SIM-swapping is een frauduleuze techniek waarbij een aanvaller de controle over het telefoonnummer van een slachtoffer probeert over te nemen door de SIM-kaart van het slachtoffer te activeren op een andere telefoon. Dit kan worden gedaan door een combinatie van sociale technieken en misleiding bij mobiele serviceproviders. Zodra de aanvaller toegang heeft tot het telefoonnummer van het slachtoffer, kan hij toegang krijgen tot sms-berichten en oproepen die naar dat nummer worden verzonden. Dit kan gevaarlijk zijn omdat veel diensten, inclusief tweefactorauthenticatie (2FA), afhankelijk zijn van sms-berichten voor verificatie.
Waarom wordt SIM-swapping gebruikt
Identiteitsdiefstal: Aanvallers kunnen SIM-swapping gebruiken om de identiteit van het slachtoffer over te nemen, wat hen toegang geeft tot vertrouwelijke informatie en accounts.
Fraude: Criminelen kunnen deze techniek gebruiken om toegang te krijgen tot bankrekeningen en financiële informatie van slachtoffers.
Social engineering: Aanvallers kunnen slachtoffers misleiden om persoonlijke informatie te verstrekken, zodat ze gemakkelijker een SIM-swapping-aanval kunnen uitvoeren.
Ontsnappen aan beveiligingsmaatregelen: Een aanvaller kan een SIM-swap gebruiken om tweefactorauthenticatie (2FA) te omzeilen en toegang te krijgen tot online accounts.
Spionage: Overheden of kwaadwillende actoren kunnen SIM-swapping gebruiken om de communicatie van doelwitten te bespioneren.
Wanneer wordt SIM-swapping gebruikt
SIM-swapping wordt gebruikt wanneer een aanvaller geïnteresseerd is in toegang tot het telefoonnummer van een slachtoffer, meestal om financiële winst te behalen, identiteitsdiefstal te plegen of gevoelige informatie te verkrijgen.
2FA met SMS is onveilig om verschillende redenen
Kwetsbaarheid voor SIM-swapping: Aanvallers kunnen 2FA-codes onderscheppen door de SIM-kaart van het slachtoffer over te nemen, wat het hele doel van 2FA ondermijnt.
Phishing: Aanvallers kunnen slachtoffers misleiden om hun inloggegevens en 2FA-codes vrijwillig af te staan via valse websites of e-mails.
Telefoonnummerherstel: Als een aanvaller toegang heeft tot het e-mailaccount van het slachtoffer, kan hij de 2FA-resetcodes gebruiken om het telefoonnummer van het slachtoffer te koppelen aan een andere SIM-kaart.
Voorbeelden van waarom 2FA met SMS onveilig is
SIM-swapping: Een aanvaller kan het telefoonnummer van het slachtoffer overnemen door de SIM-kaart te activeren op een andere telefoon, waardoor 2FA-codes naar hun apparaat worden doorgestuurd.
Phishing: Een slachtoffer kan worden misleid om zijn inloggegevens en 2FA-codes op een valse website in te voeren, waar de aanvaller ze kan vastleggen.
Telefoonnummerherstel: Als een aanvaller toegang heeft tot het e-mailaccount van een slachtoffer, kan hij de wachtwoordreset- en telefoonnummerherstelprocessen gebruiken om de 2FA te omzeilen.
Als gevolg van deze risico’s wordt 2FA via alternatieve methoden zoals authenticator-apps, hardwaretokens of biometrische verificatie vaak als veiliger beschouwd dan 2FA via SMS.