Wat is de e-sim?
Een e-sim is een elektronische simkaart die al in je telefoon of tablet zit. Het enige wat je hoeft te doen, is een abonnement op de e-sim zetten. Door een e-sim kun je meerdere abonnementen tegelijkertijd op één toestel gebruiken, bijvoorbeeld een zakelijk en privé-abonnement, maar ook een tijdelijke databundel voor gebruik in de VS. De smartphones die in Nederland verkrijgbaar zijn en e-sim ondersteunen, zijn de iPhone XS, XS Max en XR. Bij tablets gaat het om de iPad Pro en iPad Air. Het maakt voor de aanval niet uit welk apparaat het slachtoffer heeft: elke klant van T-Mobile kan een e-sim activeren. Het is niet duidelijk hoeveel Nederlanders gebruikmaken van een e-sim. Wanneer andere providers de e-sim gaan aanbieden en op welke manier, is ook nog niet bekend.
Gehackt worden?
Gehackt worden via je 06-nummer. Het wordt een stuk makkelijker met de komst van de e-sim, de nieuwe digitale simkaart. Met alleen een wachtwoord kan een hacker voortaan op afstand jouw telefoonnummer overnemen. Zodra de hacker jouw 06-nummer in handen krijgt, heeft hij toegang tot alle online accounts die zijn gekoppeld aan dat telefoonnummer, zoals e-mail, sociale media en betaaldiensten. Honderden Nederlanders zijn vorig jaar slachtoffer geworden van hackers die hun 06-nummer overnemen, ook wel sim-swapping genoemd. "Met de komst van de e-sim kan dit probleem veel groter worden, met een enorme impact voor slachtoffers: hun digitale leven kan worden overgenomen", zegt Dave Maasland van cyber beveilings bedrijf ESET.
Klanten T-Mobile
Klanten van T-Mobile kunnen sinds vorige week gebruikmaken van de e-sim. Je hoeft dan geen plastic simkaartje meer in je telefoon te stoppen om mobiel bereik te hebben. Om de e-sim te gebruiken, log je in op de website van T-Mobile en scan je met je smartphone een QR-code om de e-sim te activeren. Als een aanvaller toegang krijgt tot jouw wachtwoord voor T-Mobile kan diegene binnen een paar seconden jouw 06-nummer overnemen. T-Mobile verifieert niet wie er inlogt en wie de e-sim op welk toestel activeert. De aanvaller kan zonder enige verificatie het 06-nummer overnemen. RTL Nieuws testte de hack bij een collega, die klant is bij T-Mobile. We logden in, scanden de QR-code van zijn e-sim met een iPhone Xr en namen binnen enkele seconden zijn 06-nummer over. Daardoor was het mogelijk om toegang te krijgen tot onder andere zijn Gmail en WhatsApp. De collega kreeg alleen een sms-bericht met daarin de melding dat er een e-sim was geactiveerd.
Sim Swapping
Cybercriminelen die aan sim-swapping doen, proberen op allerlei manieren aan geld te komen. Ze nemen de online accounts van een slachtoffer over en vragen losgeld. Als er niet wordt betaald, dan dreigen ze gevoelige e-mails, foto's of documenten te publiceren. (sextortion, afpersmails) Maar ze kunnen ook inloggen bij betaaldienst PayPal of cryptocurrencybeurs Coinbase om daar iemands rekening te plunderen. Van sommige slachtoffers zijn honderdduizenden en soms miljoenen euro's gestolen omdat hun 06-nummer werd overgenomen. Omdat veel mensen hun telefoonnummer aan hun online accounts koppelen, is het mogelijk om via een sms het wachtwoord opnieuw in te stellen. "Daarmee is je 06-nummer net als je e-mailaccount een cruciaal onderdeel van je online leven", vertelt Maasland.
Telecomprovider
Voorheen moest een hacker bij sim-swapping de telecomprovider van het slachtoffer opbellen en de medewerker overtuigen om het 06-nummer over te zetten naar een simkaart die in zijn bezit is. RTL Nieuws sprak daar vorig jaar over met hacker Oliver, die op deze manier tienduizenden euro's zou hebben gestolen. Met de komst van e-sim wordt deze aanval een stuk makkelijker uit te voeren. Op de plekken waar cybercriminelen samenkomen, zoals ondergrondse fora (darkweb) en Telegram, wordt dan ook enthousiast op deze nieuwe technologie gereageerd. Inmiddels worden gehackte T-Mobile-accounts doorverkocht om op deze manier 06-nummers van nietsvermoedende slachtoffers over te nemen. De prijs voor gehackte accounts wisselt van een een paar tot enkele tientallen euro's. "Het is zorgwekkend dat criminelen hier zo snel op inspelen", stelt Maasland. Hij wijst naar grote datalekken bij bedrijven als MyFitnessPal waardoor wachtwoorden op straat liggen. Als je dan hetzelfde wachtwoord voor verschillende diensten gebruikt, loop je gevaar.
Inlog verificatie
In een reactie laat T-Mobile weten dat het onderzoekt of het verificatieproces voor het activeren van een e-sim aangescherpt moet worden, en hoe het bedrijf dit kan implementeren. Het bedrijf stelt veiligheid hoog in het vaandel te hebben, maar vindt het ook belangrijk dat zijn diensten gebruiksvriendelijk zijn. Volgens Maasland moet T-Mobile extra beveiligingsmaatregelen nemen om misbruik te voorkomen: "Dat kan al door de de QR-code waarmee de e-sim wordt geactiveerd, naar de klant te e-mailen. Dan moet de aanvaller ook toegang hebben tot het e-mailaccount van het slachtoffer, en dat account is meestal beter beveiligd. Maar ook een extra inlogverificatie op de website is een optie." (tweestappenverificatie) In maart van dit jaar waarschuwde (pdf) de GSM Association (GSMA), de belangenorganisatie van providers, al voor het gevaar van sim-swappen bij e-sims.
Gebruik een sterk en uniek wachtwoord om in te loggen bij je provider. Daarnaast kun je je telefoonnummer bij je belangrijkste online accounts verwijderen, zodat hackers niet je wachtwoord kunnen resetten als ze je 06-nummer overnemen.
In plaats van je telefoonnummer kun je een zogeheten authenticator-app als Lastpass-authenticator gebruiken. Dit is een app die inlogcodes genereert die je normaal gesproken via een sms-bericht ontvangt. Lastpass heeft ook een gratis wachtwoorden kluis, voor het bewaren van al je wachtwoorden.
Bij WhatsApp kun je ook een extra beveiliging in de vorm van een pincode instellen. Als een aanvaller jouw 06-nummer overneemt, moet hij eerst nog deze pincode invoeren voordat WhatsApp kan worden geactiveerd.
Bron: ESET, RTLnieuws, bright
Bekijk alle vormen en begrippen
Inschrijven voor wekelijkse nieuwsbrief
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws over sim-swapping
Zet accounts om van tweestapsverificatie via SMS naar authenticator app. Waarom?
Wegens het risico van sim-swapping doen zowel eindgebruikers als banken er verstandig aan om codes voor tweefactorauthenticatie (2FA of tweestapsverificatie), waarmee erop een account kan worden ingelogd, niet via sms te versturen, maar hiervoor een app te gebruiken. Dat adviseert het Europees Agentschap voor cyberbeveiliging (ENISA).
Tien verdachten aangehouden voor 'Sim-swapping'
Criminelen hebben vorig jaar door middel van 'sim-swapping' meer dan 100 miljoen dollar (83 miljoen Euro) gestolen, zo laat Europol gisteren weten. In totaal zijn er in deze zaak inmiddels tien verdachten aangehouden. Acht verdachten werden eergisteren door de Britse politie opgepakt. De overige twee verdachten konden eerder al in België en Malta worden aangehouden.
Europol: "Sim-swapping een belangrijke 'nieuwe' trend"
Het afgelopen jaar wisten criminelen door middel van 'sim-swapping' miljoenen euro's te stelen en deze vorm van cybercrime vormt dan ook een serieus risico, zo stelt Europol in een nieuwe editie van het jaarlijkse Internet Organised Crime Threat Assessment (IOCTA). Daarin maakt de opsporingsdienst ook de zorgen kenbaar die het heeft over de impact van encryptie op onderzoeken, bijvoorbeeld in het geval van DNS over HTTPS.
Cybercriminelen aangehouden die 3,5 miljoen euro buitmaakten via Sim-Swapping
Europol heeft in samenwerking met Europese politiediensten twee bendes sim-swappers opgerold die bij elkaar 3,5 miljoen euro wisten te stelen. De eerste bende bevond zich in Spanje en bestond uit personen tussen de 22 en 52 jaar, afkomstig uit Italië, Roemenië, Columbia en Spanje.
Tweestapsverificatie (2FA) via SMS niet waterdicht
Onderzoekers ontdekten slechte authenticatie technieken voor prepaid-accounts. Vijf grote Amerikaanse prepaid telecom providers - AT&T, T-Mobile, Verizon, Tracfone en US Mobile - gebruiken slechte account verificatie procedures en technieken die hun klanten open laten staan voor SIM-swapping-aanvallen, volgens onderzoekers van Princeton University.
Aanhoudingen voor Sim-Swapping
De Amerikaanse autoriteiten hebben 14 november twee mannen opgepakt en aangeklaagd voor het stelen van cryptovaluta via 'sim-swapping'. De twee zouden naar verluidt 550.000 dollar hebben buitgemaakt of hebben geprobeerd dit bedrag te stelen, zo meldt het Amerikaanse Openbaar Ministerie.
E-sim maakt overnemen mobiel nummer door hackers eenvoudiger
Een e-sim is een elektronische simkaart die al in je telefoon of tablet zit. Het enige wat je hoeft te doen, is een abonnement op de e-sim zetten. Door een e-sim kun je meerdere abonnementen tegelijkertijd op één toestel gebruiken, bijvoorbeeld een zakelijk en privé-abonnement, maar ook een tijdelijke databundel voor gebruik in de VS. De smartphones die in Nederland verkrijgbaar zijn en e-sim ondersteunen, zijn de iPhone XS, XS Max en XR. Bij tablets gaat het om de iPad Pro en iPad Air. Het maakt voor de aanval niet uit welk apparaat het slachtoffer heeft: elke klant van T-Mobile kan een e-sim activeren. Het is niet duidelijk hoeveel Nederlanders gebruikmaken van een e-sim. Wanneer andere providers de e-sim gaan aanbieden en op welke manier, is ook nog niet bekend.
Malware ontvreemd pincodes voor Sim Swapping
Cybersecurity onderzoekers hebben een nieuwe variant van de 'TrickBot-malware' ontdekt die pincodes probeert te ontvreemden om zo het telefoonnummer van het slachtoffer over te nemen. Een aanval die ook wel 'sim-swapping' wordt genoemd. De malware heeft het vooralsnog alleen op Amerikaanse telecomklanten voorzien.
Duitse banken stoppen met tweestapsverificatie sms-codes
Verschillende Duitse banken gaan vanwege veiligheidsredenen stoppen met het gebruik van sms-codes voor internetbankieren of hebben het al uitgefaseerd. Klanten moeten straks met een TAN-generator, app of QR-code werken, zo meldt het Duitse Handelsblatt.
Nieuwe truc cybercriminelen Sim-swapping met 06-nummers
Gehackt worden via je telefoonnummer. Het kan, en dit jaar zijn al honderden Nederlanders slachtoffer geworden van deze nieuwe hackmethode 'Sim-swapping' genoemd.