Hackers verzinnen nieuwe manier om mensen te bestelen
RTL Nieuws waarschuwt voor een nieuwe manier van ID-fraude, waarbij hackers het vooral gemunt hebben op bezitters van bitcoins. Ze achterhalen zoveel mogelijk gegevens van hun slachtoffer en vragen dan bij diens provider om het mobiele nummer op nieuwe SIM-kaart over te zetten.
Providers zetten een telefoonnummer niet zomaar over op een nieuwe SIM-kaart als de oude defect is geraakt of de telefoon is gestolen. Ze stellen diverse persoonlijke vragen om na te gaan of ze de ‘echte’ klant aan de lijn hebben. De zogenoemde ‘SIM-swappers’ weten echter wel wat voor soort vragen ze kunnen verwachten en bereiden zich daarop voor. Ze achterhalen het mobiele nummer, de telecomprovider, het adres, de geboortedatum en het bankrekeningnummer van hun slachtoffer, waarna het meestal wel lukt om het mobiele telefoonnummer over te nemen. Een voormalige SIM-swapper vertelde op RTL Nieuws dat hij dergelijke gegevens voor 10 euro van een medewerker van het telecombedrijf kon kopen. Bellen deden zij meestal vlak voor sluitingstijd, als medewerkers van de provider geen zin meer hadden om ‘moeilijk’ te doen.
Menselijke zwakheden
Aan de procedures van de telecombedrijven ligt het volgens de voormalige hacker niet. In de regel worden klanten naar een winkel verwezen voor het overzetten van het nummer, waarbij zij zich moeten legitimeren. Er wordt echter slim gebruik gemaakt van menselijke zwakheden onder de medewerkers van de call centra. Vooral bij T-Mobile en Tele2 zou dat weinig moeite kosten. Er worden vijf beveiligingsvragen gesteld, maar als er slechts drie goed beantwoord kunnen worden, wordt het al in orde gemaakt.
Het stelen van een mobiel nummer brengt voor het slachtoffer grote risico’s met zich mee. Behalve dat er op zijn kosten gebeld kan worden, is vaak ook toegang te krijgen tot elektronisch bankieren en websites die met 2-trapsauthenticatie zijn beveiligd. Het advies is om gebruik te maken van authenticator-apps van onder andere Google, Microsoft, Twitter, Facebook, Instagram en Dropbox. Met de gratis app Authy zijn inlogcodes voor deze online diensten op te slaan en op meerdere apparaten. Ook zogenoemde security-keys bieden extra bescherming. Dat zijn USB-sticks die in een computer geplaatst moeten worden om toegang tot bepaalde diensten te krijgen. Op die manier zijn de mogelijke gevolgen van SIM-swapping aanzienlijk te reduceren. Vodafone en T-Mobile bieden verder nog de mogelijkheid om een wachtwoord te gebruiken voor als iets telefonisch moet worden aangepast. Men moet er dan wel zeker van zijn dat medewerkers van deze bedrijven hun kennis niet aan de hackers verkopen.