Een SIM swap vereist geen enkele vorm van encryptie kraken of een wallet direct hacken. In plaats daarvan misbruikt de aanvaller het klantenserviceproces van een mobiele provider: met gestolen persoonsgegevens, een omgekochte medewerker of een overtuigend telefoongesprek wordt een supportmedewerker misleid om het nummer van het slachtoffer over te zetten naar een SIM die de aanvaller beheert. Vanaf dat moment valt de telefoon van het slachtoffer stil, terwijl het apparaat van de aanvaller elk gesprek en elk bericht ontvangt dat voor hen bedoeld was.
De techniek werd een populaire route naar crypto-tegoeden omdat veel exchanges en wallet-diensten SMS historisch aanboden als optie voor wachtwoordherstel of login-verificatie. Een aanvaller die het nummer beheert, kan een wachtwoordreset aanvragen bij een exchange-account, de eenmalige code onderscheppen en binnen enkele minuten tegoeden leegtrekken, vaak nadat het doelwit eerst is onderzocht via gelekte databases of phishing om te achterhalen welke platforms diegene gebruikt. Spraakmakende diefstallen, waaronder een rechtszaak tegen een grote Amerikaanse provider over een cryptoverlies van 24 miljoen dollar, zetten toezichthouders aan tot actie: sinds 2024 zijn Amerikaanse providers verplicht klanten te verifiëren met sterkere authenticatie voordat een SIM-wissel of nummerportering wordt uitgevoerd, een account-lock aan te bieden en klanten direct te informeren zodra een wijziging plaatsvindt.
De belangrijkste verdedigingsmaatregelen voor crypto-gebruikers zijn:
- SMS-gebaseerde 2FA vervangen door een authenticator-app of hardware security key
- Een port-out PIN of account-lock instellen bij de mobiele provider zelf
- Waar mogelijk voorkomen dat een telefoonnummer gekoppeld is aan accountherstel bij een exchange
Omdat de beveiliging aan providerzijde nog sterk verschilt, blijft het het veiligst om een telefoonnummer te behandelen als een zwakke schakel in plaats van een betrouwbare identiteitsfactor.