Het Cybercrimeteam Midden-Nederland heeft in samenwerking met de Londense Metropolitan Police Service iSpoof-servers uit de lucht gehaald. Dat meldde Tweakers donderdag. Met deze servers werden duizenden neptelefoontjes per maand gefaciliteerd, wat vaak gebruikt wordt voor oplichting zoals door alarmerende “wij zijn van de bank en u wordt gehackt” telefoontjes. Wat de vraag oproept, waarom kán dat eigenlijk nog steeds?
Helaas komt het steeds vaker voor dat oplichters (“phishers”, in het jargon) gebruik maken van gespoofte telefoonnummers. Dat is logisch, want als een slachtoffer het werkelijke nummer van een bank als beller ziet, zal hij eerder het verhaal geloven natuurlijk. En technisch is dit simpel: telecomproviders hanteren in de praktijk geen enkele beperking , zoals dat het ingestelde nummer ergens aan jouw bedrijf gekoppeld moet zijn in de administratie van de telecomprovider. Ik weet niet waarom dat niet gebeurt.
Het kabinet had in 2021 aangekondigd dat ze zouden komen met een voorstel om de Telecommunicatiewet zo aan te passen dat telecomproviders worden verplicht om telefoonspoofing aan te pakken. Dat heeft geleid tot een internetconsultatie deze zomer. De kern is dat artikel 11.10 Telecommunicatiewet gaat verbieden dat je “onjuiste” nummers meestuurt, en dat de ACM nadere regels mag maken over specifieke controleverplichtingen. Denk aan een zwarte lijst met bv. nummers van banken (die jij dus niet mag laten gebruiken in uitgaande gesprekken) of een plicht om die nummers te bellen voordat de gebruiker ze mag activeren.
Dit lijkt mij een goed idee, toch was ik verrast te lezen dat onder meer Microsoft bezwaar had gemaakt. De kern is dat er soms toch ook legitieme toepassingen zijn van CLI spoofing, zoals het tonen van het algemene nummer van een bedrijf terwijl er wordt gebeld vanaf de mobiel van een medewerker. Maar zoals ik het wetsvoorstel lees, wordt dat ook niet categorisch verboden. Het mag namelijk gewoon als het nummer wél bij de organisatie hoort. Dat kun je al oplossen met een lijstje van de mobieltjes van de medewerkers.
MS wijst wel op een andere ontwikkeling, het STIR/SHAKEN protocol, waarmee op dieper technisch niveau spoofing moet kunnen worden tegengegaan. De kern is hier dat de provider een lijst nummers heeft waarvan hij weet dat ze bij de klant horen, en dan het gesprek alleen doorlaat als het uitgaande nummer op die lijst staat. Maar hoe dat precies anders is dan wat het ministerie voorstelt, begrijp ik niet helemaal.
Arnoud
Het is ingewikkeld 🙂 Telecomboeren zijn niet alleen KPN, Vodafone en T-Mobile, maar ook Simpel, Lebara en andere partijen zonder netwerk. Op de zakelijke markt zijn er nog veel meer aanbieders van telefoonnummers, telefoonlijnen, VoIP diensten en aanverwante zaken. ICT recht heeft vast een contract met een aanbieder van telefonie, en daarbij nog apart een contract voor mobiel. En dan nog een partner die een BYOD telefoon heeft, met eigen nummer, want dat is makkelijk, dus dat nummer staat op naam van een particulier (of op naam van een BV of eenmanszaak van die werknemer). Daarnaast is er een backoffice die via Teams belt, en daar ook een apart vast telefoonnummer op heeft, maar dat loopt niet via de telefonie provider, maar via een aparte aanbieder die de ICT beheerder geregeld heeft. En voor de vestiging in Maastricht heb je alles nog een keer, maar dan met andere contracten en partijen. De vestiging in Brussel idem, maar dan met andere partijen, contracten en wetgeving. En dan heb jij het makkelijk, want jij doet recht, en bent geen callcenter, want dan moet iedereen in jouw bedrijf namens al jouw klanten kunnen bellen. Het is dus logisch dat de enige manier om dit beheersbaar en compliant te houden, is om de wet dit te laten toestaan. Dus ik snap wel waarom Microsoft hier tegen in wil.
Kun je het nog een keer uitleggen maar dan zónder de badinerende opmerkingen en uitleg over hoe mijn bedrijf eruit ziet?
Natuurlijk zijn er providers zonder eigen netwerk, A. Die kopen dat in bij partijen die dat wel hebben, zeg B. En dan is er dus het probleem dat de klanten van A met allerlei nummers willen bellen. Als techneut denk ik dan “er is een probleem, de oplossing is een database”, dus wat is er dan precies onmogelijk aan het aanleggen van een lijst met nummers van klanten van A, die B dan controleert? Dit is zeg maar hoe STIR/SHAKEN werkt, zo te horen ken je dat dus misschien kun je hier in wat meer detail in gaan?
De uitdrukking “de enige manier om compliant te zijn is om alles toe te staan” ga ik gelijk doorsturen naar het AVG team.
Wat een onzin. Waarom zou het bij telefoneren niet kunnen, als het bij e-mailen wel kan? Bij e-mail kan met behulp van SPIF, DKIM en DMARC bepaald worden of een e-mail van jouw organisatie afkomstig is, ook al is het verstuurd door een 3e partij met een mailserver die niet op jouw naam staat.
Precies. Het heeft me weliswaar wat geklooi gekost (kan ook mijn onhandigheid zijn), maar SPF en DKIM werken wel. (Van DMARC zag ik het nut niet erg, dus dat heb ik weer uitgezet, maar controlerende sites zoals Gmail zeggen dat mijn mails ook Dmarc-compliant zijn.)
Het is ingewikkeld. Nou en? DKIM, SPF, DMARC, HTTPS/SSL/TLS, CSP, DNSSEC, ook allemaal niet gemakkelijk. Maar we doen het toch, omdat we het criminelen wel erg gemakkelijk maken als we protocollen zoals http en smtp/imap/pop3 zo houden zoals ze vanaf dag 0 waren. Het wordt tijd dat de telecomproviders ook eens pro-actief hun best gaan doen om telefonie veiliger te maken, door o.a. spoofing gewoon tegen te gaan. Dat kan betekenen dat er specifieke regels komen om spoofing tegen te gaan, maar wat mij betreft is er ook gewoon een zorgplicht van de providers om het systeem veilig te houden. Als ik een website maak voor iemand heb ik ook de (juridische!) verplichting het zaakje naar de stand van de techniek veilig te houden, het is gek dat onze telco’s nog wegkomen met zo’n lakse houding.
Het wordt hoog tijd dat er zulke regelgeving komt. De oplossingen komen dan vanzelf wel. En anders doet het maar even pijn.
Typisch de wet van remmende voorsprong; telefonie was vroeg ontwikkeld en overal ingeburgerd. Maar daardoor is het ondertussen ontzettend moeilijk om het aan te passen aan nieuwe eisen.
Nummerherkenning is nog niet zo oud… Het klassieke pulskiessysteem ondersteunt het niet; pas sinds de invoering van heet “toonkiezen” (DTMF) is nummerherkenning via de vaste lijn mogelijk.
Precies. En die lange geschiedenis van telefonie (Bell en/of anderen, ca. 1876) was ook geen beletsel om over kabels die ooit ontworpen zijn voor 300-3400 hertz (nee, niet megahertz, ook niet gigahertz) toch tientallen megabits per seconde te versturen, wat volgens het theorema van Shannon helemaal niet kan. Maar het kan toch.
Ik verstuur als test wel eens e-mails (aan adressen van mezelf, om niemand te irriteren, natuurlijk) door het SMTP-protocol rechtstreeks in een minimale vorm met de hand in te tikken. Dat werkt nog steeds. Maar sommige strenge servers weigeren ze met reden, en anders krijg je terecht een hoge spamscore.
Dit is in 2022 zo ongeveer de enige nog zinvolle toepassing van het stokoude programma telnet. HTTP en POP3 kunnen zo ook.
Telefonie is ontwikkeld in een tijd dat er maar 1 aanbieder was. De nationale PTT. En die had geen regels nodig om het goede Caller ID mee te sturen, dat wisten ze zelf toch wel. (En internationaal bellen was zo schofterig duur dat de enige oplichter die daaraan verdiende de PTT zelf was).
Voeg daaraan toe dat de telecomproviders geen last hebben van de spooftelefoontjes (in tegenstelling tot E-mail, waar er genoeg ontvangers zijn(waren) die zelf de infrastructuur voor mail beheren, en dus ook zelf de overlast van spam hebben (hadden)), en je hebt een prima recept voor jarenlang niets doen en traag reageren,
‘ouderwetse’ telefonie was gewoon één op één over een draadjes er waren wel wat truuks om ‘gratis te bellen maar spoofen op een analoge lijn was niet makkelijk. nu met gratis voip software en een Raspberry heb je een complete telefoniecentrale in huis inclusief ispoof mogelijkheid, de link hoe e.a. moet, zelfs een complete handleiding staat op het immer kinderachtige Tweakers, En beetje IT ér met een uurtje over zet zoiets voor een paar tientjes in elkaar. Zoals ik het zie is er dus niets veranderd.
Een nummer spoofen is helemaal niet moeilijk. Een aantal jaren geleden deed ik iets met VoIP en SMS diensten. Je kunt op je VoIP trunk eenvoudig het nummer opgeven waarmee je je bekend wilt maken bij de andere kant. Erg handig als je een centraal nummer hebt voor een helpdesk maar dat tientallen helpdeskers, verspreid over het hele land, in de call queue zitten etc. Wij haalden ook geintjes uit, allemaal redelijk onschuldig. Ik stuur een SMS naar persoon A met afzender nummer van persoon B, persoon A denkt dat hij een sms krijgt van persoon B, B weet natuurlijk van niets etc.. Heel grappig, tot iemand er misbruik van maakt.
“[…] Daarna belt B. zelf. «Heeft er nog iemand voor me gebeld?»”
Dat is een heel ouwe mop.
Gokje: Het verschil tussen het voorstel van het ministerie, en dat stir/shaken protocol, is dat MS patenten heeft op dat protocol.
In de lijn vroeger was alles beter, en ik in mijn nostalgie duik. Kon je inbellen op een, vaak buitenlandse, telefooncentrale en dan terug laten bellen dan had je een gratis lijn, en kon je ook je nummer aanpassen. Die techniek zit trouwens nog steeds in MS servers. Toch die ouwe nokia weer eens opzoeken met ingebouwd 14k4 modem, want onbeperkt bellen toch eens controleren:-)