Kabinet wil telecomproviders verplichten om telefoonspoofing aan te pakken

Het kabinet komt later dit jaar met een voorstel om de Telecommunicatiewet zo aan te passen dat telecomproviders worden verplicht om telefoonspoofing aan te pakken. Dat las ik bij Security.nl, dat zich baseert op een brief aan de Tweede Kamer van demissionair minister Grapperhaus. Een logische maatregel lijkt me dat je niet zomaar toestaat dat iedere klant ieder nummer als afzender kan sturen, waar ik vorig jaar over blogde. Eind vorig jaar besloten banken na overleg met minister Hoekstra om slachtoffers van telefoonspoofing met terugwerkende kracht te vergoeden. 96 procent van de slachtoffers is inmiddels vergoed. Dat voelt als een stuk meer geld dan zo’n maatregeln.

Helaas komt het steeds vaker voor dat oplichters (“phishers”, in het jargon) gebruik maken van gespoofte telefoonnummers. Dat is logisch, want als een slachtoffer het werkelijke nummer van een bank als beller ziet, zal hij eerder het verhaal geloven natuurlijk. En technisch is dit simpel: telecomproviders hanteren in de praktijk geen enkele beperking , zoals dat het ingestelde nummer ergens aan jouw bedrijf gekoppeld moet zijn in de administratie van de telecomprovider. Ik weet niet waarom dat niet gebeurt.

Nu is er dus een plan om de wet aan te passen om hier regels voor te maken:

De regels voor nummerdoorgifte (de afzenderinformatie van een oproep of bericht) zullen daarbij worden aangepast en ook zal het gebruik van alfanumerieke informatie worden betrokken door hieraan passende voorwaarden te verbinden. Het wetsvoorstel omvat voorts een beperking van het extraterritoriale gebruik van nummers uit het nummerplan. Bij de regels voor nummerdoorgifte zullen concrete verplichtingen bij telecomaanbieders worden gelegd, en zal nadrukkelijk ook de rol van de aanbieder van de telecomdienst van waaruit de oproep plaatsvindt of het bericht wordt gestuurd, worden geadresseerd.
De kern van het probleem – als ik het ondertussen goed begrijp – is dat telecomproviders vaak geen eigen infrastructuur hebben, maar deze inkopen bij een grotere partij. Dat kan zelfs bij meerdere lagen (ik koop bij A, die inkoopt bij B, die weer bij C, enzovoorts tot ergens bij X of Y). En als je dan als X of Y dat mogelijk wil maken, dan is controleren of de klanten van A wel gerechtigd zijn tot die nummers wel héél veel rompslomp. Zeker omdat het dan gaat om A1 t/m A9001 bij wijze van spreken.

Desondanks lijkt me een check als deze de enige mogelijkheid. Het enige alternatief dat ik kan bedenken is een zwarte lijst – gij zult niet toestaan dat er met deze nummers outbound gebeld wordt, behalve provider K want die hééft de bank als klant – maar dan moet dat continu geupdate worden en is er discussie over wie er wel of niet op mag. Alleen banken, ook betalingsproviders, en hoe zit het met pakketbedrijven zoals DHL waar ook veel oplichting plaatsvindt (“Uw pakketje vereist inklaringskosten”)?

Arnoud

17 reacties

  1. Ik zie vooral veel impact vanuit het stukje “Het wetsvoorstel omvat voorts een beperking van het extraterritoriale gebruik van nummers uit het nummerplan. “

    Er vanuit gaande dat er een flinke beperking komt op spoofen uit het buitenland valt ineens een groot deel van spoofing op de Nederlandse markt dan ineens binnen de macht en controle van het agentschap telecom/ de ACM.

    Dat zal in de praktijk niet veel veranderen, de doorlooptijden zijn nogal hoog voor het aanpakken van dit soort partijen.

  2. Het wordt hoog tijd dat een aantal van de technieken, die normaal zijn op internet, ook voor telefonie toegepast gaan worden.

    Dat er tegenwoordig allerlei tussenlagen zijn wat aanpassingen moeilijk maakt zou niet uit mogen maken. De industrie had deze stappen ook zelf kunnen nemen, zoals voor internet gebeurd is. Maar men heeft hierin stil gezeten (en de bedrijven en consument niet beschermd). Als hier complete businessmodellen door over de kop gaan dan is dat niet anders. Daar stapt een ander wel weer in.

    1. Kun je iets meer zeggen over de technieken waarnaar je verwijst?

      Als ik een VPN provider gebruik op het internet, dan spoof ik feitelijk mijn IP adres. Ik mag (kan) dan ineens geoblocked content zien bijvoorbeeld – iets wat ik op basis van mijn eigen (echte) IP adres niet zou moeten kunnen. Als je de analogie naar telefonie trekt hoef je alleen maar het IP adres door het gepresenteerde telefoonnummer te vervangen – ik krijg iets waar ik geen recht op heb omdat ik een ander nummer laat zien dan mijn eigen nummer.

      Welke effectieve stappen heeft volgens jou het internet gemaakt die de telecom providers niet hebben gemaakt?

      1. Maar VPN spooft niet dat je verkeer van een bepaald IP-adres afkomstig is, het is ook echt vanaf dat IP-adres afkomstig. Dat het daar eerst heen gerout wordt via de tunnel tussen jouw en de VPN server doet er dan niet toe. Spoofen zou zijn als ik via mijn eigen ISP verbinding maakt met bijv. Netflix op IP-adress 214.134.68.11, en dan meestuur met de pakketjes naar mijn ISP dat ik toch echt vanaf 134.68.11.214 aan het verbinden ben, en dat mijn ISP dat doodleuk overneemt, zodat Netflix denkt dat ik een ander IP-adres gebruik, alleen voorzover ik weet kan dat technisch niet, in ieder geval niet op een vergelijkbare manier.

        Dat telecom bedrijven doodweg accepteren dat iemand vanaf telefoonnummer 1234 zegt dat hij toch echt aan het bellen is vanaf telefoonnummer 5678 terwijl ze kunnen zien dat het toch echt 1234 is daar zit het probleem momenteel.

        1. Technisch kun je wel je IP adres spoofen. Maar het zal dan niet lukken een werkende bi-directionele verbinding op te zetten. Want de retour pakketjes zullen niet weer bij jou komen, maar bij het gespoofde adres. Het is echter wel een methode die bij DDOS gebruikt kan worden. Stuur bijv. vanaf veel verschillende computers via UDP een DNS request met een gespoofd afzender adres (het adres van het slachtoffer) naar een nameserver. Die zal al de DNS replies naar het adres van het slachtoffer sturen. Voor het slachtoffer is niet te zien wie het oorspronkelijke verzoek gestuurd heeft. Providers kunnen dit blokkeren door hun klanten niet toe te staan dat er vanaf hun aansluiting een ander afzender adres gebruikt wordt dan aan hen is toegewezen. In hoeverre dat tegenwoordig gedaan door providers wordt weet ik niet.

      2. Op het internet kan het in theorie wel op protocolniveau. De tegenmaatregelen worden hier inderdaad genomen door de providers. Als provider neem je de verantwoordelijkheid dat je geen pakketten her bredere internet opstuurt met een sourceadres dat niet valt in de ranges die volgens je administratie van jou of jouw klanten zijn. Dit heet BCP 84. Daarmee kan dus een gebruiker zelf wel zulke packets construeren, maar haar ISP ziet dat er een afzender op staat die “niet kan kloppen” en zal het dus droppen ipv doorsturen naar de bestemming.

  3. Hoe wil je alle gesprekken blijven doorschakelen en het nummer van de echte beller weergeven? Zolang dat mogelijk blijft heb ik geen moeite met de wet. Daar zie ik eigenlijk op dit moment het grootste probleem. Daarnaast is telefonie geregeld bij grotere bedrijven/bel volumes dat ze inkomende oproepen hebben via partij A en uitgaand bellen via B en C. Als B dan uitvalt dan kunnen ze blijven bellen via C.

    Het eerste stuk blijft ook met mail een hindernis, hoewel als de ontvanger het doorsturen heeft ingesteld en zorgt dat alles goed is ingesteld het geen probleem meer is. Het tweede is opgelost doordat je aan kunt geven dat mail komt vanaf B en C. Hoe dit deel voor telefonie opgelost wordt zie ik nog niet voor me, maar als iemand een idee heeft hoor ik het graag.

    1. Als we het nou simpel houden en zeggen, je moet bewijzen dat een nummer bij jouw organisatie hoort en je mag nummers slechts eens per week wijzigen (met opnieuw bewijs). Dan heb je volgens mij 99% van de phishingtrucs opgelost, want die kunnen niet bewijzen dat het nummer van de ABN Amro bank van hen is, en het ook niet er snel doorheen duwen met een last-minute “correctie” op zondagavond.

      1. Dan laat je het doorschakelen met behoud van originele nummer vallen. Doorschakelen met nummerbehoud wordt dan effectief voor centrales verboden (dit is iets wat bv buiten kantooruren gebeurd of soms met huiswerkers zodat de ontvanger van het telefoontje wel kan zien wie er belt). Hier zie ik niet van in dat dit niet legitiem zou zijn. Immers je geeft het nummer van de beller weer (voor zover bij jou bekend). Op deze manier kan iemand die een storingsdienst heeft de klant ook terug bellen wat anders praktisch onmogelijk wordt.

        Voor bedrijven die met meerdere partijen werken voor uitbellen is het een optie als het gaat om hun eigen nummers.

          1. Bij doorschakelen weet ik dat niet van te voren. Daar weet ik pas tijdens het gesprek wat het afzender nummer is. Het nummer dat gebeld wordt is al wel eerder gebeld.

            Een voorbeeld op basis van e-mail: jan@example.nl stuurt een e-mail naar info@example.com. Nu blijkt dat alle mail voor info@example.com doorgestuurd wordt naar medewerker@example.net. In dit voorbeeld is voor de tijd ook niet bekend bij info@example.com dat de afzender van de mail jan@example.nl zal zijn. Dit is ook bij het doorschakelen van telefoongesprekken niet van te voren bekend. Dit terwijl je wel het originele nummer wilt tonen zodat er terug gebeld kan worden.

  4. Lijkt me dat je dit hierarchisch door de hele keten oplost. Ofwel: de provider die verkoopt heeft die verplichting richting zijn klanten, en als die verkoper in het buitenland zit, en als die buitenlandse partij dat niet kan of mag garanderen, dan kan hij niet van diens diensten gebruik maken, zelfs als dat betekend dat alle verbindingen uit dat buitenland geblokkeerd worden (dat is dan het probleem van dat buitenland, die dan maar zijn wetgeving moet aanpassen.) De eindleverancier wordt steeds aansprakelijk, en voer in boete van 100 euro per geval in om het tanden te geven.

    Een ander probleem is dat huisartsen (en andere gezondheidszorginstellingen) nummerweergave blokkeren, en helemaal geen nummer weergeven. Normaal gesproken zou ik dat blokkeren, maar omdat je voor je arts bereikbaar wil zijn kan dat dus niet. Ik zie dus ook graag een verplichting voor instellingen en bedrijven om altijd een correct nummer mee te sturen.

  5. Technisch zal het vast mogelijk zijn, maar wel ten koste van heel wat functionaliteit. Onder andere bij thuiswerken en voor bedrijven met meerdere locaties kan “assymetric routing” ontzettend handig zijn, wat een legitiem gebruik van “spoofing” is.

  6. Dit gedeeltelijk tegenhouden is relatief eenvoudig. Dit grotendeels tegenhouden is technisch bijzonder moeilijk. Er spelen allerlei complicaties die te maken hebben met ondersteuning voor verouderde protocollen op nieuwere infra, (in-)compatibiliteiten tussen providers en/of landen, zakelijke gebruikers die als uitgaand nummer het zakelijk nummer willen e.d. Er ontstaan dan allerlei problemen (bijv: faxen terwijl je een dienst hebt waarbij de mobiele nummers van je vertegenwoordigers voor uitgaand verkeer het nummer krijgen van de centrale ingang van het bedrijf, tenzij ze onderling bellen, of een third-party helpdesk die voor meerdere klanten werkt en afhankelijk van voor welke klant ze bellen een ander nummer heeft zodat als klanten dat nummer terugbellen ze kunnen zien welk bedrijf die klant denkt te bellen. En dat allemaal moet ook werken van en naar alle buitenlanden). Verkeer van voip-diensten met dat doort toegevoegde mogelijkheden wordt dan soms over het ouderwetse telefoonnet gerouteerd, omdat daarop fax gewoon werkt, en dan hoef je het verkeer alleen maar aan te passen aan je eigen netwerk). Als je met een of andere gedigitaliseerde dienst dan wil faxen of bellen naar een analoog telefoonnet in het Midden-Oosten of Afrika loop je tegen allerhande issues aan. Lang niet in alle landen is het zo redelijk modern geregeld als hier in West-Europa, en in sommige “derdewereldlanden” is het juist veel nieuwer en moderner (wet van de remmende voorsprong en zo). Technisch is er soms gewoon geen ruimte voor het doorgeven van meerdere nummers of andere identifiers. Het kan eveneens spaak lopen op regelgeving. Partijen die netwerkdiensten verkopen maar zelf ook aan eindgebruikers en bedrijven leveren mogen bijvoorbeeld niet zomaar zien wie de klanten zijn van hun afnemers, en hoeveel die bellen en waar naar toe; dat is economisch gevoelige informatie. In welke mate dit nog issues geeft als er een wet voor zou komen weet ik niet. Dit allemaal nog afgezien van het overduidelijke issue van controle als gesprekken uit het buitenland lijken te komen. Er hoeft maar een land of provider te zijn waar het mogelijk is om je nummer te spoofen, en als provider heb je geen mogelijkheid meer om die controle te doen; op enig punt moet je simpelweg vertrouwen dat het doorgegeven nummer legitiem is. TL;DR: Het is heel complex om te implementeren als je compatibel moet blijven met oudere protocollen en interoperabel wil blijven met de rest van de wereld. Het is veel, veel moeilijker dan het in eerste instantie misschien lijkt.

  7. Het verbaast mij eigenlijk dat telefonie vandaag de dag nog zo populair is en nog steeds niet helemaal vervangen is door internet-communicatie, waar het spoofen van een IP adres ervoor zorgt dat de response niet naar de juiste persoon terugkeert en dus vrij onhandig is. Er zijn tegenwoordig genoeg oplossingen om telefonie te vervangen met communicatie over Internet. Als er dan ook nog beveiliging wordt ingebouwd om IP adressen te controleren met land van herkomst en of het aan een bepaald bedrijf is gelinkt dan kan dat een goede verbetering zijn. Met email zijn er ook al de nodige middelen om spoofing tegen te gaan, hoewel email fraude nog steeds mogelijk is.

    Maar goed, telefonie is nog steeds enorm populair, en ook mobiele telefonie is erg populair. Je zou dan providers verantwoordelijk moeten stellen voor enige fraude die via hun systeem wordt gepleegd. Banken en slachtoffers hoeven daar niet voor op te draaien als het de providers zijn die het eenvoudig kunnen aanpakken. Dat zou eigenlijk ook bij oplichting via email moeten gebeuren omdat er dan kennelijk een provider is die een SMTP poort beschikbaar heeft gesteld voor oplichters…

    Aan de provider dan weer de taak om het geld bij de oplichters terug te krijgen.

  8. Als je bij een provider als Twilio je eigen nummer wil koppelen als outbound-caller-ID, bellen ze je op en krijg je een bandje met een code, die je vervolgens in dient te voeren. Grotere reeksen dien je contractueel aan hen over te dragen. Werkt prima en waterdicht. Het kan dus gewoon en elke provider die dit niet regelt, is gewoon lui.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.