Wat is sim-swapping precies?

Sim-swapping is een vorm van fraude waarbij criminelen jouw 06-nummer laten overzetten naar een andere simkaart of eSIM. Jij verliest dan mobiel bereik, terwijl de aanvaller sms-codes voor inloggen en wachtwoordresets kan onderscheppen. Zo kan hij in korte tijd accounts kapen en misbruik maken van je identiteit.

Hoe merk ik dat mijn 06-nummer is gekaapt?

Typische signalen zijn dat je plots geen mobiel bereik meer hebt terwijl anderen dat wel hebben, herstarten helpt niet en je ontvangt e-mails over nieuwe inlogpogingen, wachtwoordresets of sim/eSIM-activaties die je zelf niet hebt aangevraagd. Zie je zulke signalen, neem dan direct contact op met je provider en controleer je belangrijkste accounts.

Wat moet ik direct doen bij vermoedelijke sim-swapping?

Bel vanaf een ander toestel het officiële nummer van je provider, laat je sim blokkeren en vraag wat er precies gewijzigd is. Verander vervolgens de wachtwoorden van je belangrijkste accounts, controleer tweestapsverificatie-instellingen en log waar mogelijk overal uit. Noteer tijden, meldingen en gesprekken zodat je later een goed overzicht hebt voor bank, provider of politie.

Is sms-2FA nog wel veilig als sim-swapping bestaat?

Sms-2FA is nog steeds beter dan helemaal geen tweestapsverificatie, maar bij sim-swapping is het kwetsbaar. Waar mogelijk is het veiliger om een authenticator-app te gebruiken, zoals Microsoft Authenticator, Google Authenticator of Authy. Die koppelt codes aan je account en toestel in plaats van aan je telefoonnummer.

Hoe kan ik het risico op sim-swapping verkleinen?

Gebruik authenticator-apps in plaats van sms-codes, maak je e-mailaccount extra sterk met een uniek wachtwoord en MFA, ga bewust om met het delen van je 06-nummer en informeer bij je provider of ze extra beveiliging op je dossier kunnen zetten. Voor ondernemers is het verstandig om dit ook in een basis-IT-beleid en continuïteitsplan op te nemen.

Kan InstantIT mij helpen als ik twijfel over sim-swapping?

Ja. InstantIT helpt particulieren en kleine ondernemers in Den Haag en Haaglanden om snel overzicht te krijgen na een mogelijk incident. We kijken op afstand of aan huis mee naar je apparaten en accounts, controleren je beveiligingsinstellingen en kunnen in één sessie een mini Cyber APK uitvoeren zodat je weer grip krijgt op je digitale veiligheid.

Sim-swapping (2026): wat is het en hoe voorkom je dat je 06-nummer wordt gekaapt?

Kort antwoord: Sim-swapping is een aanval waarbij criminelen jouw 06-nummer overzetten naar hun eigen simkaart of eSIM. Jij verliest bereik, zij ontvangen de sms-codes voor inloggen en wachtwoordresets. Zo kunnen ze in korte tijd accounts kapen en mogelijk geld of data buitmaken. Met een paar gerichte stappen kun je het risico flink verlagen.

Twijfel je of jouw 06-nummer interessant is voor criminelen, of heb je een schrikmoment gehad na bijvoorbeeld het recente Odido-datalek? In Haaglanden (Den Haag, Delft, Zoetermeer, Rijswijk, Voorburg-Leidschendam, Westland en Leiden) kan InstantIT met je meekijken – op afstand of aan huis. Zie ook Ik ben gehackt en Computerhulp in Den Haag als je direct hulp wilt.

Wil je eerst zelf begrijpen wat er speelt, lees dan rustig verder. In deze gids leggen we uit:

wat sim-swapping precies is;
waarom het zo gevaarlijk is;
welke signalen je moet herkennen;
wat je direct moet doen als je iets verdachts merkt;
hoe je jezelf nu al beter beschermt;
wanneer het slim is om hulp in te schakelen.

Wat is sim-swapping in gewone taal?

Sim-swapping betekent letterlijk dat je 06-nummer wordt “geruild” naar een andere simkaart of eSIM, zonder dat jij dat wilt. Een aanvaller doet zich voor als jou bij de provider en vraagt om een nieuwe sim of eSIM-activatie.

Een typisch scenario:

Een crimineel verzamelt gegevens over jou (naam, adres, geboortedatum, soms klantnummer of IBAN) via eerdere datalekken, social media of phishing.
Hij belt of bezoekt je provider en zegt dat hij jij bent: “Mijn telefoon is kwijt, ik heb direct een nieuwe simkaart nodig.”
De medewerker wordt overtuigd en zet jouw 06-nummer over naar een nieuwe simkaart of eSIM.
Jouw eigen simkaart verliest verbinding; alle sms-codes en telefoontjes komen nu bij de aanvaller binnen.

Vanaf dat moment kan de aanvaller:

sms-codes voor inloggen en tweestapsverificatie onderscheppen;
wachtwoordresets starten op e-mail, bank, brokers en social media;
organisaties bellen en zich telefonisch als jou voordoen.

Sim-swapping wordt vaak gecombineerd met datalekken (zoals het Odido-datalek) en phishing. Hoe meer gegevens ze over jou hebben, hoe makkelijker ze een helpdeskmedewerker kunnen overtuigen.

Waarom is sim-swapping zo gevaarlijk?

Veel organisaties gebruiken je telefoonnummer nog steeds als onderdeel van hun beveiliging, bijvoorbeeld voor:

sms-codes bij inloggen (2FA/MFA);
bevestiging van nieuwe apparaten of locaties;
codes voor wachtwoordresets.

Als jouw 06-nummer wordt gekaapt, kan een aanvaller in korte tijd:

inloggen op accounts waar hij al jouw wachtwoord van heeft (uit eerdere datalekken);
“wachtwoord vergeten” gebruiken en de resetcodes per sms ontvangen;
nieuwe apparaten of browsers koppelen aan je account;
berichten versturen naar jouw contacten (WhatsApp, sms) alsof jij het bent.

Vooral gevaarlijk zijn:

je e-mailaccounts (Gmail, Outlook, iCloud);
je bank- en brokerapps;
accounts bij crypto-exchanges;
je social media (WhatsApp, Instagram, Facebook, TikTok);
zakelijke accounts (Microsoft 365, Google Workspace).

Verliest iemand zowel controle over zijn e-mail als over zijn 06-nummer, dan wordt het herstellen van accounts een stuk ingewikkelder. Daarom is snel handelen essentieel.

Hoe gaat sim-swapping meestal in zijn werk?

Er zijn grofweg drie routes die criminelen gebruiken:

De aanvaller belt de klantenservice of loopt een telecomshop binnen.
Hij gebruikt gegevens uit datalekken (naam, adres, geboortedatum, klantnummer) om de controlevragen te beantwoorden.
Hij beweert dat zijn telefoon gestolen of kwijt is en dat hij dringend een nieuwe sim nodig heeft.
De medewerker wordt overtuigd en zet het nummer over.

2. Misleidende mails of sms’jes richting jou

Je kunt ook vooraf gelokt worden met berichten als:

“Vanwege een storing moeten we uw simkaart opnieuw activeren, klik hier.”
“U ontvangt vandaag een eSIM, bevestig uw identiteit via deze link.”

Klik je daarop en voer je informatie in, dan gebruiken ze die data om bij de provider binnen te komen. Dit lijkt sterk op “klassieke” phishing – zie ook onze gids Op phishing link geklikt – wat nu?.

3. Interne fout of misbruik

In zeldzame gevallen gaat er intern iets mis:

een medewerker volgt de procedure niet goed;
of er wordt misbruik gemaakt van toegang binnen de organisatie.

Daar heb je zelf minder invloed op, maar juist daarom is het belangrijk dat je schade beperkt blijft als het een keer misgaat.

Belangrijk: je hoeft niet naïef te zijn om slachtoffer te worden. Sim-swapping is vaak slim voorbereid en doelgericht.

Signalen dat je mogelijk slachtoffer bent

Je hoeft niet overal gevaar te zien, maar deze signalen zijn rood:

Je telefoon verliest ineens mobiel bereik (geen netwerk), terwijl anderen in dezelfde ruimte wél bereik hebben.
Herstarten van je toestel helpt niet, en ook na een paar uur heb je nog steeds geen bereik.
Je krijgt e-mails over nieuwe inlogpogingen, wachtwoordresets of nieuwe apparaten die je niet herkent.
Je krijgt sms’jes over sim-activatie of eSIM-wijziging die je zelf niet hebt aangevraagd.
Je bank of een andere dienst meldt dat er een nieuw apparaat of een nieuwe browser aan je account is gekoppeld zonder jouw actie.

Zie je één of meer van deze signalen, dan is het tijd om direct in te grijpen.

Wat moet je direct doen bij vermoedelijke sim-swapping?

1. Bel je provider vanaf een ander toestel

Gebruik de telefoon van een partner, huisgenoot of collega.
Zoek het officiële nummer van je provider op via de website of app (niet via een link uit een mail).
Leg uit dat je vermoedt dat je 06-nummer is gekaapt en vraag of er recent een sim- of eSIM-wijziging is geweest.

Vraag je provider om:

onmiddellijke blokkade van de huidige sim/eSIM;
uitgifte van een nieuwe sim op jouw naam;
bevestiging per e-mail van alle acties.

2. Vergrendel je belangrijkste accounts

Begin altijd bij:

je e-mail (Outlook, Gmail, iCloud);
je bank/broker;
je cloudopslag (OneDrive, Google Drive, iCloud);
je WhatsApp en andere social media.

Acties die je direct kunt nemen:

wachtwoorden wijzigen vanaf een apparaat dat je vertrouwt;
waar mogelijk: overal uitloggen (actieve sessies beëindigen);
je instellingen voor tweestapsverificatie doorlopen;
als je echt inlogpogingen ziet: tijdelijk extra beveiligingsblokkades aanzetten.

Merkt je dat er al is ingebroken? Kijk dan ook naar onze handleidingen Account gehackt – wat te doen en WhatsApp gehackt – wat te doen.

3. Noteer alles wat er gebeurt

Schrijf voor jezelf op:

datum en tijd waarop je bereik verloor;
met wie je bij de provider hebt gesproken;
welke meldingen je per mail of sms kreeg;
welke accounts verdachte activiteit lieten zien.

Dit helpt later bij gesprekken met je bank, provider, politie of verzekering.

Hoe verklein je nu al de kans op sim-swapping?

Je kunt sim-swapping nooit 100% voorkomen, maar je kunt wel zorgen dat een aanval veel minder impact heeft.

1. Gebruik een authenticator-app in plaats van sms

Waar mogelijk:

zet tweestapsverificatie (2FA/MFA) om naar een authenticator-app;
voorbeelden: Microsoft Authenticator, Google Authenticator, Authy.

Je codes zitten dan gekoppeld aan je toestel en account, niet aan je telefoonnummer. Een gekaapt 06-nummer levert dan veel minder op.

Wil je stap-voor-stap geholpen worden? Lees ook onze gids Twee-factor authenticatie instellen of plan een korte sessie via Computerhulp Den Haag.

2. Maak je e-mail extra sterk

Je e-mail is de sleutel van veel andere accounts.

Controleer:

gebruik je een uniek, sterk wachtwoord voor je belangrijkste mailadres?
staat MFA aan (liefst met een authenticator-app)?
kloppen back-upmail en -telefoonnummer nog, en zijn oude gegevens verwijderd?

Is je e-mail al eens misbruikt of twijfel je daaraan, kijk dan ook bij E-mail gehackt – wat nu.

3. Ga bewust om met je 06-nummer

Je hoeft je nummer niet geheim te houden, maar je kunt wel slimmer omgaan met:

publieke profielen (LinkedIn, sociale media);
advertentiesites en marktplaatsen;
inschrijvingen op onbekende websites.

Overweeg voor ondernemers om een apart zakelijk nummer te gebruiken voor registraties bij banken, boekhoudpakketten en platforms.

4. Vraag je provider om extra beveiliging

Sommige providers kunnen in je klantdossier noteren dat:

sim- of eSIM-wijzigingen alleen in de winkel met fysiek ID mogen;
er extra controlevragen nodig zijn bij wijzigingen;
bepaalde wijzigingen nooit telefonisch worden doorgevoerd.

Informeer bij je eigen provider welke mogelijkheden er zijn en vraag om het profiel zo “strak” mogelijk in te stellen.

Extra aandachtspunten voor zzp en mkb

Voor ondernemers kan sim-swapping nóg grotere gevolgen hebben:

zakelijke WhatsApp- of Telegram-accounts;
inlogcodes voor boekhouding, betaalproviders en webshops;
toegang tot Microsoft 365 of Google Workspace van het hele bedrijf.

Een paar praktische maatregelen:

gebruik waar mogelijk een minder publiek nummer voor kritieke logins;
leg vast wie binnen het bedrijf welke authenticator-apps mag beheren;
maak in je basis-IT-beleid een kort hoofdstuk “wat doen we bij sim-swapping of 06-nummer kwijt?”.

Heb je als ondernemer zorgen over de continuïteit van je IT en accounts, kijk dan ook naar onze zakelijke diensten op de pagina IT-support voor zzp & mkb of de zakelijke varianten op Ik ben gehackt.

Wanneer is het slim om hulp in te schakelen?

Neem in ieder geval contact op met e...

Sim-swapping: wat is het en hoe voorkom je dat je 06-nummer wordt gekaapt?