In februari van dit jaar werden 90 telefoonnummers gestolen vanuit een telefoonwinkel in het Limburgse Vaals. Dat waren geen ongebruikte telefoonnummers, maar nummers die in gebruik waren van mensen die ‘toevallig genoeg’ handelden in cryptovaluta. Het was alleen niet toevallig – het waren bewust uitgekozen slachtoffers.
De criminelen namen de telefoonnummers over van deze mensen met een techniek dat sim-swapping wordt genoemd. Door de telefoonnummers over te zetten op simkaarten die in bezit waren van de criminelen, kregen ze het voor elkaar om de cryptoaccounts van de slachtoffers over te nemen. De ergste nachtmerrie van de cryptohandelaars werd realiteit: duizenden euro’s aan cryptovaluta werden gestolen dankzij de simswaps.
Hoe werkt simswapping?
Simswapping is een een vorm van oplichting waarbij een mobiele provider wordt misleid om een telefoonnummer over te plaatsen naar een andere (gecompromitteerde) simkaart die in handen is van de oplichter. De simkaart wordt vervolgens gebruikt om toegang te krijgen tot iemands cryptoaccounts. Althans, wanneer die accounts zijn beveiligd met hun telefoonnummer – wat bijvoorbeeld bij het accountloze SATOS niet mogelijk is.
Wanneer het de criminelen lukt om met behulp van het nummer toegang te krijgen tot de cryptoaccounts plunderen ze de gehele balans. Ondertussen heeft de originele simkaart geen toegang meer tot het netwerk waardoor de slachtoffers geen verbinding meer hebben met het mobiele netwerk.
Hoe een simswap mogelijk is
Criminelen vinden altijd manieren om procedures en protocollen te omzeilen. In het geval van simswapping moeten de oplichters de provider overtuigen om het telefoonnummer over te zetten op een andere simkaart. Dat bleek best eenvoudig, zo bleek eerder uit een rapportage van RTL Nieuws. Volgens een anonieme bron stellen de providers een aantal beveiligingsvragen om te controleren of degene die het verzoek plaatst de klant is. Het gaat dan om de naam, woonadres, geboortedatum en andere persoonlijke informatie.
Als criminelen deze gegevens weten van hun slachtoffers, kunnen ze contact opnemen met de provider om de simswap aan te vragen. In een poging om de medewerker te overtuigen van de noodzaak, zeggen ze dat hun smartphone kapot is of de simkaart stuk is. Ze imiteren het slachtoffer en proberen het 06-nummer over te zetten naar de simkaart die ze voor de simswap hebben gekocht.
Cryptovaluta beschermen tegen simswaps
Om cryptovaluta te beschermen tegen simswaps is het verstandig om je telefoonnummer los te koppelen van de cryptoaccounts die gebruikt worden voor het handelen. Als je tweestapsverificatie bijvoorbeeld gebruikt voor Ethereum kopen, dan is het belangrijk dat je nadenkt over manieren om de beveiliging op een andere manier in te stellen.
Omdat oplichters vaak gebruik maken van social engineering, een techniek waarmee de uitgaan van de zwakte van de mens, is het essentieel dat je nooit persoonlijke informatie publiceert op het internet. De criminelen die zich bezighouden met simswapping maken gebruik van openbaar beschikbare informatie over het slachtoffer, hetzij via de sociale-mediapagina’s van diegene, hetzij door gebruik te maken van gegevens die zijn gelekt tijdens eerdere hacks of datalekken.
Om jezelf te beschermen tegen de risico’s van simswapping is een wachtwoordbeheerder een optie. Door een authenticator-app te gebruiken is het mogelijk om wachtwoorden en authenticaties voor tweestapsverificatie (in plaats van je telefoonnummer) op te slaan. Bekende apps die dit kunnen zijn Google Authenticator, Duo, Microsoft Authenticator, Authy en anderen.
Ten slotte: als je telefoon plotseling geen internet meer heeft en bellen niet meer mogelijk is, neem dan direct contact op met je mobiele provider. Doe dat met je vaste internetverbinding of met de mobiele telefoon van iemand anders. Want als iemand een succesvolle simswap heeft voltooid, dan heb je niet veel tijd om de cryptovaluta veilig te stellen.