Zo bescherm je jezelf tegen SIM-hackers

Criminele hackers hebben het de afgelopen jaren gemunt op Instagram-gebruikers met korte of unieke gebruikersnamen, en mensen die bitcoin in hun bezit hebben. Om het account of de cryptocurrencies van het slachtoffer te stelen, nemen de hackers eerst het telefoonnummer van het doelwit over. Zo kunnen ze ongestoord de wachtwoorden veranderen van de accounts die aan het nummer gekoppeld zijn.

Dit wordt een port-out-scam genoemd (een telefoonnummer wordt namelijk van de ene naar de andere simkaart ‘geporteerd’). Deze scam staat ook wel bekend als simswapping, of een simruil of simkaping. Een hacker die aan simswapping deed, vertelde me dat het “de hele tijd” gebeurt, ondanks het feit dat providers al jaren van deze aanvallen afweten. Volgens T-Mobile zijn er in de VS inmiddels al honderden mensen het slachtoffer geworden van deze scam. Getallen in Nederland zijn niet bekend, maar het is zeker hier ook een probleem aan het worden. Het is niet voor niets dat ook Nederlandse providers zogenoemde 'abusedesks' hebben. Maar informatie blijft zeer beperkt over deze specifieke manier van hacken, terwijl de geleden schade juist zo groot is.

De afgelopen maanden heeft Motherboard met meer dan dertig slachtoffers gesproken wiens nummers werden gestolen. Een van hen vertelde zelfs dat naast haar Instagram-handle ook haar accounts op Amazon, Ebay, Paypal, Netflix en Hulu werden gehackt.

“Onze mobieltjes zijn onze grootste zwakte,” zei ze tegen me.

Dus, wat kun je doen om jezelf te beschermen?

Simpel gezegd zijn hackers in staat deze scam uit te voeren door de klantenservice van een provider voor de gek te houden. Ze doen alsof ze hun simkaart zijn ‘kwijtgeraakt’ en vragen of hun telefoonnummer overgezet kan worden naar een nieuwe simkaart, die de hackers zelf al hebben. Als de klantenservicemedewerker hierin trapt, kun je er weinig meer tegen doen. Het goede nieuws is echter dat er veel manieren zijn waarop je het een stuk lastiger kunt maken voor de hackers om je telefoonnummer te stelen. En nog belangrijker: je kunt zelfs stappen ondernemen om de schade te beperken in het geval dat ze je nummer toch stelen.

Dit is hoe je dat doet.

Versterk je account

Sinds het aantal aanvallen op hun klanten is toegenomen, hebben grote Amerikaanse providers nieuwe beveiligingsfuncties ontwikkeld die het lastiger maken voor hackers om accounts en telefoonnummers over te nemen.

Zo kunnen de klanten van AT&T nu een toegangscode aan hun account toevoegen. Hier legt AT&T stap voor stap uit hoe je deze functie instelt. T-Mobile biedt sinds vorig jaar een soortgelijke validatiefunctie aan om hun klanten te beschermen. In feite is dit een toegangscode die los staat van het gebruikelijke wachtwoord waarmee klanten gewoonlijks toegang krijgen tot hun online account. Deze toegangscode is vereist wanneer iemand wijzigingen probeert aan te brengen in het account, zoals het aanvragen van een nieuwe simkaart. Vraag T-Mobile of je deze code aan je account kunt toevoegen. Zo kun je jezelf beschermen tegen een hacker die doet alsof-ie jou is, of tegen een scammer die met een vervalst identiteitsbewijs langs de T-Mobile-winkel gaat.

Nederlandse diensten zoals Telfort hebben speciale helpdesks die je kunt contacteren als je vermoed dat je account in handen is gevallen van criminelen. Informatie is nog niet altijd even duidelijk, dus vraag jouw eigen provider welke beveiligingsmaatregelen je kunt nemen om je account te beschermen.

Koppel je nummer niet aan je online accounts

Als hackers je telefoonnummer stelen, gebruiken ze deze om de wachtwoorden te resetten van de accounts die aan dit nummer zijn gekoppeld. In veel gevallen weten ze tweestapsverificatie hier zelfs mee te omzeilen. Dat is dus precies waarom hackers je volledig in hun macht hebben wanneer ze je telefoonnummer in handen krijgen.

Als je de mogelijkheid hebt, verwijder dan je nummer van de accounts die interessant zouden kunnen zijn voor hackers. Je kunt nog steeds een telefoonnummer voor die accounts gebruiken, maar het is slimmer om dan gebruik te maken van een VoIP-nummer, zoals een Google Voice-nummer. Deze zijn namelijk simswap-bestendig. Natuurlijk moet je dit nummer ook beschermen met een uniek wachtwoord en tweestapsverificatie. Bovendien is het belangrijk om ervoor te zorgen dat het nummer niet verloopt als je het niet regelmatig gebruikt.

Om je telefoonnummer los te koppelen van je Gmail-account, kun je naar myaccount.google.com gaan en (zo nodig) inloggen. Vervolgens klik je op ‘Personal Info & Privacy and Personal Info’, waar je het telefoonnummer kunt verwijderen. Check voor de zekerheid ook nog even of er een nummer is ingesteld onder ‘Account Recovery Options’. Verwijder deze ook, en gebruik in plaats daarvan een authenticatie-app (zoals Google Authenticator) als tweestapsverificatie.

Wie in Amerika per se een nummer wil gebruiken als verificatiemethode, kan een nieuw Google Voice-nummer aanmaken, het liefst vanuit een Gmail-account dat je verder nergens anders voor gebruikt. In Europa kan Google Voice helaas nog niet worden gebruikt, dus hier moet je op zoek gaan naar een andere VoIP-service. Momenteel worden deze services aangeboden door onder meer Telfort, KPN of ANNAbel. Nog een tip: sla je herstelcode altijd op wanneer je tweestapsverificatie inschakelt.

Om je telefoonnummer los te koppelen van je Microsoft-account, kun je naar account.live.com gaan en op ‘Beveiliging’ klikken. Vervolgens ga je naar ‘Gegevens bijwerken’ onder het kopje ‘Uw beveiligingsgegevens toevoegen’. Als hier een telefoonnummer staat, kun je deze verwijderen en eventueel vervangen door een VoIP-nummer.

Als je een apparaat van Apple gebruikt, ga dan naar appleid.apple.com en log in. Klik op ‘Wijzig’ bij ‘Beveiliging’ en vul een VoIP-nummer in onder ‘Vertrouwde telefoonnummers’. Je normale nummer verwijder je. Voor iMessage en FaceTime heb je wel je daadwerkelijke telefoonnummer nodig, maar je kunt een ander nummer invullen als vertrouwd telefoonnummer.

Op Twitter klik je simpelweg op je avatar, waarna je naar ‘Settings and Privacy’ kunt gaan. In het menu aan de rechterkant klik je vervolgens op ‘Mobile’. Als je tweestapsverificatie hebt ingeschakeld, moet je een telefoonnummer invullen. Hier kun je dus het best een VoIP-nummer opgeven, aangezien hackers deze niet kunnen simswappen. Daarnaast is het ook mogelijk om een authenticatie-app te gebruiken voor Twitter, waardoor je helemaal geen telefoonnummer hoeft op te geven.

Voor Instagram werkt dit ongeveer hetzelfde: Klik in de app op je avatar, ga naar ‘Profiel bewerken’ en verander je telefoonnummer in een VoIP-nummer. In tegenstelling tot Twitter is het op Instagram echter niet mogelijk om je telefoonnummer te verwijderen, zonder daarmee tweestapsverificatie uit te schakelen.

Op Facebook kun je je nummer veranderen door op het pijltje rechtsboven te klikken. Vervolgens ga je naar ‘Instellingen’ en klik je in het linker menu op ‘Mobiel’. Hier kun je een VoIP-nummer invullen. Daarna ga je naar ‘Beveiliging en aanmelding’ in het linker menu en klik je op ‘Bewerken’ naast het kopje ‘Tweestapsverificatie gebruiken’. Hier vul je nu ook je VoIP-nummer in.

Op Amazon klik je op ‘Accounts and Lists’ en vervolgens op ‘Your Account’. Hier ga je naar ‘Login & Security’, vul je je wachtwoord in en kijk je of er een telefoonnummer is opgegeven. Als dat zo is, weet je wat je moet doen: verwijder het, of vervang het door een VoIP-nummer.

Om het zekere voor het onzekere te nemen, kun je hetzelfde doen bij al je andere veelgebruikte accounts, zoals PayPal, eBay, Netflix en – niet te vergeten – je account voor online bankieren.

Volg Motherboard op Facebook, Twitter en Flipboard.