Sim Swapping


Sim Swapping is effectief dat een SIM kaart wordt verwisseld met een andere kaart. Dit hoort normaal alleen mogelijk te zijn wanneer een klant alle persoonsgegevens in detail kan opnoemen, en door een correcte ID-check komt. Nu is het echter zo dat, sinds mensheid begonnen is, bepaalde mensen misbruik proberen te maken van sociale interacties om meer informatie te ontfutselen. Dit wordt ook wel 'social engineering' genoemd. Je herkent het misschien wel in kinderen, wanneer zij niet krijgen wat ze willen. Kinderen proberen allerlei manieren om jou toch over te halen om mee te gaan in hun wensen.

Binnen de context van een Sim kaart, zou dit betekenen dat een individu welke alle juiste informatie heeft over jou als persoon, zich zou kunnen uitmaken voor jou in een gesprek met een medewerker van een telecomprovider. Dit zou betekenen dat de cybercriminelen onwettig een nieuwe Sim zou kunnen aanvragen als daar geen maatregelen tegen zijn genomen. Telecomproviders (Vodafone, KPN, T-Mobile, ...)  doen echter er alles aan om dit zo goed mogelijk te voorkomen en je gegevens te beschermen.

Waarom is dit gevaarlijk?

Er zijn een aantal fundamentele redenen waarom dit iets is waar bedrijven zich actief tegen proberen te beschermen. Waarom is het principe van een 'Sim Swap', ofwel een 'Sim wissel', nu zo problematisch? Een van de primaire redenen waarom dit gevaarlijk is, is omdat een dergelijke fraudeur theoretisch misbruik zou kunnen maken van je bundel. De fraudeur heeft dan de mogelijkheid om in jouw naam te bellen, SMSen en/of internetten. Dit kan een grote hoeveelheid aan gevolgen meebrengen, en is zeer zeker een probleem. Echter wordt tegenwoordig steeds meer informatie verstrekt door middel van een verificatie SMS naar het betreffende nummer, of zijn inlogcodes gekoppeld aan een telefoon nummer waardoor een fraudeur in theorie toegang kan krijgen tot systemen van derden indien jouw Sim kaart "gestolen" is via een Sim swap fraude. Denk hierbij aan bijvoorbeeld de inlog gegevens voor je favoriete game, of in sommige gevallen je bank.

Sim Swap Aanval
Afbeelding – 1,4 MB 360 downloads

Nieuwe Sim aanvragen kan dat zomaar?

Wanneer je als klant naar een Telecombedrijf gaat, dan kun je meerdere dingen aanvragen en aanpassen op vertoon van je identiteitskaart (paspoort, ID kaart, rijbewijs). In principe hoort dit gewoon goed te gaan, aangezien er goed wordt gecontroleerd of de persoon werkelijk is wie zij zeggen dat hij/zij is. Daarnaast lijkt het mij niet meer dan logisch dat, wanneer een medewerker iets aanvraagt, dit wordt beschreven in het interne telecombedrijf systeem.

Een tweede mogelijkheid tot het aanvragen van een nieuwe Sim kaart bestaat uit het inloggen bij je telecomprovider omgeving, en dit daar aan te vragen. Hierbij wordt geen uitgebreide ID controle gedaan door naar jouw identiteitsdocumenten te kijken, doordat je namelijk al toegang hebt tot een beveiligde omgeving. De enige kant tekening welke hier heel erg belangrijk is, is dat elk technisch systeem zo veilig is al de gebruiker dit instelt. Als jij een heel simpel wachtwoord hebt (bijvoorbeeld Welkom01), dan is het mogelijk om dit met geduld te raden over tijd.

De derde mogelijkheid bestaat uit het opnemen van contact met je telecomprovider klantenservice via een van de platformen (telefonisch, facebook, chat, dit forum etc). Hierbij zullen de medewerkers ook een ID controle moeten uitvoeren om zeker te weten dat alles klopt.

Wat kan ik er tegen doen?

Er zijn een aantal stappen welke je zelf altijd kunt nemen.

  • Je kan overwegen om naar de telecomprovider winkel te gaan om een wachtwoord in te stellen dat nodig is om via sociale media en/of telefonisch aanpassingen te doen aan het abonnement. Dit wachtwoord staat los van jouw telecomprovider account, en is puur gericht op het bewerken via klantenservice en de shop van de telecomprovider. Dit kan je instellen door even bij een van je telecomprovider winkels binnen te lopen met je ID kaart, en te vragen of zij dit wachtwoord kunnen instellen op je account. Vanaf dat moment mag een medewerker van je telecomprovider je alleen helpen als je dit wachtwoord kunt noemen, dus maak het niet te makkelijk.
  • Een tweede aanpak welke je kunt toepassen, is door goed te kijken of je wachtwoord voor jou telecomprovider website veilig is. Wanneer dit wachtwoord eenvoudig te raden is, dan is het mogelijk om toegang te krijgen tot het account, met daarbij de mogelijk om persoonsgegevens (enigszins) in te zien en bijvoorbeeld een Sim Swap aan te vragen. 
Sim Swapping Nl
PDF – 200,1 KB 695 downloads

Wat is een goed wachtwoord?

Een goed wachtwoord is complex. Het bestaat uit een combinatie van meerdere tekens als hoofdletters, kleine letters en cijfers.

  1. Een goed wachtwoord heeft geen relatie tot jou als persoon.

  2. Een goed wachtwoord wordt regelmatig aangepast.

  3. Een goed wachtwoord wordt maar een keer gebruikt.

Gebruik daarom een 'Digitale Kluis' om al je complexe wachtwoorden veilig te bewaren.

'Tweestapsverificatie App' (2FA-app) beter dan 'SMS verificatie'

Beter is een tweestapsverificatie-app (authenticator-app), dit omwille van de opmars van sim-swapping.

In plaats van je telefoonnummer kun je een zogeheten authenticator-app als Lastpass-authenticator gebruiken of Authy bijvoorbeeld. Dit zijn apps die inlogcodes genereren die je normaal gesproken via een sms-bericht ontvangt. Lastpass heeft ook nog een gratis wachtwoorden kluis, voor het bewaren van al je wachtwoorden.



December 2021
Februari 2021

Tien verdachten aangehouden voor 'Sim-swapping'

Criminelen hebben vorig jaar door middel van 'sim-swapping' meer dan 100 miljoen dollar (83 miljoen Euro) gestolen, zo laat Europol gisteren weten. In totaal zijn er in deze zaak inmiddels tien verdachten aangehouden. Acht verdachten werden eergisteren door de Britse politie opgepakt. De overige twee verdachten konden eerder al in België en Malta worden aangehouden.

Lees meer »
Oktober 2020

Europol: "Sim-swapping een belangrijke 'nieuwe' trend"

Het afgelopen jaar wisten criminelen door middel van 'sim-swapping' miljoenen euro's te stelen en deze vorm van cybercrime vormt dan ook een serieus risico, zo stelt Europol in een nieuwe editie van het jaarlijkse Internet Organised Crime Threat Assessment (IOCTA). Daarin maakt de opsporingsdienst ook de zorgen kenbaar die het heeft over de impact van encryptie op onderzoeken, bijvoorbeeld in het geval van DNS over HTTPS.

Lees meer »
Maart 2020
Januari 2020

Tweestapsverificatie (2FA) via SMS niet waterdicht

Onderzoekers ontdekten slechte authenticatie technieken voor prepaid-accounts. Vijf grote Amerikaanse prepaid telecom providers - AT&T, T-Mobile, Verizon, Tracfone en US Mobile - gebruiken slechte account verificatie procedures en technieken die hun klanten open laten staan ​​voor SIM-swapping-aanvallen, volgens onderzoekers van Princeton University.

Lees meer »
November 2019

Aanhoudingen voor Sim-Swapping

De Amerikaanse autoriteiten hebben 14 november twee mannen opgepakt en aangeklaagd voor het stelen van cryptovaluta via 'sim-swapping'. De twee zouden naar verluidt 550.000 dollar hebben buitgemaakt of hebben geprobeerd dit bedrag te stelen, zo meldt het Amerikaanse Openbaar Ministerie.

Lees meer »
September 2019

E-sim maakt overnemen mobiel nummer door hackers eenvoudiger

Een e-sim is een elektronische simkaart die al in je telefoon of tablet zit. Het enige wat je hoeft te doen, is een abonnement op de e-sim zetten. Door een e-sim kun je meerdere abonnementen tegelijkertijd op één toestel gebruiken, bijvoorbeeld een zakelijk en privé-abonnement, maar ook een tijdelijke databundel voor gebruik in de VS. De smartphones die in Nederland verkrijgbaar zijn en e-sim ondersteunen, zijn de iPhone XS, XS Max en XR. Bij tablets gaat het om de iPad Pro en iPad Air. Het maakt voor de aanval niet uit welk apparaat het slachtoffer heeft: elke klant van T-Mobile kan een e-sim activeren. Het is niet duidelijk hoeveel Nederlanders gebruikmaken van een e-sim. Wanneer andere providers de e-sim gaan aanbieden en op welke manier, is ook nog niet bekend.

Lees meer »
Augustus 2019

Malware ontvreemd pincodes voor Sim Swapping

Cybersecurity onderzoekers hebben een nieuwe variant van de 'TrickBot-malware' ontdekt die pincodes probeert te ontvreemden om zo het telefoonnummer van het slachtoffer over te nemen. Een aanval die ook wel 'sim-swapping' wordt genoemd. De malware heeft het vooralsnog alleen op Amerikaanse telecomklanten voorzien.

Lees meer »
Juli 2019
December 2018