Skip to main content

Beste mensen van KPN,

 

Wat is er allemaal bekend over die zogenoemde "Simkaart-kaping", ook wel bekend als "SIM-swapping" of "nummerkaping"? Dit schijnt een vorm van fraude te zijn, waarbij criminelen een mobiel telefoonnummer overnemen. Ze stelen dus niet fysiek je simkaart uit je telefoon, maar zorgen ervoor dat jouw nummer wordt geactiveerd op een simkaart die zij in hun bezit hebben.

Hoe werkt simkaart-kaping precies?

Het proces van simkaart-kaping verloopt doorgaans in een aantal stappen:

  1. Verzamelen van persoonsgegevens: De oplichters verzamelen zoveel mogelijk persoonlijke informatie over jou. Dit kan via phishing (valse e-mails of websites om gegevens te ontfutselen), social engineering (mensen manipuleren om informatie prijs te geven), of door het gebruik van gelekte gegevens van eerdere datalekken. Denk aan je naam, adres, telefoonnummer, en soms zelfs je burgerservicenummer.

  2. Contact opnemen met de provider: Met de verzamelde informatie nemen de oplichters contact op met jouw mobiele provider (in jouw geval KPN). Ze doen zich voor als jou en beweren bijvoorbeeld dat je je telefoon bent kwijtgeraakt, dat je simkaart defect is, of dat je een nieuwe simkaart nodig hebt voor een nieuw toestel.

  3. Simkaart vervangen/activeren: Als de oplichters erin slagen de medewerker van de provider te overtuigen dat zij jou zijn, wordt jouw huidige simkaart gedeactiveerd en wordt jouw telefoonnummer overgezet naar een nieuwe simkaart die de oplichters al in bezit hebben (of die ze via de provider krijgen). Bij KPN worden nieuwe simkaarten in principe alleen naar het bij hen bekende adres gestuurd, wat een extra beveiligingslaag is. Echter, door middel van social engineering of andere trucs proberen oplichters dit te omzeilen.

  4. Misbruik van toegang: Zodra de oplichters jouw telefoonnummer in handen hebben, kunnen ze sms-berichten en telefoongesprekken onderscheppen. Dit is met name gevaarlijk omdat veel online diensten (zoals bankieren, sociale media, e-mail en DigiD) gebruik maken van tweestapsverificatie via sms (One Time Passwords - OTP's). De oplichters kunnen hiermee:

    • Wachtwoorden resetten van je online accounts.

    • Toegang krijgen tot je bankrekeningen en transacties uitvoeren.

    • Berichten versturen naar jouw contacten, zich voordoend als jij.

    • Identiteitsfraude plegen.

Hoe kun je merken dat je slachtoffer bent van simkaart-kaping?

  • Geen netwerkbereik meer: Je kunt plotseling niet meer bellen, sms'en of mobiel internetten, terwijl je geen problemen had met je toestel of simkaart. Dit is vaak het eerste en meest duidelijke teken.

  • Vreemde meldingen: Je ontvangt onverwacht berichten over veranderingen in je mobiele dienst.

  • Onverwachte transacties: Je ziet verdachte transacties op je bankrekening of creditcardafschrift.

  • Vreemde berichten naar contacten: Vrienden of familieleden vragen je naar vreemde berichten die je zou hebben verstuurd.

Wat kun je doen om je te beschermen?

  • Beveilig je persoonlijke gegevens: Wees voorzichtig met het delen van persoonlijke informatie online en via de telefoon.

  • Sterke en unieke wachtwoorden: Gebruik sterke, unieke wachtwoorden voor al je online accounts en wijzig deze regelmatig.

  • Tweestapsverificatie met een app: Gebruik waar mogelijk tweestapsverificatie via een authenticator-app (zoals Google Authenticator of Microsoft Authenticator) in plaats van sms. Deze codes worden gegenereerd op je eigen apparaat en zijn niet te onderscheppen via je telefoonnummer.

  • Wees alert op phishing: Klik niet zomaar op links in verdachte e-mails of sms'jes en download geen onbekende bijlagen.

  • Controleer je mobiele bereik: Als je plotseling geen bereik meer hebt, terwijl je weet dat er geen technische problemen zijn, neem dan direct contact op met KPN.

  • Informeer bij KPN: KPN heeft procedures om je simkaart te beveiligen en tegen dit soort fraude te beschermen. Vraag bij KPN na welke specifieke maatregelen zij nemen en hoe jij je nog beter kunt beveiligen. Ze versturen bijvoorbeeld een nieuwe simkaart alleen naar het geregistreerde adres.

Mijn vragen aan KPN: Wat is hier over bekend bij KPN, wat doet KPN hier tegen en zijn er al veel gevallen bekend van mensen die de dupe zijn geworden van deze zgn simkaart-kaping?

 

Vr.groet,

Ruud Bijkerk

Wat is hier over bekend bij KPN, wat doet KPN hier tegen

Een provider zegt niet over zijn veiligheidsmaatregelen om criminelen wijzer te maken als ze al zijn.

Het is goed dat je ons informeer, maar het is beter eigen tekst te gebruiken ipv van AI genereerde tekst te overnemen …

 

Dit is makkelijker geworden met e-sims, want dat is wat ze activeren. Het is dan ook belangrijk nooit de 2fa code door te geven als je niet zelf een sim swap hebt aangevraagd!

Waarom is het niet mogelijk om een extra controle in te bouwen of zelfs doormiddel van passkeys / hardware security keys extra beveiliging toe te passen? In theorie is het nu niet waterdicht en laat de techniek een hoop toe (al dan niet gedwongen, social engineering of op basis van beschikbare en publieke informatie).

 

Ik zou graag extra beveiliging aanzetten als dat mijn sim / account beter zou beschermen. 

Er zit al 2fa op met in de SMS heel erg expliciet vermeld de code niet door te geven en/of in te vullen als je die niet zelf hebt aangevraagd. De groep klanten die hier alsnog intrapt zal geen gebruik maken van de extra beveiligingsopties, daar waar jij er zeer waarschijnlijk niet in zal trappen. Er is simpelweg niet zoiets als waterdicht wat ook bruikbaar is voor gemiddelde klanten.

Dat klopt, alleen dat gaat er wel van uit dat mijn toestel bijvoorbeeld niet geinfecteerd is. Zal ook wel niet, zal wel alleen op “VIPs” gebeuren..

Maar nu is de keus er helemaal niet, en vertrouwen in de mobiel/nummer is tegenwoordig enorm. Hardware key (of locatie/verzin een maatregel enz) voorkomt dergelijke situaties. 

Theoretisch mogelijk, maar niet echt realistisch. Niet alleen zou je toestel dan gehacked moeten zijn wat, bij “normaal” gebruik niet zo heel waarschijnlijk is, maar de malware op de telefoon zou dan ook onder controle moeten zijn van dezelfde groep die de phishing site in de lucht brengt. We hebben het dan over een zeer specifieke targetted attack en niet over het soort phishing waar eigenlijk alle Sim Swapping onder valt. 

 

Dat gezegd hebbende kijken we uiteraard altijd naar mogelijke extra maatregelen en stappen, inhoudelijk kunnen wij hier echter niets over zeggen.

Om nog even een toevoeging op dit verhaal te geven in meer algemene zin: Wat erover bekend is bij KPN en hoeveel gevallen er bekend zijn kunnen (mogen) we niets over zeggen. De cijfers lijken niet schokkend hoog te zijn, maar meer detail dan dat kan ik er echt niet over kwijt. 

Om de vraag even om te buigen van "wat doet KPN" naar "wat zou KPN moeten/willen doen": 

De eerste stap van het misbruik (de berichten die rondgaan) is voor dit soort zaken vrij simpel tegen te houden. Ten eerste moet je een stukje spamfiltering op je SMS berichten kunnen hebben (iets wat ten eerste bijvoorbeeld zou kunnen zijn: filter berichten uit met linkje x erin, maar ook bijvoorbeeld: als een nummer vanuit het niets ineens erg veel sms-berichten verstuurd, staat er dan een linkje in, zo ja, verdacht). Het probleem hierbij is: de privacywetgeving (AVG) (of beter gezegd, de interpretatie ervan door de Nederlandse Toezichthouder, ACM) verbiedt dat. 

Ten tweede zouden we op ons internet netwerk (in de DNS bijvoorbeeld) alle domeinen kunnen blokkeren die in die phishing SMS berichten benoemd worden. Ook dat is heel simpel in te regelen (door bijvoorbeeld dezelfde maatregelen als waarvoor we zaken als the Piratebay blokkeren). Je raadt het al, ook daarvan zegt het ACM dat dat niet mag. 

Dit soort dingen zijn mij al jaren een doorn in het oog. Enkele maanden geleden was ik voor KPN op een conferentie die ging over online scams en fraude, en daar stond ik even te praten met de CEO van het Belgische cybersecurity center. Hij vertelde mij welke goeie/mooie dingen ze de afgelopen jaren daar allemaal al gedaan hadden, om de Belgische internetgebruiker te beschermen tegen online fraude en scam. Stuk voor stuk mooie maatregelen, maar allemaal zaken die wij in Nederland niet mogen van de privacy wet. Ik kan dus op dit moment ook niet anders concluderen dan dat onze Nederlandse toezichthouder met hun interpretatie van de AVG dit soort fraude in stand houdt. 

Toch voelt dat als een stap verder of andere discussie. Want inderdaad wil ik niet dat KPN voor mij gaat bepalen wat ik wel en niet mag bezoeken/ontvangen. Een simswap lock en/of betere mfa mogelijkheden (en dan is uiteraard even de vraag hoe je die er wel legitiem en met “dubbele” controle af krijgt) gaat daar wel op in. In ieder geval waar je voorkomt dat KPN/medewerker/kwaadwillende die actie ongewild voor je inzet.

Want inderdaad wil ik niet dat KPN voor mij gaat bepalen wat ik wel en niet mag bezoeken/ontvangen.

Natuurlijk kun je daarover discussieren of je dat wel of niet zou willen, en waarschijnlijk ben jij iemand die van mijlenver de scams van de legitieme berichten kan onderscheiden, maar voor niet iedereen geldt dat. Als we nu de spamfiltering op al onze klantmailboxen uit zouden zetten, dan heb je maarzo kans dat er klanten tussen zullen zijn die dat fijn vinden (mogelijk jijzelf ook), maar je weet dan ook dat ruim 90% van het klantenbestand in paniek schiet en zal klagen hierover. 

Ah nee ik bedoel ook juist keuze vrijheid. Al begrijp ik dat iedere keus ook weer een hoop drempels of onduidelijkheid met zich meebrengt. (bijv) Ouderen zijn soms zo bang gemaakt dat ze goede opties van bijvoorbeeld KPN ook niet meer vertrouwen. 

Maar zelfs dan zou je dat kunnen afvangen door een vragenlijst. Bij de aandelenbroker moet je ook een “examen” doen om zelf te mogen handelen. Dus ook daar zijn wel opties voor. Al komt alles met een prijs, dus begrijp dat het niet de hoogste prioriteit heeft. 

Vele verwisselen hier tussen sim-swapping en fishing. Met fishing krijgen de aanvaller persoonlijke informatie om onder andere een sim-swapping mogelijk te maken. Maar zoals vele hier onzorgvuldig klantennummer, IBAN en NAW-gegevens posten, hoeven aanvaller niet te fishen. Met de klanten gegevens moet de aanvaller klantservice overtuigen met een geloofwaardige verhaal om een nieuwe simkaart naar een ander adres te sturen (of de aanvaller heeft al PostNL overgenomen (zelfde wachtwoord) en de bezorgingsadres daar veranderen). Met de genoemde esim werkt het niet, omdat of de aanvaller moet de SMS naar de klant weet te onderscheppen (telefoon gehackt) of een iDeal betaling te kunnen voldoen (bankaccount gehackt), beide mogelijkheden zijn niet erg waarschijnlijk. Veel waarschijnlijker is een medeplichtige werkend bij KPN juiste afdeling en de SIM binnen KPN swapt (naar aanvaller SIM overdraagt). Maar in zulke afdeling met ingrijpend bevoegdheden wordt met zekerheid gemonitord en de medeplichtige moet deze beveiliging omzeilen. Juist hier verraad KPN of een andere provider niet hoe de beveiliging eruitziet.

Die rogue KPN medewerker is dan ook mijn grootste “angst”. Omdat je dat niet in de hand hebt. Daar zal allicht controle op zitten. Inderdaad phishing is wat anders en in veel gevallen ook totaal onzinnig. Alle gegevens van iedereen zijn allang gelekt. Daar hoeft een aanvaller geen moeite voor te doen. 

De vraag is vanaf wanneer een doelwit zinvol is om te gaan misbruiken. Is dat inderdaad alleen een VIP of is dat bijvoorbeeld ook een consument met baan/toegang/cryptowallet enz?

Goedendag,

 

Ik heb hier twee minderjarige dochters die te pas en te onpas op alles klikken wat ze maar kunnen.

 

Bestaat er een mogelijkheid dat iemand van KPN de telefoonnummers van de oplichters hier post?

Dan kan ik die nummers blokkeren op al onze mobieltjes hier.

 

Alvast bedankt.

 

Leo

In principe heeft dat geen zin, nummers kunnen gespoofed (zelf gekozen nummer als beller) zijn.

Wat opzich wel een mooie beveiliging zou kunnen zijn is een ander DNS server gebruiken, al dan niet via app of profiel. Zeker niet waterdicht, maar biedt wel een mooie extra laag aan beveiliging. Zijn allerlei aanbieders, bijvoorbeeld nextdns, controld enz (allen met eigen voor/nadelen. Wel/niet EU enz).

 

(vaak wel enige configuratie nodig en bij blokkade werkt een site dus geheel niet. Niet altijd even gebruikersvriendelijk..)

In principe heeft dat geen zin, nummers kunnen gespoofed (zelf gekozen nummer als beller) zijn.

Nee, spam blokker kan middels meegestuurde beller informaties spoofing identificeren. Kijk hier hoe het werkt.

Bestaat er een mogelijkheid dat iemand van KPN de telefoonnummers van de oplichters hier post?

Posten van nummers heeft geen zin, iemand kan een nieuwe prepaid kopen of zelfs de nummer faken.

Dan kan ik die nummers blokkeren op al onze mobieltjes hier.

TrueCaller is een goede blokker voor iPhone en Android, als je een gratis (of zonder reclame) wil, Android Call/SMS blocker

In principe heeft dat geen zin, nummers kunnen gespoofed (zelf gekozen nummer als beller) zijn.

Nee, spam blokker kan middels meegestuurde beller informaties spoofing identificeren. Kijk hier hoe het werkt.

Eens, was ook meer om aan te geven dat het een lastig punt is. Want er zijn tal van andere mogelijkheden om toch berichten te ontvangen. Want als ze overal op klikken, is dat ook online of via mail, app enz. 

 

Reageer


De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank

...

Community voorwaarden