SIM-swapping komt helaas steeds vaker voor. Om die reden adviseren wij dat als je de keuze kunt maken om de SMS-code niet meer als 2FA te gebruiken. 

 

Omdat de SMS-code slechts één van de twee factoren is waarmee je inlogt op de Xpert Suite, is alleen een sim-swap niet voldoende om jouw Xpert Suite account over te nemen. Niettemin leidt deze ontwikkeling ertoe dat een aantal veiligheidsinstituten adviseren om SMS niet meer te gebruiken als 2FA.

 

Bij sim-swapping weten criminelen het 06-nummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken. Daarmee kunnen ze zonder dat het slachtoffer het doorheeft de gegenereerde 2FA codes ontvangen. Om de sim-swap uit te voeren doen criminelen zich voor als het slachtoffer en bellen de telecomprovider om het nummer over te zetten. Ook komt het voor dat medewerkers van telecombedrijven worden omgekocht om de sim-swap uit te voeren.

 

Het ‘hacken’ van deze SMS-codes vergt wel dat een gebruiker expliciet gekozen wordt als doelwit. Ze moeten een wachtwoord buitmaken én ze moeten het bijbehorende 06-nummer van de gebruiker achterhalen. Om deze reden hebben wij ervoor gekozen de SMS-code voorlopig nog wel toe te staan als 2FA voor de Xpert Suite omgeving. 

 

Ons advies is om 2FA via SMS, indien praktisch mogelijk, om te zetten naar 1 van de andere 2FA-opties (Authenticator app of Yubikey) die voor de XS applicatie beschikbaar zijn. Het is ook mogelijk om door de Xpert Desk in te laten stellen dat gebruikers niet meer kunnen kiezen voor SMS als 2FA in de eigen Xpert Suite omgeving. Let hierbij wel op dat waarschijnlijk enige consultancy nodig is om alle bestaande gebruikers te helpen met het overschakelen op één van de andere 2FA opties. 

 

Het ENISA (Europees Agentschap voor cyberbeveiliging) heeft een leaflet beschikbaar gesteld waarin tips worden gegeven wat je zelf kunt doen om het risico op sim-swapping te verkleinen. Hierin wordt tevens uitgelegd welke signalen vooraf kunnen gaan aan een sim-swapping. 

 

Mochten de adviezen van de veiligheidsinstituten strikter worden zullen we hier uiteraard op anticiperen (en indien van toepassing ook tijdig aankondigen zodra we SMS als 2FA willen gaan uitschakelen).