

Ronald (31) uit Brabant raakt op 5 februari zijn telefoonnummer kwijt. Iemand belde de helpdesk van T-Mobile onder zijn naam en gaf het juiste antwoord op de controlevragen. „De persoon wist in welke winkel ik mijn simkaart had gekocht en kende een heel oud adres van mij”, zegt Ronald. Hij denkt dat deze gegevens alleen bij T-Mobile bekend waren. „Maar mijn T-Mobile-account is niet van buitenaf gehackt.”

De hacker krijgt toegang tot Eriks Hotmail en sluist voor 6.340 euro aan bitcoins weg van een Nederlandse cryptosite

De criminelen krijgen toegang tot Ronalds mail en nemen via sms zijn Binance-account over, een cryptohandelssite waar hij voor een paar duizend euro aan bitcoins heeft staan. Hij kan het account nog net blokkeren voordat het geld wordt weggesluisd. Hij doet wel aangifte, en probeert bij T-Mobile de schade te verhalen – Ronald is dagen bezig geweest om al zijn online accounts terug te krijgen.

Erik (28) uit de buurt van Eindhoven raakt op zondagochtend 21 februari zijn telefoonnummer kwijt. „Mijn vriendin kwam thuis en zei dat ze me niet kon bereiken. Ik ben naar mijn telefoonaccount gegaan en zag dat mijn simkaartnummer gewijzigd was.”

Van een medewerker van T-Mobile krijgt Erik te horen dat zijn sim gewisseld is via een externe telefoonwinkel. Die verklaring komt overeen met een interne waarschuwing die op 23 februari bij T-Mobile rouleert. „Dit weekend heeft er een datalek plaatsgevonden bij een externe dealer. Hierdoor zijn er simswaps uitgevoerd zonder toestemming van de klant.”

De hacker krijgt toegang tot Eriks Hotmail en sluist voor 6.340 euro aan bitcoins weg van een Nederlandse cryptosite. Eriks kan het spoor van de transacties nog volgen; dat leidt naar een account waar 42.000 euro op binnenkwam. Het zou geld van andere slachtoffers kunnen zijn, meldt hij in zijn aangifte.

Maarten (38) uit Zuid-Limburg verliest ook op 21 februari zijn verbinding, dankzij hetzelfde datalek bij een Limburgse telefoonwinkel. Het duurt een week voordat hij zijn telefoonnummer terug heeft.

In die tijd hebben hackers geprobeerd in te loggen en wachtwoorden te wijzigen op zijn cryptoaccounts. Ze maken een nieuwe account aan om geld weg te sluizen. Dat mislukt, maar Maarten draait toch op voor bepaalde transacties die de cybercriminelen hebben verricht.

Daarnaast breekt de hacker in op Maartens PayPal-account en doet voor 10,96 euro een bestelling bij een webwinkel die geregistreerd staat in Utrecht. Daar verkopen ze blanco simkaarten – het type dat je kunt koppelen aan elk telefoonnummer. De webwinkel zou informatie kunnen verschaffen over waar de bestelling naartoe ging, maar reageert niet op Maartens vragen. PayPal vergoedt de 10,96 euro.

Maarten is vier dagen bezig geweest om alle accounts weer onder controle te krijgen. „Ik ben nog altijd behoorlijk ongerust. T-Mobile kan er zich niet vanaf maken met alleen excuses”, vindt hij. De provider is volgens hem tekortgeschoten in het voorkomen van de simswaps.

Willem (26) uit Zeeland merkt op maandag 1 maart dat zijn verbinding wegvalt. De oorzaak is een simswap die hem 10.000 euro zal gaan kosten. In een gesprek met T-Mobile blijkt hij niet de enige. Een helpdeskmedewerker legt hem achteraf uit: „Normaal gesproken komt er misschien één zo’n simswap-verzoek per dag binnen. Die dag kreeg ik er vijf of zes per uur, van verschillende klanten.” Het zijn hackpogingen door nep-klanten die geen antwoord weten op de controlevragen, maar het blijven proberen.

De helpdesk trekt aan de noodrem en besluit helemaal geen simswaps meer te doen, tenzij mensen een kopie van hun paspoort opsturen. Niet helemaal volgens de privacyregels, zegt een T-Mobile-medewerker tegen Willem. Maar je houdt zo wel oplichters tegen. Toch is op 1 maart bij veel mensen het telefoonnummer gekaapt. „Het waren er geen duizend”, zegt de helpdeskmedewerker. T-Mobile wil geen exacte aantallen noemen.

Willem komt er laat achter dat zijn telefoonnummer gestolen is. Zijn Hotmail en zijn account bij een handelsplatform in cryptovaluta zijn overgenomen. Er is 22.800 Ripple – omgerekend 10.000 euro – verdwenen. Frustrerend: hij ziet waar het geld naartoe is overgemaakt, maar kan er niet bij.

Het achterdeurtje

T-Mobile wist op 23 februari dat er een datalek bij een externe partij – de telefoonwinkel in Vaals – had plaatsgevonden. Op 5 maart krijgt de eigenaar van die winkel een mail van de fraudeafdeling van T-Mobile met het verzoek contact op te nemen. „Ik heb meerdere malen geprobeerd u telefonisch te bereiken”, schrijft de fraudespecialist.

NRC sprak R., de eigenaar van de telefoonwinkel, net voordat de politie vorige week vrijdag een inval deed om computers en simkaarten in beslag te nemen. Aanhoudingen zijn daarbij niet verricht.

Lees ook: Cryptoaccounts van T-Mobile-klanten gekraakt via Limburgse telefoonwinkel

R. zegt slachtoffer te zijn van een hack. Volgens hem heeft iemand ingelogd op zijn account op de dealeromgeving van T-Mobile – het zogeheten TAS-portaal. Daarvoor heb je alleen een wachtwoord nodig. Een extra verificatiestap wordt niet toegepast.

Zo zijn volgens R. negentig opdrachten voor simswaps doorgegeven en door T-Mobile uitgevoerd. R. weet niet hoe zijn wachtwoord is uitgelekt. Hij heeft geen aangifte gedaan. T-Mobile geeft hem een nieuw wachtwoord en sindsdien kan hij geen simswaps meer aanvragen. De provider zegt alle dealerportalen nu goed in de gaten te houden en beducht te zijn op misbruik.

VPN-server als link

Het cybercrimeteam van de politie Limburg ziet een verband met de aanhouding van drie medewerkers van een T-Mobile-winkel in Zuid-Limburg eind februari. Ze werden daar aangehouden nadat T-Mobile verdacht gedrag had geconstateerd. Het gaat om één hoofdverdachte en twee vermoedelijke handlangers.

Tussen de simswaps via het dealerportaal en de simswaps via de helpdesk is een overeenkomst. De cybercriminelen benaderen de crypto-accounts via VPN-servers die hun werkelijke computeradres verbergen. Bij drie slachtoffers gebruiken de dieven een vrijwel identieke VPN-server, die het dataverkeer via Zweden leidt.

Een van die slachtoffers raakte zijn telefoonnummer kwijt bij het Limburgse datalek, de andere twee keer was het een oplichter die een helpdeskmedewerker om de tuin leidde. Bij één slachtoffer wordt ook een cryptotransactie vanaf een Nederlands IP-adres gedaan. Dat spoor leidt naar een plaats in Brabant.

Ook digitaal geld laat sporen achter. Via blockchaintechnologie zie je wel de transacties, maar niet de identiteit van de handelaar. Bij een van de slachtoffers verdwijnt het geld naar een account waar op 22 februari, iets voor half negen, dertig transacties van 0,064 bitcoin gedaan worden – telkens zo’n 3.000 euro. „Het lijkt erop dat het een bitcoinautomaat is waar je euro’s voor crypto kunt inwisselen en andersom”, zegt een van de slachtoffers.

Dit soort bitcoinautomaten kan worden gebruikt om geld wit te wassen. Zo’n apparaat staat ook in de telefoonwinkel, waar T-Mobiles datalek plaatsvond. Dat kan toeval zijn. Eigenaar R. – hij noemt zichzelf een ‘multi-ondernemer’ – zegt in een eerder gesprek met NRC dat hij graag af wil van de bitcoinautomaat. „Ik heb de Duitse leverancier al gemaild om het ding op te halen. Het is dat-ie vastgeschroefd staat, maar het liefst zet ik die automaat meteen op straat. Je krijgt toch rare figuren over de vloer.”

Wie betaalt de schade?

Naast de voorbeelden in dit verhaal weet NRC van nog dertig andere simswap-slachtoffers die proberen hun verloren cryptotegoeden te verhalen bij T-Mobile, omdat ze vinden dat die te makkelijk hun 06-nummers heeft laten kapen. De provider heeft de simswaps gemeld bij de Autoriteit Persoonsgegevens en belooft „spoedig” terug te komen op klachten van de slachtoffers.

T-Mobile gaf een ander slachtoffer van een simswap een vergoeding voor de overlast en tijdverlies. Maar de provider acht zich niet aansprakelijk voor verdere schade, zoals de diefstal van bitcoins. Het bedrijf vindt niet dat het verantwoordelijk is voor de beveiliging van andermans diensten via sms. Om daaraan toe te voegen dat een extra check via sms nog altijd beter is dan alleen een wachtwoord.

In het grote geheel – een mobiel netwerk veilig houden voor miljoenen gebruikers – ziet T-Mobile gerichte aanvallen op enkele cryptobeleggers niet als het voornaamste probleem, hoe groot de individuele schade ook kan zijn. Wel belooft de provider opnieuw de protocollen voor identificatie aan te scherpen. Gebruikers kunnen waardevolle accounts beter beveiligen met een app op de eigen telefoon, zoals de gratis authenticator-apps van Google of Microsoft. Om diezelfde reden gebruiken Nederlandse banken zelden nog sms’jes voor het versturen van autorisatiecodes: sms is te kwetsbaar voor hackers.