Simswapfraude. Het klinkt als een grappige tongbreker, maar in werkelijkheid is er weinig grappigs aan. Het is de nieuwste vorm van cybercrimininaliteit. Twaalf luttele minuutjes zijn genoeg om jouw volledige digitale identiteit – of die van je medewerker – over te nemen. Wat is het precies en hoe voorkom je het?
Simswapping, wat is het?
Simswapping, ook wel bekend als sim-kaping, sim-splitting of sim-swap-scamming, is een vorm van fraude veroorzaakt door een zwak punt in tweefactorauthenticatie, waarbij de tweede factor een sms-bericht of een oproep naar een mobiele telefoon is. Als een hacker jouw telefoonnummer over weet te nemen, heeft hij of zij de tweede factor in handen en kan zich uitgeven als jouw alter-ego. En dat telefoonnummer overnemen, dat is zo geregeld door een nieuwe simkaart aan te vragen. De simswap dus.
Digitale identiteit kwijt
Simswapping is in opkomst, waarschuwt Europol. Begin maart lezen we in NRC hoe Sven van der Maaten, oud-keeper van Telstar, in twaalf minuten zijn telefoonnummer en zijn digitale identiteit kwijtraakte. Een onbekende nam de controle over zijn 06-nummer over door een nieuwe simkaart aan te vragen met valse identificatie. En Sven is niet alleen. Jack Dorsey, topman van Twitter, zag zijn eigen Twitter-account in handen van vreemden vallen nadat iemand zijn telefoonnummer overnam. En cryptobelegger Michael Terpin zag zijn digitale kluis met de lieve inhoud van 24 miljoen dollar leeggeroofd worden toen cybercriminelen zijn mobiele nummer overnamen.
Hoe werkt het?
Maar hoe kan iemand zo maar namens jou een nieuwe simkaart aanvragen? Een hacker die weet wat jouw 06-nummer is, belt jouw telecomprovider, en doet zich voor als jou. Jouw gegevens, denk aan je geboortedatum en adres, zijn vrij eenvoudig online te vinden. Met een beetje creativiteit en overtuigingskracht weet de hacker de medewerker van jouw telecomprovider te overtuigen om jouw mobiele nummer op een nieuwe simkaart over te zetten. En klaar is Kees. Op het moment dat jij door hebt dat er iets mis is, is het al te laat. Alle online diensten waar jij je mobiele nummer aan gekoppeld hebt, kunnen overgenomen worden. Ook de diensten waar je je 06-nummer hebt opgegeven voor tweefactorauthenticatie. Denk aan je mailbox, Whatsapp, socialmediakanalen en die digitale kluis vol bitcoins.
En nu?
Gelukkig zijn er manieren om simswapfraudeurs het hoofd te bieden. Gebruik liever geen telefoonnummers als verificatiemethode. Mobiele apps zoals Microsoft Authenticator zijn gekoppeld aan fysieke apparaten, en niet aan telefoonnummers. Om hier misbruik van te maken moet de cybercrimineel de beschikking hebben over het fysieke apparaat. Een telefoonnummer alleen is niet genoeg. Maar misschien hebben jouw medewerkers geen smartphone ‘van de zaak’ en willen ze hun privé-device niet inzetten voor iets dergelijks. Dan zijn er ook nog alternatieven. Fysieke authenticatieapparaten, zoals de YubiKey, doen iets vergelijkbaars. Ze vormen als het ware een fysieke beschermingslaag. De oplichter moet de fysieke sleutel stelen om toegang te krijgen tot accounts. De YubiKey is een veilig alternatief voor zwakke wachtwoorden, voor tweefactorauthenticatie en – in combinatie met een pincode – ook voor multifactorauthenticatie.
Nieuwsgierig?
Benieuwd hoe je jouw ICT-omgeving goed beschermt? Neem gerust contact met ons op. We denken graag met je mee.
De specialisten van Prodeta ICT