Politie ontdekt iSpoof-server in Almere en haalt oplichtingsdienst uit de lucht

StockSnap / Pixabay

Het Cybercrimeteam Midden-Nederland heeft in samenwerking met de Londense Metropolitan Police Service iSpoof-servers uit de lucht gehaald. Dat meldde Tweakers donderdag. Met deze servers werden duizenden neptelefoontjes per maand gefaciliteerd, wat vaak gebruikt wordt voor oplichting zoals door alarmerende “wij zijn van de bank en u wordt gehackt” telefoontjes. Wat de vraag oproept, waarom kán dat eigenlijk nog steeds?

Helaas komt het steeds vaker voor dat oplichters (“phishers”, in het jargon) gebruik maken van gespoofte telefoonnummers. Dat is logisch, want als een slachtoffer het werkelijke nummer van een bank als beller ziet, zal hij eerder het verhaal geloven natuurlijk. En technisch is dit simpel: telecomproviders hanteren in de praktijk geen enkele beperking , zoals dat het ingestelde nummer ergens aan jouw bedrijf gekoppeld moet zijn in de administratie van de telecomprovider. Ik weet niet waarom dat niet gebeurt.

Het kabinet had in 2021 aangekondigd dat ze zouden komen met een voorstel om de Telecommunicatiewet zo aan te passen dat telecomproviders worden verplicht om telefoonspoofing aan te pakken. Dat heeft geleid tot een internetconsultatie deze zomer. De kern is dat artikel 11.10 Telecommunicatiewet gaat verbieden dat je “onjuiste” nummers meestuurt, en dat de ACM nadere regels mag maken over specifieke controleverplichtingen. Denk aan een zwarte lijst met bv. nummers van banken (die jij dus niet mag laten gebruiken in uitgaande gesprekken) of een plicht om die nummers te bellen voordat de gebruiker ze mag activeren.

Dit lijkt mij een goed idee, toch was ik verrast te lezen dat onder meer Microsoft bezwaar had gemaakt. De kern is dat er soms toch ook legitieme toepassingen zijn van CLI spoofing, zoals het tonen van het algemene nummer van een bedrijf terwijl er wordt gebeld vanaf de mobiel van een medewerker. Maar zoals ik het wetsvoorstel lees, wordt dat ook niet categorisch verboden. Het mag namelijk gewoon als het nummer wél bij de organisatie hoort. Dat kun je al oplossen met een lijstje van de mobieltjes van de medewerkers.

MS wijst wel op een andere ontwikkeling, het STIR/SHAKEN protocol, waarmee op dieper technisch niveau spoofing moet kunnen worden tegengegaan. De kern is hier dat de provider een lijst nummers heeft waarvan hij weet dat ze bij de klant horen, en dan het gesprek alleen doorlaat als het uitgaande nummer op die lijst staat. Maar hoe dat precies anders is dan wat het ministerie voorstelt, begrijp ik niet helemaal.

Arnoud

 

Wie is aansprakelijk voor misbruik van je VoIP-centrale?

voip-telefonie.pngAls iemand inbreekt op je VoIP-centrale en je duizend euro aan belkosten oplevert, is dat dan jouw probleem of dat van je telefonieprovider? Een lastige vraag, die maar al te vaak tot grote conflicten kan leiden. In een recent vonnis uit Maastricht legt de rechter de bal -terecht- bij de klant, maar wel mede (vooral?) vanwege het feit dat het ging om een eigen server.

De klant had een contract voor het leveren van VoIP-telefonie. Hij gebruikte daarbij een “eigen” server, maar het is me niet duidelijk of dat betekent “zelf gekocht” of “in eigen beheer”. Ik vermoed het laatste.

Voor deze dienst betaalde de klant gemiddeld ” 33,50 per maand, en de factuur van april 2010 voor ” 1.028,06 was dan ook enigszins een verrassing. Deze bleek te verklaren door een inbraak op de server in maart. Daarbij hadden derden vanuit Roemenië via hun centrale 150 keer naar Zimbabwe en Somalië gebeld.

De klant betwistte dat zij deze duizend euro moest betalen. De leverancier zou haar zorgplicht hebben geschonden, omdat zij geen beveiligingsmaatregelen of software had ingebouwd ter bescherming van de klant. Ook had de leverancier nooit gewaarschuwd voor malafide organisaties die op andermans kosten kunnen telefoneren. Plus, er kon zomaar onbeperkt gebeld worden, en dat is ongebruikelijk: andere bedrijven stellen een bellimiet in of geven een waarschuwing wanneer een afwijkend belpatroon optreedt.

De rechter gaat daar niet in mee. De klant had zich kunnen beveiligen tegen inbraken in de server, maar heeft daarvoor geen stappen genomen. Nergens is uit gebleken dat de leverancier nalatig was met waarschuwen of iets dergelijks.

En wat andere bedrijven doen (bellimieten of waarschuwingen) is niet relevant: de wet verplicht niet tot het overnemen van maatregelen van je concurrent. Dat zou pas kunnen als de maatregel zó evident is dat je van grove nalatigheid zou spreken als deze niet genomen wordt. En dan denk ik eerder aan het uitschakelen van alle wachtwoordbeveiliging dan aan een bellimiet.

Een professionele partij die een eigen VoIP-server heeft, wordt dus geacht zelf de beveiliging daarvan ter hand te nemen. De leverancier kan daarbij diensten verlenen, maar dat is niet standaard en hij mag er dus gewoon geld voor vragen.

Arnoud

Blokkeren van VoIP door je ISP

poort-gate-port-blokkade-blokkeren-voip.pngEen lezer wilde graag via Voice-over-IP (VoIP) bellen, maar hij kreeg het maar niet aan de praat. Na een hoop gedoe en geprobeer bleek er niets mis te zijn met zijn PC: zijn provider had simpelweg de benodigde poorten geblokkeerd, zodat het VoIP-verkeer het internet nooit bereikte. U voelt hem al aankomen: mag dat zomaar?

Er zijn geen specifieke wetten of regels over het mogen blokkeren van poorten voor internetverkeer, of over het mogen blokkeren van bepaalde internetapplicaties. Dan moet je dus terugvallen op de algemene wettelijke regels. In dit geval wordt dat het contractenrecht, aangezien dit blokkeren in feite neerkomt op een beperking van het gebruik van je contractueel afgenomen toegang tot internet.

De juridische vraag is dus: kan de leverancier eenzijdig besluiten dat een bepaalde poort of bepaalde dienst niet geleverd hoeft te worden?

Als het in het aanbod gemeld is, dan mag het natuurlijk. Als je kunt weten dat je niet kunt VoIP-bellen bij een bepaaldeprovider, en je meldt je toch aan, dan zit je aan die beperking vast. Maar ik ken maar weinig providers die expliciet vooraf melden dat bepaalde zaken gefilterd zullen worden (eigenlijk alleen de christelijke provider Solcon, waar het ook nog eens optioneel is). In Europees verband wordt gewerkt aan een pakket regels over telecommunicatie, waar mogelijk ook regels over dit onderwerp in komen. Het zal nog wel even duren voordat dit erdoor is echter.

Als er niets over gemeld is, dan is er een lacune in het contract. Was dit nu afgesproken of niet? In zo’n situatie hebben we sinds 1981 de zogeheten Haviltex-norm. In het Haviltex-arrest bepaalde de Hoge Raad dat het bij een lacune in het contract aankomt

op de zin die partijen in de gegeven omstandigheden over en weer redelijkerwijs aan deze bepalingen mochten toekennen en op hetgeen zij te dien aanzien redelijkerwijs van elkaar mochten verwachten.

Oftewel: is het redelijk dat je mocht verwachten dat je kon VoIP-bellen? Zo ja, dan mag de provider het niet zomaar blokkeren want dat is dan wanprestatie. Maar als de provider geen rekening hoefde te houden met VoIP-ende klanten, dan is er niets mis mee als hij het blokkeert.

Eerlijk gezegd heb ik geen idee hoe je die verwachting in het algemeen zou kunnen bepalen. Het enige wat in me opkomt, is dat als een provider zelf al “bellen via internet” als betaalde dienst aanbiedt, het niet redelijk is om te verwachten dat je via de gewone internetverbinding ook nog eens kunt VoIP-bellen. Maar dat komt in feite neer op: een provider hoeft concurrerende diensten niet toe te laten op zijn netwerk. En dat staat weer op nogal gespannen voet met netwerkneutraliteit. Of, als het om grote providers gaat, met de regels over vrije mededinging, want concurrentje pesten is dan niet toegestaan.

Arnoud