Zo werkt de simkaart-hack en dit kun je eraan doen
Het nieuws over de nieuwe simkaart-hack kwam aan het rollen door een artikel over slachtoffer Rachel. Zij is eigenaar van de Instagram- en Twitter-accounts @Rainbow en bleek daardoor een aantrekkelijk doelwit voor simkaart-hackers. In het criminele circuit zijn mooie accountnamen duizenden euro’s waard. Maar hoe werkt het en hoe kun je je ertegen beschermen?
Hoe werkt de simkaart-hack?
Bij ‘sim swapping’ of ‘sim hijacking’ wordt als het ware je telefoonnummer gekaapt. Een hacker neemt contact op met jouw telecomprovider en doet zich voor alsof hij de eigenaar is van het telefoonnummer. Bedrijven vragen vaak de geboortedatum of het woonadres van klanten ter verificatie, maar die informatie is vaak gemakkelijk te achterhalen. Slachtoffers zetten hun geboortedatum bijvoorbeeld op hun Facebook-pagina, in een online CV of zelfs in hun accountnaam. De hacker zegt dat hij de simkaart is kwijtgeraakt en vraagt een nieuwe aan, of vraagt het nummer over te zetten naar een al bestaande simkaart (die in het bezit is van de hacker). Zodra dit is geregeld kan de hacker sms’jes met toegangscodes ontvangen op een ander toestel. Zo wordt het mogelijk om op Instagram en Twitter in te loggen en een mooie accountnaam af te pakken van de rechtmatige eigenaar. Instagram heeft maatregelen aangekondigd en gaat in de nabije toekomst ook inlogcodes toesturen zonder dat daarvoor SMS nodig is.
Momenteel kun je bij Instagram het wachtwoord van je account herstellen en inloggen op ene nieuw apparaat door je identiteit te bevestigen via een telefoonnummer. Dit nummer is gekoppeld aan je account. Criminelen hebben ontdekt dat dit een handige methode voor identiteit- en accountdiefstal is. Steeds vaker gebeurt het dat het telefoonnummer van een gebruiker wordt gekaapt en wordt overgezet naar een nieuwe simkaart.
Vervolgens kunnen de hackers toegang krijgen tot allerlei accounts van het slachtoffer, zelfs als ze met tweefactorauthenticatie zijn beveiligd. Zo kun je accounts van Amazon, Instagram, Twitter en dergelijke in handen krijgen. De hackers hebben het nu nog vooral gemunt op mooie accountnamen voor Instagram en Twitter, die duizenden euro’s opleveren in het grijze circuit. Maar het kan veel verder gaan. Sommige slachtoffers zijn al fysiek bedreigd en financieel uitgekleed.
Wat kun je doen tegen simkaart-hacking?
Het hartverscheurende verhaal op Motherboard is wel heel extreem, maar wat kun je doen om jezelf te beschermen tegen dergelijke hacks?
Je telefoonnummer wordt steeds meer je unieke ID. Voor diensten als WhatsApp is je telefoonnummer de manier om te controleren of jij het bent. Je kunt hier helaas weinig aan doen, behalve misschien een prepaid-nummer gebruiken waarmee je voorkomt dat jouw echte mobiele nummer overal geregistreerd staat. Maar daarmee ben je nog niet voldoende beschermd.
#1 Geen codes via SMS laten toesturen
Ten eerste moet je bij alle diensten die je gebruikt kijken of je kunt overschakelen naar een inlogmethode die geen gebruik maakt van SMS. Veel diensten zijn al overgestapt naar methoden waarbij de code op een andere manier wordt verstuurd, bijvoorbeeld via apps zoals Google Authenticator, Authy en Duo. In onze lijst met tweestapsverificatie-apps lees je welke het beste zijn.
Je kunt deze apps bijvoorbeeld gebruiken om veiliger in te loggen op je Google-accounts.
#2 Extra support-wachtwoord
Een andere manier die Motherboard aanraadt is gebruik te maken van een extra telefoon-wachtwoord bij je provider. Dit is een uniek wachtwoord dat je moet geven om gebruik te kunnen maken van de klantenservice. Bij de Amerikaanse providers Verizon en U.S. Cellular is dat zelfs verplicht. Bij Nederlandse providers is het nog niet verplicht, maar het is soms wel mogelijk om anderen met zo’n wachtwoord jouw account te laten beheren.
Als je een wachtwoord kiest dat onmogelijk te raden is (dus niet de naam van je huisdier) dan wordt het wel erg moeilijk om je telefoonnummer te kapen. Eigenlijk zou het goed zijn als Nederlandse banken ook zo’n extra wachtwoord invoeren, want met wat basisgegevens zoals geboortedatum en woonadres kun je telefonisch behoorlijk wat klantgegevens laten aanpassen, ook van andere klanten.
- 2018 - 18 juli: Info over overzetten naar bestaande simkaart toegevoegd.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Waarom de Europese verpakking van iPhones en iPads straks iets extra's krijgt (24-04)
- Apple krijgt 500 miljoen euro boete voor het niet naleven Digital Markets Act, maar gaat in beroep (23-04)
- Deze transparante AirPods kun je niet kopen (11-04)
- Opinie: Aankomende WWDC-keynote wordt belangrijkste Apple-presentatie in jaren (en dit is waarom) (13-03)
- Het einde van de vijftig tinten spacegrijs: overzicht van een van Apple's meestgebruikte kleur (06-03)
Dat is geen hack, maar meer social engineering.
Een wachtwoord voor de klantenservice bestaat al wel in Nederland. Mijn man nam laatst contact op met Vodafone om voor ons allebei iets te checken. Mijn gegevens kreeg hij echter niet direct. Ik werd gebeld door de Vodafone medewerker om toegang te geven. Daarbij kreeg ik meteen de optie om een wachtwoord in te stellen dat ik aan mijn man kon geven zodat hij ook toegang kon krijgen tot mijn gegevens mocht hij een volgende keer bellen.
@Jordy: Waar vind jij die optie bij Vodafone precies? Voor zover ik kan zien heb je bij Vodafone alleen een wachtwoord voor My Vodafone en niet voor de klantenservice waarmee je bijvoorbeeld iemand anders toestemming kan geven om dingen voor jou te regelen (ik ben zelf Vodafone-klant)
In essentie draait het om het feit dat beheerders van identiteiten (te) zwakke procedures hanteren mbt het wijzigen van de identiteit zelf, of directe metadata. Hierbij is altijd de afweging tussen gebruikersgemak en kosten versus een waterdichte registratie en wijzigingen. Aangezien gebruikers niet al te veel gedoe en snel (weer) bij hun identiteit willen kunnen, begrijp ik wel waarom er nog steeds diensten met zwakke procedures zijn. Voorbeeld: vroeger kreeg je bij ING een wachtwoord reset of een account alleen via een brief. Nu wil ik niet voorstellen omdat weer in te voeren, maar blijkbaar vonden gebruikers dit niet zo prettig en heeft ING gebruikersgemak en de kosten zwaarder laten wegen en risico’s op andere manieren afgedekt.
Het door eikultjur voorgestelde ‘wachtwoord’ On gegevens aan te passen bij een identiteitbeheerder is weer een pleistertje-plakken. Denk even aan de omgang met wachtwoorden door de gemiddelde gebruiker en je weet dat dit de volgende aanvalsverdrag wordt. Leuk bedacht maar dit is niet de oplossing. Een betere oplossing zou zijn als een door alle partijen vertrouwde partij bevestigd dat meneer Jansen inderdaad meneer Jansen is. Bijvoorbeeld door DigID of een marktpartij, of nog beterder: meerdere partijen.
Belgische providers vragen naar het nummer van je identiteitskaart vooraleer je iets kan veranderen ivm je gsmnummer, of andere kaart bestellen en zo. Identiteitskaartnummer is in principe moeilijk te achterhalen door hackers…
Ik snap alleen 1 ding niet. Ze moeten toch het simkaartnummer hebben? Dan moet je toch de post onderscheppen?
Volgens mij mis ik iets in dit artikel. Nadat de sim wissel is uitgevoerd, zal de oude sim niet meer werken en kan de oorspronkelijke eigenaar van het nummer niet meer gebruik maken van mobiele diensten. Dit zou voor elke gebruiker een reden moeten zijn om zijn/haar provider te bellen en eisen dat dit wordt opgelost.
Ik weet niet of de optie ook in de app of online mogelijk is. Toen de medewerker mij belde om te verifieren dat mijn man mijn gegevens mocht inzien, gaf hij aan dat deze optie er was en toen moest ik het mondeling aan de telefoon doorgeven.
Ik heb geen mooie account naam ergens maar wel een heel mooi 06 nummer, wat ook veel geld kan opleveren:)
Dit is inderdaad niet goed gelezen. Volgens het artikel zeggen de hackers dat de SIM kaart verloren is geraakt, en vragen ze het nummer te porten naar een andere kaart die al in hun bezit is. Ik weet niet of dat in Nederland überhaupt wel kan.
@Johan: Tuurlijk kan het. Anders ben je je nummer kwijt omdat je je simkaart kwijt bent.
Nee dit kan niet in Nederland, een nieuwe simkaart gaat via de provider zelf.
Simkaart bestel je bij provider onder mom van defect mijne. Krijg je gewoon 1 toegestuurd, en moet je later zelf activeren.
Of je vraagt bij telecom shop om simkaart, zijn gratis
En inderdaad je ziet zelf heel snel als je geen bereik meer heb, meteen actie ondernemen.
@PeliileP: goed plan. Maar het heeft een nadeel: als ik moet bellen naar bijvoorbeeld KPN, dan duurt het zo 5 minuten voor je eindelijk iemand aan de lijn krijgt en dan wil je wel graag meteen geholpen worden. Als ik dan eerst meerdere partijen moet gaan inschakelen die kunnen bevestigen dat ik het wel echt ben, dan is er geen telefonist(e) die me nog kan helpen. En als ik voor elk wissewasje naar een KPN kantoor moet gaan om bijvoorbeeld m’n vingerafdruk te laten scannen zodat ze weten dat ik het ben, dan word ik toch ook niet echt blij. Maar… het is wel veiliger…
Als de simkaart “Hack” zo werkt dan zit je in ieder geval veilig bij KPN. Simkaarten worden alleen naar het geregistreerde adres gestuurd. Bij eventueel twijfel (recente adreswijziging of iets dergelijks) wordt er een verificatie sms gestuurd. Ook is het niet mogelijk om een willekeurig simkaartje te activeren. Dit moet verstrekt zijn aan de klant.
@Suzanne: There’s an app for that…
Telecom providers zouden de optie touch id of face id kunnen inbouwen in de app…die na handmatige actie van de provider in geschakeld wordt…soort verzoek inschieten idee…op het moment dat diegene aan de telefoon hangt met het verzoek tot wijzigen gegevens of nieuwe simkaart aanvraag…indentiteit checken en de aanvraag is door..
Just a thought… 😉
@Richard: mmm dat klinkt goed 😊
@Suzanne: Vind ik ook…al zeg ik het zelf 🤣
Dit is bij mij het geval. Als ik een nieuwe simkaart aanvraag ben ik dan hier vanaf?