Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Valse SMS van "Rabobank"

12-11-2021, 21:49 door Erik van Straten, 53 reacties
Begin van de avond ontving ik de volgende SMS van afzender "Rabobank" (op mijn OnePlus telefoon met Android):

U heeft zojuist een toestel geregistreerd voor Rabobank online diensten. Herkent u dit niet? Bel dan de helpdesk: 0900-0905, vanuit buitenland +31 887 226 622.

Ik heb geen rekening bij de Rabobank (althans, voor zover ik weet). Dit lijkt een bekende scam, want bovenstaande tekst kun je op meerdere plaatsen terugvinden op internet (voorbeeld: https://www.wieheeftgebeld.nl/nummer/31887226622).

Weet iemand antwoord op één of meer van mijn volgende vragen:

1) Kun je (onder Android) het telefoonnummer achterhalen waar een SMS vandaan verzonden is, als (zoals in dit geval) uitsluitend een naam (hier: Rabobank) wordt getoond als afzender? En zo ja, hoe?

Nb. ik ben me ervan bewust dat telefoonnummers ook gespoofed kunnen worden (m.i. schandalig dat dit kan), maar hier doet Android er een schep bovenop door overtuigend te suggereren dat "Rabobank" echt de afzender is (zonder dat ik op eenvoudige wijze het telefoonnumer kan achterhalen).

2) Het telefoonnummer 0900-0905 lijkt van de Rabobank te zijn geweest (zie bijv. https://opgelicht.avrotros.nl/nieuws/artikel/rabobank-waarschuwt-voor-internetfraude-door-malware/ uit 2013). Maar dat nummer kan ik niet terugvinden op de website van de Rabobank. Overigens zie ik in https://www.rabobank.nl/particulieren/contact/telefoonnummers wel 0900-0909 en +31 88 722 66 00 (geschreven zoals in de SMS: +31 887 226 600, alleen de laatste twee cijfers verschillen dus). Ik vermoed dat de nummers in de SMS niet (meer) van de Rabobank zijn, klopt mijn vermoeden?

3) Ik voel er momenteel niks voor om de nummers uit de SMS te bellen, maar als iemand toevallig weet wat ze je dan vragen te doen ben ik daar wel benieuwd naar. Dus als iemand dat weet of zin heeft om een spelletje met scammers te spelen...
Reacties (53)
12-11-2021, 22:22 door Anoniem
Terug sms'sen "Ik ben hierop bereikbaar" en dan het nummer van een (wijk)agent of rechercheur doorgeven. Dan stopt het vanzelf.
Uit uw schrijven maak ik op dat u de gemiddelde intelligentie en cybersecurity van dit soort crimineeltjes zwaar overschat. Die spoofen niet, weten niet eens wat dat is. Ze persen evt een dommige 'vriend' af als zijnde de muilezel.

Ze laten vooral veel sporen achter, maar handhaving moet daar wel kennis van hebben.
12-11-2021, 22:43 door [Account Verwijderd] - Bijgewerkt: 12-11-2021, 22:46
@ Erik,

Neen, ik heb tot mijn spijt geen antwoord op je vraag,
Maar als ik mag inhaken.... terzijde, echter niet geheel ongerelateerd:

off topic:

Het valt mij op sinds de opheffing van het belmenietregister (1) vanaf juli j.l. dat er wordt gebeld vanaf mij onbekende telefoonnummers. (Vóór 1 juli zo goed als nooit.)
O.a enkele keren een nepwaarschuwing over oneigenlijk gebruik van een betaalrekening bij een bank waar ik geen relatie mee heb, en heel vaak de inmiddels hier ook al genoemde: "Hi, this is Daniel from Amazon".

Tussen wegvallen van het Belmenietregister en de plots toegenomen telefoonoverlast zit m.i. een duidelijk verband.

(1)
https://meldpunt-telemarketing.nl/

end off topic

P.s. Dank voor de link naar:
https://www.wieheeftgebeld.nl/
12-11-2021, 23:30 door Briolet - Bijgewerkt: 12-11-2021, 23:32
Door Erik van Straten: 2) Het telefoonnummer 0900-0905 lijkt van de Rabobank te zijn geweest (zie bijv. …
Ik zou toch eerst op de site van de rabo zelf zoeken en niet bij een televisie omroep. Als ik zoek op het nummer "0900" bij de rabo, (Zoek met "site:www.rabobank.nl 0900") vind ik juist jouw nummer steeds terug. o.a. hier:

https://www.rabobank.nl/bedrijven/overzicht-help/diversen/securecode.html (in het pull-down stuk over de rabo scanner)

Dat is dus het nummer om te gebruiken bij fraude. En het lijkt me sterk dat crimineler er iets aan hebben jouw dat nummer te laten bellen

Maar ook zonder de bank te bellen, zou je een nieuw geregistreerd toestel binnen jouw internetbankieren omgeving moeten zien. En als je een telefoonnummer niet vertrouwd kun je ook het algemene nummer van de rabo bellen.
13-11-2021, 00:09 door Anoniem
Door Erik van Straten: Begin van de avond ontving ik de volgende SMS van afzender "Rabobank" (op mijn OnePlus telefoon met Android):

U heeft zojuist een toestel geregistreerd voor Rabobank online diensten. Herkent u dit niet? Bel dan de helpdesk: 0900-0905, vanuit buitenland +31 887 226 622.

Ik heb geen rekening bij de Rabobank (althans, voor zover ik weet). Dit lijkt een bekende scam, want bovenstaande tekst kun je op meerdere plaatsen terugvinden op internet (voorbeeld: https://www.wieheeftgebeld.nl/nummer/31887226622).

Weet iemand antwoord op één of meer van mijn volgende vragen:

1) Kun je (onder Android) het telefoonnummer achterhalen waar een SMS vandaan verzonden is, als (zoals in dit geval) uitsluitend een naam (hier: Rabobank) wordt getoond als afzender? En zo ja, hoe?

Nb. ik ben me ervan bewust dat telefoonnummers ook gespoofed kunnen worden (m.i. schandalig dat dit kan), maar hier doet Android er een schep bovenop door overtuigend te suggereren dat "Rabobank" echt de afzender is (zonder dat ik op eenvoudige wijze het telefoonnumer kan achterhalen).

Ik betwijfel of er low-level überhaupt altijd een telefoonnummer gekoppeld zit als afzender van een SMS.

Ik vind vrij makkelijk een aantal websites (maar ik heb ze niet getest) die beloven een SMS naar een nummer te sturen zonder afzender.

Je beste optie om dieper te graven op de telefoon is waarschijnlijk met de debug mode van Android.
Ik vond iets als http://www.toughdev.com/content/2012/02/raw-access-to-smsmms-database-on-android-phones/

Zou het zo zijn dat het nummer er wel is, maar niet getoond omdat er een matchende naam voor gevonden was , zou je het hier verwachten .

Aan de andere kant - *als* het nummer niet getoond wordt wanneer een matchende naam gevonden wordt via de een of andere lookup - dan zal het nummer gespoofed zijn (als dat van de rabobank) en weet je nog niks.

Ik denk niet dat je het equivalent van 'ruwe mailheaders lezen en zien waar de tcp connectie vandaan kwam' kunt doen in telefonie land - die informatie gaat vzviw niet door naar het eind toestel.


2) Het telefoonnummer 0900-0905 lijkt van de Rabobank te zijn geweest (zie bijv. https://opgelicht.avrotros.nl/nieuws/artikel/rabobank-waarschuwt-voor-internetfraude-door-malware/ uit 2013). Maar dat nummer kan ik niet terugvinden op de website van de Rabobank. Overigens zie ik in https://www.rabobank.nl/particulieren/contact/telefoonnummers wel 0900-0909 en +31 88 722 66 00 (geschreven zoals in de SMS: +31 887 226 600, alleen de laatste twee cijfers verschillen dus). Ik vermoed dat de nummers in de SMS niet (meer) van de Rabobank zijn, klopt mijn vermoeden?

Ik verwacht in elk geval dat 088 blok van 100 nummers van de Rabobank is, alleen misschien niet alles meer in gebruik.
Ik vond https://www.rabobank.nl/images/formaatbeschrijving-csv-extensie_29933458.pdf waarin het 6622 als contact genoemd wordt , dd 2018 .

Als ik de site van de acm goed interpreteer heeft de Rabobank een heel groot blok 088 nummers rondom dat nummer.

Ook 0900-0909 is volgens de ACM nog steeds van de Rabobank.

https://www.acm.nl/nl/onderwerpen/telecommunicatie/telefoonnummers/nummers-doorzoeken


3) Ik voel er momenteel niks voor om de nummers uit de SMS te bellen, maar als iemand toevallig weet wat ze je dan vragen te doen ben ik daar wel benieuwd naar. Dus als iemand dat weet of zin heeft om een spelletje met scammers te spelen...

Ik denk nu eigenlijk dat die nummers geen scam zijn .
Er zit geen link bij van een phishing site waar je naar toe zou kunnen gaan ?

Kan het niet simpelweg zijn dat iemand die probeert een telefoon aan z'n rabo-rekening te koppelen een tikfout maakt en jouw nummer ingevuld heeft ?
13-11-2021, 07:22 door Anoniem
Nb. ik ben me ervan bewust dat telefoonnummers ook gespoofed kunnen worden (m.i. schandalig dat dit kan),
Niks schandaligs aan. Het is uitermate naief om er maar gewoon vanuit te gaan dat zoiets klopt als je ook maar *iets* van techniek begrijpt. Op een brief kun je als afzender tenslotte ook gewoon zetten wat je wilt. En dan is het opeens niet schandalig.

De grote vraag blijft natuurlijk... zou de betreffende bank jouw telefoonnummer kunnen hebben? Ofwel: heb je het ze ooit gegeven? Waarschijnlijk is met het beantwoorden van die vraag de situatie ook meteen duidelijk.

Voor het achterhalen van het 'telefoonnummer'... Je hoeft helemaal geen telefoonnummer te hebben om een sms te versturen. Het is gewoon een ASCII string. Dus nee, er is niks aan te achterhalen (fijn trouwens, zo'n telefoon die blijkbaar vindt dat-ie er zelf op los moet interpreteren... ik ben toch blij dat de mijne gewoon het nummer laat zien met daaronder in het klein degene waarvan de telefoon denkt dat het is).

Je zou natuurlijk ook gewoon de rabobank eens kunnen bellen.

Ook leuk: een scammer die belt en iets op je computer wil installeren. En dan hopeloos klem loopt omdat-ie een windowsmachine aan internet verwacht. Jezelf natuurlijk ondertussen van de domme houden en doen alsof je digibeet bent :)
13-11-2021, 09:14 door Anoniem
Door Anoniem:
Nb. ik ben me ervan bewust dat telefoonnummers ook gespoofed kunnen worden (m.i. schandalig dat dit kan),
Niks schandaligs aan. Het is uitermate naief om er maar gewoon vanuit te gaan dat zoiets klopt als je ook maar *iets* van techniek begrijpt. Op een brief kun je als afzender tenslotte ook gewoon zetten wat je wilt. En dan is het opeens niet schandalig.

De grote vraag blijft natuurlijk... zou de betreffende bank jouw telefoonnummer kunnen hebben? Ofwel: heb je het ze ooit gegeven? Waarschijnlijk is met het beantwoorden van die vraag de situatie ook meteen duidelijk.

Voor het achterhalen van het 'telefoonnummer'... Je hoeft helemaal geen telefoonnummer te hebben om een sms te versturen. Het is gewoon een ASCII string. Dus nee, er is niks aan te achterhalen (fijn trouwens, zo'n telefoon die blijkbaar vindt dat-ie er zelf op los moet interpreteren... ik ben toch blij dat de mijne gewoon het nummer laat zien met daaronder in het klein degene waarvan de telefoon denkt dat het is).

Je zou natuurlijk ook gewoon de rabobank eens kunnen bellen.

Ook leuk: een scammer die belt en iets op je computer wil installeren. En dan hopeloos klem loopt omdat-ie een windowsmachine aan internet verwacht. Jezelf natuurlijk ondertussen van de domme houden en doen alsof je digibeet bent :)

Je reactie slaat als een tang op een varken. Je heb geen idee waar je het over hebt en het lijkt er meer op dat je dit typt om jezelf een veer in je achterste te steken dan uit werkelijke belangstelling voor de TS.

Veel gewone mensen zullen niet weten dat een telefoonnummer vervalsbaar is. Dat je dat niet begrijpt getuigt van een gebrek aan inlevingsvermogen. Uiteraard is het wel schandalig dat nummers vervalst kunnen worden. Het is technisch mogelijk om dat meer tegen te gaan, maar het gebeurt niet voldoende.

Uiteraard heeft een bank je telefoonnummer, want dat ben je tegenwoordig verplicht te geven als je een rekening opent. Er wordt ook gevraagd of je gegevens nog juist zijn.

Anders dan jij denkt heb je wel een identificatie nodig om sms te versturen. Anders kom je niet op het gsmnetwerk. Daar valt daar wel iets van te achterhalen als een opsporingsambtenaar daar voldoende moeite voor wil doen.

Doen alsof je een digibeet bent hoeft niet, dat was al tussen de regels door te lezen.

@TS antwoorden:

1) Kijk op je telefoonrekening. Soms wordt het geheel of gedeeltelijk vermeldt.
2) Geen idee.
3) Het nummer wordt nog gebruikt op de site van de Rabobank: Helpdesk Rabo Internet- en Mobielbankieren: 0900-0905
https://www.rabobank.nl/particulieren/forms/hulp-bij-financiele-problemen/
13-11-2021, 09:51 door Anoniem
Door Anoniem: Terug sms'sen "Ik ben hierop bereikbaar" en dan het nummer van een (wijk)agent of rechercheur doorgeven. Dan stopt het vanzelf.
Uit uw schrijven maak ik op dat u de gemiddelde intelligentie en cybersecurity van dit soort crimineeltjes zwaar overschat. Die spoofen niet, weten niet eens wat dat is. Ze persen evt een dommige 'vriend' af als zijnde de muilezel.

Ze laten vooral veel sporen achter, maar handhaving moet daar wel kennis van hebben.

Wat een ontzettend slechte tip is dit. Nooit, maar dan ook nooit terug smsen, bellen etc. Dat kan je veel geld gaan kosten!

Als het je bank is, ga zelf naar de site, zoek het telefoonnummer van de klantenservice en bel dat (als je denkt dat het echt kan zijn).
Weet je dat het fake is, maak screenshot en mail het naar hun valse-email@ mailbox.
13-11-2021, 11:08 door Briolet
Door Anoniem:…Kan het niet simpelweg zijn dat iemand die probeert een telefoon aan z'n rabo-rekening te koppelen een tikfout maakt en jouw nummer ingevuld heeft ?

Dat iemand een tikfout maakt en dan op jouw nummer uitkomt, komt vaker voor. Dan krijg je inderdaad een waarschuwing dat iemand jouw account probeert te benaderen.

Hier is de melding echter dat er al geregistreerd is. Dan is het geen tikfoutje, want ook de authenticatie is al succesvol geweest.
13-11-2021, 11:30 door Anoniem
Door Anoniem:
Nb. ik ben me ervan bewust dat telefoonnummers ook gespoofed kunnen worden (m.i. schandalig dat dit kan),
Niks schandaligs aan. Het is uitermate naief om er maar gewoon vanuit te gaan dat zoiets klopt als je ook maar *iets* van techniek begrijpt. Op een brief kun je als afzender tenslotte ook gewoon zetten wat je wilt. En dan is het opeens niet schandalig.
Het is schandalig omdat het een technisch systeem is wat dit in principe kan controleren maar dat uit lamlendigheid niet doet.
Dat is wat anders dan een brief die in een brievenbus gegooid kan worden zonder verdere controle.
Je kunt het vergelijken met internet providers die toestaan dat je verkeer verstuurt met een afzender adres wat niet van jou is.
Dat is net zo schandalig, die providers zijn nietsnutten die zich niet verantwoordelijk voelen voor de veiligheid en het welbevinden van anderen. Als ze er ook nog bij zeggen dat ze het "niet kunnen" oplossen dan vind ik dat ze van internet moeten worden afgekoppeld, aan niet-kunners hebben we niets en er zijn er genoeg die het wel kunnen.
Datzelfde geldt ook voor telecombedrijven. Laten we nou maar eens gewoon beginnen degenen die niks kunnen af te koppelen.
13-11-2021, 12:28 door Anoniem
1) Kun je (onder Android) het telefoonnummer achterhalen waar een SMS vandaan verzonden is, als (zoals in dit geval) uitsluitend een naam (hier: Rabobank) wordt getoond als afzender? En zo ja, hoe?
Zal wel via een zgn. email-naar-SMS gateway zijn verzonden of een andere SMS service, en dan wordt het lastig.
Ik zou zeggen: meldt het bijv. bij de fraude-helpdesk:
https://www.rijksoverheid.nl/contact/contactgids/fraudehelpdesk
Als het (te) vaak voorkomt, wordt op hoger level wel een keer onderzocht wie er achter deze onzin zitten.
13-11-2021, 13:09 door Anoniem
Door Anoniem:
...

Ik betwijfel of er low-level überhaupt altijd een telefoonnummer gekoppeld zit als afzender van een SMS.

Ik vind vrij makkelijk een aantal websites (maar ik heb ze niet getest) die beloven een SMS naar een nummer te sturen zonder afzender.

Sommige telco providers hebben het sms systeem ingericht via een mail adres. D.w.z. het sms wordt als username gestuurd naar de provider, die het weer forward naar het corresponderende IMEI nummer.

Dus 0612345678@provider.nl -> IMEI

Als je het domein weet, en de server filtert niet, dan kun je gewoon alles spoofen.
13-11-2021, 13:48 door [Account Verwijderd]
Ik heb een rabo app gebruikt en om je op te geven hoef je geen telefoon nr in te tikken.
Je meld je aan met de app en krijgt dan een sms bericht van de bank dat jij je aangemeld hebt.
Dus ze hebben je nr meteen. Volgens mij.
13-11-2021, 13:56 door Anoniem
Door Briolet:
Door Anoniem:…Kan het niet simpelweg zijn dat iemand die probeert een telefoon aan z'n rabo-rekening te koppelen een tikfout maakt en jouw nummer ingevuld heeft ?

Dat iemand een tikfout maakt en dan op jouw nummer uitkomt, komt vaker voor. Dan krijg je inderdaad een waarschuwing dat iemand jouw account probeert te benaderen.

Hier is de melding echter dat er al geregistreerd is. Dan is het geen tikfoutje, want ook de authenticatie is al succesvol geweest.

Dan zal er authenticatie geweest zijn van een rabo gebruiker (met de rabo scanner, ofzo) . Alleen als de toestelregistratie niet (meer) via een SMS bevestigingscode gegeven wordt , is er wel een koppeling gemaakt met de app op enig toestel, alleen is het telefoonnummer van die rabo-klant niet meer heel duidelijk geverifieeerd.

Ik ben geen RABO klant, dus ik ken de koppelingsmethode van hun app aan het account niet. Maar met het verdwijnen van het 'tik de code in die U via SMS ontvangen hebt' , is de koppeling van een _telefoonnummer_ aan een account niet zo strak meer, en zit daar dan ruimte voor tikfoutjes.

Ik zie in elk geval niet wat er voor een phisher/scammer te bereiken is door een "lege" sms (dwz, geen phish url o.i.d.) met valide rabo-contactnummers naar iemand te sturen .
13-11-2021, 14:35 door Anoniem
Vraag voor RABO klanten :

Kijk eens op https://www.rabobank.nl/particulieren/service/persoonlijke-gegevens-wijzigen

hoe je telefoonnummer kunt wijzigen - daarvoor moet je wel moet authenticeren als gebruiker (met app of scanner), maar waarschijnlijk krijg je geen SMS met code toegestuurd krijgt naar het oude (of het nieuwe) nummer .
En dus kun je daar , denk ik, een foutje maken en andermans nummer neerzetten als jouw contact nummer.
Dat wil je typisch niet - maar kan m.i. wel gebeuren.

Al met al denk ik dat er gewoon een rabo klant is die Erik's nummer per ongeluk heeft ingesteld als zijn/haar nummer.
Die klant merkt daar zelf waarschijnlijk heel weinig van - het *missen* van zo'n alert als je een nieuw device koppelt valt niet veel mensen op, als ze amper weten dat ze dat zouden moeten krijgen.

En het missen van optionele rabo alerts merk je ook alleen als je echt weet en wilt dat ze die sturen - en je gekozen hebt voor alerts via sms. https://www.rabobank.nl/particulieren/betalen/service/online-bankieren/rabo-alerts-instellen/
Kortom - klant 06 nummer wordt zelden gebruikt vanuit de rabo en dan merkt de klant niet snel dat hij/zij 't fout opgegeven heeft.


Erik zou met veel geduld het helpdesk proces kunnen ingaan om te melden dat zijn 06 nummer *bij iemand* waarschijnlijk ingesteld is als contactnummer, maar dat hij die iemand NIET is , en ook geen klant .
(ergens bij de rabo moeten ze kunnen zoeken op welke klant heeft 06-xxyyzz ingesteld als nummer)

Het lijkt me een lastig verhaal - je wilt vooral niet dat een willekeurige beller klant-contactnummers kan laten wissen omdat ie zegt dat hij dat niet is .
Dan moet de bank die klant, op een andere manier benaderen met Hé, uw 06 nummer klopt misschien niet want we kregen een klacht van iemand dat het zijn nummer is .

Ik denk dat dat geen standaard proces is. Maar goed - veel geduld, misschien een nette (papieren ?) brief eraan wagen.
13-11-2021, 16:03 door Anoniem
Hmmm. Vermoedelijk is het pesterij, maar ik zag net dat het is al eens gebeurd dat er via deze weg werd gefraudeerd.
Dat was alleen wel een hele andere situatie,
https://www.kifid.nl/wp-content/uploads/2021/08/Uitspraak-2021-0745.pdf

Toch vraag ik mij af of hier ook sprake van fraude zou kunnen zijn, waar Erik onbewust toevallig bij wordt betrokken als willekeurige onwetende en onschuldige "geldezel" om het voor de bank te doen lijken alsof hij de boosdoener is?
Stel iemand weet een smartphone te hacken om het toestel een ander telefoonnummer te geven en dat nummer is toevallig gelijk aan Erik's nummer. Deze persoon heeft een RABO betaalpas van iemand anders gevonden of gestolen.
Vul de rest zelf maar aan.
13-11-2021, 16:53 door Erik van Straten
Dank voor alle reacties!

Door Briolet: Ik zou toch eerst op de site van de rabo zelf zoeken en niet bij een televisie omroep.
Dat heb ik gedaan :-)

Door Briolet: Als ik zoek op het nummer "0900" bij de rabo, (Zoek met "site:www.rabobank.nl 0900") vind ik juist jouw nummer steeds terug. o.a. hier:

https://www.rabobank.nl/bedrijven/overzicht-help/diversen/securecode.html (in het pull-down stuk over de rabo scanner)
Ah, dank hiervoor! Opmerkelijk dat dit nummer niet genoemd wordt in de pagina met "de belangrijke telefoonnummers van de Rabobank" (https://www.rabobank.nl/particulieren/contact/telefoonnummers).

Door Briolet: Dat is dus het nummer om te gebruiken bij fraude. En het lijkt me sterk dat crimineler er iets aan hebben jouw dat nummer te laten bellen
Eens. Maar wat willen ze dan dat ik doe? Wellicht terugbellen naar het nummer waar de SMS vandaan kwam? (daarom ben ik benieuwd naar dat nummer, maar kan het niet zichtbaar maken).

Door Briolet: Maar ook zonder de bank te bellen, zou je een nieuw geregistreerd toestel binnen jouw internetbankieren omgeving moeten zien.
Zoals ik schreef, ik heb geen rekening bij de Rabobank en heb het nummer van mijn OnePlus nooit aan de Rabobank gegeven (ik kan natuurlijk niet uitsluiten dat het iemand anders gelukt is om een rekening op mijn naam te openen en daar mijn telefoonnummer aan te koppelen, maar vooral dat laatste klinkt niet erg logisch als de fraudeur niet ontdekt wil worden).


Door Anoniem: Ik betwijfel of er low-level überhaupt altijd een telefoonnummer gekoppeld zit als afzender van een SMS.
Ik weet niet precies hoe dit werkt, maar bellen kan ook anoniem. Aan de andere kant staat in het drop-down menu (rechtsboven de SMS) onder andere "Block number" (ik heb deze telefoon in het Engels ingesteld). Ik heb dat gedaan om te zien of dan het nummer wel zichtbaar werd, maar nee. Ook als ik het toevoeg als contact zie ik alleen "Rabobank". Een slechte zaak wat mij betreft.

Door Anoniem: Ik vind vrij makkelijk een aantal websites (maar ik heb ze niet getest) die beloven een SMS naar een nummer te sturen zonder afzender.
Als je anoniem een SMS verstuurt vind ik het wel gek dat ze Andoid zover krijgen om "Rabobank" als afzender te tonen (die overigens niet in mijn lijst met contacten voorkwam en die ik na bovengenoemde test weer verwijderd heb).

Door Anoniem: Je beste optie om dieper te graven op de telefoon is waarschijnlijk met de debug mode van Android.
Ik vond iets als http://www.toughdev.com/content/2012/02/raw-access-to-smsmms-database-on-android-phones/
Dank voor de tip, maar ik hoopte dat er een eenvoudiger methode zou zijn waar mensen met minder kennis ook wat aan zouden hebben.

Door Anoniem: Zou het zo zijn dat het nummer er wel is, maar niet getoond omdat er een matchende naam voor gevonden was , zou je het hier verwachten .

Aan de andere kant - *als* het nummer niet getoond wordt wanneer een matchende naam gevonden wordt via de een of andere lookup - dan zal het nummer gespoofed zijn (als dat van de rabobank) en weet je nog niks.
Klopt, maar als het een wildvreemd nummer is, is het mogelijk niet gespoofed

Door Anoniem: Ik denk niet dat je het equivalent van 'ruwe mailheaders lezen en zien waar de tcp connectie vandaan kwam' kunt doen in telefonie land - die informatie gaat vzviw niet door naar het eind toestel.
Ik besef dat het niet zo betrouwbaar is als een IP-adres (bij een TCP verbinding). Redelijk bekend is dat telefoonnummers gespoofed kunnen worden, maar dat een afzendernaam in een SMS gespoofed kan worden (zonder dat deze in je lijst met contacten staat), is -vermoed ik- veel minder bekend.

Door Anoniem: Ik verwacht in elk geval dat 088 blok van 100 nummers van de Rabobank is, alleen misschien niet alles meer in gebruik. Ik vond https://www.rabobank.nl/images/formaatbeschrijving-csv-extensie_29933458.pdf waarin het 6622 als contact genoemd wordt , dd 2018 .
Dank daarvoor. Ik snap steeds minder hoe deze scam werkt.

Door Anoniem: Als ik de site van de acm goed interpreteer heeft de Rabobank een heel groot blok 088 nummers rondom dat nummer.

Ook 0900-0909 is volgens de ACM nog steeds van de Rabobank.

https://www.acm.nl/nl/onderwerpen/telecommunicatie/telefoonnummers/nummers-doorzoeken
In de SMS staat 0900-0905; Briolet had deze al op de site van de Rabobank gevonden, en volgens de ACM is ook dat nummer vam de Rabobank (https://www.acm.nl/nl/onderwerpen/telecommunicatie/telefoonnummers/nummers-doorzoeken/resultaat?query=0900-0905, klik op het rode nummer om Rabobank te zien).

Door Anoniem: Er zit geen link bij van een phishing site waar je naar toe zou kunnen gaan ?
Nee.

Door Anoniem: Kan het niet simpelweg zijn dat iemand die probeert een telefoon aan z'n rabo-rekening te koppelen een tikfout maakt en jouw nummer ingevuld heeft ?
Dat lijkt mij niet gezien de tekst in de SMS.


Door Anoniem:
Nb. ik ben me ervan bewust dat telefoonnummers ook gespoofed kunnen worden (m.i. schandalig dat dit kan),
Niks schandaligs aan. Het is uitermate naief om er maar gewoon vanuit te gaan dat zoiets klopt als je ook maar *iets* van techniek begrijpt. Op een brief kun je als afzender tenslotte ook gewoon zetten wat je wilt. En dan is het opeens niet schandalig.
Een brief kun je overal in Nederland (en zelfs daarbuiten) "op de post doen" (in een verzend-brievenbus stoppen). En hoewel in theorie mogelijk, zet zo'n brievenbus er geen stempel op met een lastig te vervalsen uniek brievenbusnummer. Bij telefonie verzorgen telecomproviders point-to-point verbindingen. M.a.w. partijen die wij zouden moeten kunnen vertrouwen, weten precies wie de verbinding opzet (anders krijgen zij daar niet voor betaald). Dat zij die informatie niet delen met de ontvanger van het telefoontje of de SMS is technisch dus best mogelijk. Dat dit niet gebeurt is onwil, gemakzucht of levert geld op.

Door Anoniem: De grote vraag blijft natuurlijk... zou de betreffende bank jouw telefoonnummer kunnen hebben? Ofwel: heb je het ze ooit gegeven?
Ik heb dit nummer nooit aan de Rabobank gegeven. Maar ik heb dit nummer pas ca. 2 jaar, iemand voor mij kan dit gehad hebben. Echter deze scam komt kennelijk vaker voor, de kans dat mijn nummer aan een Rabobank-rekening is gekoppeld lijkt me sterk.

Door Anoniem: Voor het achterhalen van het 'telefoonnummer'... Je hoeft helemaal geen telefoonnummer te hebben om een sms te versturen. Het is gewoon een ASCII string. Dus nee, er is niks aan te achterhalen (fijn trouwens, zo'n telefoon die blijkbaar vindt dat-ie er zelf op los moet interpreteren... ik ben toch blij dat de mijne gewoon het nummer laat zien met daaronder in het klein degene waarvan de telefoon denkt dat het is).
Ik stel dit soort vragen om ervan te kunnen leren en anderen te kunnen helpen (ik heb dan ook bewust een iPhone en een Android).

Door Anoniem:Je zou natuurlijk ook gewoon de rabobank eens kunnen bellen.
Die weten al dat dit soort berichten in omloop zijn (https://twitter.com/FiaSanders/status/1303740675314323457) maar misschien bel ik ze nog wel.
13-11-2021, 18:56 door Anoniem
Mijn "kinderen" zijn overgestapt naar BunQ want daar heb je geen last van deze verificatie.

Een tip dus als u kinderen heeft, de 18+ restrictie geldt hier niet.

Mijn zoon is overigens 13 en nu al een eigen rekening.. hij wil "later" ook de IT in :)
13-11-2021, 19:33 door Anoniem
Door Erik van Straten: Dank voor alle reacties!

[..]

Door Anoniem: De grote vraag blijft natuurlijk... zou de betreffende bank jouw telefoonnummer kunnen hebben? Ofwel: heb je het ze ooit gegeven?
Ik heb dit nummer nooit aan de Rabobank gegeven. Maar ik heb dit nummer pas ca. 2 jaar, iemand voor mij kan dit gehad hebben. Echter deze scam komt kennelijk vaker voor, de kans dat mijn nummer aan een Rabobank-rekening is gekoppeld lijkt me sterk.

Ik zie steeds minder reden om het als scam te beschouwen.
Het is een feit dat niet gebruikte contactgegevens van gebruikers fors vervuilen .

Dat je allemaal jan lullen hebt die het rapporteren als scam zal wel - maar het rabo klantenbestand is groot genoeg dat als daar wat procenten foute telefoonnummers in zit, genoeg mensen wel eens zo'n SMS als de jouwe krijgen en dat - net als jij - verdacht vinden. Jij vraagt het hier als theorie, anderen melden het als scam bij zo'n consumentensite .
Zonder meer bewijs beschouw ik het niet zonder meer als scam .


Wat op moment mijn (m.i. plausible) theorie is , is dat zo'n contactnummer van een RABO klant gewoon heel weinig gebruik ziet vanuit de rabo , en bij opgave door een nieuwe klant, of wijziging , geen verificatie van een sms code, of robo-voice o.i.d gedaan wordt.
Iemand die wel klant is kan daar hopelijk meer over zeggen - is er iets wat je dwingt (of heel erg onhandig is zonder) als je dat telefoonnummer niet update ?

Iemand die 3 jaar geleden jouw nummer had kan dat heel wel vergeten zijn te wijzigen bij de rabo bank.
Ik denk dat er bijna niks is wat voor die persoon dan misgaat om hem/haar te doen denken 'oh shit, nieuwe nummer bij de rabo neerzetten' .



Door Anoniem: Voor het achterhalen van het 'telefoonnummer'... Je hoeft helemaal geen telefoonnummer te hebben om een sms te versturen. Het is gewoon een ASCII string. Dus nee, er is niks aan te achterhalen (fijn trouwens, zo'n telefoon die blijkbaar vindt dat-ie er zelf op los moet interpreteren... ik ben toch blij dat de mijne gewoon het nummer laat zien met daaronder in het klein degene waarvan de telefoon denkt dat het is).
Ik stel dit soort vragen om ervan te kunnen leren en anderen te kunnen helpen (ik heb dan ook bewust een iPhone en een Android).

Gek dat iemand die stelt dat de "afzender" gewoon een volledig vrij in te stellen string is , dat vervolgt met de aanname dat het tonen van alleen een naam een interpretatie van de telefoon is en dat zijn telefoon wel het 'nummer' altijd erbij laat zien.

Van een 'normale' SMS , die getoond wordt als een lopende chat met de afzender / ontvanger naam op basis van het adresboek , kan ik de details (inclusief dus zendend nummer, en bestemmingsnummer) zien door de sms te selecteren, en dan in het 'drie puntjes' menu de optie 'view details' te kiezen.
(Android One) .
Mocht je dat nog niet geprobeerd hebben voor de rabo sms is dit simpel te testen.
13-11-2021, 20:27 door Anoniem
Door Anoniem:
1) Kun je (onder Android) het telefoonnummer achterhalen waar een SMS vandaan verzonden is, als (zoals in dit geval) uitsluitend een naam (hier: Rabobank) wordt getoond als afzender? En zo ja, hoe?
Zal wel via een zgn. email-naar-SMS gateway zijn verzonden of een andere SMS service, en dan wordt het lastig.
Ik zou zeggen: meldt het bijv. bij de fraude-helpdesk:
https://www.rijksoverheid.nl/contact/contactgids/fraudehelpdesk
Als het (te) vaak voorkomt, wordt op hoger level wel een keer onderzocht wie er achter deze onzin zitten.

"De Fraudehelpdesk adviseert fraudeslachtoffers en verwijst hen naar de juiste instantie. Daarnaast maakt de Fraudehelpdesk burgers en bedrijven bewust", dus leuk voor de statistieken, maar die verwijzen je vervolgens gewoon door naar de bank zelf (en die kan er wel wat aan doen).
14-11-2021, 00:40 door Briolet - Bijgewerkt: 14-11-2021, 00:40
Door Erik van Straten:
Door Briolet: Maar ook zonder de bank te bellen, zou je een nieuw geregistreerd toestel binnen jouw internetbankieren omgeving moeten zien.
Zoals ik schreef, ik heb geen rekening bij de Rabobank en heb het nummer van mijn OnePlus nooit aan de Rabobank gegeven

Daar had ik overheen gelezen. (Of alweer vergeten bij het antwoorden). Omdat ik geen nut zie om via deze SMS fraude te plegen, denk ik dat het een legitieme SMS is. En dan denk ik dat de suggestie van anoniem 13-11-2021, 14:35 het meest waarschijnlijk is. Een klant heeft zelf als contactnummer een verkeerd 06 nummer achtergelaten. En die melding was voor die persoon bedoeld.

Over het zoeken op de site van de rabobank (of elke andere site): Doe het via een zoekmachine via de "site:" opdracht. In mijn ervaring indexeren zoekmachines een site beter dan een site zelf. Verder hebben zoekmachines veel betere filterfuncties.
14-11-2021, 09:23 door Anoniem
@Briolet: Een klant heeft zelf als contactnummer een verkeerd 06 nummer achtergelaten. En die melding was voor die persoon bedoeld.
Betekent dit dat de bank niets heeft geverifieerd en dat je welke gegevens dan ook zomaar kunt ingeven, lijkt mij
toch niet goed.
14-11-2021, 10:47 door Anoniem
Door Erik van Straten: Redelijk bekend is dat telefoonnummers gespoofed kunnen worden, maar dat een afzendernaam in een SMS gespoofed kan worden (zonder dat deze in je lijst met contacten staat), is -vermoed ik- veel minder bekend.
En toch is dat al veel langer mogelijk dan telefoonnummers spoofen!
Ik weet nog goed dat in de tijd dat je een telefoonnummer niet zomaar kon spoofen (omdat er alleen maar gerenommeerde telefoonbedrijven waren die als je een fout nummer met je ISDN meestuurde dat gewoon vervingen door het hoofdnummer) er al de mogelijkheid was om een SMS te versturen via een MODEM verbinding met een nummer van KPN waar je naar keuze interactief of met een simpel machine-georienteerd protocol een SMS'je kon aanleveren en dat werd dan verstuurd.
Ik gebruikte dat om kritieke fouten die door een monitoring systeem gegenereerd werden per SMS naar mijn telefoon te sturen ("internet verbinding down" ofzo). Er stond een MODEM in de serverruimte, aangesloten op een interne lijn van de PABX, en die belde dat nummer.
Je kon daarbij zelf de afzender invullen. Als je een reguliere SMS stuurde dan was de afzender altijd een nummer in die tijd, maar in die modemverbinding kon je behalve een willekeurig nummer ook gewoon een tekstje invoeren en dat kreeg je in de telefoon dan gewoon te zien.

Wat er nu gebeurt is denk ik de internet-API versie van hetzelfde. Je gebruikt voor dit soort dingen tegenwoordig geen MODEM meer maar een of andere API bij een SMS verzend dienst (dan heeft het in bovenstaand scenario geen zin meer natuurlijk...). Daar geef je ook gewoon zelf de afzender op. Die niemand verder valideert.

Overigens is er iets vergelijkbaars aan de hand met "nummerweergave". Traditioneel kreeg je in Nederland alleen NUMMERS door. Maar bijv in de USA kon je ook de naam van de beller doorkrijgen, ik denk als extra betaalde optie maar die zit ongetwijfeld in allerlei pakketten standaard erbij. Het telecom bedrijf doet dan een reverse lookup op het binnenkomende nummer en stuurt de naam die ze daar bij vinden. De bekende "nummerweergave op analoge lijnen" (en ISDN) hebben daar specifieke ondersteuning voor.

In SIP (VoIP) is die optie ook aanwezig. Het is een extra veld, dus behalve een nummer kun je in je telefoon ook je naam programmeren, en als je een oproep doet stuurt de telefoon dat mee en als de centrale dat doorstuurt krijgt de ontvanger het ook op de telefoon te zien. Dat zullen wellicht niet alle providers toestaan, ik kan me voorstellen dat als je een KPN SIP VoIP account hebt je niet zelf een naam mag meesturen (dwz dat ze die dan weggooien of vervangen door je echte naam).
Maar bij een wild-west toko kun je in je VoIP account ongetwijfeld als nummer 0900-0905 meesturen en als naam Rabobank.
Als de hele keten van de VoIP provider naar de ontvanger van het belletje dit ondersteunt krijgt die gewoon Rabobank te zien zelfs al heeft die nooit iets met dat 0900-0905 nummer gedaan (in de contactenlijst gezet ofzo)!
En het zou me niet eens verbazen als bijvoorbeeld een mobiele telefoon met VoLTE ("bellen via 4G") dit gewoon ondersteunt.
Als de telecom provider dit soort dingen niet filtert dan krijgt de nietsvermoedende beller het gewoon te zien.
Dat maakt "overtuigend spoofen" nog gemakkelijker dan als je alleen maar valse nummers kunt meesturen.
14-11-2021, 11:08 door Anoniem
Door Briolet:
Door Erik van Straten:
Door Briolet: Maar ook zonder de bank te bellen, zou je een nieuw geregistreerd toestel binnen jouw internetbankieren omgeving moeten zien.
Zoals ik schreef, ik heb geen rekening bij de Rabobank en heb het nummer van mijn OnePlus nooit aan de Rabobank gegeven

Daar had ik overheen gelezen. (Of alweer vergeten bij het antwoorden). Omdat ik geen nut zie om via deze SMS fraude te plegen, denk ik dat het een legitieme SMS is. En dan denk ik dat de suggestie van anoniem 13-11-2021, 14:35 het meest waarschijnlijk is. Een klant heeft zelf als contactnummer een verkeerd 06 nummer achtergelaten. En die melding was voor die persoon bedoeld.

Ik heb twee jaar geleden een identieke SMS van de RABO-bank gekregen. Ik had geen rekening bij de RABO. Omdat ik toen nog niet wist dat het terugbellen naar het genoemde nummer niet verstandig is, heb ik toen het nummer in de SMS meteen teruggebeld, kreeg meteen iemand van de helpdesk aan de lijn, aan wie ik het verhaal uitlegde en zij kon meteen een lijst raadplegen en de RABO-klant eruit vissen, die dus een tikfout had gemaakt.
Ik kreeg zelfs daarna een SMS met de bevestiging dat mijn nummer losgekoppeld was van genoemde online diensten (ik had om deze bevestiging gevraagd).
14-11-2021, 13:33 door Anoniem
Hee Erik, RABO heeft een youtube filmpje over hoe het registreren gaat:
https://www.youtube.com/watch?v=ePDgIqa05hg.

Het wordt interessant vanaf 1 minuut en 15 seconden.
Als ze 2 seconden later het scherm hebben gescrold, zie je behalve de telefoonnummers die bij RABO reeds bekend zijn
ook nog de optie:
Ik wil hiervoor een ander mobiel telefoonnummer registreren
Hoewel ze niet laten zien hoe dat verder precies verloopt, zou het best eens kunnen dat je dan gewoon het nieuwe telefoonnummer dat je bij RABO wilt registreren direct kunt invullen. (want eerst naar een Rabokantoor moeten om je te legitimeren en te bewijzen dat het telefoonnummer echt bij jouw rekening hoort, is omslachtig en niet zo klantvriendelijk).
Bovendien wordt men zelf geacht te weten welk telefoonnummer men aan zijn/haar rekening wil toevoegen.
Je zou bij RABO kunnen verifiëren of het inderdaad zo werkt, of misschien kan iemand die deze site bezoekt,
bij de RABO zit, en er ervaring mee heeft het je misschien vertellen.

Maar als het inderdaad zo gaat, houdt dit dus in dat iemand bij het invoeren van een nieuw telefoonnummer per ongeluk een tikfout kan maken of het nummer verkeerd leest of overneemt (priegelcijfertjes),
en dat deze vergissing de gebruiker op dat moment niet opvalt.
Het gevolg is waarschijnlijk dat er dan doodleuk een verkeerd nummer wordt geregistreerd,
en dat dit het telefoonnummer van iemand anders kan zijn. (in dit geval het telefoonnummer van jou),
en dat jij dus van de RABO-bank een SMS met de registratiebevestiging op jouw telefoon krijgt.
Computersystemen nemen nu eenmaal domweg over wat de gebruiker invoert. (had verboden moeten worden...)

Nog iets anders: ik begrijp dat het soms voorkomt dat er mensen opnieuw moeten registreren, bijvoorbeeld na een storing.
Ik ben de url kwijt en heb geen zin om opnieuw te zoeken (mag je zelf doen), maar ik heb ergens op twitter gelezen
dat er omstreeks 11 of 12 november een storing bij Rabo bankieren is geweest (persoon kwam als ik het goed heb ergens uit regio Rotterdam), en er was ook een bericht waarin iemand schreef dat hij "rabo wallet" opnieuw moest registreren waarop de gesprekspartner zei "ik ook".
Dus mogelijk is er een verband, want als vele duizenden mensen opnieuw hun telefoons moesten registreren
(hetgeen vooral in de eerste dagen kort na zo'n storing gebeurt) , kan de registratie natuurlijk wel eens ergens fout gaan.
14-11-2021, 18:03 door Anoniem
Door Anoniem:

[..]
Dus mogelijk is er een verband, want als vele duizenden mensen opnieuw hun telefoons moesten registreren
(hetgeen vooral in de eerste dagen kort na zo'n storing gebeurt) , kan de registratie natuurlijk wel eens ergens fout gaan.

Ook zonder zo'n storing, er is gewoon best een churn van telefoonnummers bij redelijk wat mensen.

De rabo claimt maar lieft 8 miljoen particuliere klanten
https://vanallesovergeldzaken.nl/bank-met-meeste-klanten/
(en ING 7.9 miljoen) .

Ik gok dat 'nieuw nummer genomen maar niet overal geupdate' de grootste bron is van contactnummer-vervuiling.

En ik denk dat je bestaande rabo zaken prima blijven werken als je eens een nieuw nummer neemt maar vergaat dat te wijzigen in de rabo omgeving.
(Dat is de vraag voor rabo klanten - stel _dat_ je een nieuw nummer neemt, waar loop je tegenaan qua probleem/werkt niet meer/ als je vergeet dat te updaten in de rabo omgeving ? )

Op de 8M klanten zul je best een churn hebben aan wijzigende nummers, en als er niks echt misgaat voor de klant bij een verkeerd (of niet meer up to date) nummer stuurt de rabo ook een redelijk aantal van dit soort alerts naar verkeerde nummers.

Zelfs _als_ er wel wat misgaat voor de klant , en ze _hebben_ een reden om het nummer aan te passen na een 'oh shit vergeten nummer te wijzigen' ervaring, dan is die SMS nog steeds verstuurd, en zit er iemand met een "huh waarom krijg ik dat is dit misschien een scam" sms.
14-11-2021, 21:11 door Anoniem
18:03 door Anoniem: Ook zonder zo'n storing, er is gewoon best een churn van telefoonnummers bij redelijk wat mensen.
Het kan inderdaad altijd gebeuren.
Maar ik bedoelde eigenlijk te zeggen dat de kans dat er ergens iemand bij het intikken een fout in het telefoonnummer maakt behoorlijk toeneemt in de dagen kort na een type storing die tot gevolg heeft gehad dat een grote groep mensen
opnieuw moet registreren.

Een voorbeeld:
Stel dat de kans 0,1% is dat iemand een foutje bij de invoer van het telefoonnummer maakt, en dat er gewoonlijk 100 mensen dagelijks hun nieuwe telefoon bij Rabo registreren, dan komt dit euvel gemiddeld 1x in de 10 dagen voor. (eigenlijk minder vaak omdat niet elk mogelijk telefoonnummer in gebruik is)

Maar wanneer er een storing is geweest die tot gevolg heeft dat opeens 10.000 mensen opnieuw moeten registreren,
en de meeste mensen doen dit binnen 24 uur, dan kunnen er in één dag tijd misschien wel 5000 herregistraties plaatsvinden en heb je dus 0,1% x 5000 = 5 van zulke gevallen binnen 24 uur in plaats van 1 geval in de 10 dagen.

Dus de kans dat het jou als buitenstaander treft dat je zo'n melding krijgt als Erik had gekregen,
is in de eerste dagen volgend op zo'n type storing vele malen groter dan normaal.
Dat is wat ik bedoelde.
15-11-2021, 00:06 door Anoniem
Door Anoniem:
18:03 door Anoniem: Ook zonder zo'n storing, er is gewoon best een churn van telefoonnummers bij redelijk wat mensen.
Het kan inderdaad altijd gebeuren.
Maar ik bedoelde eigenlijk te zeggen dat de kans dat er ergens iemand bij het intikken een fout in het telefoonnummer maakt behoorlijk toeneemt in de dagen kort na een type storing die tot gevolg heeft gehad dat een grote groep mensen
opnieuw moet registreren.

Een voorbeeld:
Stel dat de kans 0,1% is dat iemand een foutje bij de invoer van het telefoonnummer maakt, en dat er gewoonlijk 100 mensen dagelijks hun nieuwe telefoon bij Rabo registreren, dan komt dit euvel gemiddeld 1x in de 10 dagen voor. (eigenlijk minder vaak omdat niet elk mogelijk telefoonnummer in gebruik is)

Maar wanneer er een storing is geweest die tot gevolg heeft dat opeens 10.000 mensen opnieuw moeten registreren,
en de meeste mensen doen dit binnen 24 uur, dan kunnen er in één dag tijd misschien wel 5000 herregistraties plaatsvinden en heb je dus 0,1% x 5000 = 5 van zulke gevallen binnen 24 uur in plaats van 1 geval in de 10 dagen.

Dus de kans dat het jou als buitenstaander treft dat je zo'n melding krijgt als Erik had gekregen,
is in de eerste dagen volgend op zo'n type storing vele malen groter dan normaal.
Dat is wat ik bedoelde.

Oh - het klopt natuurlijk dat als er een event is waarbij veel mensen hun nummer intikken, er ook een wat groter aantal fout ingetikte nummers zal zijn.

Mijn punt is dat ook zonder 'uitzonderlijke' events zoals storingen (of enorme marketing acties die nieuwe klanten trekken) het gewoon normaal is dat er fors wat nummers wijzigen, als je 8M klanten hebt - en dat een bepaald percentage fouten/niet-geupdate gevallen oplevert .

Ik betwijfel overigens of het "registreren van de rabo wallet" ook iets met telefoonnummer opgeven doet - ING was de laatste grootbank die fors met SMS werkte. Ik kan me goed voorstellen dat het (opnieuw) registreren van een 'rabo wallet' [alleen] met app of de rabo reader gaat, en niks doet met telefoonnummer voor bevestigingscodes via SMS.

Op https://www.rabobank.nl/particulieren/betalen/service/online-bankieren/betalen-rabo-wallet/ lees ik over het installeren vooral om de rabo reader bij de hand te houden. Ik zie helaas geen volledig stap voor stap uitleg om op te maken of het inderdaad zonder contact naar een telefoonnummer gaat.Als het (opnieuw) registreren van de wallet niks doet met het telefoonnummer, vervalt de theorie dat die grote storing tot een wat groter aantal verkeerd ingevoerde nummers geleid zal hebben.
15-11-2021, 15:19 door Anoniem
Wat ik niet begrijp is dan niet meer mensen gewoon alle sms'jes, emails en appjes negeren en redeneren zoals ik: Als je mij kent en je wil iets van mij, dan stuur je mij maar een brief.

Ik negeer gewoon elk, op een andere manier dan per brief geinitieerde contact. Mijn gedachte daarachter is dat als iemand iets van mij wil, men daar maar iets meer moeite voor moet doen dan (geautomatiseerd) een mail of een SMS versturen.
15-11-2021, 15:58 door Erik van Straten
Opnieuw dank voor alle reacties!

Op basis van die reacties lijkt het mij toch aannemelijk dat het niet om een fake/phishing SMS gaat, maar dat de SMS die ik ontving daadwerkelijk door de Rabobank is verzonden.

Zojuist heb ik 0900-0905 gebeld en, nadat ik na ca. 5 minuten een medewerker (naar verluidt van de Rabobank) aan de lijn kreeg, de zaak voorgelegd. Het kostte mij enige moeite om de medewerker ervan te overtuigen dat ik niet op een fout linkje had geklikt en zelfs geen rekening heb bij de Rabobank.

Toen ik de aandacht had van de medewerker, vroeg ik of nagegaan kon worden of mijn telefoonnummer gekoppeld is aan een Rabobank-account, maar die informatie wilde of kon de medewerker mij niet geven (begrijpelijk, ook ik zou de boel kunnen belazeren en/of naar informatie kunnen hengelen). Wel zou de Rabobank dit soort SMS-berichten versturen. De medewerker zegde wel toe na te zullen gaan of mijn telefoonnummer aan een Rabo-account gekoppeld is, en zo ja maatregelen te zullen nemen.

Helaas heb ik dus geen uitsluitsel, maar dat het geen fake SMS was lijkt nu toch het meest waarschijnlijke scenario.

Nogmaals dank voor het meedenken!
15-11-2021, 16:25 door Anoniem
Bedankt voor de update .

Het valt me nog mee, maar vijf minuten uitleg om uit het call script te komen :-)

procedure-gewijs is het natuurlijk lastig : op basis van een willekeurig telefoontje - en nog wel een niet-klant - wil je niet 'zomaar' contactgegevens bij een wel-klant gaan wissen .
Maar ze moeten wel die 'wel-klant' zien te contacteren terwijl het telefoonnummer nu juist de vraag is .

Misschien email, misschien een soort van push bericht in de app van die klant , desnoods een papieren brief.
15-11-2021, 17:31 door Anoniem
@Erik bel graag over twee weken nog eens terug en vraag of de koppeling verwijderd is.
15-11-2021, 17:51 door Anoniem
Door Anoniem:Op een brief kun je als afzender tenslotte ook gewoon zetten wat je wilt.
Je meent het. Of helemaal geen afzender,
En dan is het opeens niet schandalig.
Dat je zomaar brieven in een brievenbus kunt doen, met een afzender die niet klopt. Ongehoord!
15-11-2021, 18:11 door Anoniem
Op basis van die reacties lijkt het mij toch aannemelijk dat het niet om een fake/phishing SMS gaat, maar dat de SMS die ik ontving daadwerkelijk door de Rabobank is verzonden.
Kan zijn, toch blijft het oppassen,
https://www.rd.com/article/things-hackers-can-do-with-just-your-cell-phone-number/.
15-11-2021, 18:12 door Briolet
Door Anoniem: Bedankt voor de update .

Het valt me nog mee, maar vijf minuten uitleg om uit het call script te komen :-) .

5 minuten vind ik wel lang. Het betreft niet een telefoontje naar een standaard helpdesk, maar naar een helpdesk die speciaal voor fraude ingericht is. Het nummer vind je niet gemakkelijk bij de rabobank. Hij wordt alleen vermeld op pagina's die over fraude gaan. En blijkbaar gebruikt wordt in waarschuwingen over fraude. Dan verwacht ik dat ze ook iemand achter de telefoon zetten die hier in gespecialiseerd is.

Verder klopt het dat ze de beller geen concrete informatie mogen geven. Het zou wel netjes zijn als ze Erik straks laten weten dat zijn nummer in hun bestand gevonden en gewist is.
15-11-2021, 19:56 door Anoniem
Door Briolet:
Door Anoniem: Bedankt voor de update .

Het valt me nog mee, maar vijf minuten uitleg om uit het call script te komen :-) .

5 minuten vind ik wel lang. Het betreft niet een telefoontje naar een standaard helpdesk, maar naar een helpdesk die speciaal voor fraude ingericht is. Het nummer vind je niet gemakkelijk bij de rabobank. Hij wordt alleen vermeld op pagina's die over fraude gaan. En blijkbaar gebruikt wordt in waarschuwingen over fraude. Dan verwacht ik dat ze ook iemand achter de telefoon zetten die hier in gespecialiseerd is.

Ok , wel een punt , maar dan nog zal het callscript van deze helpdesk gericht zijn op

1) rabo klanten die gewoon het bericht niet snappen maar schrikken dat het komt als ze net een device hebben toegevoegd.
2) rabo klanten die werkelijk gephished zijn en voor wie dit de laatste kans is om schade te voorkomen of beperken.

Niet-klanten zoals Erik die een verkeerde SMS gekregen hebben zitten dan waarschijnlijk niet vooraan in de flowchart van vragen.
15-11-2021, 22:47 door Erik van Straten
Door Anoniem: Wat ik niet begrijp is dan niet meer mensen gewoon alle sms'jes, emails en appjes negeren en redeneren zoals ik: Als je mij kent en je wil iets van mij, dan stuur je mij maar een brief.
Ik denk niet dat dit in alle gevallen verstandig is.

Als de SMS die ik ontving daadwerkelijk legitiem is, is er een nieuw device aan de rekening van Rabo klant X gekoppeld (waarbij X de persoon is die een typfout heeft gemaakt en per ongeluk mijn nummer heeft ingevoerd, of een paar jaar geleden het telefoonnummer had wat ik nu heb). Als X niet (bewust) zelf een nieuw device aan diens rekening heeft gekoppeld, maar een oplichter dat voor elkaar heeft gekregen, kan die SMS helpen voorkomen dat de oplichter de rekening van X plundert (X zal dan wel snel moeten bellen met de Rabobank).

Met andere woorden, zo'n SMS kan helpen voorkomen dat iemand er met jouw spaarcentjes vandoor gaat.

Overigens vraag ik me wel af hoe effectief dit systeem is. Als je zelf een ander device koppelt zal zo'n SMS niet onverwacht komen - en hoef je daar verder niets mee te doen. Als je niet zelf een device gekoppeld hebt, ontvang je zo'n SMS waarschijnlijk totaal onverwacht. Ik ben benieuwd hoeveel mensen zullen beseffen dat ze dan zo snel mogelijk hun bank moeten bellen, maar bij voorkeur niet naar nummers vermeld in de SMS (die immers fake kan zijn): veiliger is het om het te bellen nummer op te zoeken op de bekende website van je bank.


Door Anoniem: @Erik bel graag over twee weken nog eens terug en vraag of de koppeling verwijderd is.
Ik verwacht dat dit zinloos is; ik ben immers geen klant en kan mij niet authenticeren. Bovendien is het niet in het belang van Rabobank en diens klant om mij die informatie te geven.
15-11-2021, 23:16 door Anoniem
Door Erik van Straten:
Door Anoniem: @Erik bel graag over twee weken nog eens terug en vraag of de koppeling verwijderd is.
Ik verwacht dat dit zinloos is; ik ben immers geen klant en kan mij niet authenticeren. Bovendien is het niet in het belang van Rabobank en diens klant om mij die informatie te geven.
Ik vind het een beetje raar dat een Rabobank klant kennelijk een telefoonnummer kan toevoegen aan de rekening en daar dit soort berichten heen laten sturen zonder dat er een procedure geweest is die eerst controleert of dit wel een geldig nummer is.
Bijvoorbeeld eerst een SMS sturen ala "u heeft dit nummer toegevoegd aan uw Rabo rekening, type deze code in uw browser om deze te bevestigen: Xsbh5eEt
En als ze dat dan niet doen dan dat nummer gewoon weer verwijderen.
Dat is vergelijkbaar met procedures om je mail adres te bevestigen, een code sturen per mail (evt als een link) en dan vragen die te bevestigen.
Alleen de totale prutsers laten het tegenwoordig nog toe dat je een mail adres opgeeft wat dan zonder validatie in de systemen wordt ingevoerd.
Maar dat lijkt bij Rabobank toch wel te gebeuren met telefoonnummers.
Het minste wat je zou verwachten is toch wel dat de "rechtmatige eigenaar" van een nummer de mogelijkheid krijgt om in verzet te gaan en op zijn minst te bereiken dat dit nummer bij de rekening als "questionable" ingesteld wordt en de rekeninghouder (via de app of telebankieren site) de opdracht krijgt dit te controleren.

Maar goed, we mogen natuurlijk geen kritiek hebben op procedures bij banken als het niet de ING is.
06-12-2021, 12:47 door Erik van Straten
Zojuist ontving ik de volgende SMS van Rabobank:
Uw telefoonnummer zoals bekend bij Rabobank is verwijderd. Klopt dit niet? Neem dan contact op met uw Rabobank.
Nb. zonder telefoonnummers of links er in. Ik weet nu vrijwel zeker dat mijn telefoonnummer eerder van iemand anders was en dat dit nu ontkoppeld is van diens Rabobank-rekening (ik ben geen klant van de Rabobank).

De SMS die ik bovenaan deze pagina beschreef was dus hoogstwaarschijnlijk niet fake.
06-12-2021, 13:14 door Anoniem
Door Erik van Straten: Zojuist ontving ik de volgende SMS van Rabobank:
Uw telefoonnummer zoals bekend bij Rabobank is verwijderd. Klopt dit niet? Neem dan contact op met uw Rabobank.
Nb. zonder telefoonnummers of links er in. Ik weet nu vrijwel zeker dat mijn telefoonnummer eerder van iemand anders was en dat dit nu ontkoppeld is van diens Rabobank-rekening (ik ben geen klant van de Rabobank).

De SMS die ik bovenaan deze pagina beschreef was dus hoogstwaarschijnlijk niet fake.

Dank voor de update .
Ook een goede SMS - een eventuele echte klant wordt niet getraind om informatie uit de sms te gebruiken voor navraag .
Maar mocht het nummer van de echte klant onterecht ontkoppeld zijn genoeg om te gaan inloggen of bellen .

En mocht je 'm krijgen zonder dat je - zoals in jouw situatie - zelf het probleem gemeld hebt , staat er ook niks in om je zenuwachtig te maken over phishing , alleen een melding waarvan je kunt denken "huh waarom krijg IK dat "

Misschien ooit nuttig om te weten dat dit 'update van vergeten oude nummers' proces zo werkt bij de Rabo .

En voor mezelf leuk dat mijn speculaties over oorzaak en stappen in deze thread klopten.

Ik ga nu zomaar nieuwsgierig worden hoe het zou werken als de nieuwe eigenaar van een nummer wel een Rabo klant is, en probeert z'n nieuwe nummer toe te voegen .
Zou dat een automatische ontkoppeling opleveren ? Hm - kan niet, want een tikfout van iemand zou dan een ontkoppeling van een andere klant opleveren. Of een sms koppelcode ? Of punten naar helpdesk ?
Dit soort grootschalig account beheer heeft voor de randgevallen van vergeten of wijzigende nummers nog best een hoop uitdagingen.
06-12-2021, 13:22 door [Account Verwijderd]
Door Erik van Straten: Zojuist ontving ik de volgende SMS van Rabobank:
Uw telefoonnummer zoals bekend bij Rabobank is verwijderd. Klopt dit niet? Neem dan contact op met uw Rabobank.
Nb. zonder telefoonnummers of links er in. Ik weet nu vrijwel zeker dat mijn telefoonnummer eerder van iemand anders was en dat dit nu ontkoppeld is van diens Rabobank-rekening (ik ben geen klant van de Rabobank).

De SMS die ik bovenaan deze pagina beschreef was dus hoogstwaarschijnlijk niet fake.

Lastig is dit.
De communicatiemogelijkheden zijn door IT erg uitgebreid vergeleken met hoe het was in het PTT tijdperk.

Hoe kun je nu toch verder voorkomen als serviceverlener dat je de consument niet in verwarring brengt? Naar ik begrijp worden opgeheven abonneenummers gedurende een bepaalde tijd non-actief gehouden alvorens deze opnieuw in gebruik te nemen.
Moet die termijn dan niet verlengd worden? Of moeten we overgaan tot volledig wissen van tel. nrs.?
Is misschien ook een optie er nog een nummer aan toe te voegen? Ik bedoel: Ik weet nog dat de PTT, ik dacht in 1984, alle Nederlandse abonneenummers voorzag van het nummer 2 vooraf aan het telefoonnummer. Bijvoorbeeld 14 21 43 werd toen 214 21 43.

Eenvoudig zal dat alles helemaal niet zijn. Niet alleen puur technisch... Er zal tussen providers een (inter)nationale overeenstemming moeten zijn. Met argusogen gaan zij dus als eerste kijken naar aanleiding van zo'n voorstel naar hun aller lijfspreuk: Wat gaat het kosten?
En daar ga je weer: zie daar het altijd terugkerende nadeel van vercommercialisering van voorheen overheidsdiensten zoals in deze context: PTT.
06-12-2021, 14:24 door Anoniem
Door Ard van Wiersum:
Door Erik van Straten: Zojuist ontving ik de volgende SMS van Rabobank:
Uw telefoonnummer zoals bekend bij Rabobank is verwijderd. Klopt dit niet? Neem dan contact op met uw Rabobank.
Nb. zonder telefoonnummers of links er in. Ik weet nu vrijwel zeker dat mijn telefoonnummer eerder van iemand anders was en dat dit nu ontkoppeld is van diens Rabobank-rekening (ik ben geen klant van de Rabobank).

De SMS die ik bovenaan deze pagina beschreef was dus hoogstwaarschijnlijk niet fake.

Lastig is dit.
De communicatiemogelijkheden zijn door IT erg uitgebreid vergeleken met hoe het was in het PTT tijdperk.

Ook POTS nummers werden en worden gerecyled , na een afkoel periode .

Heel erg pech als je het nummer van een nachtcafe, pizzeria , BBS e.d. kreeg , want de update frequentie van papieren telefoonboeken was niet heel hoog - en van mensen hun eigen adresboek nog minder .


Hoe kun je nu toch verder voorkomen als serviceverlener dat je de consument niet in verwarring brengt? Naar ik begrijp worden opgeheven abonneenummers gedurende een bepaalde tijd non-actief gehouden alvorens deze opnieuw in gebruik te nemen.
Moet die termijn dan niet verlengd worden? Of moeten we overgaan tot volledig wissen van tel. nrs.?
Is misschien ook een optie er nog een nummer aan toe te voegen? Ik bedoel: Ik weet nog dat de PTT, ik dacht in 1984, alle Nederlandse abonneenummers voorzag van het nummer 2 vooraf aan het telefoonnummer. Bijvoorbeeld 14 21 43 werd toen 214 21 43.

Nee - operatie Decibel maakte alle nummers tiencijferig. Twee ervoor zal in jouw regio geweest zijn , maar dat was niet universeel.

Telefoonnummers zijn gewoon niet oneindig lang - ook al hebben ze nu spraak en data gesplitst .
Dan nog - je hebt feitelijk hetzelfde probleem met straat adressen, en die kun je al helemaal niet eeuwig claimen .
En zeker email adressen .

Het is gewoon een gevalletje 'deal with it' - sommige adreskenmerken veranderen, en databases vervuilen daarmee.
Zorg dat je een detectie/update proces hebt - en goed genoeg dat het niet gekaapt kan worden voor hacks.

Net zo goed als persoonkenmerken - als je account beheer doet op voldoende schaal , dan merk je dan mensen trouwen en scheiden . En dan BESLIST de naam veranderd willen hebben - mevrouw janssen moet acuut mevrouw Van Oranje - Janssen worden. En na de scheiding GEEN SECONDE LANGER DE NAAM VAN DIE LUL dragen .
Natuurlijk moet het account met alle gekoppelde toegangen wel hetzelfde blijven . Naast natuurlijk de onvermijdelijke duplicaten . Best interessant om te leren waar je tegen aan kunt lopen als aantallen groot genoeg worden.

Nog erger die drammers die M./V/X en wisselingen - als je nou één veld waarvan je dacht Write Once ...


Eenvoudig zal dat alles helemaal niet zijn. Niet alleen puur technisch... Er zal tussen providers een (inter)nationale overeenstemming moeten zijn. Met argusogen gaan zij dus als eerste kijken naar aanleiding van zo'n voorstel naar hun aller lijfspreuk: Wat gaat het kosten?
En daar ga je weer: zie daar het altijd terugkerende nadeel van vercommercialisering van voorheen overheidsdiensten zoals in deze context: PTT.

Laat die bejaarden rant over het staatsbedrijf der Posterijen maar zitten. Als er één ding NIET flexibel was, was dat klassiek PTT . Je mag de T-65 huren en helemaal niks anders.
Het is gewoon vrij zinloos om een telefoonnummer voor eeuwig te reserveren door het voldoende lang te maken .
Waarschijnlijk zelfs onwenselijk .
Je BSN is in de huidige situatie min of meer voor eeuwig - en dat wil men (soms) juist kunnen veranderen .
06-12-2021, 22:31 door [Account Verwijderd]
Bejaarden rant

Die moet ik onthouden als ik weer eens ellende lees uit de krochten van de smartfeun generatie. Inspiratie? De ontelbare tot een kookpunt oplopende draadjes hier over Android en iOs en het bijbehorende speelgoed.

M.b.t. De T-65 (TDK). Misschien ligt het feit dat je dat alleen kon huren wel in de reden van zijn veronderstelde onverwoestbaarheid.
Klopt. Die ingenieurs in dienst bij de Staat der Nederlanden waren niet gek.
Ik heb een Ericsson TDK uit 1978 nog steeds in gebruik naast een dectfoon Gebruik? 70%, tegen respectievelijk 30 %

Nog een bejaarden rant: Tegen de legendarische, inmiddels iconische en ergonomisch weldoordachte vormgeving (1) van de Ericsson T-65 (TDK) kan een hedendaagse smart telefoon nog niet in de schaduw staan. Een rechthoekig biervilt met plaatjes is het. Meer zie ik er niet in en ik ben blij dat ik er geen gebruik meer van hoef, neen MOET maken sinds 1,5 jaar.

(1) Ik gooi de hoorn nog steeds feilloos van een afstand van zo'n 25 à 30 centimeter terug op het toestel.
08-12-2021, 08:49 door Anoniem
1) Kun je (onder Android) het telefoonnummer achterhalen waar een SMS vandaan verzonden is, als (zoals in dit geval) uitsluitend een naam (hier: Rabobank) wordt getoond als afzender? En zo ja, hoe?
Een SMS wordt niet verstuurd vanaf een nummer. Het 'nummer' is gewoon een stukkie text, waar een telefoon z'n eigen nummer in zet.
Nb. ik ben me ervan bewust dat telefoonnummers ook gespoofed kunnen worden (m.i. schandalig dat dit kan),
Daar is niks schandaligs aan. Het is niet bedoeld ter identificatie, dat is de waarde die jij er (blijkbaar) aan hecht. En dan vervolgens miept dat het 'schandalig' is. Op een brief kun je ook zomaar zetten dat-ie van Sinterklaar komt, terwijl Zwarte Piet 's stuurt. Vind je dan ook dat de papier fabrikant daar maar wat aan moet doen?
maar hier doet Android er een schep bovenop door overtuigend te suggereren dat "Rabobank" echt de afzender is (zonder dat ik op eenvoudige wijze het telefoonnumer kan achterhalen).
Android doet helemaal niks. Het laat zien wat in de SMS als 'sender' staat. Het suggereert helemaal niks. Als extra 'service' kan het - als 'sender' een nummer is - in jouw lijstje met nummers er een naam bij vinden. Meer is het niet. De rest heb je zelf verzonnen.

Voor wat betreft die nummers: bel ze gewoon als je het weten wilt. Evt. gewoon met een andere sim kaart.

Verder verbaast het me nogal dat TS dit soort simpele mechanismen niet kent en er meer achter zoekt. En zelfs denkt dat een 'sender' in zoiets identificerend is.
08-12-2021, 10:09 door Erik van Straten
Door Anoniem:
Nb. ik ben me ervan bewust dat telefoonnummers ook gespoofed kunnen worden (m.i. schandalig dat dit kan),
Daar is niks schandaligs aan. Het is niet bedoeld ter identificatie, dat is de waarde die jij er (blijkbaar) aan hecht. En dan vervolgens miept dat het 'schandalig' is. Op een brief kun je ook zomaar zetten dat-ie van Sinterklaar komt, terwijl Zwarte Piet 's stuurt. Vind je dan ook dat de papier fabrikant daar maar wat aan moet doen?
Ik heb die vraag al eerder beantwoord (in https://security.nl/posting/729969).

Ik herhaal:
Een brief kun je overal in Nederland (en zelfs daarbuiten) "op de post doen" (in een verzend-brievenbus stoppen). En hoewel in theorie mogelijk, zet zo'n brievenbus er geen stempel op met een lastig te vervalsen uniek brievenbusnummer. Bij telefonie verzorgen telecomproviders point-to-point verbindingen. M.a.w. partijen die wij zouden moeten kunnen vertrouwen, weten precies wie de verbinding opzet (anders krijgen zij daar niet voor betaald). Dat zij die informatie niet delen met de ontvanger van het telefoontje of de SMS is technisch dus best mogelijk. Dat dit niet gebeurt is onwil, gemakzucht of levert geld op.

In aanvulling daarop: om te zorgen dat de afzender de transportkosten van een brief betaalt, is de postzegel uitgevonden. Bij POTS moet de transporteur de afzender kennen om deze te kunnen laten betalen; normaal gesproken gebeurt dat achteraf. Er bestaat dus geen fundamentele reden om spoofing toe te laten. En anoniem kunnen bellen vind ik op z'n minst controversieel: waarom mag ik jouw nummer niet weten als jij mijn nummer wel weet en mij belt? Ook dat werkt spam in de hand (dat er nummers bestaan die je niet kunt bellen of die nooit opnemen vind ik vervelend, maar kan ik mij wel voorstellen; ik garandeer ook niet dat ik altijd opneem).

Zolang bijv. https://www.belastingdienst.nl/wps/wcm/connect/nl/contact/content/hoe-kan-ik-een-verdacht-telefoontje-melden schrijft:
U kunt controleren of het telefoonnummer waarmee u bent gebeld, staat in de lijst met telefoonnummers die wij gebruiken
wordt de suggestie gewekt dat een getoond nummer van de beller is.

Als jij zo'n spoofer bent, snap ik dat jij geen veranderingen wilt. Maar jij behoort dan tot een zeer kleine minderheid; het kan en moet beter.
08-12-2021, 11:06 door Anoniem
Door Anoniem:
1) Kun je (onder Android) het telefoonnummer achterhalen waar een SMS vandaan verzonden is, als (zoals in dit geval) uitsluitend een naam (hier: Rabobank) wordt getoond als afzender? En zo ja, hoe?
Een SMS wordt niet verstuurd vanaf een nummer. Het 'nummer' is gewoon een stukkie text, waar een telefoon z'n eigen nummer in zet.
Nou nee zo werkt dat ook weer niet. Een telefoon weet zijn eigen nummer niet eens, dus dat zou ook niet kunnen.
De telefonie provider zet dat nummer erin als het van een klant komt. Zelf een nummer erin zetten dat kan alleen als je gebruik maakt van een of andere losstaande service met een API die je toelaat daar iets in te vullen.
Nb. ik ben me ervan bewust dat telefoonnummers ook gespoofed kunnen worden (m.i. schandalig dat dit kan),
Daar is niks schandaligs aan. Het is niet bedoeld ter identificatie, dat is de waarde die jij er (blijkbaar) aan hecht.
Het is WEL bedoeld ter identificatie. Identificatie van de beller. Dat het niet WERKT komt door lamlendigheid van de aanbieders. Als zij de rekening op de mat krijgen gaan zij het fixen!
08-12-2021, 14:08 door Erik van Straten
Door Anoniem: Een telefoon weet zijn eigen nummer niet eens, dus dat zou ook niet kunnen.
Sterker, toen ik zojuist WiFi uitzette wijzigde het IP-adres van mijn telefoon in 10.185.x.x - terwijl volgens https://www.whatismyip.com/ "mijn" publieke IP-adres 89.205.x.x werd; dat laatste "zien" websites die ik bezoek.

Dat er "Network Address Translation" tussen zit, boeit niet. Reken maar dat T-Mobile bijhoudt hoeveel bytes ik uitwissel met mijn smartphone, en niet op basis van dat private 10.x.x.x adres (want dat is niet altijd hetzelfde). Op dezelfde manier (IMEI?) houdt T-mobile bij naar welke nummers ik bel en SMS. Daarbij is mijn telefoonnummer wel een constante, en als deze begint met 00316 (formeel +316, niet elk land gebruikt 00 voor buitenlandse nummers), is dit nummer wereldwijd uniek.

Zelfs als sommige bellers en SMS'ers (via internet) nu geen (virtueel) uniek telefoonnummer zouden hebben, zie ik geen enkele reden waarom telco's niet een traceerbaar uniek (virtueel) telefoonnummer aan elke beller/SMS'er zouden kunnen koppelen zodat het, onvervalsbaar, zichtbaar wordt op het toestel van de ontvanger.
08-12-2021, 16:28 door Anoniem
Door Anoniem:Telefoonnummers zijn gewoon niet oneindig lang - ook al hebben ze nu spraak en data gesplitst .
Dan nog - je hebt feitelijk hetzelfde probleem met straat adressen, en die kun je al helemaal niet eeuwig claimen.
Hoezo niet? Je kan toch een huisnummer gewoon weghalen bij verhuizing van de huidige bewoner en voor de nieuwe bewoner vervangen door een ander nummer dat in die straat nog nooit is gebruikt. Wordt wel lastiger voor de postbode en pakketbezorger, maar kan wel.
08-12-2021, 16:40 door Anoniem
Door Anoniem:Net zo goed als persoonkenmerken - als je account beheer doet op voldoende schaal , dan merk je dan mensen trouwen en scheiden . En dan BESLIST de naam veranderd willen hebben - mevrouw janssen moet acuut mevrouw Van Oranje - Janssen worden. En na de scheiding GEEN SECONDE LANGER DE NAAM VAN DIE LUL dragen .
Natuurlijk moet het account met alle gekoppelde toegangen wel hetzelfde blijven.
In paketten waar ze personeel in registeren, heb je de mogelijkheid om een eigennaam veld en een partnernaam veld op te geven, en daarnaar 1 van de 4 mogelijk kombinaties te kiezen voor de correspondentie.

Dat geeft weer complicaties om bij IT systemen dan accountnamen te genereren, als gekozen is om daar delen van achternamen voor te gebruiken. Wat doe je als dat verandert, omdat een loginID nu eenmaal niet mag veranderen, wegens dat dat een uniek dig is ook in andere gekoppelde systemen.

En een volledig random immutable loginID (b.v een personeelsnummer, maar die veranderen soms ook of je krijgt er meerdere), is weer niet te onthouden.
08-12-2021, 21:08 door Anoniem
Door Anoniem:
Door Anoniem:Telefoonnummers zijn gewoon niet oneindig lang - ook al hebben ze nu spraak en data gesplitst .
Dan nog - je hebt feitelijk hetzelfde probleem met straat adressen, en die kun je al helemaal niet eeuwig claimen.
Hoezo niet? Je kan toch een huisnummer gewoon weghalen bij verhuizing van de huidige bewoner en voor de nieuwe bewoner vervangen door een ander nummer dat in die straat nog nooit is gebruikt. Wordt wel lastiger voor de postbode en pakketbezorger, maar kan wel.

Met genoeg werk , pijn en moeite kun je een probleempje van één kant weghalen door een enorme berg stront op tig andere plaatsen te maken.

Met een indirectie-laag kun je van alles hermappen - laat dan meteen de hele fysieke straat varen, en introceer een metaverse wereld waarin je een virtueel "adres" hebt wat met een lookup vertaald wordt naar je fysieke adres du-moment .

En ja , dat moeten we bouwen omdat mensen wel eens het een of andere kenmerk (telefoonnummer of wat dan ook) niet strak updaten bij hun bank en iemand anders dan een verkeerd bericht krijgt ....

(Niet alleen postbode en bezorger btw - steeds wijzigende huis nummers zijn ook dolle pret voor alles iets te maken heeft met het feitelijke object op die plaats (ozb, gas/water/licht, kabel/internet etc) .
Er wordt _wel eens_ een straat omgenaamd , of hernummerd . Dat is vervelend voor alles en iedereen die daar wat mee van doen heeft om de boel recht te trekken .)

Zijdelings relevant - mislukt concept : https://nl.wikipedia.org/wiki/Graan_voor_Visch
08-12-2021, 21:41 door Anoniem
Door Erik van Straten:
Door Anoniem: Een telefoon weet zijn eigen nummer niet eens, dus dat zou ook niet kunnen.
Sterker, toen ik zojuist WiFi uitzette wijzigde het IP-adres van mijn telefoon in 10.185.x.x - terwijl volgens https://www.whatismyip.com/ "mijn" publieke IP-adres 89.205.x.x werd; dat laatste "zien" websites die ik bezoek.

Dat er "Network Address Translation" tussen zit, boeit niet. Reken maar dat T-Mobile bijhoudt hoeveel bytes ik uitwissel met mijn smartphone, en niet op basis van dat private 10.x.x.x adres (want dat is niet altijd hetzelfde). Op dezelfde manier (IMEI?) houdt T-mobile bij naar welke nummers ik bel en SMS.

Nee een telefoon heeft via de SIM kaart een "mobile identity" en in een database van de provider is die gekoppeld aan een telefoonnummer. De telefoon zelf weet zijn nummer niet, daar kun je wel achter komen door een ander te bellen en dan te kijken wat voor nummer er mee komt, maar niet terug vinden in het toestel zelf of de SIM. Want die koppeling tussen SIM en nummer is flexibel, je kunt bijvoorbeeld ook meerdere SIM's hebben waar hetzelfde nummer aan hangt.
De IMEI is het serienummer van het toestel, zeg maar het MAC adres van het toestel. Net als een MAC adres van een netwerkkaart komt dat niet het netwerk uit (als niet iemand het in een pakket stopt als data of gebruikt om een IPv6 adres mee te genereren). De provider houdt bij welke IMEI jij gebruikt hebt zodat er later terug te zoeken is wat er zoal voorgevallen is met je nummer, SIM kaart, etc.
Bij uitgaande gesprekken en SMSjes plaatst de provider het juiste nummer erbij op basis van een lookup van de mobiele identity. Die "spoofers" komen niet binnen via dat pad maar via een andere interface die dit soort dingen niet checked.
08-12-2021, 21:47 door Anoniem
Door Anoniem:
Dat geeft weer complicaties om bij IT systemen dan accountnamen te genereren, als gekozen is om daar delen van achternamen voor te gebruiken. Wat doe je als dat verandert, omdat een loginID nu eenmaal niet mag veranderen, wegens dat dat een uniek dig is ook in andere gekoppelde systemen.
In alle behalve de meest hobbyistische systemen wordt een login ID al snel omgezet in een of andere unieke user ID
die handig in het systeem verwerkt kan worden (een nummertje, een UUID, of iets dergelijks) zodat verder overal in
het systeem alleen met die unieke ID gewerkt hoeft te worden en de koppeling met de login ID op 1 plek veranderd kan
worden.
Wel kan het zijn dat er bij het maken van koppelingen tussen systemen of applicaties de fout gemaakt is om op de login ID
te matchen ipv op die unieke ID (wat bij systemen van verschillende pluimage ook lastig is omdat die ID's niet onderling
compatible zijn).
De login ID kan wel aangepast worden maar dat kan in dergelijke omgevingen inderdaad relatief veel werk zijn.
Ik ken wel zo'n voorbeeld waarin iemand op mijn werk getrouwd was en meteen alles overal veranderd moest worden,
en niet veel later was ze al weer gescheiden en konden we het allemaal weer terug gaan draaien...
09-12-2021, 08:35 door Anoniem
Veel gewone mensen zullen niet weten dat een telefoonnummer vervalsbaar is.
Eh... er is niks 'vervalsbaar'. Want het heeft geen enkele vorm van legitimiteit en heeft dat ook nooit gehad. Als zodanig is het ook niet te vervalsen.
Het is WEL bedoeld ter identificatie.
Nou, dat ben ik dus nadrukkelijk niet met je eens. Dan zou het enige vorm van legitimiteit moeten hebben. Dat heeft het nadrukkelijk niet. Het niet meer dan een 'aardig extraatje' waar veel te veel waarde aan gehecht wordt.
09-12-2021, 11:21 door Anoniem
Door Anoniem:
Het is WEL bedoeld ter identificatie.
Nou, dat ben ik dus nadrukkelijk niet met je eens. Dan zou het enige vorm van legitimiteit moeten hebben. Dat heeft het nadrukkelijk niet. Het niet meer dan een 'aardig extraatje' waar veel te veel waarde aan gehecht wordt.
Wat jij beschrijft is de feitelijke situatie zoals die ontstaan is door de opkomst van lamlendige providers die er geen
moeite voor doen om de meegestuurde nummers van hun eigen klanten te controleren. De bedoeling van het systeem
is dat het WEL een identificatie is alleen het is niet goed genoeg dichtgetimmerd in met name de voorwaarden voor
toetreding tot het internationale telefoonnetwerk. Dat is gebaseerd op onderling vertrouwen, net als internet. Vertrouwen
wat beschaamd wordt, ja. Maar dat maakt het nog niet zo dat identificatie niet de bedoeling was.

De situatie is vergelijkbaar met source adres filtering (BCP38) op internet. Zou iedereen moeten doen, dan hadden we
veel minder last van allerlei DDoS en andere vervelende dingen. Maar helaas, de wereld is voorzien van geldwolven
die alleen internet provider zijn om er geld mee te verdienen, niet om het goed te doen. En die het niks interesseert
dat anderen daardoor in de problemen komen.

Het wordt tijd dat er wetgeving komt waardoor dit soort bedrijven afgekoppeld kunnen worden als ze niet in actie komen.
Dan lost het zich wel op.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.