Tips

Sim-swapping: hoe werkt het en hoe bescherm je jezelf?

8 december 2018 om 12:56
Laatste update: 8 december 2018 om 13:05

Bij sim-swapping neemt een criminele hacker jouw telefoonnummer over. Hoe werkt zo'n aanval en nog belangrijker: hoe bescherm je jezelf tegen deze manier van hacken?

Bij sim-swapping belt een hacker de telecomprovider van het slachtoffer op en overtuigt hij de medewerker om het 06-nummer over te zetten naar een simkaart die in zijn bezit is. 

De 21-jarige Oliver (niet zijn echte naam, die is bekend bij de redactie) is één van de meest beruchte hackers die aan sim-swapping doet, en hij vertelt tegen RTL Nieuws hoe hij te werk gaat. 

Zo werkt sim-swappen

Telecomproviders stellen een aantal beveiligingsvragen om te controleren of degene die belt ook daadwerkelijk de klant is. Het gaat dan om je naam, woonadres, geboortedatum en soms de laatste vier cijfers van je rekeningnummer.

Dat soort informatie verzamelen Oliver en ander hackers online, bijvoorbeeld door in datalekken te neuzen waar dit soort informatie te vinden is. "Die informatie kun je zelfs voor 10 euro van een medewerker van de telecomprovider kopen", zegt hij. 

Als alle informatie is verzameld, wordt de provider gebeld en imiteert de hacker het slachtoffer. "Je moet alles opschrijven en voor je hebben, want je wil natuurlijk niet stotteren als ze om de geboortedatum vragen", vertelt Oliver. "Soms zet ik via de laptop babygeluiden op, zodat een medewerker medelijden met mij krijgt en mij sneller helpt."

Dan probeert de hacker het 06-nummer over te zetten naar een simkaart die ze voor deze 'sim-swap' hebben gekocht. Oliver zegt dan dat zijn telefoon is gestolen of de simkaart kapot is: "En als het niet lukt bij de ene medewerker, wacht dan even en probeer het bij een ander."

'Menselijk falen'

Nederlandse telecomproviders stellen 'verschillende beveiligingslagen' te hebben ingevoerd om sim-swapping tegen te gaan. Sommige providers sturen eerst een verificatie-sms naar het telefoonnummer om te bevestigen dat degene die belt de eigenaar is. Kan je de sms-code niet ontvangen? Dan wordt de nieuwe simkaart per post opgestuurd of moet je naar de winkel.

Door 'menselijk falen' lukt het hackers toch om zo'n sim-swapping-aanval uit te voeren. Dat zijn de situaties dat een medewerker door de hacker wordt overtuigd om het telefoonnummer over te zetten. "Veel callcentermedewerkers verdienen slecht en willen gewoon af van gezeik", vertelt Oliver. "En dat zijn de mensen die ervoor zorgen dat een sim-swap succesvol is."

Tele2 en T-Mobile

Volgens Olivier zijn T-Mobile en met name Tele2 het makkelijkst om de tuin te leiden. Tele2 stelt in een reactie dat de klant 'drie van de vijf beveiligingsvragen' goed moet beantwoorden voordat er telefonisch iets kan worden aangepast.

T-Mobile wil om 'veiligheidsredenen' niet over hun telefonische beveiligingsmethode kwijt. Bij T-Mobile en Vodafone kunnen klanten wel een wachtwoord instellen dat moet worden opgegeven zodra de klant iets telefonisch wil aanpassen.

Maar ook dat wachtwoord is niet waterdicht, zegt Oliver: "Soms wordt er een medewerker van een telecomprovider omgekocht. Of hebben we zelf toegang tot het systeem om een telefoonnummer over te zetten."

Hackers kunnen je 06-nummer kapen

Hoe bescherm je jezelf tegen sim-swapping?

Om jezelf te beschermen tegen sim-swapping, is het belangrijk dat je je telefoonnummer van je online accounts verwijdert. Bij veel accounts zorgt je 06-nummer voor een extra beveiliging (tweestapsverificatie), bijvoorbeeld omdat je een sms-code moet invoeren na het inloggen. Het is dan verstandig om die extra beveiliging op een andere manier in te stellen.

Dat kun je doen door bij je online accounts gebruik te maken van een zogeheten authenticator-app. Dit kan onder andere bij Google, Microsoft, Twitter, Facebook, Instagram en Dropbox. Met de gratis app Authy kun je de inlogcodes voor deze online diensten opslaan en op meerdere apparaten bereiken.

Een nog veiligere manier is om gebruik te maken van zogeheten security keys. Dit zijn fysieke sleutels die je in de usb-ingang van een computer stopt. De online dienst controleert of het de juiste sleutel is, en de sleutel weet of je inlogt bij de juiste online dienst. Experts raden een combinatie van een security key en inlogcodes via de authenticator-app aan om je te beschermen tegen sim-swapping.

Als laatste kun je bij Vodafone en T-Mobile een wachtwoord instellen als je iets telefonisch wil aanpassen. Je moet dan dat wachtwoord aan de telefoon zeggen voordat je een wijziging wil doorvoeren, en dat houdt een groot deel van de sim-swap-aanvallen tegen.