Bellen is inherent onveilig, mede door verplichte wetgeving. Tijd dat men dat inzien en overstapt op Over-The-Top diensten waarbij je fingerprints kunt controleren. (Schreeuw ik vanuit mijn ivoren toren naar beneden)

Bedankt voor de waarschuwing. Deze vorm van oplichting kende ik nog niet.

Een bank heeft volledige controle over elke bankrekening. Als ze die controle kwijt zouden zijn is er echt wat aan de hand.
In dat geval zou een bank failliet kunnen gaan maar de klanten hebben een verzekerde dekking (met limiet).
Eenvoudig advies als je zoiets meemaakt: naar de bank / toezichthouder stappen voordat je geld wegsluist.

Kennelijk is nummerherkenning niet "tamper-proof".
De hoogste tijd dat men daar eens wat aan gaat doen.

Opgelicht! heeft hiervoor gewaarschuwd in de uitzending van 21 januari 2020
https://opgelicht.avrotros.nl/uitzending/gemist/item/oplichters-passen-spoofing-toe-om-jou-telefonisch-geld-afhandig-te-maken/

Dat is het al heel lang niet meer, het beschermen van CLIP/CLIR erodeerde met de invoering van VoIP telefonie.

Goh... de eerste 'red flag' zou zijn dat de bank belt.
Die hebben geen nummer van mij...

Maar dan nog: dat nummer is niks meer dan een afzender. Alsof je in een mailtje of brief niet kunt doen alsof je de bank bent! Wederom vertrouwen in iets wat niet bedoeld is voor security!

Nummerherkenning is bedacht in de tijd dat de uitvoering ervan nog in handen was van "bedrijven die je kon vertrouwen"
met deze taak. Door het opengooien van de telecom markt is daar niks meer van over.

Je kunt de situatie vergelijken met "source address filtering" op Internet. In feite zou ieder bedrijf wat internet toegang
aanbiedt aan klanten (connectie of hosting) altijd moeten checken of de gebruikte source adressen wel overeenstemmen
met de aan die klant verstrekte adressen. Zo niet dan gewoon wegfilteren.
Maar dat doet niet iedereen (vrijwel niemand) omdat dat voor hen persoonlijk geen voordeel of gewin oplevert maar alleen
voor anderen op het netwerk (die worden dan verlost van spoofing, DDoS attacks en dergelijke)

Op dezelfde manier zien veel telefonie partijen het niet als hun taak om meegestuurde nummers te controleren, zoals
vroeger de bedrijven in die sector wel deden. Daardoor is nummerweergave nu net zo waardeloos geworden als het
source adres op een UDP of ICMP packet wat je binnenkrijgt.
(TCP natuurlijk ook, maar omdat IP een datagram-gebaseerd netwerk is kun je er in ieder geval nog vanuit gaan dat
het source adres klopt als je een established TCP sessie hebt. bij telefonie werkt dat zo niet omdat het telefoon netwerk
circuit-gebaseerd is dus het retour verkeer kan evengoed wel gerouteerd worden zelfs al klopt het bellende nummer
helemaal niet)

Let op: ze vragen het ook over te maken naar een buitenlands nummer. Dus mocht alles vertrouwd overkomen, maar u krijgt dit soort gegevens toegestuurd, bel dan even de bank terug om te vragen of de rekening bekend is bij hun (dat is ie dus niet).

Doe je nou heel ingewikkeld over wat fingerprint controles in essenties doen of snap je gewoon niet dat een digitaal matching proces ook gewoon met de buitenwereld moet communiceren en dat dus gewoon door derden kan worden gecontroleerd, gemonitored en gekopiëerd.
Python image matching bibliotheken voor finger print matching zijn algemeen beschikbaar.
Kind van 11-12 jaar kan finger print matching processen dus gewoon al repliceren.
Kind kan de was doen heet dat!

Het is nooit de bedoeling geweest dat dit 'beveiligd' was. Bij vaste telefonie stelt de provider het nummer in. Bij VoIP kun je dat soms zelf instellen en bij mobiel stelt de telefoon dat zelf in.

Er schijnen apps te bestaan waar je zelf dit nummer voor een smartphone kunt instellen. Volgens een berichtje op dit forum van een paar jaar geleden, waren deze apps populair onder scholieren om hun vrienden mee te verrassen.

In elk geval moet je ervan uitgaan dat de afzender zelf zijn weergegeven nummer kan instellen. Dat is ook handig bij een zakelijke telefoon, waar je niet door iedereen op teruggebeld wilt worden. Je stelt dan het nummer van de receptie in. Je krijgt dan alleen telefoontjes van mensen die je echte nummer hebben.

Ik ben erg benieuwd hoe ze dat hebben gedaan.
De telefoon-profider gehackt ?, of de bank zelf ?

Nee zo zit dat niet! Het was WEL de bedoeling dat dit beveiligd was. Bij een analoge lijn is er voor de klant niks te doen,
de lijn heeft 1 nummer en dat wordt er door de provider aan gehangen. Maar bijvoorbeeld bij ISDN was het altijd zo dat
je zelf het nummer kon meesturen (1 lijn had wel 4 tot 8 nummers) maar dan werd door de provider gechecked of dat het
meegestuurde nummer wel een van jouw eigen nummers was en zo niet dan werd het overruled (vervangen door je 1e
nummer).

VoIP is in feite dezelfde situatie als ISDN: je kunt zelf een nummer mee sturen als je dat wilt, maar dan zou de provider
moeten checken of dat wel je eigen nummer is. Omdat je soms in een wat complexere situatie wel eens kunt hebben
dat je uitbelt met een nummer over trunk 1 wat eigenlijk hoort bij trunk 2 (bijv als je meerdere abonnementen hebt)
zal een goede provider de mogelijkheid hebben om een ander nummer mee te sturen NADAT JE AANNEMELIJK
HEBT GEMAAKT DAT DAT EEN VAN JOUW EIGEN NUMMERS IS. Dat krijg je bijvoorbeeld een belletje op dat nummer
en moet daar een code intoetsen ofzo. Niet foolproof in de ogen van de harde kern hier, maar het is een controle en
die controle zou het meesturen van het nummer van een bank onmogelijk maken.
(wellicht niet het meesturen van het nummer van een vriend die bij je op bezoek is en zijn mobiel op tafel heeft laten
liggen terwijl hij naar het toilet is, maar je moet niet op al dat soort slakken zout leggen)

Echter wat we nu hebben is: zoveel van dit soort "VoIP providers" dat er rotte appels tussen zitten die helemaal niks
controleren en gewoon ieder meegestuurd nummer toelaten. Dat is wel degelijk het breken van de beveiliging zoals
die oorspronkelijk bedoeld was. Je kunt aanvoeren dat het niet echt een beveiliging is maar meer een kasteel gebouwd
op (misplaatst?) vertrouwen, maar dat is het hele TLS certificaten systeem net zo goed. En dat gebruiken we ook.

De oplossing zou natuurlijk zijn dat iedere goedwillende provider de verbindingen verbreekt met alle "peers" die dit soort
procedures voor controle niet correct uitvoeren, en recursief met alle peers die peers accepteren die dat niet doen.
Dan zou er een motief zijn om dit weer op orde te brengen. Net zoals een certificaat uitgever uit het systeem gedonderd
wordt als ie betrapt wordt op malversaties. En net zoals ook zou moeten gebeuren met providers die geen source
adres filtering doen.

Echter dat soort dingen gebeurt niet omdat het verdienen van geld aan telefoontjes toch wel iets belangrijker gevonden
wordt dan het oplossen van problemen van slachtoffers van criminaliteit.

zoveel reacties maar niet 1 die echt iets te vertellen heeft in deze.

deze gasten begeven zich op Telegram, kopen SMS gateways bij bepaalde andere gasten, kopen random telefoonnummer lijsten op, storten grof geld naar slachtoffer bank accounts, tonen dat trots d.m.v. screenshots e.d.

ze bieden zoveel illegale shit aan dat het bijna bizar is dat de politie dit niet ondervangen kan.

(en dan zwijg ik nog maar even over de groei van Carders op telegram die creditcards online stelen, en gebruiken om aankopen op iemand anders zijn naam te doen..)

aan de Politie is hier ook zeker wel wat te wijten, ik persoonlijk heb de Politie een lijst van dergelijke gasten op een presenteerblaadje geboden, zij (de politie) gaven de indruk nogal op hun teentjes getrapt te zijn, in de zin van: "wij zijn hier de politie,d'r is niemand die ons werk beter kan" maar vervolgens verneem je op TV dat er kennis bij de politie weg vloeit ipv erbij komt..
(goh hoe zou dat komen..) al die jonge agentjes die hun streepjes nog moeten verdienen, weigeren te leren want ze weten alles al, ze hebben immers een opleidinkje gehad en zijn nu volwaardig agent.. 't klinkt als een hele slechte film, en dat is het ook..

Spoofing smsjes word gedaan d.m.v. PDU berichten, zo kunnen ze ook stealth smsjes versturen, of ping hoe je het ook wilt noemen.

het spoofen van telefoonnummers, kan gedaan worden met een eigen BTS (base transceiver station) het kan zelfs gaan om een zelf gemaakte IMSI catcher.

verder zijn er diensten op het internet te vinden die het mogelijkmaken om gespoofde smsjes te versturen maar ook gespoofde telefoonnummers. en nee ik ga geen voorbeelden noemen, ik wil niet degene zijn die het amateurtjes makkelijk gaat zitten maken die veelal naar dit soort info zitten te googlen.

de rest mag de politie uitzoeken veel succes met het faalbeleid bij de politie.

Wellicht had ik wat explicieter moeten zijn, met fingerprint doel ik op public-key fingerprints [0]. Dit is een hash van de public key van de andere partij waarmee je de authenticiteit van berichten en telefoontgesprekken kunt controleren. Wanneer je de fingerprint, en daarmee public key, in persoon verifieerd kun je op deze manier zeker van zijn dat je altijd de juiste persoon aan de lijn hebt en het verkeer niet afgeluisterd kan worden. Dit gaat dus ook alleen op voor end-to-end encryptie, wat bij standaard telefoongesprekken niet van toepassing is.

Binnen Whatsapp kun je dit bijvoorbeeld vinden door bij een contact op de knop 'versleuteling' te klikken. De fingerprint is dan een QR code of reeks getallen gebaseerd van de public key van de andere persoon. Deze dien je voor ieder contact te controleren om er zo zeker van te zijn dat je met de juiste persoon praat, wat erg omslachtig is en daarom door niemand gedaan wordt. Zie ook [1].

Als andere opmerking bij het artikel lijkt er wel een werkgroep te zijn welke zich bezig houdt met nadenken over betere authenticatie binnen SIP/VoIP [2].

[0] https://en.wikipedia.org/wiki/Public_key_fingerprint
[1] https://www.xkcd.com/364/
[2] https://datatracker.ietf.org/wg/stir/charter/

Als zal het aan mijn omaatje doorgeven ......

Je hebt geen idee wat een opleiding aan de politieacademie inhoud.
Verder begrijp je niet hoe het volgen van opleidingen is geregeld.
Dat zelfstudie geen waarde heeft voor het werk van agent omdat het gecertificeerde opleidingen moeten zijn voordat je die kennis kunt toepassen en er gebruik van kunt maken in processen-verbaal en rechtszaken.

Maar wel arrogant doen dat jij iets beter weet.
Knap hoor.

Wat je in werkelijkheid doet is aannames inbrengen, eenmalig beslissen hoe smal of brede blik je die toepast, suggereren dat ze altijd uniform opgaan en dat je op basis van die rand-voorwaarden hashes laat verwerken en allerlei mooie bewerkingen toevoegt.
Noot, dat is allemaal digitaal. En in essentie ook ingewikkeld en incompleet zijn.
Het zegt allemaal NIETS over de persoon van wie de vingerafdruk wordt verwerkt,
Het zegt enkel dat die vingerafdruk op bepaalde momenten (niet beperkt tot de controleerbare momenten) telkens wordt verwerkt!

wel eens voor alle zekerheid een bank gebeld omdat hun e-mail zoveel taal- en stijlfouten had; het bleek echter steeds van de bank te zijn. dus ook zorgen voor goede e-mails.

Laat slachtoffers ten eerste gewoon (ver)losgeld hardnekkig blijven betalen met euro's.
Zeg gewoon dat u niet weet hoe andere die andere soorten werken en dat u niet handig genoeg bent en blijf daar ook bij.

Dat voorkomt veel gedoe met lastiger traceerbare en identificeerbare bitcoin crypto betalingen.
Dat zorgt ook voor duidelijkere juridische argumenten voor misbruik van geld, omdat euro transacties primair onder Nederlandse overheid wetgeving valt.
Bitcoin crypto betalingen zijn qua jurisdicties van overheden veel lastiger en minder afgebakend, omdat vele daarvan - die al dan niet voor het verder wegsluizen worden ingezet door criminelen - primair ook zo zijn opgezet dat de overheid daar NOG minder grip op kan hebben dan bij de eigen euro's kan.

Ook hebben banken nogal een gekke naieve aandacht als het gaat om transfers naar iets als een "speciale kluisrekening".
Dat daar kennelijk GEEN wachtlussen zijn ingebakken bij digitale transacties zijn echte finale missers van banken zelf.
Ook al bellen slachtoffers meteen met hun eigen bank, dan is die bank weer afhankelijk hoe snel de bank die de transactie naar de "speciale kluisrekening" overboekt reageert.
Die overboekende bank van de "speciale kluisrekening" zou dus helemaal de klos moeten zijn.
Helemaal als het geld naar niet-euro genoteerde rekeningen wordt overgeboekt.
En zo lang het om bedragen <€100.000,- gaat moeten ze die aan de slachtoffers terugbetalen wegens verwijtbare nalatigheid.

Nu blijkt dat bij meteen aan de bel trekken bij de eigen bank gek genoeg het geld inmiddels al spoorloos verdwenen kan zijn.
Een autohandelaar die "per ongeluk" een inherent half-bakken auto doorverkoopt aan een ander gaat ook het schip in.
En banken zijn echt niet langer heiliger dan auto-handelaren.....
En nee, banken zijn ook geen halve software dienstverleners.
Banken zijn primair in functionele zin gewoon behandelaars van betalingen en het netjes bewaren daarvan.
Secundair daaraan is dat ze daar zelf volstrekt mee omgaan, klanten/particulieren al helemaal, hebben nauwelijks inzicht in hoe banken dit allemaal achter de schermen doen.
Hetgeen ook voor insiders al bijna ondoenlijk is om in de smiezen te kunnen houden.
Ergo, banken stel de slachtoffers uit eigen beweging schadeloos als je het geld slechts gedeeltelijk kan traceren!
Wanneer je als bank het niet geheel kan traceren is dat primair niet te danken aan privacy waarborgen maar primair aan de mate van vertrouwen dat je als bank kennelijk meende te kunnen stellen om de transactie te voldoen.
Dat vertrouwen is primair iets waar de bank dan achteraf zelf alle conclusies over moet trekken.
Laat slachtoffers, jullie klanten die niet het volledige inzicht hiervoor kunnen hebben en bij voorbaat dus geen goede volledige kans op verhaal langs juridische hebben, daarbuiten.

Zelfs met het PTT plain old telephone system was spoofing mogelijk indien je het nummer in je grote telefooncentrale veranderde, de nodes werden niet gecontroleerd op juiste adressering. Hetzelfde gold voor internationale netnummers ... criminelen in bijv Nigeria hadden dat snel door

Zo te zien, heb jij ook last van fouten. Hoofdletters, komma's en punten op de juiste plek, zijn bij jou onbekend.

Precies. Ik kan ook het banklogo op een enveloppe en brief printen en vervolgens aan iemand sturen. Anderzijds snap ik wel dat een niet IT'er hier echt niet over nadenkt en als er in je display 'Mijn Bank' verschijnt, geen achterdocht heeft.

Ik ben zelf slachtoffer geworden van spoofing op 14 dec 2019 en heb bewust de pers opgezocht ( ED/AD); het bewuste artikel is in diverse regio's overgenomen en sindsdien hebben diverse personen uit heel NL contact gezocht omdat ze zelf ook slachtoffer zijn geworden; spoofing is blijkbaar een internationale vorm van oplichting geworden waartegen bedrijven en banken niet opgewassen zijn; het criminele is echter dat een bank als de ABNAMRO verzuimt om hiervan melding te maken op hun website en daardoor hun klanten onbeschermd achterlaat temeer omdat hun eigen medewerkers van het Fraudeteam toegeven dat ze soms ( heel zelden) wel degelijk hun klanten telefonisch benaderen!

Je bent als klant gewoon machteloos als je door een instantie of persoon wordt opgebeld want je weet nooit of die instantie echt is of fake, of die persoon echt is of fake!! En de recherche staat blijkbaar machteloos!!

Waarom zou die achterdocht moeten hebben? Die heeft toch zelf het telefoonnummer van de bank opgeslagen in
het telefoonboekje als "Mijn Bank"? Om het te kunnen bellen als er iets verdachts met de rekening gebeurt ofzo.
Jij zit kennelijk te kijken naar die wat rare naam "Mijn Bank" dat had "ING Bank" moeten zijn ofzo maar dit is UITERAARD
een opzetje om die foto te kunnen maken voor een politie waarschuwing, zonder meteen een banknaam te gebruiken
en daarmee (anti)reclame te maken voor 1 specifieke bank terwijl dat niet relevant is voor de waarschuwing.

Je kunt zelf uiteraard zeggen "ik bel terug op het nummer van de bank" en dan ophangen. Je belt vervolgens het nummer
wat bij jou bekend is van de bank en vraagt hoe het zit.
Dit is natuurlijk lastig omdat je dan bij een ander terecht komt dan degene die je net belde, maar als je daar het verhaal
afsteekt wat ze je probeerden te vertellen ("mijn rekening is geblokkeerd en ik moet mijn geld op een kluisrekening
overboeken") dan zal men vast wel vertellen dat dit een verhaal van oplichters is en niet klopt.

Ik heb ook wel eens gehad dat er gebeld was door het nummer van mijn bank maar dat zag ik alleen maar later op mijn
telefoon en ik heb die nooit terug gebeld. Alleen even in de bankieromgeving gekeken of daar iets stond of iets verdachts
te zien was, maar nee. Geen idee of dat echt de bank was of een spoofer.

er is in de ,ja hoe kan het niet anders,, usa, een betaalde dienst waar je via een app een nummer kan laten genereren die dan op het scherm van iemand komt,zou zelf nog legaal zijn daar ook !
sterker nog, ding zit zelf in de app en play store !

Telefoneren is zo 2019,

#sockpuppet

Als je op hun website helemaal onderaan kijkt, staat er een link met de naam 'veiligheid'. Op die veiligheidspagina staat een link "Fraude herkennen". Daar tref je 5 veiligheidsregels aan. Een ervan is dat de bank nooit zal vragen om geld over te boeken.
Dat gaat niet direct over spoofing, maar wel over de onlogica dat de bank zou vragen om geld over te maken. Als dat nodig zou zijn, dan kunnen de medewerkers dat gewoon zelf, zonder jouw pincode of pasje. Ik heb ook wel eens met de bank gebeld en de medewerker voorstelde dat hij de transactie zou doen. (Gaat dan meestal over de aankoop van waardepapieren)

Dat het fraudeteam soms belt, klopt inderdaad. Een familielid van mij heeft dit najaar een betaling willen doen naar een dubieus rekeningnummer en het fraudeteam belde terug met de uitleg waarom zij de overboeking geblokkeerd hadden.

Het is me vaker opgevallen dat criminelen inhaken op een beeld bij de slachtoffers alsof een bankrekening een soort kluisje is waar de bank zonder hulp van de rekeninghouder niet bij kan. Je rekening zou bijvoorbeeld verlopen en je zou een of andere handeling met je bankpas moeten doen (een overboeking natuurlijk) om hem te heractiveren.

Daarmee haken de criminelen in op een vergaand gebrek aan inzicht in hoe informatiesystemen eigenlijk in elkaar zitten. Nou is het absoluut teveel gevraagd van klanten om de complexiteit van informatiesystemen zoals banken die hebben te overzien, maar bij mij knaagt het toch wel dat het basale inzicht bij zoveel mensen ontbreekt dat een rekening en een saldo op die rekening domweg een boekhouding zijn, gegevens die ook in boeken opgeschreven zouden kunnen worden (en zo ging het ooit ook letterlijk), en dat de bank er volledig bij kan. Als je dat snapt dan snap je ook dat er iets niet klopt als de "bank" je belt omdat die er niet bij zou kunnen.

Ik kan me herinneren dat ik ooit, als computerprogrammeur bij een bank, met collega's discussies had over hoe technologie zich aan het ontwikkelen was, waarbij ik vaak als techneut te horen kreeg dat een gebruiker helemaal niet hoeft te weten wat er onder de motorkap zit.

Ha, een auto-analogie.

Wat er mis is met dat beeld is dat menige gebruiker van een auto inderdaad geen flauw idee heeft hoe een verbrandingsmotor eigenlijk werkt maar dat die wel degelijk weet dat er een motor onder de motorkap zit, wel degelijk weet dat die motor de auto aandrijft, en wel degelijk weet dat die motor brandstof verbruikt (elektrische auto's waren toen nog toekomstmuziek). De details van de werking van de motor kennen mensen niet, maar de functie van de motor en een paar praktische zaken die je moet weten over de werking ervan zijn wel degelijk bekend. Maar de hele IT-sector is gaan doen alsof een gebruiker van hun produkten dat soort kennis vooral niet hoeft te hebben en dat zelfs zo veel mogelijk gecamoufleerd moet worden hoe het eigenlijk werkt.

Elke keer dat de IT-sector merkt dat mensen iets niet snappen probeert men niet om die mensen wat begrip bij te brengen maar om het onbegrip zo goed mogelijk te faciliteren. Het resultaat is dat heel wat mensen die er best toe in staat zouden zijn toch de ballen snappen van computers en ervan overtuigd zijn dat het dat onbegrip de gewenste situatie is.

Dat maakt de samenleving verdomd kwetsbaar.

zo,, de betreffende app om een nummer te spoofen heet spoofcard,en is een betaalde dienst, waarschijnlijk deden ze het op die manier.