Simswapping: wanneer hackers je telefoon proberen over te nemen

We gebruiken ons gsm-nummer vaak om onze online accounts beter te beveiligen. Maar is dat zo slim? De nieuwste hype onder hackers heet 'simswapping' en maakt vooral slachtoffers onder grote Amerikaanse accounts. Moet u op uw hoede zijn?

'Nazi Germany did nothing wrong.' Dat Twitter sukkelt met hoe het als platform de vrije meningsuiting moet vrijwaren, is bekend. Het sociale medium raakt maar niet verlost van de racistische en nazistische accounts op zijn platform. Maar dat CEO Jack Dorsey plots nazisympathieën zou tweeten, dat geloofden zelfs Twitters grootste criticasters niet.

Het bedrijf verduidelijkte dit weekend dat het gsm-nummer van zijn CEO in handen was gevallen van een hacker. Die kreeg twintig minuten vrij spel op het account van Jack Dorsey en stuurde in die tijd een twintigtal tweets uit waarin hij Dorsey onder andere zijn appreciatie voor nazi-Duitsland liet uitspreken. De hacker gebruikte Cloudhopper, een dienst van Twitter die ervoor zorgt dat je met een door Twitter erkend telefoonnummer kan tweeten via sms.

De Twitter-CEO is volgens technologiemagazine Wired de laatste in een reeks aanvallen van een groep die bekende Amerikaanse internetaccounts hackt. Ze gebruiken daarvoor de 'simswapping'-techniek. En daar moet je niet eens al te veel technische vaardigheden voor hebben.

'Je moet vooral durven', zegt Cedric De Vroey. Het doel van een hacker is bijna altijd hetzelfde, zegt de ethische hacker: binnen raken op online accounts zoals e-mail, Facebook, Instagram of bankapps. We weten al langer dat één enkel wachtwoord niet volstaat om hackers buiten te houden. Door grote datalekken liggen heel wat gebruikersnamen en wachtwoorden op straat. Of beter: in een donker hoekje van het internet.

De Vroey «Daarom is het zo belangrijk een tweede veiligheidslaag in te bouwen, een zogenaamde twee-factor-authenticatie.»

U kent het: u wilt online inloggen, geeft uw wachtwoord in, waarna u via sms een code van zes cijfers krijgt toegestuurd. Pas nadat u die code invult, kan u inloggen. Met andere woorden: uw telefoonnummer is het bewijs dat u inlogt en niet een of andere hacker.

Geen wonder dat hackers proberen die verificatiecode te onderscheppen. 'Dat zou op allerlei manieren kunnen', zegt Jeroen Beckers die bij cybersecuritybedrijf NVISO, dat gespecialiseerd is in mobiele beveiliging.

Beckers «Ofwel steel je de smartphone, maar dat is niet zo eenvoudig. Ofwel probeer je via de telecomprovider het telefoonnummer naar een nieuwe simkaart over te schrijven.»

Hackers bellen naar de helpdesk van telecomproviders en proberen medewerkers van het callcenter te overtuigen het telefoonnummer over te zetten naar een nieuwe simkaart. Zodra dat lukt, zullen slachtoffers zelf niet meer kunnen bellen van op hun eigen simkaart. In de Verenigde Staten worden medewerkers van providers omgekocht om bepaalde nummers van simkaarten te wijzigen.

De motivatie van de hackers kan verschillen. In de VS klagen heel wat Instagram-influencers dat hun Instagram-account via simswapping gehackt werd. Soms gaat het om tieners die het gewoon leuk vinden om te doen, andere hackers chanteren mensen om op die manier losgeld los te weken. Voor influencers is dat heel vervelend. Zij verliezen met hun account niet alleen hun volgers maar ook de reden waarom bepaalde adverteerders met hen willen samenwerken.

Hackers richten zich ook op populaire socialemediaprofielen. Denk aan namen zoals @koning, @cocacola, @boss of @godess. Zij proberen die namen opnieuw te verkopen op de zwarte markt. Eind vorig jaar getuigde een hacker bij het Nederlandse RTL Nieuws dat hij tienduizenden euro's kon verdienen met simswapping. Hij gebruikte de techniek vooral om cryptocurrency-accounts te hacken en bitcoins te stelen. 'Eerst deed ik het voor de kick, maar ik verdiende er al snel veel geld mee', vertelde hij aan RTL Nieuws. 'Ik belde altijd rond vier uur naar de helpdesk, wanneer veel medewerkers naar huis gaan en je sneller helpen.'


Extra beveiliging

In België is het niet zo gemakkelijk om een gsm-nummer te laten overzetten. De Belgische providers bouwden een extra beveiliging in om het malafide aanvragen zo lastig mogelijk te maken. Wie bij Telenet of Proximus zijn telefoonnummer wil overzetten naar een nieuwe simkaart, zal in de winkel altijd zijn identiteitskaart moeten tonen. Bij Telenet kan zo'n overzetting online, maar dan moeten klanten hun klantennummer en wachtwoord van 'Mijn Telenet' kunnen geven. Verschillende providers laten weten dat zij geen klachten ontvangen over simswapping.

Het Centrum voor Cyber Security België (CCB) en de federale politie bevestigen dat er bij hen ook nog geen dergelijke meldingen binnen kwamen. 'Ik zou iedereen aanraden om elk online account met een twee-factor-authenticatie te beveiligen, ook al is dat met een gsm-nummer', zegt Katrien Eggers van CCB.

En voor wie dat toch liever niet doet met zijn gsm-nummer zijn er alternatieven.

Beckers «Neem bijvoorbeeld de authenticator van Google. Die gebruikt geen telefoonnummer, maar valt terug op een aantal gegevens die eigen zijn aan je toestel om te bevestigen dat het effectief jij bent - en niemand anders - die wil inloggen.»

© De Morgen

Meer over

Reageren op een artikel, uw mening ventileren of een verhelderend inzicht delen met de wereld

Ga naar Open Venster

Op alle verhalen van de Humo rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar redactie@humo.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234