Aanvallen door SIM-swapping - Alles stelen, van uw Bitcoins tot uw Instagram-accounts
Je ziet en hoort vaak dat mensen een wachtwoord vergelijken met een fysieke sleutel. Hoewel het duidelijk is waar de parallellen vandaan komen, zijn er nogal wat verschillen. Zonder de sleutel kunt u bijvoorbeeld de deur niet ontgrendelen. Toegang krijgen tot een account zonder het wachtwoord is echter mogelijk, en het is allemaal dankzij een aanval genaamd SIM swapping.
Table of Contents
Wat is sim swapping?
Ook bekend als SIM-kaping of een port-out zwendel, is het eerlijk om te zeggen dat het een van de meer beschrijvende namen heeft. Het is de handeling van het kapen van het mobiele telefoonnummer van een slachtoffer en het gebruiken met een andere simkaart. SIM-swapping bestaat nu al een paar jaar, en hoewel het nog geen belangrijke mainstream media-aandacht krijgt, lijkt het steeds populairder te worden, vooral zoals we binnenkort zullen ontdekken, met beginnende cybercriminelen.
Hoe werkt het allemaal?
SIM-swapping is een vorm van identiteitsdiefstal, en zoals u inmiddels zou moeten weten, wordt identiteitsdiefstal mogelijk gemaakt door het feit dat boeven toegang hebben tot uw gegevens. Het is niet verrassend dat ze in dit geval uw naam, uw mobiele telefoonnummer en in sommige gevallen een paar andere details nodig hebben. Het is nog steeds niet duidelijk wat de exacte mechanismen zijn, maar een recent onderzoek van het moederbord suggereert dat zowel de beveiligingsmaatregelen als de technieken om ze te omzeilen evolueren.
Een paar jaar geleden zouden de boeven de informatie van het slachtoffer in een uitgelekte database vinden en de vervoerder bellen. Ze zouden zich voordoen als het slachtoffer en beweren dat ze hun simkaart kwijt zijn. Ze zouden zeggen dat ze er nog een hebben en zouden willen dat het nummer eraan wordt overgedragen. Destijds waren de beveiligingsprotocollen van de vervoerders minder dan perfect. De medewerker van de klantenservice zou het burgerservicenummer of thuisadres van het slachtoffer vragen, de hackers zouden dit opgeven en de koerier zou het nummer graag naar de verkeerde simkaart overdragen.
Heel wat mensen raakten zwaar verbrand en om verdere problemen te voorkomen hadden de mobiele dienstverleners geen andere keuze dan de authenticatiemechanismen bij te werken. Het spel is vies geworden. De boeven begonnen medewerkers van de koerier om te kopen die hielpen de mobiele telefoonnummers van nogal wat mensen illegaal over te dragen. De corrupte arbeiders kregen ook behoorlijk wat geld voor hun medewerking - tussen $80 en $100 per slachtoffer.
Waar wordt SIM-swapping voor gebruikt?
Wetshandhaving neemt SIM-swapping serieus en agentschappen zijn op het spoor van een groep criminelen die heel wat mensen hebben bedrogen met behulp van deze techniek. Vorige maand arresteerden ze de 20-jarige Joel Ortiz die naar verluidt de mobiele telefoonnummers van ongeveer 40 personen heeft gekaapt. Op 17 augustus werd Xzavier Narvaez, die net 19 jaar oud is, ondervraagd voor een grootschalige sim-swapping-operatie. Kortom, tieners hebben het telefoonnummer van iemand anders in handen. Helaas zijn de resultaten veel ernstiger dan een paar grapjes.
Enige tijd geleden lieten online serviceproviders zoals Google je je telefoonnummer toevoegen aan je account. Het is geen betekenisloze tracking en gegevensverzameling. Het idee is dat als je ooit de toegang tot je profiel verliest, Google je kan verifiëren via een sms-bericht of een oproep naar het door jou opgegeven nummer. Hetzelfde precieze accountherstelmechanisme wordt nu misbruikt door de SIM-swappers.
Wanneer ze het telefoonnummer met succes hebben gekaapt, moeten de boeven snel handelen, want voordat het slachtoffer wordt afgesneden, stuurt de koerier een sms-bericht over de bijgewerkte simkaart. Volgens rapporten gebruiken SIM-swappers het gekaapte nummer om toegang te krijgen tot de e-mail van het slachtoffer, waarna ze de wachtwoorden voor andere online accounts opnieuw instellen. Ze bewegen vrij snel en laten bijna geen tijd voor reactie. Omdat de boeven alle teksten en oproepen van het slachtoffer krijgen, wordt tweefactorauthenticatie vaak omzeild.
SIM-swappers zijn echter niet op iedereen gericht. Moederbord's onderzoek meldde een drukke online marktplaats waar gestolen Instagram-accounts met interessante handvatten zoals "@Rainbow" worden gekocht en verkocht voor honderden en soms duizenden dollars.
Over Instagram gesproken, de eerder genoemde Xzavier Narvaez deed wat een 19-jarige zou doen - hij gebruikte het platform voor het delen van afbeeldingen om de wereld te laten zien hoe duur zijn nieuwe supercar is. Wetshandhavers vermoeden dat hij het misschien heeft gekocht met bitcoins die hij heeft gestolen na het verwisselen van de telefoonnummers van een paar spraakmakende cryptocurrency-handelaren. In april heeft een dergelijke handelaar onder de naam Michael Terpin een rechtszaak aangespannen tegen AT&T omdat hij vanwege de slechte beveiligingspraktijken van de koerier het slachtoffer werd van een SIM-swapping-aanval die hem meer dan $20 miljoen aan cryptocurrency kostte.
Oplichters worden steeds dieper verliefd op SIM-swapping, wat gezegd moet worden, is nauwelijks een verrassing. De vereiste vaardigheden-tot-potentiële-winstverhouding is geweldig voor hen, en het is overduidelijk dat mobiele serviceproviders niet genoeg doen om de aanvallen te dwarsbomen. Ik hoop dat dit snel zal veranderen.
