Identiteitsdiefstal via simswapping neemt toe

Na hacken van online accounts en fraude met online bankrekeningen hebben criminelen een nieuwe manier ontdekt om slachtoffers te maken. De methode wordt aangeduid als ‘simswapping’ en komt er uiteindelijk gewoon op neer dat een 06-nummer van een argeloze Nederlander ongemerkt van zijn of haar simkaart wordt gestolen. Het meest alarmerende eraan is dat de oplichter daar niet eens de bijbehorende telefoon voor hoeft te stelen. Zelfs slinkse babbeltrucs zijn volledig overbodig.

Verstrekkende gevolgen

Inmiddels zijn vele honderden Nederlanders slachtoffer van deze truc geworden. Het plotseling kwijtraken van een 06-nummer kan verstrekkende gevolgen hebben, omdat tal van online accounts op de een of andere manier aan mobiele telefoonnummers zijn gekoppeld. Ongeacht of het een regulier of sim only-abonnement betreft, wie over andermans 06-nummer kan beschikken, neemt in dat soort gevallen als het ware ook diens identiteit over. Met alle gevolgen van dien.

Toegangscodes via sms

Bij simswappen gaat het de criminelen niet zo zeer om op andermans kosten te kunnen bellen. Ze weten namelijk maar al te goed dat een 06-nummer veel waardevoller kan zijn. Veel online accounts maken tegenwoordig gebruik van een zogenoemde tweestapsverificatie, waarbij tijdens het inloggen op de website via sms een aanvullende toegangscode naar het geregistreerde telefoonnummer wordt gestuurd. Dit is onder meer een gangbare inlogmethode op de website van DigiD. Criminelen die een 06-nummer hebben gekaapt. krijgen die aanvullende toegangscode in dat geval op hun eigen toestel binnen terwijl de originele eigenaar van het telefoonnummer daarvan helemaal niets merkt. Soms zijn de oplichters zelfs zo brutaal dat ze contact met het slachtoffer opnemen en voor het gestolen 06-nummer losgeld eisen.

Social engineering

Op zich is er geen specifieke technische kennis voor het simswappen nodig. De criminelen maken puur gebruik van een methode die in het algemeen als ‘social engineering’ wordt omschreven. In dit geval proberen ze in eerste instantie zoveel mogelijk persoonlijke informatie over het beoogde slachtoffer te verzamelen voordat ze toeslaan. Met die informatie in de aanslag nemen ze vervolgens contact met de klantenservice op om de transfer van het telefoonnummer in gang te zetten. Op zich is het overzetten van een 06-nummer naar een andere simkaart niet zo’n ongebruikelijke handeling. Het kan namelijk goed van pas komen als een simkaart beschadigd of zoekgeraakt is. Voorwaarde om die handeling correct uit te kunnen laten voeren is wel dat aan de medewerker van de klantenservice een aantal veiligheidsvragen goed beantwoord moeten worden. Denk in dat geval bijvoorbeeld aan de geboortedatum van de abonnee en de 3 laatste cijfers van zijn of haar bankrekening. Voor een oplichter die vooraf goed zijn huiswerk heeft gedaan zijn die vragen echter gemakkelijk te beantwoorden.

Mens blijft de zwakste schakel

Omdat er een toename dit soort fraudegevallen geconstateerd wordt, zijn medewerkers van de klantenservice het afgelopen jaar er beter op getraind om dergelijke fraude tijdig te ontdekken. Desondanks blijven ze de zwakke schakel in het systeem. Slachtoffers ontdekken het probleem met hun 06-nummer in veel gevallen pas op het moment dat ze zien dat hun huidige simkaart van het reguliere of sim only abonnement geen bereik meer heeft. Om dit soort situaties zoveel mogelijk te voorkomen is het verstandig om – als het enigszins mogelijk is – liever te kiezen voor een andere vorm van tweestapsverificatie. De Google Authenticator is in dat kader een goed alternatief.