Waarom kan je telefoonnummer veel waard zijn voor criminelen?

In dit artikel lees je hoe criminelen op deze manier aan gevoelige persoonsinformatie kunnen komen, waarvoor ze het gebruiken en — misschien wel belangrijker — hoe je kunt voorkomen dat je zelf slachtoffer wordt.

Misschien heb je er nog nooit bij stilgestaan, maar je 06-nummer is veel meer dan een getallenreeks waarop mensen je kunnen bellen. Het is voor steeds meer digitale zaken ook een middel geworden waarmee je jezelf kunt identificeren. Stel: je vergeet een keer je wachtwoord. Dan is het handig om via je telefoonnummer aan te kunnen tonen dat jij de eigenaar van het account bent. Om dat te controleren, kunnen bedrijven je een verificatiecode sms’en. Alleen de eigenaar van het telefoonnummer kan de code zien. Deze beveiligingsmethode wordt ook wel tweestapsverificatie genoemd.

Tweestapsverificatie moet je account dus veiliger maken. Waar je voor het veranderen van je Facebook-wachtwoord eerder alleen toegang tot je email nodig had, moet je nu ook met je telefoonnummer aantonen dat je geen hacker bent. Het maakt het voor criminelen lastiger toegang te krijgen tot je gegevens. Vergelijk het met een kettingslot waarmee je je fiets voor een tweede keer op slot kunt zetten.

Maar ook telefoonnummers zijn te stelen, bijvoorbeeld door de simkaart uit een gestolen telefoon te halen. Het gebeurde tot voor kort veelvuldig in de Braziliaanse stad Sao Paulo, waar onlangs een bende iPhone-dieven werd opgerold. Als het simkaartje eenmaal is bemachtigd, is het niet moeilijk de telefoons binnen te dringen, biechtten de dieven later aan de politie op.

Hoe ze dat deden? Het simkaartje werd in een ander toestel gestopt. Vanaf dat apparaat probeerden de criminelen de AppleID (een soort sleutelhanger met wachtwoorden) van de eigenaren binnen te dringen. Daar hadden ze alleen het e-mailadres van de gebruiker nodig, maar die was vaak gemakkelijk via internet te vinden. Wanneer ze eenmaal toegang hadden tot de AppleID, kregen ze ook weer toegang tot het gestolen telefoontje. Zo konden onder andere cryptovaluta en andere gevoelige informatie gestolen worden.

“Op zichzelf zijn telefoonnummers niet zo veel waard”, zegt internetexpert Danny Mekic. “Ze zijn namelijk ook te raden.” Volgens hem wordt het voor criminelen pas interessant als ze er meer informatie bij krijgen. “Denk aan de naam van de eigenaar, zijn e-mailadres en zijn werkgever. Zulke gegevens, die bijvoorbeeld door een datalek openbaar kunnen worden, maken een telefoonnummer meer waard.”

Die informatie is handig voor criminelen die zich als jou voor willen doen. Bijvoorbeeld wanneer ze een provider vragen je telefoonnummer op een andere (lees: zijn) simkaart over te zetten: ook wel sim-swapping genoemd. Normaal gesproken zou dat nooit kunnen, want hier heb jij helemaal geen toestemming voor gegeven. Maar deze criminelen hebben soms zoveel informatie, dat de provider gelooft dat jij belt.

Mensen die het slachtoffer worden van sim-swapping, kunnen flink in de problemen komen. Sommige websites of apps maken het mogelijk om via je telefoonnummer het wachtwoord van accounts te resetten. Als iemand dan dus toegang heeft tot je telefoonnummer door simswapping of je simkaart te stelen, kan iemand op die manier dus ook toegang krijgen tot dat soort accounts.

Ook hierbij is het voor criminelen wel van belang dat ze extra informatie hebben. Weten ze bijvoorbeeld je e-mailadres niet, dan is het ook mét je telefoonnummer lastig om iets als je iCloud binnen te dringen.

Er zijn meer trucs die fraudeurs kunnen gebruiken om aan zulke gegevens te komen. Zo waarschuwt de Fraudehelpdesk voor oplichters die via Instagram zogenoemde sms-wedstrijden promoten.

De fraudeurs vragen nietsvermoedende mensen of ze mee willen doen aan een sms-wedstrijd. Daar hebben ze vervolgens je telefoonnummer voor nodig, is het verhaal. Mensen die hun telefoonnummer geven, ontvangen vervolgens een code. Wat ze daarbij niet doorhebben, is dat het om een beveiligingscode gaat waarmee de fraudeurs bepaalde uitgaven kunnen doen.

Is het nog wel veilig om accounts met je telefoonnummer te beveiligen. “Niet echt”, vindt Mekic. “SMS-berichten kunnen worden onderschept en mensen kunnen de sms-code aflezen van je telefoon. Daarnaast lijkt sim-swapping dus ook vaker voor te komen. Je kunt beter een authenticator app te gebruiken, zoals Google Authenticator of Authy.”

Een andere tip is om gebruik te maken van een digitale, tweede simkaart. “Je kunt ervoor kiezen om het telefoonnummer van die simkaart alleen voor online websites te gebruiken. Je eigen nummer kun je dan nog gebruiken voor werk en vrienden. Hiermee zorg je ervoor dat de kans kleiner wordt dat mensen aan je echte nummer komen.”