Politie ontdekt iSpoof-server in Almere en haalt oplichtingsdienst uit de lucht

StockSnap / Pixabay

Het Cybercrimeteam Midden-Nederland heeft in samenwerking met de Londense Metropolitan Police Service iSpoof-servers uit de lucht gehaald. Dat meldde Tweakers donderdag. Met deze servers werden duizenden neptelefoontjes per maand gefaciliteerd, wat vaak gebruikt wordt voor oplichting zoals door alarmerende “wij zijn van de bank en u wordt gehackt” telefoontjes. Wat de vraag oproept, waarom kán dat eigenlijk nog steeds?

Helaas komt het steeds vaker voor dat oplichters (“phishers”, in het jargon) gebruik maken van gespoofte telefoonnummers. Dat is logisch, want als een slachtoffer het werkelijke nummer van een bank als beller ziet, zal hij eerder het verhaal geloven natuurlijk. En technisch is dit simpel: telecomproviders hanteren in de praktijk geen enkele beperking , zoals dat het ingestelde nummer ergens aan jouw bedrijf gekoppeld moet zijn in de administratie van de telecomprovider. Ik weet niet waarom dat niet gebeurt.

Het kabinet had in 2021 aangekondigd dat ze zouden komen met een voorstel om de Telecommunicatiewet zo aan te passen dat telecomproviders worden verplicht om telefoonspoofing aan te pakken. Dat heeft geleid tot een internetconsultatie deze zomer. De kern is dat artikel 11.10 Telecommunicatiewet gaat verbieden dat je “onjuiste” nummers meestuurt, en dat de ACM nadere regels mag maken over specifieke controleverplichtingen. Denk aan een zwarte lijst met bv. nummers van banken (die jij dus niet mag laten gebruiken in uitgaande gesprekken) of een plicht om die nummers te bellen voordat de gebruiker ze mag activeren.

Dit lijkt mij een goed idee, toch was ik verrast te lezen dat onder meer Microsoft bezwaar had gemaakt. De kern is dat er soms toch ook legitieme toepassingen zijn van CLI spoofing, zoals het tonen van het algemene nummer van een bedrijf terwijl er wordt gebeld vanaf de mobiel van een medewerker. Maar zoals ik het wetsvoorstel lees, wordt dat ook niet categorisch verboden. Het mag namelijk gewoon als het nummer wél bij de organisatie hoort. Dat kun je al oplossen met een lijstje van de mobieltjes van de medewerkers.

MS wijst wel op een andere ontwikkeling, het STIR/SHAKEN protocol, waarmee op dieper technisch niveau spoofing moet kunnen worden tegengegaan. De kern is hier dat de provider een lijst nummers heeft waarvan hij weet dat ze bij de klant horen, en dan het gesprek alleen doorlaat als het uitgaande nummer op die lijst staat. Maar hoe dat precies anders is dan wat het ministerie voorstelt, begrijp ik niet helemaal.

Arnoud

 

Kabinet wil telecomproviders verplichten om telefoonspoofing aan te pakken

Het kabinet komt later dit jaar met een voorstel om de Telecommunicatiewet zo aan te passen dat telecomproviders worden verplicht om telefoonspoofing aan te pakken. Dat las ik bij Security.nl, dat zich baseert op een brief aan de Tweede Kamer van demissionair minister Grapperhaus. Een logische maatregel lijkt me dat je niet zomaar toestaat dat iedere klant ieder nummer als afzender kan sturen, waar ik vorig jaar over blogde. Eind vorig jaar besloten banken na overleg met minister Hoekstra om slachtoffers van telefoonspoofing met terugwerkende kracht te vergoeden. 96 procent van de slachtoffers is inmiddels vergoed. Dat voelt als een stuk meer geld dan zo’n maatregeln.

Helaas komt het steeds vaker voor dat oplichters (“phishers”, in het jargon) gebruik maken van gespoofte telefoonnummers. Dat is logisch, want als een slachtoffer het werkelijke nummer van een bank als beller ziet, zal hij eerder het verhaal geloven natuurlijk. En technisch is dit simpel: telecomproviders hanteren in de praktijk geen enkele beperking , zoals dat het ingestelde nummer ergens aan jouw bedrijf gekoppeld moet zijn in de administratie van de telecomprovider. Ik weet niet waarom dat niet gebeurt.

Nu is er dus een plan om de wet aan te passen om hier regels voor te maken:

De regels voor nummerdoorgifte (de afzenderinformatie van een oproep of bericht) zullen daarbij worden aangepast en ook zal het gebruik van alfanumerieke informatie worden betrokken door hieraan passende voorwaarden te verbinden. Het wetsvoorstel omvat voorts een beperking van het extraterritoriale gebruik van nummers uit het nummerplan. Bij de regels voor nummerdoorgifte zullen concrete verplichtingen bij telecomaanbieders worden gelegd, en zal nadrukkelijk ook de rol van de aanbieder van de telecomdienst van waaruit de oproep plaatsvindt of het bericht wordt gestuurd, worden geadresseerd.
De kern van het probleem – als ik het ondertussen goed begrijp – is dat telecomproviders vaak geen eigen infrastructuur hebben, maar deze inkopen bij een grotere partij. Dat kan zelfs bij meerdere lagen (ik koop bij A, die inkoopt bij B, die weer bij C, enzovoorts tot ergens bij X of Y). En als je dan als X of Y dat mogelijk wil maken, dan is controleren of de klanten van A wel gerechtigd zijn tot die nummers wel héél veel rompslomp. Zeker omdat het dan gaat om A1 t/m A9001 bij wijze van spreken.

Desondanks lijkt me een check als deze de enige mogelijkheid. Het enige alternatief dat ik kan bedenken is een zwarte lijst – gij zult niet toestaan dat er met deze nummers outbound gebeld wordt, behalve provider K want die hééft de bank als klant – maar dan moet dat continu geupdate worden en is er discussie over wie er wel of niet op mag. Alleen banken, ook betalingsproviders, en hoe zit het met pakketbedrijven zoals DHL waar ook veel oplichting plaatsvindt (“Uw pakketje vereist inklaringskosten”)?

Arnoud

Zijn telecomproviders aansprakelijk voor gespoofte telefoonnummers?

Een lezer vroeg me:

Regelmatig wordt bericht over SMSjes of telefoongesprekken afkomstig van criminelen die gebruik maken van gespoofte telefoonnummers en zo hun geloofwaardigheid te vergroten. Denk aan nummers van banken of de overheid. Zijn telecombedrijven aansprakelijk wanneer zij dergelijke vormen van spoofing toestaan, en maakt het dan nog uit hoe actief zij daarop toezien?
Helaas komt het steeds vaker voor dat oplichters (“phishers”, in het jargon) gebruik maken van gespoofte telefoonnummers. In februari werd bijvoorbeeld bericht dat de politie samen met de Nederlandse grootbanken een onderzoek is gestart naar het spoofen van telefoonnummers van banken door oplichters. Ik heb nog geen resultaten gelezen, maar het laat de urgentie van het probleem zien. Wanneer een slachtoffer het werkelijke nummer van een bank als beller ziet, zal hij eerder het verhaal geloven natuurlijk.

Het doet raar aan dat een beller andermans telefoonnummer kan meesturen. Deze situatie bestaat echter al heel lang. Er zijn namelijk legale toepassingen, zoals wanneer een bedrijf bij alle uitgaande telefoontjes het centrale nummer meestuurt. Dan komen terugbellende klanten niet bij een specifieke medewerker terecht maar altijd bij de telefoniste.

Raar is wel dat daarbij in de praktijk geen enkele beperking wordt gehanteerd, zoals dat het ingestelde nummer ergens aan jouw bedrijf gekoppeld moet zijn in de administratie van de telecomprovider. Ik weet niet waarom dat niet gebeurt.

Aansprakelijk voor problemen als gevolg van zo’n nepnummer is een telecomprovider niet. In de wet staat immers dat partijen die toegang geven tot communicatienetwerken niet aansprakelijk zijn voor de doorgegeven informatie (art. 6:196c lid 1 BW), en dat geldt dus ook voor telefonieproviders. Onder “informatie” valt ook metadata zoals het nummer van de afzender/beller.

Ik begrijp dat de ACM (de toezichthouder in deze sector) al sinds 2018 bezig is met telecomproviders samen te werken hier wat aan te doen. Ik kan geen specifieke wettelijke regels of beleidsregels vinden waar dit onder zou vallen. Het lijkt mij een vrij eenvoudige regel om in te voeren, en gezien de opkomst van deze fraude ook geen gek idee. Of mis ik een reële case waarom mensen arbitraire nummers moeten kunnen meesturen met uitgaande telefoongesprekken?

Arnoud