Dit is hoe SIM-hackers eenvoudig totale controle over je telefoonnummer krijgen

Het leek een doodgewone warme septembernacht in een buitenwijk van het Amerikaanse Salt Lake City. Rachel Ostlund had haar kinderen naar bed gedaan en maakte zich klaar om zelf onder de wol – of in dit geval een dun laken – te kruipen. Ze stuurde een berichtje naar haar zus, toen haar mobieltje opeens geen bereik meer had. Het laatste bericht dat Rachel ontving, kwam van haar provider T-Mobile. Haar simkaart was ‘geüpdatet’, stond in het sms’je.

Rachel deed wat de meeste mensen in zo’n situatie zouden doen: ze zette haar telefoon uit en weer aan. Maar dat hielp niet.

Ze liep de trap op en zei tegen haar man, Adam, dat haar telefoon het niet meer deed. Adam probeerde Rachel te bellen met zijn eigen telefoon. De telefoon waarnaar Adam belde ging over, maar de telefoon die Rachel in haar hand hield deed niks. Er nam niemand op. Ondertussen pakte Rachel haar laptop en opende ze haar mail. Daar zag ze dat iemand de wachtwoorden van veel van haar accounts aan het resetten was. Een uur later kreeg Adam een telefoontje.

“Laat me Rachel spreken,” eiste de stem aan de andere kant van de lijn. “Nu.”

Adam weigerde en vroeg wat er allemaal aan de hand was.

“We neuken je, we verkrachten je en we zijn je leven op dit moment aan het verwoesten,” zei de stem. “Als je het juiste wil doen, laat ons dan nu je vrouw spreken.”

Adam weigerde.

“We stelen al je geld,” ging de stem verder. Hij noemde een aantal namen en adressen van familieleden op, waarvan Rachel en Adam vermoedden dat hij ze op Rachels Amazon-account had gevonden. “Wat zou er gebeuren als we jullie familie pijn zouden doen? Wat als we hun geld zouden stelen en we zeggen dat het jullie schuld is?”

Hoewel het koppel op dat moment nog geen idee had wat ze overkwam, waren ze zojuist het slachtoffer geworden van hackers die telefoonnummers kapen om waardevolle Instagram-gebruikersnamen te stelen en voor bitcoin door te verkopen. Op die late zomeravond in 2017, spraken Rachel en Adam Ostlund met een aantal hackers die Rachels Instagram-account hadden opgeëist. De handle van haar account was @Rainbow, een felbegeerde gebruikersnaam. Nu vroegen ze haar om haar Twitteraccount, die ook @Rainbow als handle had, aan hen te geven.

Op de zwarte markt voor gestolen social media- en gamehandles is zo’n korte, unieke gebruikersnaam volgens mensen die betrokken in de handel zijn tussen de 500 en 5000 dollar (430 en 4300 euro) waard. Zo beweerden een aantal hackers dat het Instagram-account met de handle @t onlangs word verkocht voor wel 40.000 dollar aan Bitcoin (34.000 euro).

Door het telefoonnummer van Rachel te kapen, waren de hackers niet alleen in staat om haar Instagram in handen te krijgen, maar ook haar Amazon-, Ebay-, Paypal-, Netflix- en Hulu-account. Geen van de beveiligingsmaatregelen die Rachel had genomen om haar accounts te beschermen, hadden nog enig nut toen de hackers haar telefoonnummer eenmaal hadden bemachtigd. Zelfs tweestapsverificatie haalt op dat moment niks meer uit.

“Dat was een ongelofelijk stressvolle nacht,” herinnerde Adam zich. “Ik kan nog steeds niet geloven dat ze het gore lef hadden om ons te bellen.”

In februari stuurde T-Mobile een sms naar alle Amerikaanse gebruikers om ze te waarschuwen voor een bedreiging die de “gehele industrie” teisterde. Het bedrijf legde uit dat de criminelen een techniek genaamd ‘port-out-scam’ gebruikten om de telefoonnummers van mensen te vinden en stelen. Deze scam wordt ook wel simswapping genoemd, ofwel simruil of simkaping. En hoewel de techniek vrij eenvoudig is, blijkt het enorm effectief te zijn.

Zo gaat het in zijn werk: criminelen bellen de klantenservice van een provider, waarbij ze doen alsof ze de persoon zijn op wie ze het gemunt hebben. Ze leggen aan de werknemer uit dat ze hun simkaart zijn ‘kwijtgeraakt’ en vragen of hun telefoonnummer overgezet kan worden naar een nieuwe simkaart, die de hackers zelf al hebben. De criminelen overtuigen de klantenservicemedewerker dat ze het echt zijn door persoonlijke informatie te geven. Wie op onderzoek uitgaat, vindt online namelijk al snel gegevens zoals sofinummer of huisadres. Als ze de werknemer weten te overtuigen, zet deze het telefoonnummer over naar de nieuwe simkaart.

Op dat moment is het game over voor het slachtoffer.

“Met iemands telefoonnummer kun je binnen minuten in al hun accounts komen,” legde een hacker die aan simswapping doet aan me uit. “Daar kunnen ze niks tegen doen.”

Op dat moment heeft de telefoon van het slachtoffer geen bereik meer, aangezien er maar één simkaart tegelijk met een bepaald nummer op het mobiele netwerk kan zijn aangesloten. Zo kunnen de hackers de accounts van het slachtoffer resetten, en zelfs beveiligingsmaatregelen zoals tweestapsverificatie omzeilen door het telefoonnummer als herstelmethode te gebruiken.

Bepaalde diensten, zoals Instagram, vereisen van gebruikers dat ze een telefoonnummer invullen bij het instellen van tweestapsverificatie, waarmee ze hackers onbedoeld nog een andere manier geven om binnen te komen op iemands account. Als hackers het telefoonnummer van het doelwit hebben overgenomen, kunnen ze namelijk in het account komen zonder het wachtwoord te weten. Om te voorkomen dat dit jou overkomt, kan je onze gids lezen waarin we uitleggen hoe je je telefoonnummer en de accounts die daaraan gekoppeld zijn kunt beschermen tegen hackers.

Eric Taylor, een hacker die voorheen bekendstond als CosmoTheGod, gebruikte de hierboven beschreven techniek voor een aantal van zijn beroemdste acties. Zo hackte hij in 2012 op deze manier het e-mailaccount van de CEO van CloudFare. Taylor, die nu voor beveiligingsbedrijf Path Network werkt, vertelt me hoe onveilig het is om je telefoonnummer te koppelen aan je online accounts. Volgens hem maakt het je behoorlijk kwetsbaar. “Kinderen van dertien tot zestien kunnen je account overnemen, simpelweg door je telefoon over te nemen nadat ze vijf minuten met je fucking provider hebben gebeld,” zei hij.

“Het gebeurt de hele tijd,” voegde hij eraan toe.

Roel Schouwenberg, director of intelligence and research bij Celsus Advisory Group, heeft onderzoek gedaan naar simkaping, het omzeilen van tweestapsverificatie en het misbruik van accountherstelopties. Volgens hem is geen enkel telefoonnummer echt veilig, en is het belangrijk dat gebruikers dit beseffen.

“Ieder nummer kan worden overgenomen,” vertelde Schouwenburg me. “Een vastberaden crimineel kan met de juiste middelen sowieso tijdelijke toegang tot een nummer krijgen, wat vaak al genoeg is voor een succesvolle diefstal.”

Dat is nogal zorgwekkend. In een blogpost schreef Schouwenburg vorig jaar namelijk dat ons telefoonnummer dé sleutel is geworden tot onze online identiteit.

“De meeste systemen zijn niet bestand tegen indringers die telefoonnummers overnemen. Zo zijn ze nu eenmaal niet ontworpen. Dat is heel, heel erg,” schreef Schouwenberg. “Onze telefoonnummers zijn inmiddels een soort standaard verificatiewijze geworden. Dat was nooit de bedoeling, net zoals onze sofinummers nooit zijn bedoeld als inloggegevens. Toch is een telefoonnummer vandaag de dag uitgegroeid tot de sleutel waarmee je vrijwel alle diensten en accounts binnenkomt.”

Wat hackers vervolgens doen op het moment dat ze de controle over je telefoonnummer hebben, hangt af van waar ze naar op zoek zijn.

Als je fiets wordt gestolen, kijk je op Marktplaats om te zien of iemand hem probeert door te verkopen. Als je Instagram-account wordt gestolen door middel van een simkaping, kun je het best naar OGUSERS gaan om te checken of het te koop wordt aangeboden.

Op het eerste gezicht lijkt OGUSERS op een normaal forum. Er is een sectie voor spam en grappen, en threads waar mensen kunnen praten over onder andere muziek, entertainment, anime en games. Maar het grootste en meest actieve deel van de site is de marktplaats waar gebruikers social media- en gamehandles kopen en verkopen, soms voor wel duizenden dollars.

Volgens een van de beheerders van het forum heeft iemand onlangs het Instagram-account genaamd @Bitcoin voor 20.000 dollar verkocht. En in een andere post, die op 13 juni nog online stond, probeerde een gebruiker het Instagram-account @eternity voor 1000 dollar te verkopen.

Dit zijn slechts twee voorbeelden van accounts die op OGUSERS worden verkocht. Het forum werd in april 2017 opgericht om als plek waar mensen ‘OG’-gebruikersnamen konden kopen en verkopen (OG komt van de term ‘original gangster’). Een OG is in de wereld van social media een coole gebruikersnaam, waarschijnlijk omdat het een uniek woord is zoals @Sex, @Eternity of @Rainbow. Of gewoon omdat het een hele korte handle is, zoals @t of @ty. Maar ook beroemdheden zijn het doelwit van de verkopers op het forum.

Zo werd in augustus vorig jaar het Instagram-account van Selena Gomez gehackt, waarna er naaktfoto’s van Justin Bieber op het account werden gedeeld. Haar voornaam werd in de bio bovendien veranderd in ‘Islah’, dezelfde naam die ook door iemand op OGUSERS werd gebruikt. Volgens hackers op OGUSERS wisten de mensen achter de hack van het account van Gomez toegang te krijgen tot haar Instagram door het telefoonnummer over te nemen dat gekoppeld was aan het account, wat wel 125 mijoen volgers had op het moment dat het werd overgenomen.

“Wauw, ze hebben daadwerkelijk de persoon met de meeste volgers op Instagram gehackt,” schreef een OGUSERS-lid op het forum in een thread met de titel ‘RIP SELENA GOMEZ’.

De woordvoerder van Gomez wilde niet reageren op onze e-mails.

Afgelopen juni had OGUSERS meer dan 55.000 geregistreerde gebruikers en telde de website 3,2 miljoen posts. Iedere dag komen er zo’n 1000 actieve gebruikers.

Gebruikers mogen het op de site niet hebben over simswapping. Als iemand in een post verwijst naar de steeds populairder wordende tactiek, reageren andere gebruikers doorgaans dat ze zich niet met illegale activiteiten bezighouden. Toch zijn er twee leden, Ace (die een van de beheerders van het forum is) en Thug, die me vertelden dat simswapping een veelgebruikte methode onder OGUSER-leden is om gebruikersnamen te stelen.

Om een gebruikersnaam te stelen via simkaping, moet je allereerst weten welk telefoonnummer gekoppeld is aan die gebruikersnaam. En die informatie is op het internet makkelijker te vinden dan je denkt.

Vorig jaar creëerden hackers een service genaamd Doxagram, waar je geld kon betalen om erachter te komen welk telefoonnummer en e-mailadres gekoppeld waren aan een Instagram-account. Toen Doxagram eenmaal in de lucht was, werd er zelfs reclame voor gemaakt op OGUSERS. Maar ook sofinummers zijn dankzij een reeks spraakmakende hacks relatief makkelijk te vinden, als je maar weet in welke duistere hoeken van het internet je moet zoeken.

Ace vertelde dat hij zich niet langer bezighoudt met het verkopen van gebruikersnamen. Maar Thug zei dat ze makkelijk simkapingen kunnen doen door de gegevens van abonnees op te zoeken in een interne tool van T-Mobile. Tijdens ons gesprek laat de hacker me een screenshot zien waarin ze de tool gebruiken.

Ik gaf Thug mijn eigen telefoonnummer, als test. Niet veel later stuurd de hacker me een screenshot terug waarop mijn woonadres, mijn IMSI-nummer (een uniek nummer dat aan iedere abonnee wordt gegeven) en andere ‘geheime’ informatie te zien is. Thug kon zelfs zien welke speciale instructies ik T-Mobile heb gegeven om mijn account te beschermen.

“Dit maakt me nogal paranoïde,” zei ik.

“Snap ik, de online wereld is gestoord,” antwoordde Thug.

Het is inderdaad een gestoorde wereld. Want dit was niet de eerste keer dat een onbekende toegang had gekregen tot mijn privé-informatie, die zogenaamd beschermd werd door T-Mobile.

Vorig jaar lukte het een beveiligingsonderzoeker om misbruik te maken van een bug op de website van T-Mobile, waarna hij toegang kreeg tot vrijwel dezelfde informatie. Nadat de bug was verholpen, ontkende T-Mobile de impact van de bug in eerste instantie en zeiden ze dat niemand er problemen door had ondervonden. Maar in werkelijkheid bleek dat wel zo te zijn. Voor het bedrijf het probleem oploste, stond er al wekenlang een tutorial op YouTube waarin wordt uitgelegd hoe je de bug kon gebruiken om toegang te krijgen tot persoonlijke gegevens van mensen.

Thug vertelde me dat telecomproviders het de afgelopen jaren steeds lastiger proberen te maken voor zulke hackers. “Eerst hoefde je enkel een telecombedrijf (zoals T-Mobile) op te bellen, en te zeggen dat je de simkaart van een telefoonnummer wilde veranderen,” vertelde Thug in onze chat. “Nu moet je mensen kennen die er werken. Voor letterlijk 100 dollar geven zij je vervolgens de pincode.”

Thug en Ace legden uit dat veel hackers nu gebruikmaken van werknemers in de winkel of bij de klantenservice van T-Mobile en andere providers. Vervolgens kopen ze hen om voor 80 of 100 dollar, om een simkaping uit te kunnen voeren bij hun doelwit. Thug zei dat ze toegang kregen tot de speciale tool van T-Mobile door een insider om te kopen, maar deze bewering kan door Motherboard niet bevestigd worden. T-Mobile weigerde ons verder antwoord te geven op de vraag of het bedrijf ervan afwist dat werknemers betrokken zijn bij deze simzwendel.

“Insiders maken het werk een stuk sneller en eenvoudiger,” zei Thug. Een insider vinden is niet eens de grootste uitdaging, voegde Ace toe. “Het lastigste is dat je ze ervan moet overtuigen om te doen wat je wil.”

Uit een onderzoek van beveiligingsbedrijf Flashpoint bleek onlangs dat criminelen bij het doen van simkapingen steeds vaker hulp krijgen van telecomwerknemers. Lorrie Cranor, voormalig hoofdtechnoloog bij de Amerikaanse marktwaakhond Federal Trade Commission (FTC), zei dat ze meerdere keren met eigen ogen heeft gezien hoe insiders betrokken waren bij deze aanvallen. Eric Taylor, de beveiligingsonderzoeker en voormalige hacker, zei dat hij mensen kent die hulp krijgen van winkelmedewerkers. En ook beveiligingsverslaggever Brian Krebs schreef onlangs over een geval waarin een medewerker van een T-Mobile-winkel een ongeoorloofde simrswap deed, om zo een Instagram-account te stelen.

Natuurlijk is simswapping niet de enige manier waarop OGUSERS-leden accounts overnemen. Er is ook een tactiek die ‘turboing’ heet. Deze tactiek is minder effectief dan het kapen van simkaarten, maar ook een stuk minder kwaadaardig. Bij turboing wordt namelijk gebruikgemaakt van een programma dat automatisch gebruikersnamen probeert te claimen zodra deze beschikbaar komen, vertelde Thug me.

Hoewel het stelen van telefoonnummers de meest effectieve aanpak is, heb je er wel behoorlijk wat skills voor nodig. Ace en Thug schatten dat er maar vijftig OGUSERS-gebruikers zijn die de social engineering- en tech-tools hebben om het te kunnen doen.

In deze Youtube-video rent een vermeend OGUSERS-lid over straat, met de gebruikersnamen van forumleden op zijn borst geschreven, terwijl hij schreeuwt: “Ik hou van OGU”.

Ik vroeg Thug en Ace of ze zich schuldig voelen als ze online accounts, cryptocurrency-wallets of banken hacken.

“Sorry, maar nee, eigenlijk helemaal niet,” zei Ace. “Ik steel hun geld en leid mijn leven. Het is hun schuld dat ze niet goed beveiligd zijn.”

Wat criminele hackers zoals zij doen, is vrij onschuldig, ging Thug verder. Zeker als het alleen om gebruikersnamen gaat.

“Het is maar een gebruikersnaam. Niets bijzonders,” zei Thug. “Ze verliezen geen geld of zo, alleen een domme gebruikersnaam.”

Of je nu gebruikersnamen verkoopt of niet – met simkapingen kun je veel geld verdienen.

“Alles eraan is super lucratief,” vertelde Andrei Barysevich, een beveiligingsonderzoeker bij Recorded Future, die onderzoek heeft gedaan naar criminele simruil. “Als je weet hoe je een simkaart kunt kapen, kun je veel geld verdienen.”

Neem bijvoorbeeld Cody Brown, de oprichter van het virtual reality-bedrijf IRL VR. Vorig jaar verloor hij in minder dan 15 minuten meer dan 8000 dollar aan Bitcoin, nadat hackers zijn telefoonnummer kaapten en het gebruikten om in te loggen op zijn e-mail en Coinbase-account. Destijds waren er zoveel van dit soort aanvallen dat Authy (een app die tweestapsverificaties maakt voor een aantal van de populairste online cryptocurrency-wisselaars) gebruikers begon te waarschuwen voor de simkapingen en extra beveiligingsfuncties instelde om hackers te stoppen.

Of denk eens aan het bericht dat ik vorig jaar ontving op de versleutelde chat-app Signal, nadat Motherboard in een artikel beschreef dat de website van T-Mobile een bug bevatte waarmee hackers bij persoonlijke klantinformatie konden komen. “Krijg de tyfus voor het delen van de T-Mobile-bug, jij pikzuigende flikkerlul,” schreef de persoon, met de nickname NoNos. “De bug zou niet gefixt zijn als jij geen contact had opgenomen met T-Mobile en er geen artikel over had geschreven zodat de hele wereld het kon lezen.”

Verderop in zijn bericht beweerde NoNos dat hij de bug had gebruikt om meerdere mensen te hacken en dat hij een simkaper was. Hij zei ook dat hij deze techniek gebruikte om rijke mensen te bestelen. “Ik heb 300K verdiend met nog wat andere methodes,” zei NoNos, hoewel Motherboard dit bedrag niet kon bevestigen.

“Als mensen het telefoonnummer van iedereen in het land kunnen simkapen, waarom zou je dan enkel op de gebruikersnamen van willekeurige mensen uit zijn? Waarom ga je niet voor mensen met bakken geld, zoals beleggers of aandelenhandelaren?” ging NoNos verder.

Naast Selena Gomez zijn er nog vele andere bekende slachtoffers van simswapping, zoals Black Lives Matter-activist Deray McKesson; Dena Haritos Tsamitis (oprichter van het cybersecurity- en privacy-instituut CyLab van Carnegie Mellon University) en de beroemde youtuber Boogie2988.

De afgelopen maanden hebben meer dan dertig slachtoffers van simswapping contact met me opgenomen. Massaal deelden ze hun horrorverhalen met me, over hoe hun on- en offline leven in mum van tijd volledig werd geruïneerd. Maar zij zijn niet de enigen – dit overkomt waarschijnlijk honderden mensen in Amerika; hoewel het lastig is om precieze aantallen te noemen. Alleen telecomproviders weten hoeveel mensen de dupe zijn geworden van deze hacks. Maar zoals je waarschijnlijk al zag aankomen, zitten deze bedrijven er niet op te wachten om hierover te praten.

Lorrie Cranor, die inmiddels als hoogleraar aan de Carnegie Mellon University werkt, zei dat ze in 2016 tijdens haar werk als hoofdtechnoloog bij de Federal Trade Commission probeerde te ontdekken hoe vaak simkaping voorkwam Cranor was eerder dat jaar zelf namelijk het slachtoffer geworden, maar had er op dat moment ook nog nooit van gehoord. Ondanks de macht en invloed die ze in haar functie bij de FTC had, wilde geen van de telecomproviders informatie delen toen Cranor naar de precieze aantallen vroeg.

“Het is duidelijk dat de providers niet genoeg doen om het te stoppen,” vertelde Cranor me in een telefoongesprek. “Ze zeggen dat ze steeds beter hun best doen, en dat ik vandaag de dag waarschijnlijk geen slachtoffer was geworden, maar ik ben niet overtuigd. Ik kan nergens bewijs vinden dat laat zien dat ze daadwerkelijk iets doen om het tegen te gaan. Ze zouden dit echt moeten gaan zien als een ernstig verificatieprobleem.”

De providers weten heus wel af van de simkapingen, ging ze verder. “Ze geven het gewoon niet graag toe.”

Motherboard nam contact op met AT&T, Verizon, Sprint en T-Mobile – de vier grootste telecomproviders in de VS – en vroeg om informatie over hoe vaak simswaps voorkomen, maar geen van hen wilde deze gegevens met ons delen.

Een woordvoerder van AT&T vertelde me wel dat dit soort fraude “slechts een klein aantal van onze klanten treft. Het komt bij ons zelden voor.” De woordvoerder stond echter niet open voor verder commentaar toen ik vroeg wat “een klein aantal” betekent.

“Simfraude is sinds enige tijd een probleem in onze industrie,” zei een woordvoerder van T-Mobile in een verklaring. Ze legde verder uit dat het bedrijf deze aanvallen tegengaat door klanten te vragen om extra beveiligingsmaatregelen te nemen, zoals het vereisen van pincodes en toegangscodes voor het overdragen van nummers. Daarnaast zijn ze op zoek naar nieuwe manieren om veranderingen in de accounts van klanten te verifiëren. De vertegenwoordiger weigerde mijn verzoek om een telefonisch interview af te nemen met de leidinggevenden van T-Mobile, en wilde geen antwoord geven op mijn vragen over hoe wijdverspreid deze aanvallen zijn, inclusief het aantal mensen dat erdoor is getroffen.

“Ik zie niet echt in waarom dat relevant is,” zei de woordvoerder. “Het is slechts een klein aantal als je beseft dat we 72 miljoen klanten hebben. Maar natuurlijk wil je als bedrijf dat dit geen enkele klant overkomt.” (In oktober vorig jaar gaf T-Mobile wel aan dat “een paar honderd klanten” het slachtoffer was geworden van de hackers.)

Ook Sprint weigerde om met cijfers of andere informatie te komen over het aantal simswapincidenten. In plaats daarvan deelden ze een verklaring met me waarin ze hun klanten aanraden om regelmatig hun wachtwoorden te veranderen. Een woordvoerder van Verizon wilde eveneens geen gegevens delen, maar zei wel dat je “het juiste wachtwoord/pincode bij een account” moet hebben, om een simruil te kunnen doen”.

Eerder dit jaar bundelden de vier grote providers hun krachten om de Mobile Authentication Taskforce te lanceren. Dit gezamenlijke initiatief is in het leven geroepen om een nieuwe manier te vinden voor klanten om zich met hun telefoon te verifiëren op websites en apps. Volgens verschillende tech-journalisten zou dit weleens de tweestapsverificatie via sms kunnen vervangen. Dat is fijn, want deze sms-methode is lang niet zo betrouwbaar meer. Helaas is er nog maar weinig bekend over hoe de nieuwe methode in zijn werk zal gaan, en is het nog onduidelijk of het simswapping uiteindelijk kan voorkomen.

Een woordvoerder van de FTC wees me op hun Consumer Sentinel Data Book uit 2017, waarin onder meer de consumentenverslagen van fraude, oplichting en identiteitsdiefstal worden samengevat. Over simswapping was echter geen specifieke informatie te vinden. Volgens de woordvoerder zou ik dit “misschien” kunnen vinden onder telefoonfraude, maar alleen daaronder zijn al meer dan 30.000 meldingen van mobiele telefoonfraude te vinden.

Een woordvoerder van het Federal Bureau of Investigation (een bureau dat landelijke oplichtingspraktijken en soortgelijke misdaden in de VS onderzoekt) zei dat ook zij geen gegevens hebben over dit soort hacks.

Zelfs als de aantallen klein zijn, kunnen deze hacks behoorlijk schadelijk en pijnlijk zijn. Het vergt veel tijd en moeite om van zo’n hack te herstellen. Vraag het maar aan Fanis Poulinakis, een slachtoffer van simswapping. Hij vertelde me meer over hoe hem vorig jaar een simkaping overkwam.

Nadat zijn telefoon uit het niets niet meer werkte, logde hij meteen in op zijn online bankrekening. “Et voilà!” zei hij. “Er was 2000 dollar verdwenen.” De dag die hierop volgde, bracht Poulinakis door bij T-Mobile en Chase Bank, in een poging erachter te komen wat er was gebeurd. “Het was een absolute nachtmerrie.”

Aan de nacht van 6 september 2017 leek voor Rachel en Adam Ostlund geen einde te komen.

Adam probeerde de hackers zo lang als hij kon aan de lijn te houden. Zo hoopte hij uit te vogelen wat er was gebeurd en waar de criminelen toegang tot hadden gekregen. De hackers werden ondertussen steeds ongeduldiger en eisten van het koppel dat Rachel haar Twitter-account met de naam @Rainbow opgaf. Als de hackers zowel het instagram- als Twitter-account op hetzelfde moment konden verkopen, zouden ze namelijk meer geld kunnen binnenslepen. Zoals een aantal andere hackers aan me hebben uitgelegd, is een handle meer waard als je toegang hebt tot het originele e-mailaccount (de ‘OGE’) dat eraan is gekoppeld. Dit maakt het namelijk moeilijker voor de oorspronkelijke eigenaars om hun gebruikersnamen terug te stelen van de hackers.

Adam, die inmiddels volledig uitgeput was, hing de telefoon op. Niet veel later stuurden de hackers hem een sms.

“Kunnen we dit snel afhandelen, ik wil naar bed,” schreef een van hen, zo laat Adam ons zien in zijn chatgeschiedenis. “Pas het e-mailadres op Twitter nu aan. Ik wil geen eikel zijn, maar als je niet snel reageert, zullen er vervelende dingen gebeuren.”

Toen belden de hackers opnieuw. Nu was er een rustigere, minder dreigende persoon aan de andere kant van de lijn te horen.

“Het is niks persoonlijks,” zei de tweede hacker tegen Adam. In een opname van het gesprek is te horen hoe de hacker zich verontschuldigde voor de agressieve toon van de vorige beller. “Ik verzeker je ervan dat er niks zal gebeuren.”

Rachel had de politie gebeld, en tijdens het tweede gesprek stonden ze voor de deur. Toen het koppel uitlegde wat er gebeurd was, leken de agenten verward. Ze zeiden dat ze weinig voor ze konden betekenen. De rest van de nacht probeerden Rachel en Adam de schade van de hack te herstellen. Toen ze eenmaal het telefoonnummer terug hadden van T-Mobile, gebruikten ze het om al hun wachtwoorden te resetten, net zoals de hackers hadden gedaan. Op deze manier kregen ze de overgenomen accounts weer in eigen handen. Alleen lukte het Rachel niet om @Rainbow op Instagram terug te krijgen. De hackers hadden nu de volledige macht over dit account.

Drie dagen later besloot het koppel te doen wat de politie weigerde: ze gingen zelf op jacht naar de hackers.

Rachel zei dat haar gestolen Instagram-account nu nog maar één volger had, @Golf, in wiens bio stond dat de persoon erachter Austin heette. Adam en Rachel vertelden me dat ze op dit account een foto vonden die volgens hen genomen was tijdens een concert in Colorado Springs. Door de volgers van @Golf te bekijken lukte het ze bovendien om het Twitter- en Facebook-account van de hacker te vinden. Zo kwamen ze terecht bij wie zij denken dat de hacker is. Motherboard kon zijn identiteit echter niet bevestigen.

In hun speurtocht vonden Rachel en Adam ook een post op OGUSERS, waarin een hacker met de bijnaam Darku unieke Instagram-handles verkocht, waaronder @Golf. Dit was voor het koppel het bewijs dat Darku de eigenaar was van @Golf, en nu dus ook van @Rainbow.

In een online chat vertelde Darku me dat hij 18 jaar oud is en lid is van verschillende hackgroepen. Toch ontkende hij aan simswapping te doen en zei hij niks te maken te hebben met de diefstal van @Rainbow en @Hand. Hij beweerde dat hij die account met een vriend had geruild. @Rainbow zou nooit in zijn bezit zijn geweest.

“Ik doe niet aan zulke kleine criminaliteit,” zei Darku. “Ik heb overal connecties en hoef niet aan fraude te doen om te krijgen wat ik wil.”

Nadat ik in mei contact met hem opnam via OGUSERS, schreef Darku een post waarin hij leden ervoor waarschuwt dat de FBI misschien onderzoek doet naar het platform. Volgens Darku waren mijn vragen verdacht – hij wist niet zeker of ik echt was wie ik beweerde te zijn.

“Wat vrienden van me zijn aangesproken door de FBI over hoe ze aan bepaalde gebruikersnamen kwamen,” schreef Darku. “Als IEMAND van welk GROOT mediabedrijf dan ook contact met je heeft opgenomen, wees dan gewaarschuwd.”

Een aantal gebruikers reageerden verward, en vroegen zich af waarom de FBI geïnteresseerd zou zijn in een marktplaats voor gebruikersnamen. “Het gaat niet om de gebruikersnamen,” antwoordde een andere gebruiker. “Het gaat om de manier waarop iemand die gebruikersnaam heeft verkregen. Ik weet zeker dat ze meer weten over wat zich achter de verkoop van gebruikersnamen afspeelt.”

Andere mensen op het forum namen het allemaal niet zo serieus. Ze maakten grappen over opgepakt worden of deelden memes. Mijn account op OGUSERS werd geblokkeerd, evenals het IP-adres dat ik gebruikte om de site te bezoeken.

Adam deelde de informatie die hij over Darku had gevonden met een FBI-agent in Salt Lake City. Een e-mail van hem aan Adam laat zien dat de agent gespecialiseerd is in het darkweb en cybercrime. Adam vertelde me ook dat zijn aangifte volgens de FBI in Colorado Springs “correct” was, en dat de onderzoekers vooruitgang boekten.

Rachel voegde hieraan toe dat de FBI onlangs zei dat agenten het huis van Austin hadden bezocht, om hem “eens even goed te laten schrikken”. Die hacker “gaat dit nooit meer doen,” zei Rachel.

In een andere discussie op OGUSERS schreef Darku onlangs dat hij zeker weet dat de FBI op zoek is naar “degene die de vrouw afperste” die @Rainbow in haar bezit had. Darku vertelde me dat de politie bij hem langs is geweest, maar dat het “niks met [hem] te maken had.”

“Ik verspil mijn tijd niet aan het lastigvallen van anderen,” zou Darku tegen de politie hebben gezegd.

Motherboard kan de betrokkenheid van de FBI in de zaak niet bevestigen, aangezien zij doorgaans geen informatie verstrekken over lopende onderzoeken. Een woordvoerder van het FBI-kantoor in Salt Lake City weigerde om verder commentaar te geven. Het kantoor in Colorado Springs was niet te bereiken.

Tot op de dag van vandaag heeft Rachel nog steeds geen toegang tot @Rainbow. Andere slachtoffers, zoals de eigenaars van @Hand en @Joey op Instagram, vertelden me ook dat ze hun accounts niet terug hebben gekregen, ondanks dat zij verschillende keren een klacht bij Instagram hadden ingediend.

“We doen ons uiterste best om de Instagram-gemeenschap een veilige ervaring te bieden,” zei een woordvoerder van Instagram in een verklaring. “Als we merken dat een account is overgenomen, sluiten we de toegang tot het account af en lopen de mensen die getroffen zijn een herstelproces door. Hier kunnen ze hun wachtwoord opnieuw instellen en andere noodzakelijke stappen ondernemen om hun accounts te beveiligen.”

Voor de getraumatiseerde slachtoffers is het in ieder geval een harde manier om een waardevolle les te leren.

“Onze mobieltjes zijn onze grootste zwakte,” zei Rachel. Adam vertelde dat hij door deze hack heeft geleerd dat mobiele telefoonnummers de zwakste schakel zijn in ons digitale leven. “Als iemand je nummer heeft,” zei hij, “heeft-ie je leven.”

Volg Motherboard op Facebook, Twitter en Flipboard.