Stel dat ik schade lijd door sim-swapping, kan ik die dan verhalen op de telecomprovider?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Ik lees de laatste tijd veel berichten over sim-swapping waarbij criminelen het voor elkaar krijgen om een 06-nummer naar een andere simkaart over te laten zetten. Als ik het goed begrijp gebeurt dit door telefonisch contact met de telecomprovider waarbij de crimineel zich voordoet als de eigenaar van de simkaart. Na het omzetten kunnen ze de 2FA op basis van SMS heel makkelijk omzeilen en dus mogelijk toegang krijgen tot allerlei accounts. Stel dat ik dan schade lijd, kan ik die dan verhalen op de telecomprovider?
Antwoord: Het fenomeen sim-swapping zoals hier beschreven komt inderdaad met enige regelmaat voor. In april werd een man uit Vaals nog veroordeeld tot drie maanden cel voor medewerking aan sim-swapping. In de VS kreeg iemand 14 maanden cel voor het via sim-swapping kapen van het X-account van de beurswaakhond SEC. En T-Mobile betaalde in maart 33 miljoen omdat het bedrijf nalatig was in de beveiliging tegen deze vorm van criminaliteit.
De aansprakelijkheid voor de gevolgen van sim-swapping begint bij de specifieke regels voor banken. Die staan in art. 7:529 BW:
De betaler draagt alle verliezen die uit niet-toegestane betalingstransacties voortvloeien, indien deze zich hebben voorgedaan doordat hij frauduleus heeft gehandeld of opzettelijk of met grove nalatigheid een of meer verplichtingen uit hoofde van artikel 524 niet is nagekomen.
De 'betaler' is in dit geval dus de klant die een frauduleuze transactie overkwam dankzij sim-swapping. En let op: er staat dus dat deze alléén de gevolgen moet dragen als hij frauduleus, opzettelijk of met grove nalatigheid zijn beveiligingsplichten niet nakwam.
Bij sim-swapping kun je vrij weinig doen. De crimineel krijgt een vervangende sim (of eSIM) waarmee deze vanuit jouw nummer berichten kan zenden en ontvangen. Als de crimineel je wachtwoord te pakken heeft, kan deze dan dus de 2FA op basis van je 06-nummer aanroepen en dan transacties uitvoeren.
Ik zie dan ook niet direct hoe jou kan worden verweten dat je opzettelijk of grof nalatig hebt gehandeld. Het enige argument is dat je informatieberichten van je telecomprovider negeert dat er een nieuwe sim is uitgegeven, en meer algemeen dat je wachtwoord is gelekt. (Maar niet bij alle aanvallen is je wachtwoord nodig.) In één Kifid-uitspraak vond men het genoeg dat er in een SMS een algemene waarschuwing stond, hoewel die niet over sim swapping maar over 2FA codes ging (pdf).
De telecomprovider aansprakelijk stellen wanneer de bank niet thuisgeeft, is natuurlijk altijd mogelijk. Door het onrechtmatig uitgeven van die sim ben jij benadeeld. Alleen krijg je dan snel hetzelfde probleem: als jij niet had gereageerd op waarschuwingssignalen, is in ieder geval een deel van de schade je eigen schuld.
In artikel 524 staat: De betaaldienstgebruiker die gemachtigd is om een betaalinstrument te gebruiken, a.gebruikt het betaalinstrument overeenkomstig de voorwaarden die op de uitgifte en het gebruik van het betaalinstrument van toepassing zijn, en b.stelt de betaaldienstverlener, of de door laatstgenoemde gespecificeerde entiteit, onverwijld in kennis van het verlies, de diefstal of onrechtmatig gebruik van het betaalinstrument of van het niet-toegestane gebruik ervan.
Dus als je de voorwaarden opzettelijk schendt, zoals door je pincode op je pas te schrijven, dan ben jij aansprakelijk voor een onbevoegde pinopname. Maar je transactielimiet is geen voorwaarde.
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.
Geen idee of het werkt, maar op zich een leuke truuk.
Geen idee of het werkt, maar op zich een leuke truuk.
Ik denk dat je dit beter de bank zelf kan vragen, die zullen een juist antwoord geven.
Het is hoog tijd dat de telecom veel veiliger wordt, nu er zoveel van afhangt.
Aha, werkt dat zo! Bedankt voor de uitleg.
Geen idee of het werkt, maar op zich een leuke truuk.
Zolang jij niks permanent beschadigd nog over bestaande informatie op de pas heen kalkt en het is uitwisbaar is er echt geen enkele kans dat ze ooit erom kraaien. Daarnaast bij het verlopen moet je de kaart doorknippen je levert het niet in.
Sterker nog in de oudere generatie passen was er specifiek een leeg veld voor je handtekening. Dus een speciaal veld om te tekenen. En je verzwakt tevens niet de pas beveiliging en je account maar verstevigd deze dus argumentatie dat het de beveiliging schaadt kan je ook al in de prullenbak gooien.
Er bestaat geen vorm van fraude door het noteren van een nummer wat *niet* gebruikt kan worden voor enig doel behalve blokkeren van de pas. Je hebt geen valse naam erop gezet dus waar is de fraude? Hoe kan het uberhaubt fraude zijn sinds jij de enige bent die de pas in je bezit hoort te hebben. Wat wil een dief doen je aanklagen voor blokkeren van jou pas waar de dief geen recht op had? Of de bank jou aanklagen voor het moeilijker maken van diefstal?
A.I kan niet voor je nadenken en dit zijn geen vragen die je aan A.I. kan stellen zonder dat je heel specifieke prompting meegeeft. Netjes dat je aangeeft dat het van A.I. komt maar mijn advies just don't use it voor dit en als je het al gebruikt dan redeneer de informatie terug op plausibiliteit.
Geen idee of het werkt, maar op zich een leuke truuk.
Belg ?
Ik koop cash een prepaid sim bij de supermarkt.
Ook goed als het nummer daarheen geporteerd wordt ?
Met abonnement is wat lastiger misschien, maar alleen een werkende bankrekening was wel genoeg. Crimineel zou een katvanger kunnen nemen.
Niet eens beschadigd. Hij heeft nog een creditcard formaat simkaart en bijbehorende koelkast met antenne ?
Stap naar sim, micro sim,nano sim en eSIM gemist ?
Voor eeuwig vast aan provider wiens netwerk een beetje klote geworden is , of slechte dekking heeft in de regio waar je bent gaan wonen.
Jezelf totaal vastbinden is niet altijd handig.
Of niet door misdrijf van telco medewerker, maar door social engineering.
Je nummer omzetten naar een (andere) sim is _normaal_ . Misschien hetzelfde abonnement maar een vervangende (e)SIM kaart.
Of gewoon - je gaat naar een andere provider maar neemt je nummer mee .
De bevestiging dat "jij" echt de aanvrager bent komt vaak neer op het sturen van een SMS (code) naar de "oude" telefoon/sim . Als iemand je die laat oplepelen, is je nummer weg.
Bevestigen/aanvragen kan typisch ook in de "mijn provider" app of website . Ook daar hangt de hele authorisatie dus op de authorisatie van die portal - en alle manieren waarop mensen hun credentials ervoor kunnen weggeven.
Ik denk dat je dit beter de bank zelf kan vragen, die zullen een juist antwoord geven.
Het is een vooruitgang op de gemiddelde "bijdrage" , want die zuigen meestel het antwoord met grote stelligheid uit de duim.
Dus ietwat positief dat iemand tenminste gepoogd heeft een antwoord _op te zoeken_ , dat lijkt een verloren gegane traditie te zijn.
Dit AI antwoord is - voor de situatie die de AI duidelijk voor ogen had - trouwens wel juist, denk ik.
AI antwoord duidelijk op een situatie over 'vervalsing' , ander rekeningnummer erop zetten of zo . Dat lijkt me inderdaad strafbaar als een variant van valsemunterij .
Alleen je eigen pin (of telefoonnummer ofzo) erop schrijven zie ik daar niet onder vallen .
Op papiergeld is het dacht ik formeel wel strafbaar .
(zoek zoek : Belgie : https://www.nbb.be/en/faq/what-penalty-intentionally-defacing-banknote-or-coin
Met wat mitsen en maren wanneer iets 'defacing' is .
Deja-vu: vroeger werd aan antwoord voorzien van "volgens Google" , en daarvoor "Volgens Internet" .
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?