Op wie hebben de hackers het niet gemunt? Cybercriminelen bedreigen niet alleen nieuwe ‘doelgroepen’, ze zetten ook continu nieuwe middelen in. Het nieuwste wapen: sim-swapping.
Vliegtuigmaatschappijen, banken, financiële instellingen, multinationals, zelfs telecomproviders , ze moeten er allemaal aan geloven. Bij deze laatste groep is er sprake van een nieuwe ’tak van sport’, genaamd sim-swapping.
Hoe gaat dat in vogelvlucht in zijn werk? Vraagt de fraude om flink wat research en voorbereiding van de hacker, de inbraak zelf vindt op betrekkelijk eenvoudige wijze plaats. Na het maken van zijn huiswerk heeft de hacker niet alleen informatie als adres, geboortedatum en geboorteplaats achterhaald, ook heeft hij soms de laatste cijfers van het rekeningnummer van het slachtoffer boven water gekregen.
Dan belt hij de telecomprovider om op te geven dat zijn simkaart (die van het slachtoffer dus) het begeven heeft of gestolen is. Het normale protocol wordt doorlopen en (gebruikelijke) beveiligingsvragen beantwoord. Ook hierop is de hacker voorbereid.
Na verificatie verzoekt de hacker om het mobiele nummer over te schrijven op een nieuwe simkaart. Daar begint de ellende. Alle berichten en sms’jes worden doorgestuurd, waarna de hacker ook toegang krijgt tot de onlineaccounts gekoppeld aan het 06-nummer. We hebben het hier dan niet alleen over ‘slechts’ mail en sociale media, waarbij wachtwoorden zijn te veranderen, maar ook over betaaldiensten.
Gezien de macht die de hacker op het slachtoffer uitoefent, is sim-swap-fraude dan ook uiterst bedreigend.
Wapenen
Wat te doen om je hier tegen te wapenen?
Gebruikers moeten voorzichtig zijn met het gebruik van sms als hun primaire vorm van twee-factor-authenticatie. Er zijn veel problemen met sms als twee-factor-oplossing. Veel financiële instellingen zijn al begonnen met de overstap naar mobiele push-meldingen, die inherent veiliger zijn dan sms.
Mobiele push-meldingen hebben als voordeel dat ze zijn te beschermen met applicatiebeveiligingstechnologie. Daarbij komt dat banken een sterkere interface hebben om zaken te doen met hun klanten.
Consumenten moeten controleren of hun bank al een mobiele app aanbiedt en vervolgens zo snel mogelijk twee-factor-push-authenticatie inschakelen, terwijl de authenticatie via twee-factor-sms wordt uitgeschakeld. Sms is een goede methode om gebruikers op de hoogte te brengen van rekeningnotificaties, zoals accountwijzigingen en transacties, maar het mag niet worden gebruikt om geprivilegieerde toegang mogelijk te maken.
Balanceren
Veel financiële instellingen balanceren tussen de veiligheidsoplossing en de acceptatie van de oplossing door hun gebruikers. Gebruikersgemak versus veiligheid is een klassieke tweeledige hindernis. In het huidige veiligheidslandschap moeten banken vooral kijken naar het implementeren van beveiligingsoplossingen die het juiste beveiligingsniveau op het juiste moment bieden.
Banken kunnen gegevens uit verschillende bronnen gebruiken in de interactie met hun klanten om beter zicht te krijgen op het waargenomen risiconiveau van de bank. Zodra zij het risiconiveau hebben vastgesteld, zijn nauwkeurige beslissingen te nemen over hoe dat risico is te beperken. Vereist het bijvoorbeeld een push-melding, dan kan een transactie eenvoudigweg worden verwerkt zonder extra interactie met de gebruiker. In andere gevallen is een eenvoudig te gebruiken biometrische vingerafdruk noodzakelijk of misschien wel een veiligere biometrische methodiek, zoals een scan van gezicht of stem.
Al deze technologieën moeten op tafel liggen, zodat een bank ze op elk moment van de reis van haar digitale gebruikers kan inzetten om sim-hackers voor te zijn. Sim-swappen mag dan gelden als een nieuwe opkomende trend zijn, die trend is tegelijkertijd – mits de juiste stappen worden gezet – toch gemakkelijk te voorkomen.
