Vrijdag 20/09/2019

Cyberveiligheid

Nieuwe techniek laat hackers uw account overnemen via uw telefoonnummer

Beeld Simon Lynen

Hackers slaagden erin om het mobiel telefoonnummer van Twitter-CEO Jack Dorsey over te nemen. Ze deden dat via de zogenaamde ‘simswapping’-techniek. Hoe werkt dat nu precies? Moet u extra op uw hoede zijn?

Nazi Germany did nothing wrong.” Dat Twitter sukkelt met hoe het als platform de vrije meningsuiting moet vrijwaren, is bekend. Het sociale medium raakt maar niet verlost van de racistische en nazistische accounts op zijn platform. Maar dat CEO Jack Dorsey plots nazi-sympathieën zou tweeten, dat geloofden zelfs Twitters grootste criticasters niet.

Het bedrijf verduidelijkte dit weekend dat het mobiele telefoonnummer van zijn CEO in handen was gevallen van een hacker. Die kreeg twintig minuten vrij spel op het account van Jack Dorsey en stuurde in die tijd een twintigtal tweets uit waarin hij Dorsey onder andere zijn appreciatie voor nazi-Duitsland liet uitspreken. De hacker gebruikte Cloudhopper, dat is een dienst van Twitter die ervoor zorgt dat je met een door Twitter erkend telefoonnummer kan tweeten via sms.

‘Je moet vooral durven’

De Twitter-CEO is volgens technologiemagazine Wired de laatste in een hele reeks aanvallen van een groep die bekende Amerikaanse internetaccounts hackt. Ze gebruiken daarvoor de ‘simswapping’-techniek. En daar moet je niet eens al te veel technische vaardigheden voor hebben.

“Je moet vooral durven”, zegt Cedric De Vroey. Het doel van een hacker is bijna altijd hetzelfde, zegt de ethische hacker: binnen raken op online accounts zoals e-mail, Facebook, Instagram of bankapps. We weten al langer dat één enkel wachtwoord niet volstaat om hackers buiten te houden. Door grote datalekken liggen heel wat gebruikersnamen en wachtwoorden op straat. Of beter: in een donker hoekje van het internet.

Losgeld

“Daarom is het zo belangrijk om een tweede veiligheidslaag in te bouwen”, zegt De Vroey, “een zogenaamde twee-factor-authenticatie.” U kent het wel: u wilt online inloggen, u geeft uw wachtwoord in, waarna u via sms een code van zes cijfers krijgt toegestuurd. Pas nadat u die code invult, kunt u inloggen. Met andere woorden: uw telefoonnummer is het bewijs dat u inlogt en niet een of andere hacker.

Geen wonder dat hackers proberen om die verificatiecode te onderscheppen. “Dat zou op verschillende manieren kunnen”, zegt Jeroen Beckers die bij cyber securitybedrijf NVISO, dat gespecialiseerd is in mobiele beveiliging. “Ofwel steel je de smartphone, maar dat is niet zo eenvoudig. Ofwel probeer je via de telecomprovider het telefoonnummer naar een nieuwe simkaart over te schrijven.”

Hackers bellen naar de helpdesk van telecomproviders en proberen medewerkers van het callcenter te overtuigen het telefoonnummer over te zetten naar een nieuwe simkaart. Zodra dat lukt, zullen slachtoffers zelf niet meer kunnen bellen van op hun eigen simkaart. In de Verenigde Staten worden medewerkers van providers omgekocht om bepaalde nummers van simkaarten te wijzigen.

Tieners en losgeld

De motivatie van de hackers kan verschillen. In de VS klagen heel wat Instagram-influencers dat hun Instagram-account via simswapping gehackt werd. Soms gaat het om tieners die het gewoon leuk vinden om te doen, andere hackers chanteren mensen om op die manier losgeld los te weken. Voor influencers is dat heel vervelend. Zij verliezen met hun account niet alleen hun volgers maar ook de reden waarom bepaalde adverteerders met hen willen samenwerken.

Hoe veilig is je gsm? Beeld AFP

Hackers richten zich ook op populaire socialemediaprofielen. Denk aan namen zoals @koning, @cocacola, @boss of @godess. Zij proberen die namen opnieuw te verkopen op te zwarte markt. Eind vorig jaar getuigde een hacker bij het Nederlandse RTL Nieuws dat hij tienduizenden euro’s kon verdienen met simswapping. Hij gebruikte de techniek vooral om cryptocurrency-accounts te hacken en bitcoins te stelen. “Eerst deed ik het voor de kick, maar ik verdiende er al snel veel geld mee”, vertelde hij aan RTL Nieuws. “Ik belde altijd rond vier uur naar de helpdesk, dat is het moment dat veel medewerkers naar huis gaan en je sneller helpen.”

Extra beveiliging

In België is het niet zo gemakkelijk om een gsm-nummer te laten overzetten. De Belgische providers bouwden een extra beveiliging in om het malafide aanvragen zo lastig mogelijk te maken. Wie bij Telenet of Proximus zijn telefoonnummer wil overzetten naar een nieuwe simkaart, zal in de winkel altijd zijn identiteitskaart moeten tonen. Bij Telenet kan zo’n overzetting online, maar dan moeten klanten hun klantennummer en wachtwoord van ‘Mijn Telenet’ kunnen geven. Verschillende providers laten aan De Morgen weten dat zij geen klachten ontvangen over simswapping.

Het Centrum voor Cyber Security België (CCB) en de federale politie bevestigen dat er ook bij hen nog geen meldingen binnen kwamen over de hackingtechniek. “Ik zou iedereen aanraden om elk online account met een twee-factor-authenticatie te beveiligen, ook al is dat met een gsm-nummer”, zegt Katrien Eggers van CCB.

En voor wie dat toch liever niet doet met zijn gsm-nummer zijn er alternatieven. “Neem bijvoorbeeld de authenticator van Google”, raadt Jeroen Beckers aan. “Die gebruikt geen telefoonnummer, maar valt terug op een aantal gegevens die eigen zijn aan je toestel om te bevestigen dat het effectief jij bent – en niemand anders – die wil inloggen.” 

Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle verhalen van De Morgen rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234