SIM Swapping, een trendy nieuwe app of een reële bedreiging?

  • Security
SIM swapping

Social Engineering

Wat is het?

Social engineering is een aanvalstechniek waarbij iemand misleid wordt door onder meer druk uit te oefenen, nieuwsgierigheid te wekken, vertrouwen te winnen en zo vertrouwelijke informatie te bemachtigen zoals login gegevens.

Social engineering is dan ook veel minder technisch dan vele andere technieken die gebruikt worden. Deze manier van hacken wordt veel gebruikt omdat ze zo effectief is, omdat er ingespeeld wordt op menselijke aspecten zoals goedgelovigheid en onoplettendheid. Voor bedrijven is het een enorme uitdaging om hun medewerkers op te leiden zodat ze beschermd zijn tegen dit soort aanvallen. Het is ook een enorm breed onderwerp en er bestaan heel wat mogelijkheden om gegevens te bemachtigen d.m.v. social engineering.

Hieronder gaan we dieper in op een (recent) opnieuw populair onderwerp in Social Engineering, namelijk SIM Swapping.

SIM Swapping

Wat is het?

SIM Swapping is eigenlijk zoals de naam al aangeeft het wisselen van een Simkaart door een hacker. Echter, in de praktijk verloopt het net iets anders dan je zou denken.
Een vaak voorkomende techniek is dat de hacker de telecomprovider belt en zich voordoet als slachtoffer. Hierbij overtuigt hij de medewerker van de telecomprovider om de Simkaart over te zetten naar een Simkaart waarvan de hacker in bezit is. Op deze manier heeft de hacker jouw SIM en jouw nummer overgenomen. Dit kan een aantal onaangename gevolgen hebben. Straks meer hierover.

Hoe gaat de hacker te werk?

Afhankelijk van de provider en van het slachtoffer past de hacker verschillende technieken toe. Eerst gaat de hacker op zoek naar publiek beschikbare informatie zoals het thuisadres, het telefoonnummer of de geboortedatum. In sommige gevallen is deze informatie al voldoende om SIM swapping uit te voeren. De hacker verzamelt deze informatie en belt vervolgens naar de hulplijn van de telecomprovider. Daar krijgt hij of zij een medewerker aan de lijn die n.a.v. de vraag om een Simkaart over te zetten plichtsgetrouw een aantal beveiligingsvragen stelt. Deze kunnen moeilijk of makkelijk te beantwoorden vragen zijn.

Vaak wordt er ook extra druk gezet op de medewerker door geluiden van een huilende baby af te spelen of te bellen op het einde van een dienstshift. Lukt dit niet? Geen probleem, dan belt de hacker op een later tijdstip terug of probeert een andere telecomprovider van een ander slachtoffer.

Wat zijn de gevolgen van SIM swapping?

Hackers kunnen via een telecomaccount cryptogeld zoals Bitcoins proberen stelen of online accounts proberen overnemen door het omzeilen van herstelopties of multifactor authenticatie.

De hacker kan het telefoonnummer ook gebruiken om je af te persen door de gevoelige data die dagelijks via je smartphone verstuurd wordt te misbruiken of kan proberen om zich toegang te verschaffen tot jouw online profielen voor sociale media.

Vergeet niet dat naar het buitenland bellen op jouw kosten ook tot de mogelijkheden behoort. Kortom, slachtoffers kunnen wel wat schade oplopen.

Hoe kan je jezelf beveiligen tegen dit type aanvallen?

Dit ligt deels in jouw handen alsook in deze van de telecomprovider. De telecomprovider dient voldoende veiligheidsmaatregelen in acht te nemen om dit tegen te gaan, zoals bijvoorbeeld het uitsturen van een bevestigingsmail bij elke aanpassing die men uitvoert. De provider dient ook zijn medewerkers goed op te leiden om dergelijke aanvallen te herkennen en te weten wat men in dit geval moet doen. Bij twijfel kan men bijvoorbeeld moeilijkere beveiligingsvragen stellen.

Er zijn een aantal acties die je kan ondernemen om jezelf beter te beschermen tegen SIM Swapping. Geef zo weinig mogelijk jouw gsm-nummer op in online accounts. Wanneer je multifactor authenticatie instelt, doe je dit beter via een app dan via SMS berichten. Ook kan je jouw telecomprovider opbellen en vragen of er extra beveiligingsopties mogelijk zijn, zoals bijvoorbeeld een PIN code die je moet opgeven voordat je aanpassingen kan maken of aanvragen.

Zoals altijd is een gewaarschuwd man of vrouw er twee waard!

Bronnen:

Tijd voor een gesprek?

ICONS

Contacteer ons

Wil u weten hoe uw security en netwerk ervoor staan? Met een diepgaande audit brengen we uw security uitdagingen en volledige netwerk in kaart.