Beantwoord

LET OP: Nieuwe hacktruc met 06-nummers: honderden slachtoffers door 'sim-swapping'

  • 8 december 2018
  • 10 reacties
  • 1720 keer bekeken

Reputatie 7
Badge +18
Gehackt worden via je telefoonnummer. Het kan, en dit jaar zijn al honderden Nederlanders slachtoffer geworden van deze nieuwe hackmethode - ook wel sim-swapping genoemd.
Bij sim-swapping neemt een criminele hacker je telefoonnummer over door je telecomprovider op te lichten. Zodra de hacker jouw 06-nummer in handen krijgt, heeft hij toegang tot de online accounts die zijn gekoppeld aan je telefoonnummer, zoals e-mail, sociale media en betaaldiensten.
Het aantal slachtoffers van sim-swapping is dit jaar toegenomen, bevestigen verschillende grote Nederlandse telecomproviders tegen RTL Nieuws. Jaarlijks worden inmiddels honderden mensen op deze manier gehackt.


Rekening plunderen

De hackers die aan sim-swapping doen proberen op allerlei manieren aan geld te komen. Ze nemen de online accounts van een slachtoffer over en vragen losgeld. Als er niet wordt betaald, dan dreigen ze gevoelige e-mails, foto's of documenten te publiceren.
Maar ze kunnen ook inloggen bij betaaldienst PayPal of cryptocurrencybeurs Coinbase om daar iemands rekening te plunderen. Van sommige slachtoffers zijn honderdduizenden en soms miljoenen euro's gestolen.
De 'sim-swappers' richten zich ook op socialemediaprofielen met populaire gebruikersnamen, zoals @baas of drielettercombinatie's als @abc. Deze accounts worden via sim-swapping overgenomen en vervolgens voor veel geld - soms wel duizenden euro's - doorverkocht.


Oliver cashte flink

Eén van de meest beruchte Nederlandse hackers die aan sim-swapping doet, is de 21-jarige Oliver (niet zijn echte naam, die is bij de redactie bekend). Hij zegt tienduizenden euro's te hebben verdiend aan deze lucratieve business, onder andere door verschillende cryptocurrency-accounts te hacken en bitcoins te stelen. "Eerst deed ik het voor de kick, maar ik verdiende er al snel veel geld mee", vertelt hij tegen RTL Nieuws.
Bij sim-swapping belt een hacker de telecomprovider van het slachtoffer op en overtuigt hij de medewerker om het 06-nummer over te zetten naar een simkaart die in zijn bezit is. "Ik belde altijd rond vier uur, dat is het moment dat veel medewerkers naar huis gaan en je sneller helpen."

Arbeidsintensief

Omdat veel mensen hun telefoonnummer aan hun online accounts koppelen, is het mogelijk om via een sms het wachtwoord opnieuw in te stellen. Zelfs de extra beveiliging tweestapsverificatie, waarmee je na het inloggen met een gebruikersnaam en wachtwoord nog een inlogcode moet invoeren, is vaak niet tegen sim-swapping beveiligd.
Volgens verschillende experts is het 06-nummer dan ook een onbekende, maar zeer zwakke plek in de online beveiliging. "Sim-swapping is arbeidsintensief en komt dus vooral voor bij gerichte aanvallen", zegt hacker Sijmen Ruwhof. "Maar er is de laatste jaren wel degelijk een stijging te zien, omdat er met deze aanval veel te halen valt."
Rik van Duijn, hacker bij DearBytes, vraagt zich af of bedrijven nog wel sms moeten gebruiken voor tweestapsverificatie en het opnieuw instellen van een wachtwoord. "Het is geen veilige optie, maar bij veel bedrijven heb je als consument geen andere keuze dan je telefoonnummer invoeren als extra beveiliging."


Rechte pad

Slachtoffers van sim-swapping merken dat hun 06-nummer is overgenomen zodra ze geen mobiele verbinding meer hebben. Dan valt plotseling al het bereik weg, en lijkt het alsof de simkaart kapot is. In de tijd dat het slachtoffer dit opmerkt, de telecomprovider belt en het 06-nummer weer terug laat zetten, heeft de hacker al zijn slag geslagen.
Oliver wil met RTL Nieuws praten omdat hij deze zomer is gestopt met sim-swapping en mensen wil waarschuwen voor de gevaren ervan. "Ik ben nu op het rechte pad en wil later als consultant advies geven over online veiligheid, om mensen en bedrijven te beschermen tegen jongens als ik." Hij voelt zich schuldig over zijn criminele daden, maar heeft het gestolen geld nooit teruggegeven.


Belangrijk

Het blijft volgens Ruwhof en Van Duijn belangrijk om tweestapsverificatie in te schakelen, ook als dat via sms is. "Als iemand dan je wachtwoord in handen krijgt, ben je nog steeds beschermd", zegt Ruwhof. De kans dat je slachtoffer wordt van sim-swapping is veel kleiner dan dat je gehackt wordt omdat je dezelfde wachtwoorden gebruikt, stellen zij. Van Duijn: "Liever tweestapsverificatie via het minder veilige sms, dan helemaal geen extra beveiliging."

(BRON: RTLNIEUWS)
icon

Beste antwoord door Paul_ 10 december 2018, 12:26

Hoi! Ik ben persoonlijk niet zo bekend met de details van hoe deze vorm van fraude precies in z'n werk gaat, dus hebben we intern navraag gedaan. Hierbij de officiële reactie:

“Onze maatregelen zijn erop gericht om dit soort vormen van fraude tegen te gaan. Daarvoor maken we ook gebruik van een aantal verificatiemethoden, die zorgen ervoor dat deze vorm van fraude bij KPN op dit moment niet of nauwelijks aan de orde is, maar vanzelfsprekend zijn en blijven we hier alert op.”
Bekijk origineel

10 reacties

Reputatie 4
Badge +4
😬

Met de hoop dat KPN hier even goed naar kijkt/ of dit leest...

En even een bericht plaats hoe je precies “tweestapsverificatie” inschakeld?
Reputatie 7
Badge +18
😬

Met de hoop dat KPN hier even goed naar kijkt/ of dit leest...

En even een bericht plaats hoe je precies “tweestapsverificatie” inschakeld?

Dat hoop ik ook, want het gaat wel ver hoe die criminele aan geld willen komen! Absurd gewoon! 😡
Reputatie 4
Badge +4
En vergeet niet dat wij als klant alleen producten “huren” bij KPN (maandelijkse betaling), en geen eigenaar zijn van een abonnement/dienst.....

# Anders moeten we KPN ook nog eens betichten van diefstal! Gezien de overgebleven MB’s van je mobiel einde maand spoorloos verdwenen zijn? 😂👍🏻

Dus ze zullen hier echt wel wat aan moeten doen, anders worden de schadeclaims wel erg veel voor KPN.

  • financiële schade bij huurder/ klant
  • privacy schade bij huurder/ klant
  • emotionele schade bij huurder/ klant
Het is misschien een beetje zwart/wit gezien maar zie het als een “omdenken” ...

😬
Reputatie 7
Badge +24
Hoi! Ik ben persoonlijk niet zo bekend met de details van hoe deze vorm van fraude precies in z'n werk gaat, dus hebben we intern navraag gedaan. Hierbij de officiële reactie:

“Onze maatregelen zijn erop gericht om dit soort vormen van fraude tegen te gaan. Daarvoor maken we ook gebruik van een aantal verificatiemethoden, die zorgen ervoor dat deze vorm van fraude bij KPN op dit moment niet of nauwelijks aan de orde is, maar vanzelfsprekend zijn en blijven we hier alert op.”
Reputatie 7
Badge +18
Hoi! Ik ben persoonlijk niet zo bekend met de details van hoe deze vorm van fraude precies in z'n werk gaat, dus hebben we intern navraag gedaan. Hierbij de officiële reactie:

“Onze maatregelen zijn erop gericht om dit soort vormen van fraude tegen te gaan. Daarvoor maken we ook gebruik van een aantal verificatiemethoden, die zorgen ervoor dat deze vorm van fraude bij KPN op dit moment niet of nauwelijks aan de orde is, maar vanzelfsprekend zijn en blijven we hier alert op.”

Bedankt voor je bericht @Paul_ hopelijk hoeven de klanten hier geen last van deze fraude te hebben. 😉
Beste KPN,

Ik heb enkele vragen rondom het nieuwe verontrustende fenomeen 'sim-swapping':

1. Wat zijn de veiligheidsmaatregelen die jullie treffen om ‘sim-swapping’ te voorkomen?
2. Zijn er in 2018 al gevallen van ‘sim-swapping’ bekend bij KPN? Zoja, hoeveel precies?
3. Ondernemen jullie bij KPN extra maatregelen n.a.v. de recente berichtgeving rondom ‘sim-swapping’?
4. Hoe kunnen klanten van KPN zich beter beveiligen tegen 'sim-swapping' bij KPN?

Hartelijk dank voor de beantwoording van deze vragen alvast!
*Admin: topic samengevoegd met bestaand topic
hi KPN, ik maak mij toch zorgen en zie het menselijk falen als het grootste probleem/zorg en ben daarom ook voorstander die kans zo klein mogelijk te maken. Stel iemand is de kroeg in geweest of heeft het toch minder naar zijn/haar zin, dan worden procedures nog wel eens "vergeten". Als ik dit artikel lees:

https://www.rtlnieuws.nl/tech/artikel/4509856/sim-swapping-hoe-werkt-het-hoe-bescherm-je-jezelf

Zijn er maatregelen die je zelf kunt nemen als gebruiker maar ook als provider. Bijvoorbeeld het wachtwoord noemen als je telefonisch een wijziging zou willen (volgens mij moet dit ook met een authenticatie code kunnen: stel je wordt klant bij KPN, dan wordt je 2-auth code ingesteld, deze wordt altijd uitgevraagd/moet ingevoerd worden zodat een medewerker weet dat jij jij bent).

Ik hoor dat de kans klein is dat het gebeurd, maar als het gebeurd kan de impact ZEER groot zijn. Is het een idee om deze use case als prio 1 op de backlog te zetten bij de betreffende product owner en vooral te denken in voorkomen is beter dan genezen?

dank!
Reputatie 7
Badge +24
Hoi @EdoZ, KPN houdt bij het tegengaan van fraude rekening met voortdurend veranderende werkwijzen van fraudeurs. Maatregelen en processen kunnen verschillen en zorgen voor bescherming van belangen en het gemak van de klant. Wat in ieder geval belangrijk is om te weten, is dat deze vorm van fraude bij KPN op dit moment niet of nauwelijks aan de orde is.

In het artikel waar je naar linkt staan wat tips voor de klant zie ik.
Beste Paul, dank voor je reactie. Goed om te horen dat KPN voortdurend rekening houdt met de veranderende werkwijze van fraudeurs, dat kan een hoop verdriet schelen. Ik denk je vertaald te horen zeggen dat op dit moment geen extra acties nodig zijn omdat die mogelijk al zijn genomen en verdere acties de klantbeleving in de weg zitten?
Reputatie 7
Badge +17
Hallo @Kokkieroy, welkom op het KPN forum. Terechte vraag. Verontrustend is het zeker, ik snap dat dit de nodige vragen bij onze klanten oproept. Ik hoop dat ik je iets kan geruststellen door je te vertellen dat we er uiteraard alles aan doen om fraude te voorkomen. We nemen alle vormen van (cyber)criminaliteit dan ook zeer serieus. Bij ons zijn er geen gevallen bekend van Sim-Swapping. Wanneer de klant bij onze klantenservice aangeeft een nieuwe Sim nodig te hebben vanwege: een defecte kaart, diefstal of verlies sturen wij altijd een nieuwe SIM per post. of verwijzen we door naar de winkel. Wij zetten nooit een mobielnummer over op een Sim-kaartje dat de 'vermeende contractant' al in huis heeft!
Of er bovenop de standaard veiligheidsprocedure nog meer maatregelen worden genomen om Sim-swapping tegen te gaan kan ik je, om niet in onze kaarten te laten kijken, niet precies aangeven. Hopende op je begrip hiervoor :)

In het artikel van RTL-nieuws staan een aantal tips wat je als klant kunt doen om je beter te beveiligen. Zoals je online bestanden en gegevens te beveiligen via authenticator-apps of secuirity keys.

Reageer