Keijzer kondigt maatregelen aan tegen telefoonspoofing en sms-phishing
Staatssecretaris Keijzer van Economische Zaken heeft maatregelen aangekondigd om telefoonspoofing en sms-phishing tegen te gaan. Bij telefoonspoofing en sms-phishing geven oplichters vaak een ander nummer door dan waarvandaan wordt gebeld of het bericht van afkomstig is. Slachtoffers kunnen daardoor denken dat het om een gesprek of bericht van de bank gaat.
"De achtergrond van de toename van spoofing vormt de voortschrijdende techniek zoals VoIP (Voice over IP) waardoor de mogelijkheden zijn toegenomen om telefoonnummers en andersoortige informatie als afzender op te nemen bij telefonische oproepen en sms-berichten", merkt Keijzer op in een brief aan de Tweede Kamer. De afgelopen maanden zijn zeker honderden mensen voor miljoenen euro's opgelicht omdat ze, mede vanwege het getoonde nummer in de display van hun telefoon, dachten dat ze met hun bank te maken hadden.
Keijzer heeft de telecomsector eind vorig jaar benaderd over de aanpak van sms-phishing en in juni van dit jaar een plan van aanpak ontvangen. Zo wordt er gewerkt aan een gezamenlijk proces voor het melden van incidenten bij opsporingsdiensten, de inrichting van een meldloket voor gebruikers en het sneller blokkeren van malafide gebruikersaccounts bij financiële instellingen.
Ook wordt onderzocht of en hoe verdachte patronen in sms-verkeer sneller kunnen worden gedetecteerd. Verder vindt er onderzoek plaats naar de invoering van een centraal register voor afzenderverificatie bij sms-berichten met een alfanumerieke afzenderinformatie. Oplichters zouden dan niet meer het telefoonnummer van de bank als afzender van sms-berichten kunnen opgeven.
De ACM kijkt nu naar het juridische kader en de inzet van de maatregel. Het is op dit moment nog onduidelijk wanneer het centraal register van start kan gaan. Naast het toepassen van afzenderverificatie voor sms-berichten met alfanumerieke afzenderinformatie is het volgens de staatssecretaris belangrijk dat aanbieders van zakelijke sms-diensten (nieuwe) gebruikers screenen.
Telefoonspoofing
Naast sms-phishing richt Keijzer zich ook op telefoonspoofing. Halverwege dit jaar hebben telecomaanbieders, banken en politie een taskforce opgericht die zich specifiek bezighoudt met de bestrijding van telefoonspoofing. Deze taskforce test op het moment een maatregel die voorkomt dat oplichters bepaalde telefoonnummers voor telefoonspoofing kunnen gebruiken.
"Op basis van onderzoek en de genoemde test kan vooralsnog worden afgeleid dat een zeer groot deel van spoofing van telefoonnummers plaatsvindt met telefonieverkeer dat ontspringt in netwerken buiten Nederland", merkt Keijzer op.
Regelgeving
Afsluitend laat Keijzer in haar brief weten dat het wenselijk is om het wettelijk kader voor het gebruik van nummers aan te scherpen, waaronder een nadere uitwerking van het verbod op spoofing. "De soms lange keten van dienstaanbieders die zijn betrokken bij het routeren van telefonische oproepen en de invloed van de mogelijke manipulatie van afzenderinformatie in telecomverkeer dat vanuit of via het buitenland Nederland binnenkomt, bemoeilijkt de uitvoering van het spoofingverbod."
De staatssecretaris stelt dat het huidige wettelijke kader voor nummerdoorgifte de innovatie op dit gebied van de afgelopen jaren niet heeft bijgehouden, waaronder het gebruik van alfanumerieke karakters in de afzenderinformatie. Keijzer wil dan ook de regels voor nummerdoorgifte aanpassen en daarbij ook het gebruik van alfanumerieke informatie betrekken door hier voorwaarden aan te verbinden. Hiervoor moet de Telecommunicatiewet op een aantal onderdelen worden aangepast. Het wetsvoorstel dat dit mogelijk moet maken hoopt Keijzer in de zomer van volgend jaar aan te kunnen bieden.
Een technische oplossing zonder sterke encryptie is denk ik onmogelijk. En zelfs dan is er nog de mogelijkheid dat de bellende telefoon zelf geïnfecteerd is met een remote access tool.
m.vr.gr. Sebastiaan
De telecom providers zul je bedoelen. De oorzaak van het probleem zit daar. Zij moeten het oplossen.
De banken kunnen dat niet.
Uit het artikel:
"De achtergrond van de toename van spoofing vormt de voortschrijdende techniek zoals VoIP (Voice over IP) waardoor de mogelijkheden zijn toegenomen om telefoonnummers en andersoortige informatie als afzender op te nemen bij telefonische oproepen en sms-berichten", merkt Keijzer op in een brief aan de Tweede Kamer.
Wel de mogelijkheden kunnen uitbreiden, maar niet de veiligheid ervan meteen inbedden.
Duidelijk een epic fail van de telecom-sector.
Voor de korte termijn:
Alle geprekken en sms-jes waarvan de start-packet een verwijzing naar een bank heeft, naar 1 centrale routeren en daar controleren of het ook echt van een server/telefooncentrale van een Nederlandse bank afkomstig is. Dan pas de verbinding opzetten met de ontvanger. (Zo nosig door extra certificaten hiervoor in te regelen)
Alle afzenders van buiten Nederland die een Nederlands bank-gegeven als kenmerk in het packet gebruiken automatisch blokkeren.
Mogelijk omdat het .docx-document op die pagina een facebook link is?
Via deze url werkt het beter:
https://www.rijksoverheid.nl/documenten/kamerstukken/2020/12/16/kamerbrief-over-aanpak-misbruik-van-telecommunicatievoorzieningen-bij-phishing-en-spoofing
Men kan vervolgens klikken op het document in pdf-formaat.
Zo te lezen gaan we in NL het "STIR/SHAKEN" initiatief van de V.S. dus waarschijnlijk niet overnemen:
in de VS zijn onder druk van de overheid door private partijen technische standaarden ontwikkeld voor betere
authenticatietechnieken voor telefonie 12 . Deze standaarden zijn op nationale basis ontwikkeld maar mogelijk mondiaal toepasbaar. De implementatie van dergelijke authenticatietechnieken is echter technisch en organisatorisch complex en moet voor een telefonische oproep worden ondersteund door alle telecomaanbieders die zijn betrokken bij het afwikkelen van die oproep. Hier zijn dan ook aanzienlijke kosten en een naar verwachting een lange implementatietijd mee gemoeid. Mogelijk komen hier alternatieven bij, voor zowel telefonie als sms, die eenvoudiger en sneller te implementeren zijn.
De verwachting is dat de inzet van deze technologieën aanzienlijk kunnen bijdragen aan het bestrijden van spoofing.
Er is daarom bij de Europese Commissie, het European Telecommunications Standards Institute (ETSI) en het CEPT ook toenemende aandacht voor mogelijke implementatie van dergelijke technieken in Europa.
Nederland ondersteunt de betreffende initiatieven.
Verder blijkt uit het document dat de meeste gespoofte telefoontjes vanuit (of via?) buitenlandse netwerken komen.
m.vr.gr. Sebastiaan
Het probleem is dat je op je eigen netwerk wel vanalles kunt checken, maar als je gesprekken binnen krijgt van andere
aanbieders dan moet je er maar vanuit gaan dat het klopt wat ze meesturen. Een stap zou dus kunnen zijn om daar wat
filter regels op aan te brengen.
Je zou kunnen beginnen met een "gevoelige lijst" van nummers, zoals die banknummers, waarvan je een tabel maakt
met nummer en correcte aanbieder. Je gaat er dan vanuit dat de aanbieder waar het nummer echt zit de zaakjes goed
voor elkaar heeft, en je checkt voor je dat nummer doorgeeft aan de klant dat het wel bij de goede aanbieder vandaan
komt. Klopt het niet dan verwijder je het nummer, of wellicht beter je vervangt het door zoiets als 00000000000
(waardoor de ontvanger extra gealarmeerd zou kunnen zijn dat er iets niet pluis is met dat gesprek, i.t.t. het bericht
"prive nummer" wat je zou krijgen als ze het nummer alleen maar weghalen, en wat vaak zat voorkomt)
Een meer draconische aanpaal zou kunnen zijn om alleen nog nummerweergave te accepteren afkomstig van
aanbieders waarmee je van te voren goede afspraken gemaakt hebt over de controles die er op worden uitgevoerd.
Dan wordt nummerweergave dus default verwijderd of vervangen, behalve als het gesprek afkomt van een aanbieder
die de nummers goed screened (net zoals je zelf doet). Dat betekent wel dat zeker tijdens de opbouwfase maar ook
nadien een flink deel van de nummerweergave zal vervallen omdat er zat aanbieders zijn die er geen moeite voor
zullen doen om dat te screenen.
Ik heb een gewone gsm (geen smartphone) en bij mij verschijnt er nooit een naam in beeld, behalve bij de nummers die ik in mijn telefoonboek heb staan. Zijn er serieus mensen die hun bank zo vaak bellen, dat ze het hebben opgeslagen in hun telefoonboek? Of haalt een smartphone die informatie elders vandaan?
Ik heb een gewone gsm (geen smartphone) en bij mij verschijnt er nooit een naam in beeld, behalve bij de nummers die ik in mijn telefoonboek heb staan. Zijn er serieus mensen die hun bank zo vaak bellen, dat ze het hebben opgeslagen in hun telefoonboek? Of haalt een smartphone die informatie elders vandaan?
Bij mijn smartphone komen inderdaad alleen de namen tevoorschijn als het bijbehorende nummer in mijn eigen adressenboek staat. Dus zullen mensen die dan "ING Bank" in het scherm zien staan het nummer waaeschijnlijk in hun eigen adressenboek hebben staan.
Ik heb een gewone gsm (geen smartphone) en bij mij verschijnt er nooit een naam in beeld, behalve bij de nummers die ik in mijn telefoonboek heb staan. Zijn er serieus mensen die hun bank zo vaak bellen, dat ze het hebben opgeslagen in hun telefoonboek? Of haalt een smartphone die informatie elders vandaan?
Ik zie op mijn telefoon (Android 9) inderdaad wel bedrijfsnamen (mee)gegeven worden die NIET in mijn adressenboek staan.
(Ook bij uitgaande gesprekken).
Maar op zich is het niet vreemd om een nummer van je bank in je telefoon te hebben - dat wordt enorm aanbevolen als je op vakantie gaat, om een vermiste bankpas zsm te kunnen melden.
Ik moet zeggen dat ik nogal twijfel over de mate waarin mensen juist door de spoofing overtuigd worden.
Dat ze dat vertellen aan een huilprogramma als radar zal wel - maar of ze nu echt vooral door de spoofing over de streep getrokken werden betwijfel ik - gewoon omdat zoveel mensen _zonder_ spoofing al in een bullshit verhaal trappen.
(zie de 'WhatsApp fraude - je krijgt een app van een onbekend nummer dat zegt "ik ben je <kind/kleinkind> met een nieuw nummer, stuur me geld" en dat ga je dan meteen doen. )
Ik heb een gewone gsm (geen smartphone) en bij mij verschijnt er nooit een naam in beeld, behalve bij de nummers die ik in mijn telefoonboek heb staan. Zijn er serieus mensen die hun bank zo vaak bellen, dat ze het hebben opgeslagen in hun telefoonboek? Of haalt een smartphone die informatie elders vandaan?
Bij mijn smartphone komen inderdaad alleen de namen tevoorschijn als het bijbehorende nummer in mijn eigen adressenboek staat. Dus zullen mensen die dan "ING Bank" in het scherm zien staan het nummer waarschijnlijk in hun eigen adressenboek hebben staan.
Als voorbeeld
Het probleem is als je door een 020 nummer gebeld wordt je er niet zo maar van uit kan gaan dat dit inderdaad uw bank ING is:
Zo ben ik vorige maand gebeld door 020 22 888 00 dit nummer hoort bij de ING alarmlijn. (maar dat moest ik wel opzoeken)
De beller wist veel over mijn en wilde mijn geld veilig stellen ivm met verdachte trans actie naar buitenland.
Verhaal aangehoord beetje door gevraagd en de beller wist best wel iets over mij op een klein detail geen klant meer van sinds kort. Gezegd dat ik geen tijd had en of deze later wilde terug bellen. Nooit terug gebeld
Ik heb hier van gelijk geprobeerd melding te maken bij de bank maar omdat ik geen klant was kon dat niet werd mij verteld.
Gevraagd of er een notitie voor red of blue team kon maken maar dat was ook niet mogelijk want geen klant.
Hoe de beller aan de klantendata komt blijft natuurlijk gissen.
Een onderbetaalde callcentermedewerker, data buit gemaakt bij een hack, gekocht van een database boer ga zo maar door.
Door dat mijn beller "Nederlands nieuwe stijll" sprak herkomst vermoedelijk bovenwindse eilanden en niet slecht "Microsoft helpdesk Engels" zijn de consumenten "het haasje".
Die tijd dat je +91 en +234 landnummers blokkeerde is echt al lang voor bij.
Door werkloosheid, beschikbaarheid van smartphones, goedkope internet en het gebrek aan regulering kan iedereen het als je informatie hebt over je slachtoffers. Je hoeft geen kennis van Asterisk (PBX) of Orange-Boxing te hebben.
Hang op klik weg blijft de enige mogelijkheid en ga langs bij uw bank als dat kan.
Het zou ook helpen als banken openheid geven over welke technieken gebruikt worden ipv dat ze deze dood zwijgen en de consument het zelf maar laten uitzoeken.
Fijn dat de Staatssecretaris van Economische Zaken de "taskforce" er nu mee bezig met viop en een verbod op spoofing maar misschien ook gelijk strenge straffen voor Swatting meenemen?
https://en.wikipedia.org/wiki/Swatting
Ik heb een gewone gsm (geen smartphone) en bij mij verschijnt er nooit een naam in beeld, behalve bij de nummers die ik in mijn telefoonboek heb staan. Zijn er serieus mensen die hun bank zo vaak bellen, dat ze het hebben opgeslagen in hun telefoonboek? Of haalt een smartphone die informatie elders vandaan?
De meeste mensen twijfelen natuurlijk meteen al of ze wel echt iemand van hun bank aan de lijn hebben.
Maar de fraudeur zegt dan dat ze heus echt hun bank zijn. "Controleer het nummer maar dat uw telefoon aangeeft".
Vervolgens trekken veel slachtoffers de conclusie dat het dan zeker toch echt hun bank is.
Veel mensen zijn (waren) nl. niet op de hoogte dat het telefoonnummer dat hun toestel aangeeft kan zijn vervalst.
Ik heb een gewone gsm (geen smartphone) en bij mij verschijnt er nooit een naam in beeld, behalve bij de nummers die ik in mijn telefoonboek heb staan. Zijn er serieus mensen die hun bank zo vaak bellen, dat ze het hebben opgeslagen in hun telefoonboek? Of haalt een smartphone die informatie elders vandaan?
Bij mijn smartphone komen inderdaad alleen de namen tevoorschijn als het bijbehorende nummer in mijn eigen adressenboek staat. Dus zullen mensen die dan "ING Bank" in het scherm zien staan het nummer waarschijnlijk in hun eigen adressenboek hebben staan.
Als voorbeeld
Het probleem is als je door een 020 nummer gebeld wordt je er niet zo maar van uit kan gaan dat dit inderdaad uw bank ING is:
Zo ben ik vorige maand gebeld door 020 22 888 00 dit nummer hoort bij de ING alarmlijn. (maar dat moest ik wel opzoeken)
Ah, inderdaad de alarmlijn als afzender. Zoals ik schreef op 16:49 - het best aannemelijk dat een hoop klanten zo'n nummer in de telefoon hebben staan.
Dat is heel vaak aangeraden (terecht) ,zeker rondom vakantieperiodes , om bij verlies/diefstal van de pas die zo snel mogelijk te kunnen laten blokkeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
