Als je denkt dat je met tweefactorauthenticatie helemaal veilig zit, dan is er toch iets om rekening mee te houden: met een nieuwe truc proberen sim-hackers toegang te krijgen tot jouw mobiele nummer. "Als iemand je telefoonnummer heeft, heeft 'ie toegang tot je leven", zegt een slachtoffer.

Het nieuws over de nieuwe simkaart-hack kwam aan het rollen door een artikel over slachtoffer Rachel. Zij is eigenaar van de Instagram- en Twitter-accounts @Rainbow en bleek daardoor een aantrekkelijk doelwit voor simkaart-hackers. In het criminele circuit zijn mooie accountnamen duizenden euro’s waard. Maar hoe werkt het en hoe kun je je ertegen beschermen?

Hoe werkt de simkaart-hack?

Bij ‘sim swapping’ of ‘sim hijacking’ wordt als het ware je telefoonnummer gekaapt. Een hacker neemt contact op met jouw telecomprovider en doet zich voor alsof hij de eigenaar is van het telefoonnummer. Bedrijven vragen vaak de geboortedatum of het woonadres van klanten ter verificatie, maar die informatie is vaak gemakkelijk te achterhalen. Slachtoffers zetten hun geboortedatum bijvoorbeeld op hun Facebook-pagina, in een online CV of zelfs in hun accountnaam. De hacker zegt dat hij de simkaart is kwijtgeraakt en vraagt een nieuwe aan, of vraagt het nummer over te zetten naar een al bestaande simkaart (die in het bezit is van de hacker). Zodra dit is geregeld kan de hacker sms’jes met toegangscodes ontvangen op een ander toestel. Zo wordt het mogelijk om op Instagram en Twitter in te loggen en een mooie accountnaam af te pakken van de rechtmatige eigenaar. Instagram heeft maatregelen aangekondigd en gaat in de nabije toekomst ook inlogcodes toesturen zonder dat daarvoor SMS nodig is.

Momenteel kun je bij Instagram het wachtwoord van je account herstellen en inloggen op ene nieuw apparaat door je identiteit te bevestigen via een telefoonnummer. Dit nummer is gekoppeld aan je account. Criminelen hebben ontdekt dat dit een handige methode voor identiteit- en accountdiefstal is. Steeds vaker gebeurt het dat het telefoonnummer van een gebruiker wordt gekaapt en wordt overgezet naar een nieuwe simkaart.

simkaarten

Vervolgens kunnen de hackers toegang krijgen tot allerlei accounts van het slachtoffer, zelfs als ze met tweefactorauthenticatie zijn beveiligd. Zo kun je accounts van Amazon, Instagram, Twitter en dergelijke in handen krijgen. De hackers hebben het nu nog vooral gemunt op mooie accountnamen voor Instagram en Twitter, die duizenden euro’s opleveren in het grijze circuit. Maar het kan veel verder gaan. Sommige slachtoffers zijn al fysiek bedreigd en financieel uitgekleed.

Wat kun je doen tegen simkaart-hacking?

Het hartverscheurende verhaal op Motherboard is wel heel extreem, maar wat kun je doen om jezelf te beschermen tegen dergelijke hacks?

Je telefoonnummer wordt steeds meer je unieke ID. Voor diensten als WhatsApp is je telefoonnummer de manier om te controleren of jij het bent. Je kunt hier helaas weinig aan doen, behalve misschien een prepaid-nummer gebruiken waarmee je voorkomt dat jouw echte mobiele nummer overal geregistreerd staat. Maar daarmee ben je nog niet voldoende beschermd.

#1 Geen codes via SMS laten toesturen
Ten eerste moet je bij alle diensten die je gebruikt kijken of je kunt overschakelen naar een inlogmethode die geen gebruik maakt van SMS. Veel diensten zijn al overgestapt naar methoden waarbij de code op een andere manier wordt verstuurd, bijvoorbeeld via apps zoals Google Authenticator, Authy en Duo. In onze lijst met tweestapsverificatie-apps lees je welke het beste zijn.

Je kunt deze apps bijvoorbeeld gebruiken om veiliger in te loggen op je Google-accounts.

#2 Extra support-wachtwoord
Een andere manier die Motherboard aanraadt is gebruik te maken van een extra telefoon-wachtwoord bij je provider. Dit is een uniek wachtwoord dat je moet geven om gebruik te kunnen maken van de klantenservice. Bij de Amerikaanse providers Verizon en U.S. Cellular is dat zelfs verplicht. Bij Nederlandse providers is het nog niet verplicht, maar het is soms wel mogelijk om anderen met zo’n wachtwoord jouw account te laten beheren.

Als je een wachtwoord kiest dat onmogelijk te raden is (dus niet de naam van je huisdier) dan wordt het wel erg moeilijk om je telefoonnummer te kapen. Eigenlijk zou het goed zijn als Nederlandse banken ook zo’n extra wachtwoord invoeren, want met wat basisgegevens zoals geboortedatum en woonadres kun je telefonisch behoorlijk wat klantgegevens laten aanpassen, ook van andere klanten.