Gehackt worden via je 06-nummer. Het wordt een stuk makkelijker met de komst van de e-sim, de nieuwe digitale simkaart. Met alleen een wachtwoord kan een hacker voortaan op afstand jouw telefoonnummer overnemen.
Dat blijkt uit onderzoek van RTL Nieuws. Zodra de hacker jouw 06-nummer in handen krijgt, heeft hij toegang tot alle online accounts die zijn gekoppeld aan dat telefoonnummer, zoals e-mail, sociale media en betaaldiensten.
Honderden Nederlanders zijn vorig jaar slachtoffer geworden van hackers die hun 06-nummer overnemen, ook wel sim-swapping genoemd. "Met de komst van de e-sim kan dit probleem veel groter worden, met een enorme impact voor slachtoffers: hun digitale leven kan worden overgenomen", zegt Dave Maasland van cyberbeveilingsbedrijf ESET.
Sim-swappen
Klanten van T-Mobile kunnen sinds vorige week gebruikmaken van de e-sim. Je hoeft dan geen plastic simkaartje meer in je telefoon te stoppen om mobiel bereik te hebben. Om de e-sim te gebruiken, log je in op de website van T-Mobile en scan je met je smartphone een QR-code om de e-sim te activeren.
Als een aanvaller toegang krijgt tot jouw wachtwoord voor T-Mobile kan diegene binnen een paar seconden jouw 06-nummer overnemen. T-Mobile verifieert niet wie er inlogt en wie de e-sim op welk toestel activeert. De aanvaller kan zonder enige verificatie het 06-nummer overnemen.
RTL Nieuws testte de hack bij een collega, die klant is bij T-Mobile. We logden in, scanden de QR-code van zijn e-sim met een iPhone Xr en namen binnen enkele seconden zijn 06-nummer over. Daardoor was het mogelijk om toegang te krijgen tot onder andere zijn Gmail en WhatsApp. De collega kreeg alleen een sms-bericht met daarin de melding dat er een e-sim was geactiveerd.
Wat is de e-sim?
Een e-sim is een elektronische simkaart die al in je telefoon of tablet zit. Het enige wat je hoeft te doen, is een abonnement op de e-sim zetten. Door een e-sim kun je meerdere abonnementen tegelijkertijd op één toestel gebruiken, bijvoorbeeld een zakelijk en privé-abonnement, maar ook een tijdelijke databundel voor gebruik in de VS.
De smartphones die in Nederland verkrijgbaar zijn en e-sim ondersteunen, zijn de iPhone XS, XS Max en XR. Bij tablets gaat het om de iPad Pro en iPad Air. Het maakt voor de aanval niet uit welk apparaat het slachtoffer heeft: elke klant van T-Mobile kan een e-sim activeren.
Het is niet duidelijk hoeveel Nederlanders gebruikmaken van een e-sim. Wanneer andere providers de e-sim gaan aanbieden en op welke manier, is ook nog niet bekend.
Rekeningen plunderen
Criminele hackers die aan sim-swapping doen, proberen op allerlei manieren aan geld te komen. Ze nemen de online accounts van een slachtoffer over en vragen losgeld. Als er niet wordt betaald, dan dreigen ze gevoelige e-mails, foto's of documenten te publiceren.
Maar ze kunnen ook inloggen bij betaaldienst PayPal of cryptocurrencybeurs Coinbase om daar iemands rekening te plunderen. Van sommige slachtoffers zijn honderdduizenden en soms miljoenen euro's gestolen omdat hun 06-nummer werd overgenomen.
Omdat veel mensen hun telefoonnummer aan hun online accounts koppelen, is het mogelijk om via een sms het wachtwoord opnieuw in te stellen. "Daarmee is je 06-nummer net als je e-mailaccount een cruciaal onderdeel van je online leven", vertelt Maasland.
Gehackte accounts
Voorheen moest een hacker bij sim-swapping de telecomprovider van het slachtoffer opbellen en de medewerker overtuigen om het 06-nummer over te zetten naar een simkaart die in zijn bezit is. RTL Nieuws sprak daar vorig jaar over met hacker Oliver, die op deze manier tienduizenden euro's zou hebben gestolen.
Met de komst van e-sim wordt deze aanval een stuk makkelijker uit te voeren. Op de plekken waar criminele hackers samenkomen, zoals ondergrondse fora en Telegram, wordt dan ook enthousiast op deze nieuwe technologie gereageerd.
Inmiddels worden gehackte T-Mobile-accounts doorverkocht om op deze manier 06-nummers van nietsvermoedende slachtoffers over te nemen. De prijs voor gehackte accounts wisselt van een een paar tot enkele tientallen euro's.
"Het is zorgwekkend dat criminelen hier zo snel op inspelen", stelt Maasland. Hij wijst naar grote datalekken bij bedrijven als MyFitnessPal waardoor wachtwoorden op straat liggen. Als je dan hetzelfde wachtwoord voor verschillende diensten gebruikt, loop je gevaar.
T-Mobile
In een reactie laat T-Mobile weten dat het onderzoekt of het verificatieproces voor het activeren van een e-sim aangescherpt moet worden, en hoe het bedrijf dit kan implementeren. Het bedrijf stelt veiligheid hoog in het vaandel te hebben, maar vindt het ook belangrijk dat zijn diensten gebruiksvriendelijk zijn.
Volgens Maasland moet T-Mobile extra beveiligingsmaatregelen nemen om misbruik te voorkomen: "Dat kan al door de de QR-code waarmee de e-sim wordt geactiveerd, naar de klant te e-mailen. Dan moet de aanvaller ook toegang hebben tot het e-mailaccount van het slachtoffer, en dat account is meestal beter beveiligd. Maar ook een extra inlogverificatie op de website is een optie."
In maart van dit jaar waarschuwde (pdf) de GSM Association (GSMA), de belangenorganisatie van providers, al voor het gevaar van sim-swappen bij e-sims.
Hoe bescherm je jezelf tegen sim-swapping?
Het is allereerst belangrijk om voor het inloggen bij je provider een sterk en uniek wachtwoord te gebruiken. Daarnaast kun je je telefoonnummer bij je belangrijkste online accounts verwijderen, zodat hackers niet je wachtwoord kunnen resetten als ze je 06-nummer overnemen.
In plaats van je telefoonnummer kun je een zogeheten authenticator-app als Authy te gebruiken. Dit is een app die inlogcodes genereert die je normaal gesproken via een sms-bericht ontvangt. Authy biedt handleidingen aan voor het instellen van deze extra beveiliging, ook wel tweestapsverificatie genoemd, voor onder andere Gmail, Microsoft, Facebook, Instagram, Dropbox en Twitter.
Bij WhatsApp kun je ook een extra beveiliging in de vorm van een pincode instellen. Als een aanvaller jouw 06-nummer overneemt, moet hij eerst nog deze pincode invoeren voordat WhatsApp kan worden geactiveerd.
