Gehackt worden via je telefoonnummer. Het kan, en dit jaar zijn al honderden Nederlanders slachtoffer geworden van deze nieuwe hackmethode 'Sim-swapping' genoemd.
Daarmee nemen criminelen het mobiele nummer van een slachtoffer over.
Een cybercrimineel belt naar je telecomprovider en probeert de medewerker ervan te overtuigen om het 06-nummer over te zetten op een simkaart die hij in zijn bezit heeft. Als dat is gelukt, kan hij eenvoudig via sms een nieuw wachtwoord aanvragen voor diverse online accounts, zoals e-mail en betaaldiensten.
Vervolgens gaat de hacker het slachtoffer chanteren door gevoelige mails, foto’s of documenten te publiceren als er geen losgeld wordt betaald. Maar het lukt ze soms ook om in te loggen bij bijvoorbeeld betaaldienst PayPal.
Verschillende experts noemen bij RTL Nieuws het mobiele nummer "een onbekende, maar zeer zwakke plek in de online beveiliging".
“Sim-swapping is arbeidsintensief en komt dus vooral voor bij gerichte aanvallen”, zegt hacker Sijmen Ruwhof. “ Maar er is de laatste jaren wel degelijk een stijging te zien, omdat er met deze aanval veel te halen valt.”
Slachtoffers merken vaak pas dat er iets aan de hand is als ze bijvoorbeeld plotseling geen bereik meer hebben. In de tijd die het kost om dat op te merken en de provider te bellen, is het vaak al te laat en heeft de hacker zijn slag geslagen.
Hoe werkt het nu precies?
De hackers die aan 'Sim-swapping' doen proberen op allerlei manieren aan geld te komen. Ze nemen de online accounts van een slachtoffer over en vragen losgeld. Als er niet wordt betaald, dan dreigen ze gevoelige e-mails, foto's of documenten te publiceren.
Maar ze kunnen ook inloggen bij betaaldienst PayPal of cryptocurrencybeurs Coinbase om daar iemands rekening te plunderen. Van sommige slachtoffers zijn honderdduizenden en soms miljoenen euro's gestolen.
De 'sim-swappers' richten zich ook op socialemediaprofielen met populaire gebruikersnamen, zoals @baas of drielettercombinatie's als @abc. Deze accounts worden via sim-swapping overgenomen en vervolgens voor veel geld - soms wel duizenden euro's - doorverkocht.
Oliver cashte flink
Eén van de meest beruchte Nederlandse hackers die aan sim-swapping doet, is de 21-jarige Oliver (niet zijn echte naam, die is bij de redactie bekend). Hij zegt tienduizenden euro's te hebben verdiend aan deze lucratieve business, onder andere door verschillende cryptocurrency-accounts te hacken en bitcoins te stelen. "Eerst deed ik het voor de kick, maar ik verdiende er al snel veel geld mee", vertelt hij tegen RTL Nieuws.
Bij sim-swapping belt een hacker de telecomprovider van het slachtoffer op en overtuigt hij de medewerker om het 06-nummer over te zetten naar een simkaart die in zijn bezit is. "Ik belde altijd rond vier uur, dat is het moment dat veel medewerkers naar huis gaan en je sneller helpen."
Arbeidsintensief
Omdat veel mensen hun telefoonnummer aan hun online accounts koppelen, is het mogelijk om via een sms het wachtwoord opnieuw in te stellen. Zelfs de extra beveiliging tweestapsverificatie, waarmee je na het inloggen met een gebruikersnaam en wachtwoord nog een inlogcode moet invoeren, is vaak niet tegen sim-swapping beveiligd.
Volgens verschillende experts is het 06-nummer dan ook een onbekende, maar zeer zwakke plek in de online beveiliging. "Sim-swapping is arbeidsintensief en komt dus vooral voor bij gerichte aanvallen", zegt hacker Sijmen Ruwhof. "Maar er is de laatste jaren wel degelijk een stijging te zien, omdat er met deze aanval veel te halen valt."
Rik van Duijn, hacker bij DearBytes, vraagt zich af of bedrijven nog wel sms moeten gebruiken voor tweestapsverificatie en het opnieuw instellen van een wachtwoord. "Het is geen veilige optie, maar bij veel bedrijven heb je als consument geen andere keuze dan je telefoonnummer invoeren als extra beveiliging."
Rechte pad
Slachtoffers van sim-swapping merken dat hun 06-nummer is overgenomen zodra ze geen mobiele verbinding meer hebben. Dan valt plotseling al het bereik weg, en lijkt het alsof de simkaart kapot is. In de tijd dat het slachtoffer dit opmerkt, de telecomprovider belt en het 06-nummer weer terug laat zetten, heeft de hacker al zijn slag geslagen.
Oliver wil met RTL Nieuws praten omdat hij deze zomer is gestopt met sim-swapping en mensen wil waarschuwen voor de gevaren ervan. "Ik ben nu op het rechte pad en wil later als consultant advies geven over online veiligheid, om mensen en bedrijven te beschermen tegen jongens als ik." Hij voelt zich schuldig over zijn criminele daden, maar heeft het gestolen geld nooit teruggegeven.
Belangrijk
Het blijft volgens Ruwhof en Van Duijn belangrijk om tweestapsverificatie in te schakelen, ook als dat via sms is. "Als iemand dan je wachtwoord in handen krijgt, ben je nog steeds beschermd", zegt Ruwhof. De kans dat je slachtoffer wordt van sim-swapping is veel kleiner dan dat je gehackt wordt omdat je dezelfde wachtwoorden gebruikt, stellen zij. Van Duijn: "Liever tweestapsverificatie via het minder veilige sms, dan helemaal geen extra beveiliging."
Bron: Diverse, RTL Nieuws, NOS, ...
Reactie plaatsen
Reacties