SIM-swapping 2.0
SIM-swappers, cybercriminelen die proberen om mobiele telefoonnummers van slachtoffers over te nemen, hebben hun methodes doorontwikkeld. De SIM-swappers hebben een manier bedacht om het telefoonnummer over te nemen / te verplaatsen naar een nieuwe eSIM-kaart.
eSIMs
eSIMs, ofwel Embedded Subscriber Identity Modules, zijn digitale SIM-kaarten opgeslagen op een herschrijfbare chip in veel recente smartphone modellen, waardoor ze op afstand kunnen worden herprogrammeerd en geactiveerd of gedeactiveerd.
In tegenstelling tot fysieke SIM-kaarten, kunnen gebruikers eenvoudig een eSIM toevoegen aan een compatibel toestel door een QR-code te scannen die door hun dienstverlener wordt aangeboden. Deze technologie wint aan populariteit omdat het de noodzaak voor een SIM-kaartslot overbodig maakt en het mobiele connectiviteit op kleine draagbare apparaten mogelijk maakt. Dit is onder andere terug te zien in de eSIM in smartwatches etc.
SIM-swappers wereldwijd gebruiken deze eSIMs om telefoonnummers te kapen en beschermingsmaatregelen te omzeilen voor toegang tot (onder andere) bankrekeningen.
Vroeger en nu
Voorheen vertrouwden SIM-swappers op sociale engineering[1] of samenwerking met insiders[2] bij mobiele providers. Naarmate bedrijven echter meer beveiligingen invoerden, wendden cybercriminelen zich tot nieuwe technologieën.
Aanvallers breken nu in op het account van een gebruiker bij de telecomprovider door middel van gestolen, brute-force, of gelekte inloggegevens, en initiëren het overzetten van het nummer naar een ander apparaat. Ze doen dit door een QR-code te genereren via het gekaapte mobiele account, die vervolgens gebruikt wordt om een nieuwe eSIM te activeren, waardoor ze effectief het nummer kapen. Tegelijkertijd wordt de eSIM/SIM van de legitieme eigenaar gedeactiveerd.
Cybercriminelen kunnen door toegang te krijgen tot het mobiele telefoonnummer van het slachtoffer, toegangscodes en tweefactorauthenticatie voor diverse diensten verkrijgen, hieronder vallen codes van banken en berichtendiensten.
Een bijkomend voordeel voor de aanvallers is dat door het nummer naar hun apparaat over te zetten, ze toegang kunnen krijgen tot accounts in verschillende berichtenapps die aan het SIM-nummer zijn gekoppeld, waardoor ze meer mogelijkheden hebben om anderen te bedriegen, zoals het zich voordoen als het slachtoffer en hen overhalen om geld over te maken.
Wat kunt u doen om uzelf te verdedigen tegen eSIM-swapping?
- Schakel zoveel mogelijk 2FA (Two-factor authentication) in. Gebruik voor waardevolle accounts zoals uw bank en/of cryptocurrency wallets een 2FA methode die gebruik maakt van fysieke sleutel of een daarvoor bestemde authenticator-app zoals bijvoorbeeld Google Authenticator.
- Maak gebruik van unieke en complexe wachtwoorden voor uw account bij uw telecommunicatie provider. Let er vooral op dat u dit wachtwoord niet bij andere websites of diensten gebruikt. Vindt u het lastig om veel unieke wachtwoorden te genereren of te onthouden? Maak gebruik van een wachtwoordmanager! Dit kost initieel wat tijd en energie om in te regelen, maar kan onder aan de streep veel voordelen opleveren en bescherming bieden.
Twijfelt u of u voorkomt in datalekken?
Op de website https://haveibeenpwned.com kunt u controleren of uw e-mailadres(sen) of telefoonummer(s) voorkomen in veel van de bekende datalekken. Komen uw gegevens voor in een datalek, dan circuleren uw inloggegevens (zoals bijvoorbeeld uw gebruikersnaam en/of wachtwoord) ergens op het internet rond. Bij een positieve hit binnen haveibeenpwned staat altijd vermeldt welke gegevens betrokken zijn bij het datalek.
[1] Social engineering is het manipuleren van mensen om vertrouwelijke informatie te verkrijgen of hen tot bepaalde acties te bewegen.
[2] https://www.justice.gov/usao-nj/pr/former-telecommunications-company-manager-admits-role-sim-swapping-scheme
Wil u meer leren over dit soort fraude methodieken, volg dan een van onze cybercrime trainingen.