Telecomproviders adviseren om extra maatregelen te nemen na de berichtgeving van RTL Nieuws over de nieuwe hack-methode sim-swapping.
Dat blijkt uit een rondgang van onze redactie bij de grootste telecomproviders van Nederland. Providers T-Mobile en Vodafone raden streng aan om een “extra wachtwoord” in te stellen die als extra beveiligingscheck wordt gebruikt in contact met de klantenservice.
Andere providers ontkennen dat hun klanten zijn getroffen door sim-swapping, maar lichten hun beveiligingsmaatregelen toe.
Op deze pagina zetten we de reactie van alle providers in Nederland op een rij, zodat jij als klant weet wat de maatregelen zijn van jouw telecomprovider.
T-Mobile
Provider T-Mobile vertelt dat “we op dit moment het wachtwoord bij klantcontact als extra check hebben ingevoerd. Dit is een eigen gekozen wachtwoord en zal altijd worden opgevraagd door de medewerker die je spreekt. Dit gebeurt in de winkel, aan de telefoon, via Social Media en via het Community-forum.” T-Mobile adviseert om zo snel mogelijk een extra wachtwoord als beveiligingscheck in te stellen. Dit kan door contact op te nemen met de klantenservice.
Naast het extra wachtwoord “worden er ook strenge identiteitschecks uitgevoerd bij situaties waarin het om een simkaart gaat. Dit is een zeer sterke maatregel. We stellen hierin vragen die alleen de contractant kan weten. Als blijkt dat hier fraude wordt gepleegd, dan kan daar ook een melding van worden gemaakt.”
Een derde beveiligingstrap loopt via My T-Mobile. “Je moet als gebruiker in je My T-Mobile-account ingelogd zijn om geholpen te kunnen worden met vragen waarbij jouw gegevens ingezien moeten worden. Als je ingelogd bent zonder account kun je of doorverwezen worden, of er wordt via een privé-bericht een identiteitscheck gedaan. Iedereen die in contact staat met onze klanten weet hoe streng we moeten controleren op dergelijke gevallen. Dit was altijd het geval en is nu (met het nieuws omtrent sim swapping) dus ook zeker zo.”
Vodafone
Ook Vodafone geeft aan dat er een “uitgebreide identiteitscontrole wordt gedaan wanneer er contact wordt opgenomen met de klantenservice”. Dit lijkt echter niet voldoende veilig, zo blijkt uit onderzoek van RTL Nieuws. Wanneer de hacker de beschikking heeft gekregen over persoonlijke informatie zoals een volledig naam, geboortedatum, adres en bankrekeningnummer kan deze check omzeilt worden.
Ook bij Vodafone is het daarom mogelijk om een “extra wachtwoord” in te stellen. Iedere keer dat je een wijziging wil aanbrengen in je contract wordt dit wachtwoord gevraagd. Ook maakt Vodafone gebruik van sms-verificatie als extra beveiligingsstap. Een extra wachtwoord instellen kan door contact op te nemen met de klantenservice van Vodafone.
KPN
Na interne navraag meldt een woordvoerder van KPN: “Onze maatregelen zijn erop gericht om dit soort vormen van fraude tegen te gaan. Daarvoor maken we ook gebruik van een aantal verificatiemethoden, die zorgen ervoor dat deze vorm van fraude bij KPN op dit moment niet of nauwelijks aan de orde is, maar vanzelfsprekend zijn en blijven we hier alert op.”
KPN biedt geen mogelijkheid om een extra wachtwoord in te stellen. Wel worden er dus strenge beveilingschecks gedaan wat betreft je identiteit, zoals een verplichte sms-verificatie bij een verzoek tot wijziging van het contract. KPN raadt aan om “indien mogelijk je telefoonnummer zo min mogelijk bloot te geven op alle online kanalen”.
Tele2
Terwijl RTL meldde dat vooral T-Mobile en Tele2-klanten het slachtoffer lijken te zijn van sim swapping, reageert Tele2 ontkennend: “we hebben in de afgelopen tijd geen meldingen ontvangen van klanten die aangeven deze situatie te hebben meegemaakt. Ondertussen communiceren we actief en waarschuwen we voortdurend voor phising-activiteiten.”
De meeste sim-wissels gaan via de online portal van Tele2. Een hacker zou met behulp van het juiste wachtwoord en identiteitsgegevens dus in theorie een nieuwe simkaart kunnen aanvragen. Als advies geeft Tele2: “Zorg dat je jouw wachtwoord regelmatig wijzigt.” Daarnaast geeft de provider aan diverse strenge identiteitschecks te doen voordat een simwissel wordt geaccepteerd. Het is vooralsnog niet mogelijk een extra wachtwoord in te stellen bij Tele2.
Simyo
Sim only provider Simyo, jarenlang uitgeroepen tot beste provider van Nederland door de Consumentenbond, stelt dat sim-swapping bij hen onmogelijk is. “Bij Simyo is het namelijk niet mogelijk om een nummer over te zetten op een andere simkaart. Dit is op geen enkele wijze mogelijk te doen.
De enige manier om je nummer op een andere simkaart te zetten is door middel van een nummerbehoud aanvraag. Bij nummerbehoud ontvang je een smsje op je eigen nummer met een code. Deze code dien je terug te sturen in een smsje naar dat zelfde nummer. Het is dus onmogelijk dat iemand anders via de klantenservice of via nummerbehoud jouw nummer over kan laten zetten op een willekeurige simkaart.”
Simyo stelt bovendien dat bij iedere wijziging je per mail op de hoogte wordt gesteld. Wanneer er wordt getracht wijzigingen aan te brengen in het contract zal je dan ook altijd automatisch op de hoogte worden gebracht.
Youfone
Ook Youfone geeft aan dat sim swapping bij hen niet is voorgekomen: “Youfone heeft geen signalen ontvangen dat dit is voorgekomen bij haar klanten, maar waakt hier uiteraard wel voor. Wij verstrekken namelijk geen prepaid simkaarten aan particulieren, deze zijn altijd gekoppeld aan een telefoonnummer. Dit betekent dat een simkaart alleen op verzoek besteld kan worden via MyYoufone of telefonisch bij de klantenservice.
My Youfone beschermd
De My Youfone omgeving is beschermd, om hier in te loggen heb je namelijk de betreffende inloggegevens nodig. Bij een telefonische aanvraag controleert Youfone aan de hand van verschillende persoonlijke gegevens (bijvoorbeeld adres, e-mailadres en geboortedatum) of de klantenservice de contracthouder aan de lijn heeft.
Het is belangrijk om te zorgen als consument zijnde dat de gegevens altijd up te date zijn, op deze manier kan je misbruik sneller voorkomen. Ook een sterk wachtwoord voor de online omgeving helpt bij het voorkomen van fraude.”
Sim-wissel niet mogelijk op bestaande kaart
Een sim-wissel op een bestaande simkaart is bij Youfone niet mogelijk. “Na een wijzigingsverzoek wordt altijd een nieuwe simkaart naar het bij Youfone bekende adres gestuurd. Mocht iemand het adres wijzigen (dit kan enkel telefonisch, per mail of via de My Youfone account), kunnen wij in onze administratie ook altijd het adres waar de simkaart naar toe is gestuurd achterhalen.
Tevens wordt bij een wijziging altijd een bevestiging gestuurd per e-mail, zodat de contracthouder altijd op de hoogte is van eventuele wijzigingen. Nadat de simkaart is verstuurd, kan de klant de simkaart telefonisch of via MyYoufone activeren.
Er zijn dus twee stappen nodig bij Youfone om een nieuwe simkaart te koppelen aan een telefoonnummer.
Op deze wijze proberen wij bij Youfone deze vorm van fraude zoveel mogelijk te voorkomen,” aldus de provider.
Robin Mobile
Sim only provider Robin Mobile geeft aan dat het fenomeen sim-swapping al jaren bestaat. “Er zijn sinds de start van Robin Mobile echter geen gevallen bekend van sim-swapping en dat komt omdat het bij ons in principe niet mogelijk is om een nummer achteraf over te zetten naar een simkaart die iemand al in z’n bezit heeft.
Een nummer kan namelijk alleen maar worden overgezet op een simkaart die Robin Mobile zelf uitgeeft bij aanmelding en dus niet op een simkaart die eventueel al bij iemand in het bezit is. Een mobiel nummer achteraf overzetten naar een andere, voor ons onbekende simkaart is daarnaast technisch niet mogelijk bij ons. We weten dat dit bij andere providers wel mogelijk is.”
Geen telefonische ingang
Daarnaast heeft Robin Mobile geen telefonische ingang, zodat kwaadwillenden eventueel telefonisch informatie kunnen krijgen over klanten, dan wel een nieuwe SIM kaart aan kunnen vragen. “Zo is het alleen voor de klant zelf mogelijk bij verlies of diefstal eventueel een nieuwe SIM kaart aan te vragen via een geautomatiseerd proces, niet telefonisch en niet via andere klant-ingangen.
De beveiligingsmaatregelen die we hanteren om de privacy van klanten te beschermen, daar kunnen we geen uitspraken over doen. Maar wij doen geen SMS verificatie, juist ook vanwege de risico’s die hieraan kleven. SMS verificatie is erg fraudegevoelig, onveilig en kan op een later moment door iemand anders (kwaadwillende) gelezen worden. We hebben dan ook nooit gebruik gemaakt van deze verificatie methode.”
Algemeen advies
Tot slot geeft Robin Mobile nog een algemeen beveiligingsadvies: “Zorg altijd dat je je inlog gegevens van allerlei apps veilig bewaard en wees voorzichtig met verificatie van apps via je mobiele nummer, bijvoorbeeld via SMS.
Het lijkt heel handig, maar ook al wordt je mobiele nummer niet middels sim-swapping gestolen, dan nog is een mobiel nummer geen goede en veilige verificatiemethode! Iemand die je telefoon te pakken krijgt kan je SMS berichten lezen.
Doe je toch verificatie van apps via je mobiele nummer en koppel je je mobiele nummer aan bepaalde apps, wis deze dan direct na het ontvangen van de verificatie SMS zodat kwaadwillenden deze niet achteraf kunnen lezen.”
Hollandsnieuwe
Sim only provider Hollandsnieuwe vindt het gevaar van sim-swapping wel mee vallen en stelt:
“Sim-swapping is het vervangen van een oude simkaart met een nieuwe simkaart. Dit kan gebeuren voor verschillende redenen.
De grootste redenen zijn als de oude simkaart niet meer in het bezit is vanwege verlies of diefstal of de simkaart in het bezit heeft een probleem of doet het niet meer. Voordat wij een sim-swap uitvoeren doen wij altijd een verificatie met de klant. Ook controleren wij het adres zodat de simkaart goed terecht komt. Sim-swapping voorkomen is lastig te doen omdat de omstandigheden niet te voorzien of voorspellen zijn.
Er wordt dagelijks regelmatig om een sim-swap gevraagd door klanten voor verschillende redenen. De grootste redenen eerder genoemd. Sim-swapping is geheel veilig en lost juist problemen op die een klant met zijn of haar abonnement kan hebben. U hoeft u dus geen zorgen te maken over sim-swapping,” aldus dus virtuele provider.
Simpel
Provider Simpel stelt in een reactie: “Simpel biedt haar abonnees de mogelijkheid om een nieuwe simkaart aan te vragen (simswap). Wij zijn ons ook bewust van het feit dat er door onbevoegden wordt geprobeerd om een simswap uit te voeren. Naar aanleiding van dit fenomeen heeft Simpel extra beveiligingsmaatregelen getroffen. Wij kunnen geen mededelingen doen over deze maatregelen om deze zo vertrouwelijk mogelijk te houden en daarmee onze abonnees optimaal bescherming te blijven bieden tegen misbruik.
Direct contact bij sim-swap
In elk geval wordt er bij een mogelijke onbevoegde simswap direct contact opgenomen met de betrokken abonnee. In het geval van identiteitsfraude wordt dit ook gemeld bij andere betrokken partijen en de privacy toezichthouder autoriteit persoonsgegevens.
Om identiteitsfraude of misbruik te beperken is het van belang voor gebruikers om wachtwoorden en inloggegevens zo vertrouwelijk mogelijk te houden en deze niet te delen met anderen. Daarnaast is het ook raadzaam om wachtwoorden regelmatig te wijzigen en niet dezelfde wachtwoorden te gebruiken.”
Overige providers
Telfort stelt ook strenge identiteitchecks te hebben, daarnaast wordt er bij een contractwijziging altijd een verificatiecode via sms verstuurd. Dit voorkomt dat een hacker het nummer kan overzetten zonder dat jij zelf daarvoor toestemming hebt gegeven.
De provider stelt: “Onze maatregelen zijn er actief op gericht om dit soort vormen van fraude tegen te gaan. Daarvoor maken we gebruik van een aantal strenge verificatiemethoden, die zorgen ervoor dat deze vorm van fraude bij Telfort op dit moment niet of nauwelijks aan de orde is, maar vanzelfsprekend zijn en blijven we hier alert op.”
Algemene beveiligingstips
Als redactie zetten we vier algemene beveiligingsmaatregelen op een rij die je kunt treffen om sim-swapping te voorkomen.
1. Stel een extra wachtwoord in
Om jezelf te beschermen tegen sim-swapping kan bij T-Mobile en Vodafone dus een ‘extra wachtwoord’ worden ingesteld. Dit wachtwoord wordt gevraagd in het contact met de klantenservice, dat houdt een groot deel van de sim-swap-aanvallen tegen.
Benut deze beveiligingsstap en activeer het wachtwoord door contact op te nemen met de klantenservice van beide providers.
2. Verwijder je telefoonnummer van online accounts
Daarnaast is het belangrijk dat je je telefoonnummer van zoveel mogelijk online accounts verwijdert. Bij veel accounts zorgt je 06-nummer voor een extra beveiliging (twee-staps-verificatie), bijvoorbeeld omdat je een sms-code moet invoeren na het inloggen.
Het is verstandig om die extra beveiliging op een andere manier in te stellen zodat het kraken van het account door sim-swapping niet mogelijk is.
3. Gebruik een twee-factor-verificatie app
Als alternatief kan er gebruik worden gemaakt van een zogeheten authenticator-app, zoals Google Authenticator. Hiermee kun je vervolgens veilig inloggen bij o.a. Google, Microsoft, Twitter, Facebook, Instagram en Dropbox.
Met de gratis app ‘Authy’ kun je de inlogcodes voor deze online diensten opslaan en op meerdere apparaten bereiken.
4. Bestel een fysieke beveiligingssleutel
Een nog veiligere manier is om gebruik te maken van zogeheten security keys. Dit zijn fysieke beveiligings-sleutels die je in de usb-poort van een laptop of desktop stopt. De online dienst controleert of het de juiste sleutel is, en de sleutel weet of je inlogt bij de juiste online dienst.
Experts raden een combinatie van een security key en inlogcodes via de authenticator-app aan om je optimaal te beschermen tegen sim-swapping.
Een voorbeeld van een goede beveiligingssleutel is de Titan Security Key van Google of de security key van Yubico.