Een simswap-aanval manipuleert het proces van het overdragen van telefoonnummers tussen mobiele providers en simkaarten (subscriber iden­ti­ty module) om tekstberichten die voor het slachtoffer bedoeld zijn om te leiden naar de aanvaller. Als je sms gebruikt voor tweestapsauthenticatie bij Stripe, kan de aanvaller deze methode gebruiken om je verificatiecodes te verkrijgen en zo toegang te krijgen tot je account.

Hoe werken simkaarten?

Elke klant die een mobiele telefoon koopt, ontvangt een simkaart die in de telefoon wordt geplaatst om de klant te identificeren. Een telefoonnummer verwijst naar één simkaart. Onlangs zijn eSIM's geïntroduceerd die de fysieke kaart overbodig maken, maar verder op dezelfde manier werken.

Je mobiele provider kan veranderen naar welke simkaart een telefoonnummer verwijst. Dit is nodig zodat je hetzelfde telefoonnummer kunt houden als je je telefoon verliest of als de simkaart op een andere manier beschadigd of onbruikbaar is. Dit betekent ook dat medewerkers van de mobiele provider de mogelijkheid hebben om deze verandering door te voeren.

Bovendien is het in veel landen wettelijk verplicht dat klanten vrij moeten kunnen wisselen tussen mobiele providers. Dit stimuleert gezonde concurrentie, maar betekent ook dat mobiele providers een minimale verificatie uitvoeren voordat ze toestaan dat een telefoonnummer wordt overgedragen naar een andere provider die een nieuwe simkaart uitgeeft.

Hoe werken simswap-aanvallen?

Er zijn verschillende manieren waarop de aanval kan werken met uiteindelijk hetzelfde resultaat:

1. De aanvaller doet zich voor als jou en neemt contact op met je mobiele provider en vertelt dat je je telefoon kwijt bent. De aanvaller overtuigt de mobiele provider ervan dat hij/zij jou is en krijgt een vervangende simkaart;
2. De aanvaller doet zich voor als jou en neemt contact op met een andere mobiele provider en vertelt dat je wilt overstappen naar de nieuwe provider. De nieuwe provider vraagt de oude provider om de porting te bevestigen en de aanvaller overtuigt ze, met als resultaat dat de nieuwe provider een simkaart uitgeeft; of
3. een medewerker van je mobiele provider wordt omgekocht om je telefoonnummer te laten verwijzen naar de simkaart van de aanvaller.

In alle gevallen bemachtigt de aanvaller een simkaart die sms'jes en telefoontjes ontvangt van jouw telefoonnummer, terwijl je bestaande telefoon niet meer werkt.

Hoe kan ik mezelf beschermen tegen simswap-aanvallen?

In het algemeen is er momenteel geen manier om simswap-aanvallen te voorkomen, omdat er derden bij betrokken zijn. De enige manier om jezelf te beschermen tegen de schadelijke effecten is om te stoppen met het gebruik van tekstberichten (sms) voor tweestapsauthenticatie.

Zolang sms voor tweestapsauthenticatie is ingeschakeld, loopt je account gevaar. Je moet een alternatieve methode voor tweestapsauthenticatie inschakelen, zoals een authenticator-app of een hardwarebeveiligingssleutel, en vervolgens sms uitschakelen.