Een simswap-aanval manipuleert het proces van het overdragen van telefoonnummers tussen mobiele providers en simkaarten (subscriber identity module) om tekstberichten die voor het slachtoffer bedoeld zijn om te leiden naar de aanvaller. Als je sms gebruikt voor tweestapsauthenticatie bij Stripe, kan de aanvaller deze methode gebruiken om je verificatiecodes te verkrijgen en zo toegang te krijgen tot je account.
Elke klant die een mobiele telefoon koopt, ontvangt een simkaart die in de telefoon wordt geplaatst om de klant te identificeren. Een telefoonnummer verwijst naar één simkaart. Onlangs zijn eSIM's geïntroduceerd die de fysieke kaart overbodig maken, maar verder op dezelfde manier werken.
Je mobiele provider kan veranderen naar welke simkaart een telefoonnummer verwijst. Dit is nodig zodat je hetzelfde telefoonnummer kunt houden als je je telefoon verliest of als de simkaart op een andere manier beschadigd of onbruikbaar is. Dit betekent ook dat medewerkers van de mobiele provider de mogelijkheid hebben om deze verandering door te voeren.
Bovendien is het in veel landen wettelijk verplicht dat klanten vrij moeten kunnen wisselen tussen mobiele providers. Dit stimuleert gezonde concurrentie, maar betekent ook dat mobiele providers een minimale verificatie uitvoeren voordat ze toestaan dat een telefoonnummer wordt overgedragen naar een andere provider die een nieuwe simkaart uitgeeft.
Er zijn verschillende manieren waarop de aanval kan werken met uiteindelijk hetzelfde resultaat:
In alle gevallen bemachtigt de aanvaller een simkaart die sms'jes en telefoontjes ontvangt van jouw telefoonnummer, terwijl je bestaande telefoon niet meer werkt.
In het algemeen is er momenteel geen manier om simswap-aanvallen te voorkomen, omdat er derden bij betrokken zijn. De enige manier om jezelf te beschermen tegen de schadelijke effecten is om te stoppen met het gebruik van tekstberichten (sms) voor tweestapsauthenticatie.
Zolang sms voor tweestapsauthenticatie is ingeschakeld, loopt je account gevaar. Je moet een alternatieve methode voor tweestapsauthenticatie inschakelen, zoals een authenticator-app of een hardwarebeveiligingssleutel, en vervolgens sms uitschakelen.