Sim-swapping is een vorm van fraude waarmee criminelen uw identiteit kunnen stelen door het telefoonnummer te kapen door een duplicaat van uw simkaart te verkrijgen.
Helaas is niet iedereen zich ervan bewust dat er iets op onze mobiele telefoon staat dat van groot belang kan zijn voor criminelen en dat gegevensdiefstal en identiteitsdiefstal kan veranderen in gelddiefstal van onze bankrekening of cryptocurrency-portemonnee.
De fasen van het wisselen van simkaarten
Deze techniek is niet het gevolg van een inbreuk op de beveiliging van onze apparaten, maar eerder van het gebrek aan implementatie van strikte verificatieprotocollen bij het aanvragen van een kopie van onze simkaart. Bovendien wordt deze techniek gebruikt in combinatie met andere social engineering-technieken om voordelen te verkrijgen, aangezien criminelen in dit geval toegang willen tot de verificatiecodes die bedrijven, platforms en bankentiteiten ons gewoonlijk naar onze mobiele apparaten sturen.
In een eerste fase proberen criminelen de inloggegevens van de gebruiker te achterhalen; normaal gesproken die met betrekking tot internetbankieren om het economische voordeel te maximaliseren, hoewel dit, zoals we later zullen zien, niet het enige doel is. Diefstal van inloggegevens wordt meestal uitgevoerd met behulp van traditionele social engineering-technieken, zoals bijvoorbeeld het gebruik van frauduleuze websites waarnaar de gebruiker wordt omgeleid via een link die in een e-mail wordt gestuurd of via een valse mobiele applicatie die de identiteit van de bank van de entiteit nabootst.
Zodra de inloggegevens zijn verkregen, proberen de criminelen een kloon van de simkaart van het slachtoffer te bemachtigen om de verificatiecodes per sms te ontvangen (dubbele authenticatiefactor). Hiervoor profiteren cybercriminelen van de slechte identiteitsverificatiemaatregelen waar sommige operators vaak om vragen. Nadat ze de persoonlijke informatie van hun slachtoffers hebben verzameld, bijvoorbeeld via sociale netwerken, bellen ze of verschijnen ze fysiek in een winkel van het telefoonbedrijf dat verantwoordelijk is voor de simkaart die ze willen klonen om een duplicaat van de kaart aan te vragen. Het komt vaak voor dat gebruikers zich realiseren dat er een probleem is wanneer ze geen signaal meer op hun telefoon hebben.
OOK: Lees hier hoe Jack Dorsey zijn Twitter-account verloor met een sim-swapping-aanval en hoe je dit kunt voorkomen.
Het is niet ongebruikelijk om te zien dat criminelen niet al te veel barrières hebben als het gaat om het verkrijgen van dit duplicaat van de simkaart en dit is een ernstig probleem. Zodra dit duplicaat is verkregen, kunnen criminelen de bankrekening van het slachtoffer invoeren, overschrijvingen doen of zelfs namens hen kredieten aanvragen. Bij het bevestigen van de operatie zullen ze geen probleem hebben, aangezien ze de berichten met de dubbele authenticatiefactor (2FA) ontvangen op de gekloonde SIM.
Andere soorten aanvallen om simkaarten te wisselen
Criminelen zoeken niet alleen toegang tot de bankrekeningen van hun slachtoffers. Andere waardevolle activa zijn onder meer portefeuilles voor cryptocurrency of online serviceaccounts zoals; bijvoorbeeld die van Google.
In het laatste geval, als de cybercriminelen de inloggegevens van het slachtoffer hebben verkregen, kunnen ze de 2FA omzeilen door een eenmalige code te vragen die per sms wordt verzonden. Zodra ze toegang hebben tot het account, kunnen ze controle hebben over ons e-mailaccount, contacten, enz.
Hetzelfde kan gezegd worden van toegang tot andere diensten, zoals Facebook, Instagram, Tik Tok of iets dergelijks; iets dat de online reputatie van het slachtoffer kan ruïneren en dat criminelen gebruiken om haar te chanteren. Ze kunnen bijvoorbeeld boeiende foto’s en gesprekken krijgen en dreigen deze openbaar te maken, tenzij een bedrag wordt geaccepteerd.
Evenmin mogen we andere toepassingen vergeten die we gewoonlijk gebruiken om overboekingen te doen en waarmee we ook geld kunnen opslaan. Een duidelijk voorbeeld is PayPal, dat ook een 2FA in de vorm van een sms-bericht bevat en dat, in het geval de criminelen de toegangsreferenties en een klonen van de simkaart hebben verkregen, ze niet alleen het gespaarde geld kunnen opnemen, maar ook ons kunnen voordoen. om geld te vragen aan onze contacten.
Tegenover het wisselen van simkaart
Om deze dreiging te bestrijden, moet de identiteitsverificatieprocedure die nog steeds door veel banken en online diensten wordt uitgevoerd, volledig opnieuw worden bekeken. Helaas is het niet altijd mogelijk om de 2FA-methode die we willen gebruiken te gebruiken en dit dwingt ons tot meer ingrijpende maatregelen. Een van deze maatregelen zou zijn om contact op te nemen met onze operator en ervoor te zorgen dat onze kaart niet wordt gekloond, tenzij we er persoonlijk om vragen in een winkel of op kantoor met een document dat ons identificeert.
Om deze maatregel te laten werken, moet de operator in ieder geval strikt aan onze eisen kunnen voldoen, wat in sommige gevallen vrij moeilijk is. Alsof dat nog niet genoeg is, zijn er gevallen bekend waarin criminelen de medewerking hadden van medewerkers van de mobiele operator, waardoor het moeilijker werd om deze slechte praktijk te blokkeren.