© Bloomberg
T-Mobile neemt maatregelen tegen hackers die 06-nummers overnemen
T-Mobile scherpt zijn beveiliging aan waardoor hackers veel lastiger een 06-nummer kunnen overnemen. Door de komst van de e-sim, de nieuwe digitale simkaart, was het voor kwaadwillenden relatief gemakkelijk om een telefoonnummer te kapen.
RTL Nieuws deed de afgelopen week onderzoek naar deze aanval, ook wel sim-swapping genoemd.
Zodra de hacker jouw 06-nummer in handen krijgt, heeft hij toegang tot alle online accounts die zijn gekoppeld aan dat telefoonnummer, zoals e-mail, sociale media en betaaldiensten.
E-sim
Het lek zit in de komst van de e-sim van T-Mobile. Om de e-sim te gebruiken, log je in op de website van T-Mobile en scan je met je smartphone een QR-code om de e-sim te activeren.
Voorheen verifieerde T-Mobile niet wie of welk toestel de e-sim probeert te activeren. Als een aanvaller toegang kreeg tot jouw T-Mobile-account, door je wachtwoord te kraken of verbinding te maken met jouw hotspot, kon diegene binnen enkele seconden je 06-nummer kapen.
Activeren
T-Mobile laat aan RTL Nieuws weten dat je jezelf vanaf morgen moeten verifiëren als je een e-sim activeert. Dat kan door een sms-code in te voeren die je via je oude, fysieke simkaart ontvangt.
Als een hacker toegang heeft tot jouw T-Mobile-account, kan diegene niet zomaar meer jouw 06-nummer overnemen - de aanvaller heeft immers geen toegang tot jouw telefoon.
Gehackt
RTL Nieuws testte de hack-methode vorige week bij een collega die klant is bij T-Mobile. We logden in op zijn T-Mobile-account, scanden de QR-code van zijn e-sim met een iPhone Xr en namen binnen enkele seconden zijn 06-nummer over.
Daardoor was het mogelijk om toegang te krijgen tot onder andere zijn Gmail en WhatsApp. De collega kreeg alleen een sms-bericht met daarin de melding dat er een e-sim was geactiveerd.
Wat is de e-sim?
Een e-sim is een elektronische simkaart die al in je telefoon of tablet zit. Het enige wat je hoeft te doen, is een abonnement op de e-sim zetten. Door een e-sim kun je meerdere abonnementen tegelijkertijd op één toestel gebruiken, bijvoorbeeld een zakelijk en privé-abonnement, maar ook een tijdelijke databundel voor gebruik in de VS.
De smartphones die in Nederland verkrijgbaar zijn en e-sim ondersteunen, zijn de iPhone XS, XS Max en XR. Bij tablets gaat het om de iPad Pro en iPad Air. Het maakt voor de aanval niet uit welk apparaat het slachtoffer heeft: elke klant van T-Mobile kan een e-sim activeren.
Het is niet duidelijk hoeveel Nederlanders gebruikmaken van een e-sim. Wanneer andere providers de e-sim gaan aanbieden en op welke manier, is ook nog niet bekend.
Rekeningen plunderen
Criminele hackers die aan dit zogenoemde sim-swapping doen, proberen op allerlei manieren aan geld te komen. Ze nemen de online accounts van een slachtoffer over en vragen losgeld. Als er niet wordt betaald, dan dreigen ze gevoelige e-mails, foto's of documenten te publiceren.
Maar ze kunnen ook inloggen bij betaaldienst PayPal of cryptocurrencybeurs Coinbase om daar iemands rekening te plunderen. Van sommige slachtoffers zijn honderdduizenden en soms miljoenen euro's gestolen omdat hun 06-nummer werd overgenomen.
Honderden Nederlanders zijn vorig jaar slachtoffer geworden van hackers die hun 06-nummer overnemen. Eén van de hackers die aan sim-swapping doet, is Oliver. Hij zegt tienduizenden euro's te hebben verdiend aan deze lucratieve business.
Hoe bescherm je jezelf tegen sim-swapping?
Het is allereerst belangrijk om voor het inloggen bij je provider een sterk en uniek wachtwoord te gebruiken. Daarnaast kun je je telefoonnummer bij je belangrijkste online accounts verwijderen, zodat hackers niet je wachtwoord kunnen resetten als ze je 06-nummer overnemen.
In plaats van je telefoonnummer kun je een zogeheten authenticator-app als Authy te gebruiken. Dit is een app die inlogcodes genereert die je normaal gesproken via een sms-bericht ontvangt. Authy biedt handleidingen aan voor het instellen van deze extra beveiliging, ook wel tweestapsverificatie genoemd, voor onder andere Gmail, Microsoft, Facebook, Instagram, Dropbox en Twitter.
Bij WhatsApp kun je ook een extra beveiliging in de vorm van een pincode instellen. Als een aanvaller jouw 06-nummer overneemt, moet hij eerst nog deze pincode invoeren voordat WhatsApp kan worden geactiveerd.