Cybercrime

Nieuwe hacktruc met 06-nummers: honderden slachtoffers door 'sim-swapping'

8 december 2018 om 12:55
Laatste update: 8 december 2018 om 13:05

Gehackt worden via je telefoonnummer. Het kan, en dit jaar zijn al honderden Nederlanders slachtoffer geworden van deze nieuwe hackmethode - ook wel sim-swapping genoemd.

Bij sim-swapping neemt een criminele hacker je telefoonnummer over door je telecomprovider op te lichten. Zodra de hacker jouw 06-nummer in handen krijgt, heeft hij toegang tot de online accounts die zijn gekoppeld aan je telefoonnummer, zoals e-mail, sociale media en betaaldiensten.

Het aantal slachtoffers van sim-swapping is dit jaar toegenomen, bevestigen verschillende grote Nederlandse telecomproviders tegen RTL Nieuws. Jaarlijks worden inmiddels honderden mensen op deze manier gehackt. 

Hackers kunnen je 06-nummer kapen

Rekening plunderen

De hackers die aan sim-swapping doen proberen op allerlei manieren aan geld te komen. Ze nemen de online accounts van een slachtoffer over en vragen losgeld. Als er niet wordt betaald, dan dreigen ze gevoelige e-mails, foto's of documenten te publiceren. 

Maar ze kunnen ook inloggen bij betaaldienst PayPal of cryptocurrencybeurs Coinbase om daar iemands rekening te plunderen. Van sommige slachtoffers zijn honderdduizenden en soms miljoenen euro's gestolen. 

De 'sim-swappers' richten zich ook op socialemediaprofielen met populaire gebruikersnamen, zoals @baas of drielettercombinatie's als @abc. Deze accounts worden via sim-swapping overgenomen en vervolgens voor veel geld - soms wel duizenden euro's - doorverkocht.

Oliver cashte flink

Eén van de meest beruchte Nederlandse hackers die aan sim-swapping doet, is de 21-jarige Oliver (niet zijn echte naam, die is bij de redactie bekend). Hij zegt tienduizenden euro's te hebben verdiend aan deze lucratieve business, onder andere door verschillende cryptocurrency-accounts te hacken en bitcoins te stelen. "Eerst deed ik het voor de kick, maar ik verdiende er al snel veel geld mee", vertelt hij tegen RTL Nieuws. 

Bij sim-swapping belt een hacker de telecomprovider van het slachtoffer op en overtuigt hij de medewerker om het 06-nummer over te zetten naar een simkaart die in zijn bezit is. "Ik belde altijd rond vier uur, dat is het moment dat veel medewerkers naar huis gaan en je sneller helpen."

Arbeidsintensief

Omdat veel mensen hun telefoonnummer aan hun online accounts koppelen, is het mogelijk om via een sms het wachtwoord opnieuw in te stellen. Zelfs de extra beveiliging tweestapsverificatie, waarmee je na het inloggen met een gebruikersnaam en wachtwoord nog een inlogcode moet invoeren, is vaak niet tegen sim-swapping beveiligd.

Volgens verschillende experts is het 06-nummer dan ook een onbekende, maar zeer zwakke plek in de online beveiliging. "Sim-swapping is arbeidsintensief en komt dus vooral voor bij gerichte aanvallen", zegt hacker Sijmen Ruwhof. "Maar er is de laatste jaren wel degelijk een stijging te zien, omdat er met deze aanval veel te halen valt."

Rik van Duijn, hacker bij DearBytes, vraagt zich af of bedrijven nog wel sms moeten gebruiken voor tweestapsverificatie en het opnieuw instellen van een wachtwoord. "Het is geen veilige optie, maar bij veel bedrijven heb je als consument geen andere keuze dan je telefoonnummer invoeren als extra beveiliging."

Rechte pad

Slachtoffers van sim-swapping merken dat hun 06-nummer is overgenomen zodra ze geen mobiele verbinding meer hebben. Dan valt plotseling al het bereik weg, en lijkt het alsof de simkaart kapot is. In de tijd dat het slachtoffer dit opmerkt, de telecomprovider belt en het 06-nummer weer terug laat zetten, heeft de hacker al zijn slag geslagen.

Oliver wil met RTL Nieuws praten omdat hij deze zomer is gestopt met sim-swapping en mensen wil waarschuwen voor de gevaren ervan. "Ik ben nu op het rechte pad en wil later als consultant advies geven over online veiligheid, om mensen en bedrijven te beschermen tegen jongens als ik." Hij voelt zich schuldig over zijn criminele daden, maar heeft het gestolen geld nooit teruggegeven.

Belangrijk

Het blijft volgens Ruwhof en Van Duijn belangrijk om tweestapsverificatie in te schakelen, ook als dat via sms is. "Als iemand dan je wachtwoord in handen krijgt, ben je nog steeds beschermd", zegt Ruwhof. De kans dat je slachtoffer wordt van sim-swapping is veel kleiner dan dat je gehackt wordt omdat je dezelfde wachtwoorden gebruikt, stellen zij. Van Duijn: "Liever tweestapsverificatie via het minder veilige sms, dan helemaal geen extra beveiliging."

Dit is tweestapsverificatie, en zo stel je het in