SIM Swap-fraude: hoe Japan nul gevallen bereikte en wat u kunt leren

In 2022 werd Japan geconfronteerd met een scherpe stijging van SIM swap-fraude. Criminelen gebruikten vervalste identiteitskaarten om vervangende SIM-kaarten te krijgen bij winkels van mobiele providers, kaapten telefoonnummers en plunderden bankrekeningen en crypto-wallets door SMS-verificatiecodes te onderscheppen.

Het resultaat: sinds mei 2023 zijn er nul gemelde gevallen van SIM swap-fraude in Japan.

Wat is SIM Swap?

SIM swap is een aanval waarbij een crimineel uw mobiele provider overhaalt om uw telefoonnummer over te zetten naar een nieuwe SIM-kaart die hij controleert.

De aanvalsketen

1. Gegevens verzamelen — Phishing, sociale media, datalekken
2. Identiteitsvervalsing — Valse documenten maken
3. Bezoek aan providerwinkel — Zich voordoen als slachtoffer
4. SMS onderscheppen — Alle berichten gaan naar de aanvaller
5. Accountovername — Toegang tot bank, e-mail, crypto-exchange

Hoe Japan het oploste

1. Elektronische IC-chipverificatie

Providerwinkels moesten de IC-chip in de identiteitskaart elektronisch verifiëren. Vervalste kaarten slagen niet voor deze controle.

2. Strengere providerprocedures

Alle grote providers vereisen persoonlijke identiteitsverificatie voor SIM-wijzigingen.

3. Coördinatie overheid-politie

Het ministerie herzag de richtlijnen, de politie ontmantelde vervalsingsateliers.

Waarom u in Nederland ook moet oppassen

In Nederland verwerken providers SIM-wijzigingen doorgaans met goede verificatie, maar het risico is niet nul — vooral bij social engineering.

Risicofactor	Details
SMS is inherent onveilig	Het SS7-protocol heeft bekende kwetsbaarheden
Menselijke factor	Medewerkers kunnen worden misleid
Buitenlandse reizen	Uw SIM kan in het buitenland worden aangevallen
WhatsApp gekoppeld aan nummer	Nummer kwijt = WhatsApp kwijt

Hoe u uzelf beschermt

Gebruik authenticatie-apps

• Google Authenticator — Gratis, eenvoudig
• Microsoft Authenticator — Met cloudback-up
• Authy — Ondersteuning voor meerdere apparaten

Gebruik passkeys

FIDO2-gebaseerde passkeys zijn niet afhankelijk van uw telefoonnummer en bestand tegen phishing.

Bewaar back-upcodes veilig

Doe dit niet:

• Naar uzelf sturen via WhatsApp
• Onbeschermd opslaan in Notities
• In een e-mailconcept laten staan

Doe dit wel:

• Op papier schrijven en in een kluis bewaren
• In een wachtwoordmanager
• In een versleutelde memo op LOCK.PUB

LOCK.PUB laat u een met wachtwoord beveiligde versleutelde memo maken. Zelfs de servers van LOCK.PUB kunnen de inhoud niet lezen.

Beveiligingschecklist

Actie	Gedaan?
Bank-SMS-verificatie overgeschakeld naar authenticatie-app	☐
Crypto-exchange beveiligd met app-gebaseerde 2FA	☐
Back-upcodes op een veilige plek opgeslagen	☐
Passkeys geactiveerd op hoofdaccounts	☐
2FA op sociale media gecontroleerd	☐
Sterke PIN ingesteld bij mobiele provider	☐
Onnodige persoonlijke informatie verwijderd van sociale media	☐

Lessen uit Japan

1. Stop met afhankelijkheid van SMS — Gebruik authenticatie-apps en passkeys
2. Bescherm uw herstelcodes — Sla ze versleuteld op, zoals op LOCK.PUB
3. Beheer uw persoonlijke gegevens — Deel minder op sociale media
4. Blijf op de hoogte — Dreigingen evolueren voortdurend

---

Een veilige plek nodig voor uw back-up authenticatiecodes? Probeer de met wachtwoord beveiligde versleutelde memo van LOCK.PUB.