Netherlands

Hacken via de helpdesk: in twaalf minuten je digitale identiteit kwijt

Normaal gesproken is Sven van der Maaten (26) de rust zelve. Als keeper – tot vorig jaar voetbalde hij professioneel bij Telstar – leerde hij kalm te blijven en overzicht te houden, ook onder druk.

Toch klinkt er nu paniek in zijn stem. „Mijn identiteit lag al half op straat. Nou hebben ze ook nog mijn email-account en een kopie van mijn paspoort. Iemand kan zich volledig voordoen als mij”, zegt Van der Maaten tijdens een gesprek met zijn provider.

„Ik begrijp het”, luidt de reactie, „maar T-Mobile kan er niets aan doen dat iemand uw nummer heeft overgenomen.”

Van der Maaten werd afgelopen maand slachtoffer van een sim-swap. Een oplichter vroeg de helpdesk van T-Mobile om Svens 06-nummer te koppelen aan een andere simkaart. Het enige wat de dader nodig had: een smoes (‘mijn simkaart is stuk’), wat persoonsgegevens en een chatgesprekje van twaalf minuten. Van der Maaten raakte de toegang tot zijn e-mail kwijt en zag hoe de hacker een paar duizend euro aan bitcoins en andere cryptomunten probeerde weg te sluizen.

Je kunt je onlinediensten beschermen met wachtwoorden, maar die zijn makkelijk te raden. Mail, digitale kluizen, betaaldiensten of klantenaccounts bieden daarom vaak extra beveiliging in de vorm van een tijdelijke code die naar je telefoonnummer wordt verzonden. Maar die zogeheten tweefactorauthenticatie via sms is nutteloos als iemand je 06-nummer heeft gekaapt en jouw sms’jes ontvangt. De dader heeft dan de sleutels tot je digitale leven.

Lees ook: Sim-swap: bestolen door je eigen telefoonnummer

Sim-swaps zijn een bekend fenomeen met grote impact. Vaak hebben cybercriminelen het op bitcoins gemunt – ze selecteren hun slachtoffers uit gestolen databases van cryptomarktplaatsen. In tegenstelling tot een gewone bankrekening kun je zo’n crypto wallet leegtrekken en anoniem blijven. Pakkans: nihil.

Svens verhaal toont de kwetsbaarheid van je digitale identiteit, dikwijls gekoppeld aan een telefoonnummer. De lockdown dwingt iedereen meer zaken via internet te regelen. Dat geldt ook voor telecomproviders. Die moeten hun klanten online legitimeren omdat dat in de winkel niet kan en moeten extra goed opletten dat ze niet worden misleid door cybercriminelen.

Dinsdagavond 2 februari, rond half tien. Sven van der Maaten komt thuis van de voetbaltraining en stapt uit zijn auto. Hij kijkt op zijn iPhone. Geen 4G-verbinding meer, meldt het toestel. Ook bellen lukt niet meer. Een storing, denkt hij eerst. Hij heeft zijn rekening toch wel betaald?

Binnen, in het wifi-bereik van zijn Haagse appartement, krijgt Sven argwaan. Hij ziet aan notificaties dat er mail binnenkomt op zijn Hotmail-account, maar hij krijgt de mails op zijn telefoon niet geopend. Op zijn laptop komen de mails gelukkig nog wel binnen. Eén daarvan, van Microsoft: „Beveiligingsgegevens zijn verwijderd. Als u dit niet heeft gedaan, heeft een kwaadwillende gebruiker toegang tot uw account.”

Iemand heeft zijn Hotmail-account overgenomen – die beveiligd was met zijn 06-nummer – en het wachtwoord gewijzigd. Ook de wachtwoorden van de digitale kluizen met cryptomunten krijgen een reset. Sven ziet de mails binnenkomen. Hij is machteloos.

Wat ging er mis? Rond half acht die avond kreeg de helpdesk van T-Mobile een chatbericht van iemand die zich Sven noemt.

je doen?

veren

19.31: Helpdesk: Hoi Sven, ik ga direct voor je

aan de slag. Mag ik je achternaam, 06,

postcode, huisnummer en geboorteda-

tum?

Nep-Sven levert die gegevens. Zijn oude simkaart doet het niet meer, beweert hij. T-Mobile controleert dit niet. Hij moet controlevragen beantwoorden om zijn identiteit te verifiëren.

Vanaf welk banknummer incasseren

wij maandelijks? En wat was het be-

drag van je laatste rekening?

‘Sven’ geeft het juiste bankrekeningnummer en zegt: “precieze bedrag weet ik niet maar ik heb het unlimited pakket van 25 euro.”

Dat is geen antwoord op de vraag. Veel T-Mobile-klanten hebben zo’n unlimited-abonnement van 25 euro. Maar de echte Sven betaalt ook voor een toestelkrediet, zijn laatste rekening was 56,40 euro. Toch gaat de helpdeskmedewerker akkoord. Een fout, geeft T-Mobile achteraf toe.

Illustratie Jasper de Bruin

19.38 Helpdesk: Ik heb goed nieuws voor

je: de nieuwe simkaart is actief. Zet nog

wel even je toestel uit/aan.

‘Dit gesprek kan worden opgenomen voor trainings- en kwaliteitsdoeleinden’, hoort iedereen die een helpdesk belt. Van der Maaten is sinds een jaar zelf helpdeskmedewerker, bij een bank. Hij kent de trucs die identiteitsfraudeurs toepassen om medewerkers te misleiden.

Van der Maaten legt zijn communicatie met T-Mobiles klachtenafdeling nauwkeurig vast. Zo wordt duidelijk waar de provider steken liet vallen. De oplichter kon via chat een simkaart activeren. Dat is laagdrempeliger dan een telefoongesprek, waarbij je in ieder geval nog een stem kunt beoordelen. Volgens T-Mobile zijn oplichters echter ook aan de telefoon net zo handig in social engineering – de vakterm voor online oplichting.

Nog een veelgebruikte oplichterstruc: nep-Sven meldt zich net voor sluitingstijd van de helpdesk. Een tijdstip waarop medewerkers vermoeid kunnen zijn en wellicht minder goed opletten. Bijkomend voordeel: het slachtoffer kan de helpdesk niet bereiken zodra de sim is overgezet.

De hackers konden Svens persoonsgegevens bemachtigen via de levendige onlinehandel in persoonsgegevens voor identiteitsfraude. Adresgegevens, telefoonnummers, wachtwoorden en bankrekeningnummers kosten in het zwarte circuit een paar euro per ‘setje’. De data worden gestolen of lekken uit.

Zo ontdekte RTL Nieuws bijvoorbeeld dat GGD-gegevens van op corona geteste Nederlanders worden verkocht.Ook Ticketcounter – dat betalingen regelt voor concerten en musea – maakte onlangs een groot datalek bekend. Vorig jaar werd een Amsterdammer aangehouden die een miljoen gebruikersaccounts van providers doorverkocht, voor sim-swapping. Deze week nog waarschuwde de Autoriteit Persoonsgegevens voor een ‘explosieve toename’ van het aantal hacks en datadiefstallen.

De politie houdt nog geen aparte cijfers bij van sim-swaps. Wel laat een woordvoerder weten dat deze fraude gaat worden onderzocht.

KPN en Vodafone beweren genoeg maatregelen te nemen om gebruikersaccounts te beschermen. Frauduleuze sim-swaps komen niet of nauwelijks voor, aldus deze providers.

T-Mobile verbeterde zijn beveiliging al eerder, na klachten over gekaapte nummers. Maar door de pandemie kan de provider minder scherp controleren, zegt T-Mobile in een reactie aan NRC:

„Als een verificatie-sms niet mogelijk is, sturen we klanten normaal gesproken naar de T-Mobile Shop om zich te identificeren met een legitimatiebewijs voor een sim-swap. Door Covid waren wij genoodzaakt onze winkels te sluiten en moesten wij deze maatregel tijdelijk aanpassen.”

T-Mobile zegt sinds half december een ‘handvol’ klachten te hebben gekregen zoals die van Sven. De procedures zijn aangepast – je kunt niet meer via chat een sim-swap aanvragen –, maar er zijn meer verbeteringen mogelijk. Zo biedt T-Mobile de optie om klantgegevens af te schermen met een extra wachtwoord. Dat die beveiliging niet standaard actief is, vindt Sven van der Maaten een gemis. „En waarom controleert de helpdesk niet of een simkaart die vervangen wordt nog actief is?”

Nu de winkels weer deels open mogen, kunnen klanten zich weer fysiek legitimeren. T-Mobile is nog niet klaar met het opschroeven van de beveiliging: „We zijn tweefactoridentificatie aan het uitrollen op onze online klantenomgeving.”

De provider raadt klanten met klem af om sms te gebruiken als extra beveiliging voor e-mail en andere digitale accounts. „Daar is het nooit voor bedoeld – we raden daarvoor authenticatie-apps aan.” Dat de helpdesk een fout maakte bij de controlevraag wordt betreurd. „We hebben de medewerker van feedback voorzien en er is aandacht besteed aan het creëren van awareness”, krijgt Van der Maaten te horen.

Een maand later heeft Van der Maaten zijn Hotmail nog niet terug. De hacker heeft de account beveiligd met een authenticatie-app – onkraakbaar. Heeft hij geen boze mail naar zijn eigen adres gestuurd? „Ik daag ze niet uit”, zegt Sven. „Het was de daders om cryptomunten te doen. Ik wil niet dat ze door mijn mail gaan spitten.”

Van der Maaten is met T-Mobile in discussie over de gevolgschade. Hij was weken bezig met het herstellen van alle accounts die gekoppeld waren aan zijn mailadres en vroeg een nieuw paspoort aan. De schade op zijn cryptoaccounts is beperkt gebleven tot wat gemiste koerswinst. Een van de digitale kluizen had hij beschermd met een usb-stick, de andere kluis wist hij net te redden.

Toen de hacker op die dinsdagavond in februari bitcoins probeerde weg te sluizen, zag Sven bij toeval een mail met een tijdelijke code voorbijkomen, en in kleine letters de optie om de account te blokkeren. Hij reageerde in een reflex.

„Als de hacker een fractie sneller was geweest met het invoeren van die code was ik mijn geld kwijt geweest”, zegt Van der Maaten. Een kwestie van reactievermogen, met een beetje keepersgeluk.

Lees ook dit interview: Wat als opeens iemand beweert dat hij jou is?

Football news:

Namens Juve en de ECA kan ik het idee van een Super League afwijzen. Hoe snel Gianni Agnelli veranderde zijn schoenen
Tottenham heeft Mourinho ontslagen. Nee, De Super League heeft er niets mee te maken
Minstens 2 clubs uit Frankrijk zullen elk jaar in de Super League spelen
Mesut Ozil: kinderen dromen van het winnen van de World Cup of de Champions League, niet een of andere Super League. Het plezier van grote wedstrijden is dat ze gebeuren een of twee keer per jaar
Disneyficatie van voetbal. Waar komt de Super League vandaan?
Carragher op Super League: Ik ben het zat dat Liverpool ' s reputatie zo beschadigd is. En het schandelijke kapitalisme van Manchester United verbaast me niet.Jamie Carragher, voormalig verdediger van Liverpool, heeft zich kritisch uitgelaten over de oprichting van de Europese Super League
De Bruyne zal de wedstrijd tegen Aston Villa missen. De ernst van de blessure is nog niet vastgesteld