Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Politie arresteert drie verdachten van simswapaanval op T-Mobile

Het Limburgse cybercrimeteam van de politie heeft een simswapnetwerk opgerold dat tientallen telefoonnummers van T-Mobile-klanten wist over te hevelen om zo voor tienduizenden euro's aan cryptomunten buit te maken. Drie verdachten zijn aangehouden.

Het cybercrimeteam van de politie Limburg hield dinsdag drie verdachten aan die betrokken zouden zijn bij het stelen van tientallen telefoonnummers van klanten van T-Mobile. Via simswapping wisten zij de nummers over te zetten naar andere telefoons, waarna zij bitcoins konden stelen van de eigenaars van de telefoonnummers doordat ze na de simswap verificatie-sms'jes konden onderscheppen van accounts van onlinecryptowallets.

De drie verdachten, een 21-jarige man uit Stein, een 21-jarige man uit Elsloo en een 23-jarige man uit Heerlen, zouden deel uitmaken van een simswapnetwerk gekoppeld aan een T-Mobilewinkel in Heerlen. Eind februari werden al drie medewerkers van de winkel aangehouden na een klacht van T-Mobile. Zij werden verdacht van het installeren van software die op afstand computers van T-Mobile kon overnemen, om zo telefoonnummers op te zoeken en klantgegevens in te zien. In maart deed de politie een inval in een telefoonwinkel in het Limburgse Vaals. Vandaaruit hadden criminelen toegang tot het dealersportaal TAS van T-Mobile. Via dat dealersportaal konden tientallen 06-nummers overgenomen worden.

Die inval in maart heeft geleid tot de aanhoudingen van dinsdag. Sporen op in beslag genomen apparatuur zouden naar de drie verdachten hebben geleid. Zij zouden de simswaps hebben uitgevoerd, zegt NRC. De drie worden verdacht van computervredebreuk en witwassen. Ze kunnen drie tot zes jaar gevangenisstraf krijgen. Bij de verdachten werd contant geld in beslag genomen. Hoeveel precies wil de politie niet zeggen.

NRC schrijft dat van slachtoffers voor tienduizenden euro's aan cryptomunten is gestolen. T-Mobile heeft de meeste slachtoffers deels gecompenseerd, maar de provider acht zich niet verantwoordelijk voor onlineaccounts die met een sms-code beveiligd zijn. T-Mobile raadt het gebruik van sms voor 2fa af voor waardevolle accounts.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Stephan Vegelien

Redacteur

21-07-2021 • 13:49

66 Linkedin

Submitter: Doane

Reacties (66)

Wijzig sortering
Ik heb een tijd voor T-mobile gewerkt en daarom weet ik dat vrijwel elke medewerker dit in zijn eentje voor elkaar kan krijgen.

Het is geen enkel probleem om in het t-mobile systeem een simkaart te swappen met letterlijk elke andere simkaart die je wil. Het enige wat je daarvoor nodig hebt is het 06-nummer en het nieuwe simkaartnummer. 2 minuten wachten en de nieuwe simkaart is gekoppeld aan het account van het slachtoffer. Dit kunnen ze in de winkel en op de klantenservice allemaal. De rede hiervoor is dat als een klant naar de winkel komt met het verzoek een nieuwe simkaart te installeren deze natuurlijk gekoppeld dient te worden. Maar het is wel fraudegevoelig.

Het verhaal wat hier wordt opgehangen lijkt mij ook vrij sterk. Wat ik denk is dat de oplichters het adres van de slachtoffers kende of het 06-nummer. Een van de twee heb je nodig voor het account. Vervolgens een t-mobile winkel medewerker zo ver hebben gekregen om de simkaart te swappen en af te geven aan de criminelen. Klaar = Kees. Daar heb je geen gekke software voor nodig.

[Reactie gewijzigd door robster! op 21 juli 2021 14:26]

Reageer
Bizar dat hier geen 4-eyes principe voor geldt bij T-Mobile (en waarschijnlijk de andere providers)

Daarnaast, als ik zie hoe makkelijk het is om via online tools via je camera een legitimatiebewijs te checken dan zou dit toch ook wel in de processen van telco's moeten passen.
Reageer
Heeft niets te maken met 4 ogen princiepen. Het heeft te maken met gebruikers indentificatie.

Bij simkaart wissel laat de gebruiker ter dirigistisch bv 1 ct overboeken die de telecom bedrijf in mindering brengt op factuur eerst volgende maand.

Bank rekening nummer moet overeenkomen met rekening nummer die de afschrijving doet.
Heb je het nummer niet bij de hand ivm diefstal of verlies? Dan zijn er ook andere mogelijkheden zoals lokaal pinnen.
Reageer
Leuk, maar om die cent over te boeken moet je mobiel bankieren hebben, en die heb je niet meer omdat je telefoon kwijt is en daarvoor vraag je een nieuwe SIM aan. Zeker in Corona-tijd wilden de providers niet moeilijk doen en mensen snel helpen. Daarmee werden ze te slordig.

Zonder identificatie zouden er al twee simpele checks mogelijk zijn die T-mobile niet uitvoert, als ik de artikelen me kan herinneren:
- log reactief je dealers en medewerkers. Vlag medewerkers die verdacht veel swaps uitvoeren.
- is de SIM nog actief? Bel dan de klant op. Laat de andere kant van de lijn ìets verifiëren. Bij twijfel, mag de klant die voor je staat/opbelt met de swap-aanvraag, een politie-aangifte tonen.
Reageer
Wat ik zeg swap kan ook middels een overschrijving middels bankpasje daarvoor heb je geen telefoon nodig.

Is check zou al helemaal noodzakelijk moeten zijn.

Dan heb je twee factoren.

Aangifte is niet mogelijk bij verlies of defect.
Reageer
er zijn 3 opgepakt, dus ook 4 eyes zou niet gewerkt hebben....
Reageer
tenzij ze allemaal maar één oog hadden
Reageer
Maar is dit niet gewoon “zoals het gaat”? Als ik bij Vodafone een nieuwe simkaart nodig heb, loop ik ook binnen 2 minuten weer de winkel uit met een nieuwe die de medewerker in mijn bijzijn in een paar tellen koppelt aan mijn account.
Reageer
Als ik dit lees dan lijkt het of ze iets als TeamViewer hadden geïnstalleerd om 's avonds op hun gemak vanuit huis e.e.a. te kunnen doen:
Zij werden verdacht van het installeren van software die op afstand computers van T-Mobile kon overnemen, om zo telefoonnummers op te zoeken en klantgegevens in te zien.
Reageer
Serieus , die 23 jarige jongen uit heerlen is/was mijn buurman, een beetje een patsertje, de marechaussee kwam dan ook met een stormram gisterochtend hier naar binnen, het is dan ook een *studentenhuis* vol met crimineeltjes.
Grappig om nu duidelijkheid te hebben, nu mogen ze de rest van de menigte hier van het bed liften.
naja , ze staan nu in ieder geval op de kaart.

Ben ik toch nog een beetje beroemd.
Reageer
Vraag me af waarom de marechaussee dat doet? Is dit geen politiewerk?
Reageer
Hij zal wel de OG van de politie bedoelen die met onherkenbare voertuigen en zwaardere materialen voor invallen worden ingezet
Reageer
Nee, een agent identificeerde zich naar mij als onderdeel van de Marechausse, hun uitrusting met embleem gaf dat ook aan, en inderdaad grijze stations als onherkenbare voertuigen.
Reageer
Het is blijkbaar een groter netwerk, ik heb er vele zien komen en gaan hier, maar de meeste zijn niet al te snugger, door dat vele coke gesnuif van ze zijn die geestjes een beetje aan de kapotte kant.

Ik had hun exacte embleem niet bekeken om welke unit het ging, maar ze waren niet zwaar bewapend.
Reageer
Ik had hun exacte embleem niet bekeken om welke unit het ging, maar ze waren niet zwaar bewapend.
Er is ook maar 1 politie eenheid in Nederland die echt zwaar bewapend is. (DSI) Als je die ziet is er echt hele linke soep potentieel.
Reageer
Vraag me af waarom de marechaussee dat doet? Is dit geen politiewerk?
de KMAR ondersteunt de politie regelmatig bij diverse werkzaamheden. Aangezien de politie in Limburg mogelijk wat overwerkt is na de afgelopen periode, kan het best zijn dat daarom de KMAR in actie kwam. (er zijn nog andere factoren die mee kunnen spelen, waarbij de KMAR in actie komt)
Reageer
Bedankt, dit wist ik niet.
Reageer
Je zou toch op z'n minst in kunnen bouwen dat er altijd een SMSje naar de oude simkaart gaat, zodat de eigenaar in elk geval aan de bel kan trekken.
Reageer
Ik denk dat ze het stelen best snel hebben gedaan. Dus wanneer dit om 2:00 's nachts gebeurt zal niet iedereen dat door hebben. Het zou echter wel een goede indicator zijn. Voeg daar nog een minimale verwerkingstijd (tijd om te annuleren) van 12 of 24 uur toe dan is de kans inderdaad een stuk kleiner.
Reageer
Het gaat er niet alleen om dat de eigenaar er op tijd bij is, maar ook dat hij het überhaupt doorheeft.
Want nu kunnen ze een 2FA berichtje onderscheppen, inloggen, en dan het nummer weer terugzetten. Dan duurt het wel even voor je doorhebt hoe ze binnen zijn gekomen.
Reageer
Ik heb lang geleden, toen Telfort nog een onafhankelijke provider was, daar gewerkt op de afdeling Retail Support en herken dit inderdaad. Ik was maar een simpele uitzendkracht en had ook deze rechten.
Reageer
Ik mag hopen dat er op deze procedure wel gewoon logging zit right? Dat als ik al klant opbel met de melding dat mijn sim-kaart is omgewisseld men gewoon terug kan zien welke medewerker dit heeft gedaan?
Reageer
Sure, maar dat is allemaal reactief, niet preventief.
Reageer
Ik kan bevestigen dat bij Vodafone dit exact zo werkt.
Reageer
Mogelijk wisten ze het 06 nummer via app groepjes waarin mensen elkaar tips geven voor de handel in Bitcoins om zo de koers te kunnen beïnvloeden en samen rijk te worden.
Reageer
Kan idd zo zijn, wat dat betreft is whatsapp best kudt en ze zouden telefoonnummers verborgen moeten houden. Maar dan werkt whatsapp niet meer goed.

Les 1: Gebruik geen SMS voor 2FA
Les 2: Hou je telefoonnummer geheim, ook via Whatsapp en co.
Reageer
Kennelijk is het toch groter dan alleen maar Limburg:
https://www.politie.nl/ni...n-betaalfraudepanels.html
Reageer
Ik kan dit bevestigen, dit is precies wat ik vermoed toen dit mij is overkomen bij Vodafone tot aan tweemaal toe. ik kreeg toen de uitleg dat cybercriminelen via mijn telefoon de sim blokkeerde en de signaal onderschepte.. Ik heb letterlijk de rest van gesprek mijn lach moeten inhouden.. wel uiteindelijk een compensatie + ze hadden een extra "beveiliging" erop gezet, en dat was dat als ik belde dat ik altijd een wachtwoord moest opgeven...

Wat natuurlijk net zo lek is als je de 2fa sms authenticatie methode gebruikt. Nadat het bij mij voor een 3e keer was geflikt, heb ik een klacht ingediend bij Vodafone. Dit omdat ik vermoede dat het wel iemand van de klantenservice iig iemand die toegang heeft tot het systeem, Vodafone heeft een onderzoek ingesteld maar is niks naar boven gekomen, maar goed welk provider is hier tegen beveiligd?
Reageer
Hoe lang is dit geleden? Een tijdje geleden is de my T-mobile omgeving vernieuwd en daar werd heel erg de nadruk gelegd op het probleem omtrent simswappen. Ik kan mij even niet meer herinneren welke stappen je nu precies moet nemen voor een nieuwe sim, maar het komt erop neer dat je fysiek in een winkel aanwezig moet zijn. Tenzij het echt niet anders kan of iets dergelijks stond er wel nog bij.
Reageer
Klopt - als ex KPN-er sta ik redelijk verbaast dat dit zo kon. Via mijn huidige werk ook toegang tot de dealer portalen van o.a. TM. Eenvoudig systeem echter wel vreemd dat 2FA enzo allemaal niet nodig is. Vodafone portal was tot 2 jaar terug ook best eenvoudig sim wisselen.

Ik weet dat toen ik vertrok bij KPN het simswap-en en verlengen bijv alleen kon als je de auto sms input kon invoeren als je niet bepaalde “rechten” had. Ik ben er inmiddels al een 5+ jaar weg.
Alleen diefstal en verlies medewerkers en hoger konden zonder dit stuk werken echter werd dit weer bijgehouden op je persoonlijke naam. Dus kon je er niet mee rommelen. Deze aantallen zou dan bij interne security een red flag opleveren. Meestal in winkels had men ook zo’n speciaal account, maar in de winkel lopen geen 100den gestolen sims binnen.
Reageer
Zouden de slachtoffers t-mobile aansprakelijk kunnen stellen? Indien T-Mobile hun zaakjes beter op orde had, was dit natuurlijk niet gebeurd.
Reageer
Ja het maakt toch niet uit dat anderen een achterhaald systeem gebruiken? De diefstal gebeurde via T-mobile en door (ex)medewerkers van T-mobile. Dus stel als iemand zijn ouderwetse huissleutel aan een bedrijf in bewaring geeft en bij dat bedrijf wordt door de medewerkers met die sleutel jouw voordeur opengemaakt en de boel wordt leeggehaald, dan zegt dat bedrijf: "tja - dan had je maar een alarm-systeem moeten hebben" 8)7

Natuurlijk is het vervelend dat T-mobile de dupe is van weer een stel andere boeven maar helaas ligt de verantwoordelijkheid toch bij T-mobile. En daar zijn ze misschien ook nog voor verzekerd.
Reageer
Als één enkele medewerker dit voor elkaar gekregen had wel maar nu er minimaal drie samengespannen hebben kunnen ze zich waarschijnlijk beroepen op overmacht.
Reageer
maar nu er minimaal drie samengespannen hebben kunnen ze zich waarschijnlijk beroepen op overmacht.
Dan nog kan T-Mobile aansprakelijk gesteld worden voor de schade. Immers waren hun processen niet op orde, en bestaat er een leverancier-klantrelatie waarin de klant schade heeft opgelopen door de leverancier.

Hoe de leverancier dit weer gaat verhalen, daar heeft de klant niets mee te maken.

[Reactie gewijzigd door The Zep Man op 21 juli 2021 14:24]

Reageer
Dat mag ik niet hopen - dat maakt aansprakelijkheid totaal ondoenlijk...

Overmacht mag alleen gelden voor zaken als aardbevingen, meteorietinslag, enz
Reageer
Ze hebben nu 3 andere om aansprakelijk te stellen. :P
Reageer
Soms is de backup van een 2fa sms en kan je die niet uitzetten. Echt vervelend...
Reageer
Dit. Dit advies:
T-Mobile raadt het gebruik van sms voor 2fa af voor waardevolle accounts.
is leuk bedoeld. Maar overal waar het kan gebruik ik het al niet en waar het dus wel gebruikt wordt of uberhaupt mogelijk is kan ik het dus niet uitzetten. Richt dat advies als telecomprovider dus a.u.b. niet op mij als gebruiker maar op de aanbieder ervan.
Reageer
Het ironische hiervan is dat T-Mobile sinds kort zelf 2FA via SMS af dwingt voor je T-Mobile account
Reageer
Is dat een waardevol account (waarover hun uitspraak dus gaat)? Zou zelf stellen van niet eigenlijk, dus valt voor mij de ironie wel mee.

[Reactie gewijzigd door watercoolertje op 21 juli 2021 14:15]

Reageer
Het is zeker niet het meest waardevolle account dat ik heb, maar in mijn T-Mobile account staan wel degelijk gegevens die ik niet zomaar bij derden in handen wil hebben, zoals volledige NAW gegevens, mijn rekeningnummer en een overzicht van alle nummers waar ik mee gebeld heb/door gebeld ben. Ook kan je er dingen doen die ik als vervelend zou ervaren, zoals het doorschakelen van mijn nummer naar een ander nummer of extra bundels afsluiten.

[Reactie gewijzigd door rbr320 op 21 juli 2021 14:35]

Reageer
Jazeker, dat is het fundament. Als je toegang tot iemands tmobile account hebt, kan je een sim swap uitvoeren..
Reageer
Ah, dus een simswap uitvoeren zodat je de 2FA sms van het T-Mobile account kan onderscheppen, het account over kan nemen..... om de simswap uit te voeren?
Reageer
Aan de andere kant moet er al reeds een simswap zijn uitgevoerd om die SMS te onderscheppen :)

edit: dat hoeft niet helemaal, maar als er al de mogelijkheid is om de SMS te onderscheppen, dan kan je ook net zo goed meteen een Paypal of cryptowallet ingaan zonder op t-mobile in te breken.

[Reactie gewijzigd door Magic op 21 juli 2021 14:27]

Reageer
Maar als je er eigenlijk niks mee doet qua 2FA maakt dat weer net niet uit (al is het absoluut vervelend/onwenselijk) :P

[Reactie gewijzigd door watercoolertje op 21 juli 2021 14:38]

Reageer
En hoe ironisch.. de 2FA van Tmobile App werkt met....... SMS verificatie!
Reageer
Dan vraag ik mij af waarom dit mogelijk is bij het inloggen met de DigiD
Reageer
indien je de inlognaam, wachtwoord, 06nummer hebt en de klant heeft sms verificatie aan dan wel. Heeft de klant de digidapp aan dan niet.
Reageer
Voor de gebruikersgroepen die geen DigidD app kunnen of willen gebruiken.
En er is volgens mij wetgeving dat overheidsdiensten voor iedereen te bereiken moeten zijn, ook voor de mensen zonder smartphone.
Reageer
Klopt, inderdaad vervelend, maar dat is weer iets waar T-Mobile niks aan kan doen, dat ligt dus bij de partijen die daar geen alternatief voor aanbieden.
Reageer
Uiteindelijk is T-Mobile gewoon medeverantwoordelijk en kunnen de slachtoffers T-Mobile (mede) aansprakelijk stellen voor (de gehele) schade.
De geleden schade kan T-Mobilel dan verhalen op zijn ex-medewerkers en hun mededaders.

T-Mobile heeft de mogelijkheid om zijn bedrijfscomputers en systemen zo in te richten dat derden niet bv. met Teamviewer of soortgelijk software bij hun computers kan komen.
Daarnaast kunnen ze hun software ook zelf beveiligen met 2FA en een time-out zodat derden naast de gebruikersnaam (+ wachtwoord) ook de extra code van moeten hebben van een medewerker.
Verder zijn er ook nog mogelijkheden om de medewerkers alleen binnen werktijden toegang tot de software te geven. Een mooie oplossing vind ik zelf om gebruik te maken van een toetsenbord waar een toegangskaart in moet om de computer te ontgrendelen of bij elke verandering (save) een code laten invoeren (bv werknemernummer + 2FA ==> 01 567352)

Wellicht dat als het bedrag dat T-Mobile moet betalen c,q, aan schade moet voorschieten groot genoeg is, zij betere beveiliging gaan toepassen, zodat dit in de toekomst minder makkelijk kan.

[Reactie gewijzigd door Jemboy op 21 juli 2021 14:23]

Reageer
Je hele verhaal heeft niks te maken met het feit dat diensten sms gebruiken als backup voor 2FA. (En daar reageerde ik wel op)
Dit is iets wat diensten is moeten gaan verbeteren, daar kan T-Mobile geen invloed op uitoefenen.
Reageer
Excuses, verkeerd geklikt. In ieder geval was mijn reactie op het feit dat T-Mobile zich niet verantwoordelijk voldoende als bij SIM-swap schade was ontstaan, wanneer de klant geen F2A gebruikte voor belangrijke (web) diensten.
Reageer
Dat niet alleen, het probleem is sinds 2016 bekend en er zijn hier meerdere rechtszaken over geweest tegen T-Mobile.

source: https://zephyrnet.com/nl/...loor-bij-sim-swap-aanval/
Reageer
Leuke link, om te lezen, jammer dat ik niet 1-2-3 kan vinden of meneer Cheng de zaak tegen T-mobile heeft gewonnen.
Wel een punt T-Mobile USA is natuurlijk niet hetzelfde als T-Mobile Nederland, dat zijn gewoon 2 aparte bedrijven met eigen directie, eigen afwegingen etc.
Reageer
Misschien iemand die beter ingelezen is ( rechten heeft gestudeerd) maar hoe staat het met de strafmaten tegenwoordig voor dit soort fraude?

Is daar nog verandering in gekomen ( kan me vaag herinneren dat ze niet bijster hoog waren).
Reageer
De straffen voor diefstal (want daar ging het om hier) zijn in de praktijk best hoog. Nederland straft het strengste van Europa.
Reageer
En je moet ook nog eens een groter deel van je straf daadwerkelijk uitzitten, de korting in nederland is vaak 1/3e, in veel andere landen mag je na de helft al naar huis
Reageer
Die 1/3 regel is sinds 1 Julie vervallen..
Reageer
In Nederland straften we begin jaren '90 ongeveer het laagste van alle landen in de EU. Inmiddels zitten we in de bovenste regionen.

Of dit zin heeft kan je je afvragen. Doorgaans laat iemand zich veel minder afremmen door de strafmaat als wel door de pakkans. Zie bijvoorbeeld het vasthouden van een telefoon in de auto; de boete is 340 euro en toch doen mensen het nog volop. Dat is niet omdat ze die 340 euro niets kan schelen, maar wel omdat ze er van uitgaan dat er toch geen agent in de buurt is om dat waar te nemen.
Reageer
Bedankt @Arnoud Engelfriet en FreeAq voor de informatie.
Reageer
Een hogere straf zorgt dan uiteindelijk ook voor een hogere pakkans. Als er minder crimineeltjes op vrije voet zijn, hoeft de politie zich met minder zaken bezig te houden...

Wat mij betreft dus gewoon een hele lange straf. En het liefste ze helemaal uitkleden om die straf zelf te bekostigen.
Reageer
Dat zijn inderdaad aardige straffen. Opzich ook niks mis mee het is niet alsof je per ongeluk iemand 50k oplicht :+

Het is nou niet echt iets wat je per ongeluk doet of van een gelegenheid gebruik maakt op dat moment aangezien je wel wat voorbereiden moet treffen.

[Reactie gewijzigd door Zyphlan op 21 juli 2021 20:06]

Reageer
Hmmmmmm...... Ik ga nu mijn twijfels zetten bij het ontvangen van gekke smsjes en het blokkeren van mijn WA account enkele weken geleden. Ik kom niet uit die regio maar desalniettemin vind ik het heel erg toevallig. Gelukkig geen smsjes van 2FA origine maar toch. Binnen 10-15minuten na het ontvangen en het er achter komen dat mijn WA account geblokkeerd/verwijderd was een nieuwe sim en nr aangevraagd, er is gelukkig niets ergs mee gebeurd...
Reageer
Het gaat hier toch gewoon al fout bij beheer? Een beetje bedrijf laat eindgebruikers geen software installeren. (Of ze moeten natuurlijk zelf van beheer zijn / admin pass kennen 🤷‍♂️)
Reageer


Om te kunnen reageren moet je ingelogd zijn


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True