SMS- en SIM-beveiliging: hoe SIM-Swap-aanvallen werken
In januari 2024 werd het officiële X-account (Twitter) van de SEC gekaapt. Een nepbericht over de goedkeuring van Bitcoin ETF bracht de markten met miljarden dollars in beweging. De aanvalsvector? Een SIM-swap — de aanvaller overtuigde een provider om het telefoonnummer van de SEC over te zetten naar zijn simkaart en gebruikte dit vervolgens om het accountwachtwoord opnieuw in te stellen.
Uw telefoonnummer is niet alleen een manier om u te bereiken. Het is een skeletsleutel voor uw e-mail, bankrekeningen, crypto-portemonnees en sociale media. En het is verbazingwekkend eenvoudig om te stelen.
Hoe SIM-Swap-aanvallen werken
Een SIM-swap-aanval is een vorm van identiteitsdiefstal waarbij een aanvaller uw telefoonnummer overneemt. Dit is het proces:
Stap 1: Verzamel persoonlijke informatie
De aanvaller verzamelt uw persoonlijke gegevens (naam, adres, geboortedatum, laatste vier cijfers van uw BSN) via datalekken, sociale media of sites van datamakelaars. Deze informatie is vaak voldoende om beveiligingsvragen van de vervoerder te beantwoorden.
Stap 2: Neem contact op met de vervoerder
De aanvaller belt uw mobiele provider (of bezoekt een winkel) en doet zich voor als u. Ze beweren dat ze hun telefoon zijn kwijtgeraakt of een nieuwe simkaart nodig hebben. Met behulp van de verzamelde persoonlijke informatie slagen ze voor de identiteitsverificatie.
Stap 3: Neem het nummer over
De provider draagt uw nummer over naar de simkaart van de aanvaller. Je verliest onmiddellijk service. De aanvaller ontvangt nu al uw oproepen en sms-berichten, inclusief SMS-verificatiecodes.
Vanaf hier stelt de aanvaller de wachtwoorden voor uw e-mail-, bank- en crypto-accounts opnieuw in met behulp van wachtwoordherstel via sms. Het hele proces duurt minder dan 30 minuten.
SMS-onderscheppingsmethoden
SIM-swap is niet de enige manier om sms-berichten in gevaar te brengen. Aanvallers hebben meerdere tools:
SS7 Protocolexploitatie
SS7 (Signaling System 7) is het protocol dat telefoonnetwerken wereldwijd met elkaar verbindt. Het werd ontworpen in 1975 met nul beveiliging. Aanvallers die toegang krijgen tot het SS7-netwerk (vaak via corrupte telecommedewerkers of door toegang te kopen) kunnen:
- Onderschep SMS-berichten in realtime
- Volg telefoonlocaties wereldwijd
- Oproepen omleiden naar verschillende nummers
In 2017 gebruikten criminelen SS7-aanvallen om Duitse bankrekeningen leeg te halen door SMS 2FA-codes te onderscheppen. Dit is niet theoretisch; het gebeurt op grote schaal.
Malware op uw telefoon
Mobiele malware kan inkomende sms-berichten rechtstreeks vanaf uw telefoon lezen. Enkele varianten:
- Vraag sms-rechten aan tijdens installatie
- Overlay nepschermen op bank-apps
- Berichten stil doorsturen naar de aanvaller
Valse basisstations (IMSI Catchers)
Apparaten zoals pijlstaartroggen doen zich voor als zendmasten en dwingen telefoons in de buurt om verbinding te maken. Eenmaal verbonden, kan de aanvaller oproepen en sms-berichten onderscheppen. Deze apparaten kosten slechts $ 1.000 en kunnen worden gebouwd met open-sourcesoftware.
Waarom SMS 2FA niet veilig genoeg is
Veel services gebruiken nog steeds standaard sms voor tweefactorauthenticatie. Dit is waarom dit gevaarlijk is:
- SMS is niet gecodeerd — berichten worden in leesbare tekst over het netwerk van de provider verzonden
- SIM-swaps zijn eenvoudig — vervoerders zijn aangeklaagd wegens nalatigheid bij swap-aanvallen
- SS7 is defect — en kan niet worden gerepareerd zonder de gehele wereldwijde telefonie-infrastructuur te vervangen
- Herstelcodes gaan naar SMS — zelfs als je een authenticator-app gebruikt, valt accountherstel vaak terug naar SMS
NIST (het Amerikaanse National Institute of Standards and Technology) raadt sinds 2016 sms-gebaseerde authenticatie af. Toch bieden de meeste banken nog steeds alleen sms aan.
Het alternatief? Authenticator-apps (Google Authenticator, Authy) of hardwarebeveiligingssleutels (YubiKey). Lees onze volledige 2FA-handleiding voor installatie-instructies.
Real-World SIM-Swap-hoesjes
SEC Twitter-hack (2024)
Het X-account van de Amerikaanse Securities and Exchange Commission is gekaapt via SIM-swap. Er werd een nep-Bitcoin ETF-goedkeuringsbericht gepubliceerd, wat enorme marktvolatiliteit veroorzaakte.
$400 miljoen crypto-diefstal (2023)
Een gecoördineerde SIM-swap-aanval was gericht op crypto-investeerders, waardoor portefeuilles die werden beschermd door SMS 2FA leeg raakten. De FBI arresteerde de ring, maar het meeste geld werd niet teruggevorderd.
Jack Dorsey's Twitter (2019)
Het account van Twitter's eigen CEO werd gekaapt via een simkaartwissel. Als de CEO van een technologiebedrijf niet veilig is, is niemand dat.
Hoe u uzelf kunt beschermen
1. Stel een pincode in voor uw provideraccount
Bel uw provider en stel een pincode of toegangscode in die moet worden opgegeven voor elke accountwijziging. Dit is de allerbelangrijkste stap:
- T-Mobile: Accountpincode in instellingen
- AT&T: Extra beveiligingscode
- Verizon: Accountpincode
- De meeste providers: Bel de klantenservice om een beveiligingspincode aan te vragen
2. Schakel over naar Authenticator-apps
Vervang SMS 2FA overal waar mogelijk door een authenticator-app. Codes worden op uw apparaat gegenereerd en reizen nooit via het netwerk.
Aanbevolen apps: Google Authenticator, Authy (heeft cloudback-up), Microsoft Authenticator. Gebruik voor maximale veiligheid een YubiKey hardwaresleutel.
3. Nummervergrendeling/poortblokkering inschakelen
De meeste providers bieden een functie die voorkomt dat uw nummer wordt overgedragen zonder persoonlijke verificatie met een door de overheid uitgegeven identiteitsbewijs. Schakel het nu in.
4. Gebruik een apart nummer voor financiële rekeningen
Overweeg het gebruik van een Google Voice-nummer of een secundaire prepaid-simkaart, uitsluitend voor bank- en financiële diensten. Deel dit nummer niet openbaar.
5. Verwijder uw nummer uit openbare profielen
Uw telefoonnummer op sociale media maakt social engineering eenvoudiger. Verwijder het uit openbare profielen en meld u af voor datamakelaarsites zoals Whitepages, Spokeo en BeenVerified.
6. Controleer op tekenen van een SIM-wissel
Als u een van deze problemen ervaart, handel dan onmiddellijk:
- Plotseling verlies van celsignaal
- Berichten 'SIM niet ingericht' of 'Geen service'
- Onverwachte e-mails van uw provider over accountwijzigingen
- Kan niet bellen of sms'en
Als dit gebeurt: bel onmiddellijk uw provider vanaf een andere telefoon. Wijzig vervolgens de wachtwoorden voor uw e-mail en beveilig uw accounts.
Veelgestelde vragen
Wat is een SIM-swap-aanval?
Van een SIM-swap-aanval is sprake wanneer een crimineel uw mobiele provider ervan overtuigt uw telefoonnummer over te zetten naar een SIM-kaart die zij beheren. Zodra ze uw nummer hebben, ontvangen ze uw oproepen, sms-berichten en sms-verificatiecodes.
Kan iemand mijn telefoon hacken via sms?
Ja. Aanvallers kunnen kwaadaardige links verzenden via sms (smishing), kwetsbaarheden in het SS7-protocol misbruiken om berichten te onderscheppen, of SIM-swap-aanvallen gebruiken om uw berichten volledig om te leiden. Dit is de reden waarom sms niet wordt aanbevolen voor tweefactorauthenticatie.
Hoe weet ik of mijn simkaart is verwisseld?
Het meest voor de hand liggende teken is het plotseling wegvallen van de mobiele verbinding: geen signaal, geen oproepen, geen sms-berichten. Mogelijk ontvangt u ook onverwachte meldingen van uw provider over accountwijzigingen. Als dit gebeurt, neem dan onmiddellijk contact op met uw provider vanaf een andere telefoon.
Gerelateerde tools
- Wachtwoordgenerator: sterke wachtwoorden blijven uw beste verdediging als sms mislukt
- 2FA Gids — schakel over van sms naar beveiligde authenticatie
- Handleiding voor e-mailherstel: wat te doen als accounts zijn gecompromitteerd