Hacker kan 06-nummer klanten T-Mobile overnemen via hotspot
Klanten van T-Mobile geven via hun hotspot zonder dat ze het weten ook toegang tot hun mobiele telefoonnummer. Het is voor een hacker een fluitje van een cent om dat nummer over te nemen.
Dat blijkt uit onderzoek van RTL Nieuws na tips van bezorgde klanten van T-Mobile. Zodra de hacker het 06-nummer in handen krijgt, heeft hij toegang tot alle online accounts die zijn gekoppeld aan dat telefoonnummer, zoals e-mail, sociale media en betaaldiensten.
Klanten van T-Mobile geven via hun hotspot toegang tot hun volledige T-Mobile-account. Door de komst van de digitale simkaart, een zogeheten e-sim, kunnen hackers je 06-nummer overnemen als ze toegang hebben tot dit account.
Wifi-hotspot
T-Mobile-klanten kunnen via hun telefoon automatisch inloggen op de website van de provider zonder dat ze een wachtwoord hoeven in te voeren. Een kwaadwillende die met jouw hotspot is verbonden, kan daardoor inloggen op je T-Mobile-account zonder je wachtwoord te kennen.
Als een hacker toegang krijgt tot dit account, kan die binnen een paar seconden je 06-nummer overnemen door met zijn telefoon een QR-code te scannen. Hiermee wordt je simkaart omgezet in een digitale versie op zijn eigen toestel. T-Mobile verifieert niet wie er inlogt en wie de e-sim op welk toestel activeert.
Bij T-Mobile kun je uitschakelen dat je automatisch wordt ingelogd, maar die functie staat standaard ingeschakeld. Het bedrijf toont wel een waarschuwing, maar die krijg je alleen te zien als je zelf probeert in te loggen bij T-Mobile en wordt niet getoond als je bijvoorbeeld een hotspot inschakelt.
Gehackt
RTL Nieuws testte deze hack bij een collega die klant is bij T-Mobile. We logden in op zijn T-Mobile-account, scanden de QR-code van zijn e-sim met een iPhone Xr en namen binnen enkele seconden zijn 06-nummer over.
Daardoor was het mogelijk om toegang te krijgen tot onder andere zijn Gmail en WhatsApp. De collega kreeg alleen een sms-bericht met daarin de melding dat er een e-sim was geactiveerd.
Wat is de e-sim?
Een e-sim is een elektronische simkaart die al in je telefoon of tablet zit. Het enige wat je hoeft te doen, is een abonnement op de e-sim zetten. Door een e-sim kun je meerdere abonnementen tegelijkertijd op één toestel gebruiken, bijvoorbeeld een zakelijk en privé-abonnement, maar ook een tijdelijke databundel voor gebruik in de VS.
De smartphones die in Nederland verkrijgbaar zijn en e-sim ondersteunen, zijn de iPhone XS, XS Max en XR. Bij tablets gaat het om de iPad Pro en iPad Air. Het maakt voor de aanval niet uit welk apparaat het slachtoffer heeft: elke klant van T-Mobile kan een e-sim activeren.
Het is niet duidelijk hoeveel Nederlanders gebruikmaken van een e-sim. Wanneer andere providers de e-sim gaan aanbieden en op welke manier, is ook nog niet bekend.
Rekeningen plunderen
Criminele hackers die aan deze vorm van hacken doen, ook wel sim-swapping genoemd, proberen op allerlei manieren aan geld te komen. Ze nemen de online accounts van een slachtoffer over en vragen losgeld. Als er niet wordt betaald, dan dreigen ze gevoelige e-mails, foto's of documenten te publiceren.
Maar ze kunnen ook inloggen bij betaaldienst PayPal of cryptocurrencybeurs Coinbase om daar iemands rekening te plunderen. Van sommige slachtoffers zijn honderdduizenden en soms miljoenen euro's gestolen omdat hun 06-nummer werd overgenomen.
T-Mobile
In een reactie laat T-Mobile weten dat het onderzoekt of het verificatieproces voor het activeren van een e-sim aangescherpt moet worden, en hoe het bedrijf dit kan implementeren. Het bedrijf stelt veiligheid hoog in het vaandel te hebben, maar vindt het ook belangrijk dat zijn diensten gebruiksvriendelijk zijn.
"En uiteraard is het daarnaast voor iedere gebruiker verstandig om een sterk wachtwoord te selecteren en niet met (on)bekenden jouw verbinding te delen als mobiele hotspot", laat een woordvoerder weten.
Hoe bescherm je jezelf tegen sim-swapping?
Je kunt het automatisch inloggen hier uitschakelen. Daarnaast is het belangrijk om voor het inloggen bij je provider een sterk en uniek wachtwoord te gebruiken. Ook kun je je telefoonnummer bij je belangrijkste online accounts verwijderen, zodat hackers niet je wachtwoord kunnen resetten als ze je 06-nummer overnemen.
In plaats van je telefoonnummer kun je een zogeheten authenticator-app als Authy te gebruiken. Dit is een app die inlogcodes genereert die je normaal gesproken via een sms-bericht ontvangt. Authy biedt handleidingen aan voor het instellen van deze extra beveiliging, ook wel tweestapsverificatie genoemd, voor onder andere Gmail, Microsoft, Facebook, Instagram, Dropbox en Twitter.
Bij WhatsApp kun je ook een extra beveiliging in de vorm van een pincode instellen. Als een aanvaller je 06-nummer overneemt, moet hij eerst nog deze pincode invoeren voordat WhatsApp kan worden geactiveerd.