De eigenaar van een belwinkel in Vaals heeft criminelen geholpen bij het plegen van sim-swapping, zodat zij cryptovaluta van slachtoffers konden stelen. Daarbij vulde de eigenaar zijn inloggegevens voor het dealerportaal van T-Mobile bewust in op een voor hem gemaakte phishingsite. De man is deze week veroordeeld tot een gevangenisstraf van drie maanden.

In deze zaak zijn in totaal vijf verdachten veroordeeld. Twee van deze verdachten wilden met gegevens die in 2020 bij cryptowalletbedrijf Ledger waren gestolen en op internet gepubliceerd cryptovaluta stelen. Tussen de gelekte data bevonden zich ook gegevens van Nederlandse Ledger-gebruikers. De verdachten wilden 06-nummers sim-swappen, authenticatieberichten onderscheppen, wachtwoorden wijzigen, accounts overnemen en zo cryptovaluta stelen en witwassen.

Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken en kunnen zo bijvoorbeeld MFA-codes ontvangen. Om de sim-swap uit te voeren doen criminelen zich voor als het slachtoffer en bellen de telecomprovider om het nummer van het slachtoffer over te zetten. Ook komt het voor dat medewerkers van telecombedrijven worden omgekocht en vervolgens de sim-swap op verzoek van criminelen uitvoeren.

Voor het uitvoeren van de sim-swaps moesten de verdachten beschikken over drie onderdelen uit de bedrijfsvoering van een telecomprovider, in dit geval T-Mobile: het programma Salesforce (om extra klantgegevens zoals de geboortedatum te vinden), de programma’s TAS en KMT (om de 06-nummers over te zetten) en lege simkaarten (om de 06-nummers op te zetten).

AnyDesk

Een andere verdachte, die werkzaam was bij een T-Mobileshop in Heerlen, onderhield contact met de verdachten. Tegen betaling van cryptovaluta heeft hij vervolgens voor hen AnyDesk geïnstalleerd en meerdere keren aangezet op twee bedrijfscomputers van de T-Mobileshop. Via AnyDesk is het mogelijk om op afstand op computers in te loggen. Daarnaast heeft de medewerker 'naked sims' van de T-Mobileshop voor hen geregeld. Via AnyDesk hadden de verdachten toegang tot het bedrijfssysteem Salesforce, van T-Mobile. In Salesforce hebben zij een groot aantal telefoonnummers, e-mailadressen en persoonsgegevens van klanten van T-Mobile opgezocht.

Met de gestolen gegevens van Salesforce en de naked sims hebben de verdachten sim-swaps laten uitvoeren. In januari en begin februari 2021 hebben ze dit gedaan door ‘social engineering’ via de T-Mobile klantenservice, waarbij ze de gelekte klantgegevens en gestolen persoonsgegevens gebruikten. Gaandeweg deze periode kwamen de verdachten met het plan om de sim-swaps zelf uit te voeren. Daarvoor benaderden ze de eigenaar van de belwinkel.

Deze belwinkel is een externe dealer van T-Mobile. De eigenaar heeft vervolgens tegen betaling van cryptovaluta de verdachten toegang gegeven tot het TAS en de KMT van T-Mobile. Om dit te verhullen heeft één van de andere verdachten een phishingsite gemaakt waarop de eigenaar van de belwinkel heeft ingelogd. De inloggegevens kwamen zo in handen van de verdachten. De phishingsite moest ervoor zorgen dat het leek alsof de inloggegevens per ongeluk waren verstrekt, terwijl die in werkelijkheid door de eigenaar van de belwinkel waren verkocht, zo liet één van de verdachten weten.

Zeker acht personen werden slachtoffer van de criminelen, die via de sim-swaps toegang tot accounts wisten te krijgen en zo 100.000 euro konden stelen. "Als eigenaar van een onderneming die fungeert als telecomdealer had hij exclusieve toegang tot de klantgegevens en de software die nodig zijn om mobiele telefoonnummers van de ene op de andere simkaart te zetten. Hij had daarmee in potentie de controle over het dataverkeer van heel veel mensen. Met die grote macht komt een grote verantwoordelijkheid, die de verdachte heeft misbruikt voor zijn eigen financiële gewin", aldus de rechter. Vanwege de lange tijd dat de behandeling van de rechtszaak op zich liet wachten werd uiteindelijk een gevangenisstraf van drie maanden geëist die de rechter ook aan de eigenaar oplegde.