Een simswap-aanval manipuleert het proces van het overzetten van telefoonnummers tussen mobiele providers en simkaarten om tekstberichten die voor het slachtoffer zijn bedoeld, om te leiden naar de aanvaller. Als je sms voor tweestapsauthenticatie gebruikt op Stripe, kan de aanvaller deze methode gebruiken om je verificatiecodes te verkrijgen en zo toegang te krijgen tot je account.

Hoe werken simkaarten?

Elke klant van een mobiele telefoon krijgt een simkaart die in de telefoon wordt gestoken om de klant te identificeren. Een telefoonnummer verwijst uiteindelijk naar een enkele simkaart. Onlangs zijn er eSIM's geïntroduceerd die de fysieke kaart overbodig maken, maar die verder op dezelfde manier werken.

Je mobiele provider kan het telefoonnummer veranderen waarnaar je simkaart verwijst. Op deze manier kun je hetzelfde telefoonnummer behouden voor als je je telefoon verliest of als de simkaart op een andere manier beschadigd of onbruikbaar is. Dit betekent ook dat medewerkers van de mobiele provider in de positie zijn dat ze deze verandering kunnen doorvoeren.

Bovendien is het in veel landen wettelijk verplicht dat klanten vrij kunnen wisselen tussen mobiele providers. Dit moedigt gezonde concurrentie aan, maar betekent ook dat mobiele providers een minimale verificatie uitvoeren voordat ze toestaan dat een telefoonnummer wordt overgedragen naar een andere provider, die natuurlijk een nieuwe simkaart verstrekt.

Hoe werkt een simswap-aanval?

Er zijn verschillende manieren waarop de aanval kan werken, uiteindelijk allemaal met hetzelfde resultaat:

1. De aanvaller doet zich voor als jou, neemt contact op met je mobiele provider en vertelt dat je je telefoon kwijt bent. De aanvaller overtuigt de mobiele provider ervan dat hij jou is en krijgt een vervangende simkaart;
2. De aanvaller doet zich voor als jou, neemt contact op met een andere mobiele provider en vertelt dat je wilt overstappen naar de nieuwe provider. De nieuwe provider vraagt de oude provider om de overdracht te bevestigen en de aanvaller overtuigt beide providers. Het resultaat is dat de nieuwe provider een simkaart verstrekt; of
3. Een medewerker van je mobiele provider wordt omgekocht om je telefoonnummer te wijzigen zodat het naar de simkaart van de aanvaller verwijst.

In alle gevallen bemachtigt de aanvaller een simkaart die sms'jes en telefoontjes ontvangt van jouw telefoonnummer, terwijl jouw bestaande telefoon niet meer werkt.

Hoe kan ik me beschermen tegen simswap-aanvallen?

Vanwege de partijen die bij een aanval betrokken zijn, is er nu over het algemeen geen manier om simswap-aanvallen te voorkomen. De enige manier om je te beschermen tegen de schadelijke gevolgen is om geen sms'jes meer te versturen voor tweestapsauthenticatie.

Zo lang sms voor tweestapsauthenticatie is ingeschakeld, loopt je account risico. Je zou een alternatieve methode voor tweestapsauthenticatie kunnen inschakelen, zoals een authenticatieapp of een hardwaresleutel, en vervolgens sms uitschakelen.