Jouw telefoonnummer kan op afstand gestolen worden. Dat klinkt eng, en dat is het ook. Gelukkig kun je de kans dat jij slachtoffer wordt drastisch verkleinen door voorzorgsmaatregelen te nemen. Dit moet je weten over sim-swapping.
Lees verder na de advertentie.
Alles over sim-swapping
In 7 vragen en antwoorden proberen we het (complexe) onderwerp zo bondig en simpel mogelijk te behandelen. Kun je het antwoord op jouw vraag niet vinden? Laat dan een reactie onder dit artikel achter. Misschien weten wij, of een van de andere lezers, het antwoord wel.
De naam zegt het eigenlijk al: bij sim-swapping zet een crimineel jouw persoonlijke telefoonnummer over op haar of zijn simkaart. Heel plat gezegd: iemand steelt je 06-nummer.
Dat doet de hacker door contact op te nemen met jouw telecomprovider (zoals KPN, Vodafone of T-Mobile) en zich hierbij voor te doen als jou. De crimineel belt de klantenservice en legt uit dat het nummer (die van jou, dus) overgezet moet worden op een nieuwe simkaart. Dit kaartje is natuurlijk in het bezit van de hacker.
Dit gaat niet zonder slag of stoot, want een telecomprovider mag niet zomaar nummers overzetten tussen simkaarten. Daarom vraagt de helpdeskmedewerker naar, naast wat persoonsgegevens, specifieke kenmerken.
De hacker wordt bijvoorbeeld gevraagd wat de naam van je eerste hond was en hoe je eerste verliefdheid heet. Deze beveiligingsvragen heb jij ooit ingesteld.
Hoe de hacker de antwoorden op deze persoonlijke vragen weet? Bijvoorbeeld omdat deze gegevens ooit via een datalek in de openbaarheid terecht zijn gekomen.
Stel, je hebt ooit iets gekocht bij een meubelwebshop. Een paar maanden geleden had deze website te maken met een datalek, waardoor een hoop van jouw persoonlijke gegevens (zoals adres- en betaalinformatie) op straat zijn komen te liggen. Dit is erg waardevolle informatie voor een sim-swapper, want er is nu een startpunt.
Vervolgens gaat de hacker via internet op zoek naar meer informatie en komt er zo bijvoorbeeld via een oude foto op je Instagram achter dat je eerste hond “Max” heette. En die eerste geliefde? Aan de hand van een gearchiveerde pagina op Hyves/Facebook komen we erachter dat je relatie met persoon X zes jaar geleden op de klippen liep.
Zo gaat de hacker nog eventjes door en wanneer er voldoende ‘bewijslast’ is, neemt diegene contact op met je provider om je 06-nummer over te zetten. Met de informatie voor haar of zijn neus bluft de hacker moeiteloos door het beveiligingsproces van de klantenservice heen en wordt je telefoonnummer ‘geswapt’. 
Je komt er snel genoeg achter wanneer je slachtoffer bent van simswapfraude. Je simkaart is namelijk niet langer actief. Bellen, sms’en en WhatsAppen: het kan allemaal niet meer. De kans is dus heel groot dat je snel na de swap concludeert dat iets niet in de haak is.
Dat weten criminelen ook. Zij voeren de simswap daarom vaak in de avond of nacht uit. Omdat jij op één oor ligt, hebben zij een paar uur de tijd om ongezien hun gang te gaan.
Dat brengt ons bij de volgende vraag: wat is het motief achter sim-swapping? Het antwoord is weinig verrassend: geld. Omdat sim-swapping een onderdeel van cybercrime is, oftewel digitale criminaliteit, is het de hackers meestal om poen te doen.
Onderschat de mogelijke gevolgen van sim-swapping niet. Veel diensten zijn tegenwoordig gekoppeld aan je telefoonnummer, bijvoorbeeld als herstelmethode wanneer jij je wachtwoord bent vergeten. Ook berichten ter bevestiging, om bijvoorbeeld een betaling goed te keuren, worden veelal via sms verzonden. Die berichtjes komen nu dus bij de hacker terecht en dan is het hek van de dam.
De crimineel kan bijvoorbeeld je digitale betaalrekening overnemen, er met je cryptomunten vandoor gaan, je WhatsApp induiken of de mailbox doorspitten. Hier komt waarschijnlijk weer heel veel (voor de hacker) waardevolle informatie uit voort. Hij/zij kan bijvoorbeeld je identiteit gebruiken voor online bestellingen, Tikkie-fraude plegen of jou chanteren met (mogelijk) pikante foto’s.
Er is nog weinig onderzoek naar sim-swapping gedaan, maar uit de eerste resultaten blijkt dat het vaak om gerichte aanvallen gaat. Criminelen weten bijvoorbeeld dat je over veel cryptomunten beschikt of interessante telefoonnummers in je contactenlijst hebt.
Samenvattend kunnen de gevolgen van sim-swapping ontzettend naar zijn. Je hele online leven, dat bij menig persoon tegenwoordig net zo groot is als het ‘offline’ leven, kan ermee overgenomen worden.
Het is daarom belangrijk om snel te handelen. Heb je het vermoeden slachtoffer te zijn van simswapfraude? Doe dan onmiddelijk aangifte bij de politie. Meld je ook bij je provider. Zij hebben speciale teams die zich bezighouden met het opsporen van dergelijke fraudeurs. Met een beetje geluk kunnen ze je bovendien helpen de schade (nog enigszins) te beperken.
Vooropgesteld: sim-swapping voorkomen is makkelijker gezegd dan gedaan. Wanneer iemand het op jou heeft gemunt, is het ontzettend lastig om hieraan te ontkomen. Laten we slachtoffers geen schaamte aanpraten en doen alsof het hun schuld is. Sim-swapping is je reinste criminaliteit en kan iedereen overkomen.
Dat gezegd hebbende is het natuurlijk wel verstandig om enkele voorzorgsmaatregelen te nemen. De belangrijkste tip is om niet zomaar overal je persoonsgegevens achter te laten.
Veel bedrijven en diensten vragen naar je geboortedatum, adres of telefoonnummer, maar hebben deze gegevens misschien helemaal niet nodig. Vraag je daarom af in hoeverre het nodig is om deze gegevens te delen, en of het kwaad kan om iets willekeurigs in te vullen.
Ook verstandig: probeer de zwakke schakel te elimineren. Koppel daarom bij zoveel mogelijk diensten je 06-nummer los. Kies in plaats daarvan voor een goede tweefactorauthenticatie-app. Zo’n app geeft je tijdens het inloggen bij apps, websites en diensten een extra code die je moet invullen.
Dat is hackers een doorn in het oog, want ze hebben hierdoor fysieke toegang tot jouw smartphone nodig om je digitale leven te kapen. Dat is natuurlijk veel lastiger dan het ‘simpelweg’ op afstand overzetten van een telefoonnummer.
Je kunt een systeem nog zo technisch verfijnd beveiligen, maar één zwakke schakel maakt alles zinloos. Dat is ook hét grote probleem rond sim swaps. De zwakke schakel in dit voorbeeld is de mens. Nog specifieker: de helpdeskmedewerker van jouw provider.
De eerste verhalen over sim-swaps kwamen in 2018 naar buiten. Sindsdien hebben providers meerdere maatregelen genomen om het probleem te bestrijden. Naast meer voorlichting en betere training voor medewerkers zijn ook de regels aangescherpt.
Bij T-Mobile kun je bijvoorbeeld in principe alleen nog in de fysieke winkels een nieuwe simkaart activeren. Alleen in hele uitzonderlijke gevallen kan dit proces op afstand plaatsvinden, maar dan wordt je doorgeschakeld naar een speciaal team dat “extra controlestappen” hanteert.
Simyo geeft aan “extra voorzichtig” te zijn met de gegevens en veiligheid van haar klanten en Simpel heeft een speciaal onderzoeksteam en “aangescherpte” protocollen om sim-swaps te voorkomen.
Daarin moeten we de providers op hun woord geloven, want ze kunnen natuurlijk niet uitgebreid vertellen wat ze precies doen om sim-swapping te voorkomen. Hackers zijn immers goed met internet en lezen hoogstwaarschijnlijk mee. Laten we hopen dat providers hun daad bij het woord voegen.
Beveilig je telefoon
Het moge duidelijk zijn: sim-swapping is naar en de gevolgen kunnen verstrekken zijn. Omdat voorkomen beter is dan genezen, besteden we op Android Planet regelmatig aandacht aan manieren om jezelf tegen cybercriminelen te beschermen. We hebben daarom meerdere gidsen geschreven om virussen, adware, ransomware, spyware en andere narigheid te voorkomen.
