Het gevaar van sim swapping…

Deze week las ik het verhaal van Sean Coonce hoe die, doordat de simkaart van zijn mobieltje door een hacker werd geswapped naar een andere telefoon, $100.000 verloor van zijn bitcoinrekening. Het toonde maar weer eens aan dat er altijd zwakke schakels te vinden zijn in de keten van veiligheidsmaatregelen die je treft om jezelf tegen hackers te beschermen. Het gevaar van sim swapping is reëel… Hoe bescherm je jezelf tegen zo’n sim swap?

Sim swapping

Wat is sim swapping? Eenvoudig gezegd: jouw telefoonnummer wordt gekoppeld aan een andere simkaart. Jouw telecomprovider heeft jouw telefoonnummer aan jouw simkaart gekoppeld. Mocht je je telefoon kwijtraken, dan krijg je een nieuwe simkaart met daaraan gekoppeld jouw ‘oude’ telefoonnummer. De mobiele telefoon is tegenwoordig een cruciale schakel bij tweestapsverificatie waarbij – zoals bijvoorbeeld bij je DigiD – je een sms krijgt nadat je ingelogd bent met je wachtwoord om definitief in te loggen. Bij een sim swap heeft een hacker op slinkse wijze jouw telefoonnummer aan een andere simkaart gekoppeld en kan die dat soort sms’jes binnenkrijgen.

Antwoorden sprokkelen…

Hoe krijg je een nieuwe simkaart van je provider? Je geeft wat informatie over jezelf die jij en je provider weten. Geboortedatum, adres, bankrekening, dat soort dingen. Als je provider tevreden is met de antwoorden, krijg je een nieuwe simkaart. Als de hacker die antwoorden ook weet te geven, dan krijgt die hacker de simkaart met jouw telefoonnummer: sim swapping. Die hacker heeft online gespeurd naar de antwoorden op de vragen van de provider. Je geboortedatum staat misschien bij Facebook, je bankrekening weer elders en al speurende over internet worden alle antwoorden bij elkaar gesprokkeld.

Onveilige accounts

sim swapping
De sms’jes bij DigiD.

Als die hacker eenmaal met jouw telefoon aan de gang gaat kan het mislopen. De hacker probeert eigenaar te worden van je e-mail. Hij krijgt in ieder geval alle sms’jes binnen voor de tweestapsverificatie die aan jouw telefoonnummer zijn gelinkt. Bij mij zijn dat DigiD, het inloggen bij mijn huisarts en ziekenhuis, inloggen bij mijn Amazon-, Facebook-, Yahoo- en PayPal–accounts. Kortom, dat zijn er nogal wat. Het is niet zo dat die hacker daar een-twee-drie binnen is, maar jouw telefoon werkt op dat moment niet meer. Jij kunt ook niet meer bij die accounts.

Hardware-sleutel

Ik heb een aantal accounts beveiligd met Authy, een app voor tweestapsverificatie. De hacker kan die app natuurlijk ook downloaden op zijn mobiele telefoon met jouw telefoonnummer. Authy heb ik beveiligd met een sterk wachtwoord. Dat zal die hacker dus eerst moeten kraken, net als het wachtwoord van mijn wachtwoordmanager. Bij Sean Coonce ging het uiteindelijk helemaal mis. Uit zijn verhaal kun je een paar dingen leren. SMS-tweestapsverificatie is niet echt veilig. Een Authenticatie-app zoals Authenticator van Google of Authy is veiliger. Check wat je aan informatie over jezelf her en der op internet hebt achtergelaten. Waar staat je geboortedatum? Waar heb je een bankrekeningnummer achtergelaten? Pas dat aan! En gebruik een hardware-sleutel, zoals een Yubikey om account mee te beveiligen.

Yubikey

sim swapping
De accounts die je kunt beveiligen met een Yubikey.

Met zo’n hardware key heb je een fysiek apparaatje waarmee je je bij je accounts kunt identificeren. De hacker heeft die key niet, dus staat ie bij accounts die met een Yubikey zijn beveiligd machteloos. Ik heb zo’n Yubikey en gebruik hem eigenlijk zelden. Toen ik hem kocht waren er weinig accounts waarbij ik hem kon gebruiken. Inmiddels is dat anders. Je kunt er onder andere je Google-, Facebook-, Instagram- en Dashlane-accounts mee beveiligen. Yubikey! Ik moet er weer eens induiken. Maar daarover in een komende blogpost…

Veilig online

Nu moet je niet meteen denken: dan laat ik die tweestapsverificatie met sms ook maar zitten! Het is altijd nog een tweede stap en de kans dat hackers jouw sms’jes willen onderscheppen middels een sim swap is ook weer niet zo groot. Die tweestapsverificatie blijft een extra laag, waardoor die hacker waarschijnlijk denkt: ik zoek wel verder naar iemand die dat niet aan heeft staan. Lees er meer over in het boek Veilig Online

Geef een reactie

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.