Hackers zijn uit op je cryptovaluta: bescherm jezelf tegen sim-swapping
De laatste weken stromen de klachten over sim-swapping binnen vanuit de cryptowereld. Hackers proberen toegang te krijgen tot (crypto)geld door 06-nummers te kapen. Hoe werkt het? En hoe bescherm je jezelf?
Bij sim-swapping belt een hacker de telecomprovider van het slachtoffer op en overtuigt hij de medewerker om het 06-nummer over te zetten naar een simkaart die in zijn bezit is. Eind vorig jaar legde Daniël Verlaan, techjournalist bij RTL, op een duidelijke manier uit hoe sim-swapping werkt:
Beveiligingsmaatregelen falen
Nederlandse telecomproviders hebben diverse beveiligingsmaatregelen genomen om sim-swapping tegen te gaan. Maar door menselijk falen lukt het hackers toch om de aanval uit te voeren. Medewerkers van de telecomprovider worden dan simpelweg overtuigd (of moe van het ‘gezeur’) om het telefoonnummer over te zetten.
RTL Nieuws sprak met Oliver, volgens RTL een “beruchte hacker die aan sim-swapping doet”. Oliver stelt dat Tele2 en T-Mobile het makkelijkst om de tuin te leiden zijn. “Soms wordt er een medewerker van een telecomprovider omgekocht. Of hebben we zelf toegang tot het systeem om een telefoonnummer over te zetten.”
Klachten over T-Mobile
Recent nemen de klachten vanuit de cryptowereld toe, specifiek in de richting van T-Mobile. Zelfs de door de gebruiker zelf genomen maatregelen wisten “T-Mobile-medewerkers te omzeilen”:
Yes special instructions were put in place. They were also bypassed by T mobile employees
— Andrew Kang (@Rewkang) June 1, 2019
Een zoekopdracht op Twitter toont aan dat het probleem diep zit. Er zijn tientallen meldingen van mensen wiens nummer gestolen is. Gegeven het aantal meldingen vanuit de cryptowereld lijkt het onderliggende motief duidelijk: toegang krijgen tot wallets waar cryptovaluta staat opgeslagen.
At this point, I suggest you issue a statement to the crypto community explaining what breaches of policy allowed for these SIM-jackings, along with formal guidance on what customers can do to avoid it.
— Aftab 'DCinvestor' Hossain (@iamDCinvestor) June 2, 2019
Bescherm jezelf tegen sim-swapping
Het is belangrijk dat je je telefoonnummer van online accounts verwijdert of ontkoppelt. Naast dat een telefoonnummer gevoelig is voor dit type aanval, is SMS-verkeer per definitie onveilig (onversleuteld).
Een telefoonnummer wordt vaak gebruikt als extra beveiliging van een account. Er wordt dan een SMS-code gebruikt als tweede factor (two factor authentication, of kortweg 2FA). Heel goed dat er met 2FA wordt gewerkt, maar er zijn veel veiligere alternatieven op het gebruik van SMS-codes.
Je kunt gebruik maken van een zogeheten authenticator-app. Met de gratis app Authy kan je bijvoorbeeld inlogcodes genereren op je eigen apparaat. Je kunt ook gebruik maken van fysieke sleutels, zoals de YubiKey.
Specifiek om sim-swapping tegen te gaan, is er ook nog de optie om een wachtwoord in te stellen in het geval dat telefonisch iets aan je telefoonnummer of -abonnement moet worden aangepast. Dat kan overigens enkel bij Vodafone en (ironisch genoeg) T-Mobile.
Iedereen heeft een mening
Onder de noemer Opinie schrijven we regelmatig over een spraakmakende podcast, video of tweetstorm.
We zijn het niet noodzakelijkerwijs eens met de spreker of schrijver, maar vinden het interessant genoeg om
te delen, duiden en ondertitelen.
Over de auteur
