Criminele hackers kunnen proberen een 06-nummer te stelen door een truc die 'simswapping' heet. Daarbij proberen ze de telecomprovider van het slachtoffer te overtuigen om het 06-nummer over te dragen naar een andere simkaart.

Uit een onderzoek van RTL Nieuws bleek dat in 2018 in Nederland honderden mensen slachtoffer zijn geworden van deze truc. Dat brengt een groot risico met zich mee, omdat veel online accounts verbonden zijn aan een telefoonnummer. Hackers kunnen dan toegang krijgen tot die accounts om geld te stelen of slachtoffers af te persen.

Criminelen zijn niet zozeer geïnteresseerd in bellen via het gestolen 06-nummer, want voor een paar telefoongesprekken is simswapping te veel moeite. Het zijn de online accounts die verbonden zijn aan het mobiele nummer waarmee geld te verdienen is.

Veel online accounts vragen gebruikers een tweestapsverificatie in te stellen en in veel gevallen gebeurt dit door een telefoonnummer aan het account te koppelen. Onder meer DigiD maakt gebruik van deze verificatiemethode. Elke keer als er moet worden ingelogd vanaf een nieuwe locatie of apparaat, moeten gebruikers een code invoeren die ze via een sms-bericht binnenkrijgen.

Na de simswap komen deze berichten binnen bij de hacker. Die is vervolgens een stap dichterbij om tal van online accounts over te nemen, bijvoorbeeld van DigiD, maar ook e-mail, sociale media en online bankieren. In sommige gevallen nemen de criminelen contact op met de slachtoffers en eisen ze losgeld. Als dit niet betaald wordt, dreigen ze data te verwijderen of gevoelige privégegevens vrij te geven.

Soms kunnen criminelen ook direct geld verdienen door een PayPal-account over te nemen en geld over te boeken of socialemedia-accounts door te verkopen. Ook gebruiken veel online wisselkantoren voor cryptovaluta als bitcoin tweestapsverificatie met een sms-bericht. Op die manier kunnen grote bedragen buitgemaakt worden.

Anders dan bij andere vormen van oplichting gebruiken hackers bij simswapping niet hun programmeervaardigheden om ergens binnen te komen, maar maken zij gebruik van kwetsbaarheden in de mens. Deze vorm van misleiding wordt ook wel 'social engineering' genoemd. In dit geval proberen hackers de klantenservice van telecomproviders te 'hacken'.

Het uiteindelijke doel van de oplichter is om de klantenservice te overtuigen om het 06-nummer van het slachtoffer over te zetten op de simkaart van de hacker. Voordat de hackers de klantenservice bellen, verzamelen ze eerst zo veel mogelijk informatie over hun slachtoffers. Ze zoeken naar het adressen, geboortedata, telefoonnummers en alle mogelijke informatie die ze kunnen vinden. Dat gebeurt via sociale media, of in gegevens uit datalekken waarin persoonlijke gegevens staan.

Vervolgens bellen de criminelen de klantenservice van een provider met de vraag of het nummer kan worden overgezet naar een andere simkaart. Normaal gesproken doen klanten dit wanneer ze hun simkaart kwijtraken of als deze niet meer werkt. De klantenservicemedewerker vraagt dan ter controle naar enkele persoonlijke gegevens. Meestal gaat het om het adres, het telefoonnummer, de geboortedatum en de laatste drie cijfers van het rekeningnummer van de klant.

Wanneer de hacker zijn huiswerk heeft gedaan, kan hij deze informatie snel doorspelen en de medewerker overtuigen dat hij inderdaad de klant is van wie hij de simkaart wil overnemen. Als dit lukt, kan het nummer op de simkaart van de hacker overgezet worden. Hij heeft vanaf dat moment toegang tot het 06-nummer van iemand anders.

Zodra de hacker erin geslaagd is een nummer over te nemen, merkt het slachtoffer dit meestal vrij snel, omdat het bereik wegvalt. Een telefoontje naar de klantenservice kan de actie van de hacker ongedaan maken. Voor de hacker betekent dat dat hij snel te werk moet gaan om de overname van het nummer de moeite waard te maken.

Het probleem van simswapping is dat je er als slachtoffer weinig aan kunt doen. Uiteraard moet je zorgvuldig omgaan met je gegevens en ervoor zorgen dat je gegevens niet op straat komen te liggen, maar ook dat kun je niet altijd voorkomen. Zorg wel dat het online account bij je telecomprovider een sterk, uniek wachtwoord heeft, zodat het hackers niet te makkelijk wordt gemaakt om informatie te verzamelen.

Uiteindelijk ligt de kern van het risico bij de providers zelf, en specifiek bij de klantenservice. Doordat daar geen goede identiteitscontrole plaatsvindt en het nummer te makkelijk naar een andere simkaart overgezet kan worden, kunnen hackers succesvol hun werk doen. Telecomproviders in Nederland hebben vorig jaar al maatregelen genomen om controles aan te scherpen, bijvoorbeeld door medewerkers van de klantenservice beter te instrueren.

Om je online accounts zo goed mogelijk tegen deze oplichterstruc te beschermen, kun je kiezen voor een alternatief voor tweestapsverificatie via sms. Als die optie beschikbaar is, is het beter om tweestapsverificatie in te stellen via een app, zoals Google Authenticator, of wachtwoordmanagers als 1Password en LastPass.