image

Telefoonnummer NCSC misbruikt voor spoofing en phishing

vrijdag 4 oktober 2024, 12:17 door Redactie, 14 reacties

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt vandaag dat het eigen telefoonnummer wordt gebruikt voor phishing. De overheidsdienst ontving verschillende berichten dat kwaadwillenden zich voordoen als NCSC-medewerker. Om zich als het NCSC voor te doen maken de oplichters gebruik van een gespooft telefoonnummer, waarbij doelwitten het nummer van het NCSC te zien krijgen.

"De kwaadwillende heeft als doel om snel vertrouwen te winnen om vervolgens persoonlijke informatie afhandig te maken om deze te misbruiken. Je kunt hierbij denken aan bankgegevens, transactiebewijzen, boetes of inloggegevens", aldus het NCSC in de waarschuwing. Wie door een bedrijf of overheidsinstantie wordt gebeld en twijfelt over de legitimiteit van de beller wordt aangeraden op te hangen en zelf de betreffende organisatie terug te bellen. In juni waarschuwde het NCSC ook al voor oplichters die zich als de overheidsdienst voordeden.

Reacties (14)
04-10-2024, 13:14 door Anoniem
Tja, in de woorden van de minister: 'Leer er maar mee leven'. Dit is de nieuwe (oude) realiteit.

Wat voor soort incident moet er plaats vinden, voordat de verantwoordelijke organisaties dit probleem bij de bron gaan aanpakken? WO III, en nucleaire ramp, ...

Waarom is het nog steeds "onmogelijk" om technisch af te dwingen dat een meegestuurde nummer afkomstig is van de persoon of het bedrijf dat dat nummer of die nummerreeks afgenomen heeft.
Begin met het dicht timmeren vann de telefooncentrales. En de VOIP-centrales bij bedrijven.

Het lijkt erop alsof de verantwoordelijke organisaties spoofing niet willlen stoppen.
Steek de koppen bij elkaar, en los het op.

Laat de EC zich daar anders eens op richten ipv chat-controle.
Doe eens iets voor al die burgers en bedrijven die slachtoffer worden van spoofing.
04-10-2024, 14:31 door Anoniem
Door Anoniem:
Waarom is het nog steeds "onmogelijk" om technisch af te dwingen dat een meegestuurde nummer afkomstig is van de persoon of het bedrijf dat dat nummer of die nummerreeks afgenomen heeft.
Begin met het dicht timmeren vann de telefooncentrales. En de VOIP-centrales bij bedrijven.

Omdat dat overal op de hele wereld gedaan moet worden.
Net als IP spoofing.


Het lijkt erop alsof de verantwoordelijke organisaties spoofing niet willlen stoppen.
Steek de koppen bij elkaar, en los het op.

Goh, overal op de hele wereld iets perfect maken - tussen alle operators met soms matige procedures of gewoon kwaadwillende intenties.

Ik hoor graag je suggestie hoe je dat voor elkaar krijgt.

Gewoon - leer en maar mee leven en stop met geloven dat een inkomend nummer 100% betrouwbaar is.


Laat de EC zich daar anders eens op richten ipv chat-controle.

Eerst vraag je blijkbaar om wereldwijde ingreep tegen spoofing en twee zinnen later klaag je over EC controle.
Get a clue. Heb je al door dat waar je eerst om vraag ook op dezelfde manier zou gaan ?


Doe eens iets voor al die burgers en bedrijven die slachtoffer worden van spoofing.

Die moeten maar leren om minder te geloven in wat een telefoon (afzender nummer), of pratende stem, of gel kapsel aan de voordeur je vertelt.
04-10-2024, 17:48 door Anoniem
Door Anoniem:
Door Anoniem:
Waarom is het nog steeds "onmogelijk" om technisch af te dwingen dat een meegestuurde nummer afkomstig is van de persoon of het bedrijf dat dat nummer of die nummerreeks afgenomen heeft.
Begin met het dicht timmeren vann de telefooncentrales. En de VOIP-centrales bij bedrijven.

Omdat dat overal op de hele wereld gedaan moet worden.
Net als IP spoofing.


Het lijkt erop alsof de verantwoordelijke organisaties spoofing niet willlen stoppen.
Steek de koppen bij elkaar, en los het op.

Goh, overal op de hele wereld iets perfect maken - tussen alle operators met soms matige procedures of gewoon kwaadwillende intenties.

Ik hoor graag je suggestie hoe je dat voor elkaar krijgt.

Gewoon - leer en maar mee leven en stop met geloven dat een inkomend nummer 100% betrouwbaar is.


Laat de EC zich daar anders eens op richten ipv chat-controle.

Eerst vraag je blijkbaar om wereldwijde ingreep tegen spoofing en twee zinnen later klaag je over EC controle.
Get a clue. Heb je al door dat waar je eerst om vraag ook op dezelfde manier zou gaan ?


Doe eens iets voor al die burgers en bedrijven die slachtoffer worden van spoofing.

Die moeten maar leren om minder te geloven in wat een telefoon (afzender nummer), of pratende stem, of gel kapsel aan de voordeur je vertelt.


Dus het is weer eens de schuld van het slachtoffer (let op dat zijn ook de organisaties zoals banken en de ncsc die gespoofd worden!), en niet de schuld van de daders en de organisaties die het mogelijk maken en niets doen om het te voorkomen.

Gooi er boetes of gevangenisstraffen voor directies tegen aan die hoog genoeg zijn, en je moet eens zien hoe snel het opeens wel gerealieerd kan worden.
04-10-2024, 18:56 door Anoniem
Door Anoniem:
Door Anoniem:
Waarom is het nog steeds "onmogelijk" om technisch af te dwingen dat een meegestuurde nummer afkomstig is van de persoon of het bedrijf dat dat nummer of die nummerreeks afgenomen heeft.
Begin met het dicht timmeren vann de telefooncentrales. En de VOIP-centrales bij bedrijven.

Omdat dat overal op de hele wereld gedaan moet worden.
Net als IP spoofing.

Nee hoor, "lokaal" geldt dat niet, in ieder geval niet voor degenen die hun aansluiting gewoon ergens in Nederland afnemen.
Als je ergens een register maakt van "NCSC heeft hun telefoonnummer bij Vodafone" (oid) dan kan iedereen die iets met telefonie doet in Nederland checken of inkomende telefoontjes van NCSC wel van Vodafone afkomen.
Komen ze vanuit het buitenland dan kunnen ze meteen geweigerd worden.

Dat werkt dan mogelijk niet als je in het buitenland zit, dus het is niet geschikt voor de "oplossingen die niet 100%
werken daar heb je niks aan" club hier, maar voor de meesten is het behulpzaam.

Dat het niet gebeurt is alleen maar omdat het de telefoonbedrijven moeite kost, en niet verplicht is.
Als er een wet aanvaard wordt waarin dit verplicht is dan kan het ineens wel.
04-10-2024, 22:26 door Anoniem
Door Anoniem:

Dus het is weer eens de schuld van het slachtoffer (let op dat zijn ook de organisaties zoals banken en de ncsc die gespoofd worden!), en niet de schuld van de daders en de organisaties die het mogelijk maken en niets doen om het te voorkomen.

Ja inderdaad- als je alles onterecht gelooft alsof het gedrukt staat - (ook niet voor niks , "het stond in de krant" is ook geen garantie ) dan wordt je veel eerder slachtoffer.

Gooi er boetes of gevangenisstraffen voor directies tegen aan die hoog genoeg zijn, en je moet eens zien hoe snel het opeens wel gerealieerd kan worden.

Stel IT admins persoonlijk hoofdelijk aansprakelijk voor fouten, en developers voor bugs.

Moet je eens kijken hoe snel ze dan leren foutloos te werken.
05-10-2024, 10:20 door Anoniem
Door Anoniem:

Gooi er boetes of gevangenisstraffen voor directies tegen aan die hoog genoeg zijn, en je moet eens zien hoe snel het opeens wel gerealieerd kan worden.

Stel IT admins persoonlijk hoofdelijk aansprakelijk voor fouten, en developers voor bugs.

Moet je eens kijken hoe snel ze dan leren foutloos te werken.

Klopt. Meteen doen.
Eens kijken hoe snel die dan geregeld hebben in hun CAO dat hun werkgever die boete krijgt.
Zij voeren namelijk werk uit voor een bedrijf. En (let op) krijgen daar geen extra bonus oid voor. Alleen een salaris.
Dat is een groot verschil met directeuren. Die bepalen het beleid van een bedrijf. En krijgen daar bonussen voor als ze het bedrijf goed laten presteren.
Ook al richtenn ze daar (grote) kostbare maatschappelijke schade mee aan.
05-10-2024, 10:48 door buttonius
Door Anoniem 22:26:
Door Anoniem:

Dus het is weer eens de schuld van het slachtoffer (let op dat zijn ook de organisaties zoals banken en de ncsc die gespoofd worden!), en niet de schuld van de daders en de organisaties die het mogelijk maken en niets doen om het te voorkomen.

Ja inderdaad- als je alles onterecht gelooft alsof het gedrukt staat - (ook niet voor niks , "het stond in de krant" is ook geen garantie ) dan wordt je veel eerder slachtoffer.

Gooi er boetes of gevangenisstraffen voor directies tegen aan die hoog genoeg zijn, en je moet eens zien hoe snel het opeens wel gerealieerd kan worden.

Stel IT admins persoonlijk hoofdelijk aansprakelijk voor fouten, en developers voor bugs.

Moet je eens kijken hoe snel ze dan leren foutloos te werken.
Dat gaat niet werken. Dan wordt niemand meer IT admin of developer.

Wat wel zou kunnen werken is dat de telefoonbedrijven flinke boetes riskeren voor het doorgeven van valse informatie. Er zijn in deze een paar gradaties mogelijk:
1: het gesprek is afkomstig van een eigen abonnee
2: het gesprek is afkomstig van een vertrouwde partner van het afleverende telefoonbedrijf
3: het gesprek is afkomstig van een niet-vertrouwd telefoonbedrijf

In geval 1 of 2 kan het afleverende telefoonbedrijf de nummer informatie doorgeven.
In geval 3 zou het afleverende telefoonbedrijf moeten doorgeven dat het nummer van de beller onbekend is.
05-10-2024, 13:58 door Anoniem
Door Anoniem:
Door Anoniem:

Gooi er boetes of gevangenisstraffen voor directies tegen aan die hoog genoeg zijn, en je moet eens zien hoe snel het opeens wel gerealieerd kan worden.

Stel IT admins persoonlijk hoofdelijk aansprakelijk voor fouten, en developers voor bugs.

Moet je eens kijken hoe snel ze dan leren foutloos te werken.

Klopt. Meteen doen.
Eens kijken hoe snel die dan geregeld hebben in hun CAO dat hun werkgever die boete krijgt.
Zij voeren namelijk werk uit voor een bedrijf. En (let op) krijgen daar geen extra bonus oid voor. Alleen een salaris.
Dat is een groot verschil met directeuren. Die bepalen het beleid van een bedrijf. En krijgen daar bonussen voor als ze het bedrijf goed laten presteren.
Ook al richtenn ze daar (grote) kostbare maatschappelijke schade mee aan.

Goh, ITers krijgen nooit een bonus bedoel je ?
Directeur is typisch ook gewoon ingehuurde loonslaaf .

Maar goed, onderaan is het lekker beter weten, zelf nul verantwoordelijk willen dragen, en lekker roepen dat bovenin vooral het mes op de keel moet.
06-10-2024, 15:13 door Anoniem
Door buttonius:
Wat wel zou kunnen werken is dat de telefoonbedrijven flinke boetes riskeren voor het doorgeven van valse informatie. Er zijn in deze een paar gradaties mogelijk:
1: het gesprek is afkomstig van een eigen abonnee
2: het gesprek is afkomstig van een vertrouwde partner van het afleverende telefoonbedrijf
3: het gesprek is afkomstig van een niet-vertrouwd telefoonbedrijf

In geval 1 of 2 kan het afleverende telefoonbedrijf de nummer informatie doorgeven.
In geval 3 zou het afleverende telefoonbedrijf moeten doorgeven dat het nummer van de beller onbekend is.

Dat zijn technisch prima oplossingen, maar waar je dan tegenaan loopt zijn de EU regels die het niet toelaten dat je
een bepaald bedrijf de vrije en gelijkwaardige toegang tot je netwerk ontzegt.
Als een "niet-vertrouwd telefoonbedrijf" ontdekt dat je hun nummerweergave stript en daarmee jouw klanten het idee
geeft dat dit bedrijf wellicht niet betrouwbaar is, dan krijg je problemen. Dus die procedure moet eerst verplicht
gemaakt worden, je kunt niet eigenmachtig als telefoonbedrijf je klanten gaan beschermen. En daardoor zit iedereen
op zijn handen naar elkaar te kijken en gebeurt er niks.
07-10-2024, 18:48 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:

Gooi er boetes of gevangenisstraffen voor directies tegen aan die hoog genoeg zijn, en je moet eens zien hoe snel het opeens wel gerealieerd kan worden.

Stel IT admins persoonlijk hoofdelijk aansprakelijk voor fouten, en developers voor bugs.

Moet je eens kijken hoe snel ze dan leren foutloos te werken.

Klopt. Meteen doen.
Eens kijken hoe snel die dan geregeld hebben in hun CAO dat hun werkgever die boete krijgt.
Zij voeren namelijk werk uit voor een bedrijf. En (let op) krijgen daar geen extra bonus oid voor. Alleen een salaris.
Dat is een groot verschil met directeuren. Die bepalen het beleid van een bedrijf. En krijgen daar bonussen voor als ze het bedrijf goed laten presteren.
Ook al richtenn ze daar (grote) kostbare maatschappelijke schade mee aan.

Goh, ITers krijgen nooit een bonus bedoel je ?
Directeur is typisch ook gewoon ingehuurde loonslaaf .

Maar goed, onderaan is het lekker beter weten, zelf nul verantwoordelijk willen dragen, en lekker roepen dat bovenin vooral het mes op de keel moet.

De gewoonte is dan ook om het bedrijf een boete te geven en niet de directeur. In ieder bedrijf moeten keuzes gemaakt worden die risico's opleveren. Opschieten met ontwikkelen, of de code nog eens goed testen? Kwestie van tijd, geld, mensen en hoe belangrijk die code is voor de klant. Verkoop je het allernieuwste en boeit de kwaliteit niet, of moet de code in een hartmonitor? Dat zijn strategische keuzes die veel verder gaan dan IT. Het is waar je als bedrijf voor wil staan en dus bepaal je op directieniveau wat er prioriteit heeft. De admin en de ontwikkelaar krijgen als het goed is een duidelijke opdracht, en er is genoeg bekend over testen en code review. Niemand hoeft dat zelf uit te vinden. Je moet alleen beslissen hoe hoog je de lat legt in je bedrijf. Als de IT-ers het zelf moeten bedenken gaat er serieus iets mis.
07-10-2024, 19:38 door Anoniem
Door Anoniem:
Door buttonius:
Wat wel zou kunnen werken is dat de telefoonbedrijven flinke boetes riskeren voor het doorgeven van valse informatie. Er zijn in deze een paar gradaties mogelijk:
1: het gesprek is afkomstig van een eigen abonnee
2: het gesprek is afkomstig van een vertrouwde partner van het afleverende telefoonbedrijf
3: het gesprek is afkomstig van een niet-vertrouwd telefoonbedrijf

In geval 1 of 2 kan het afleverende telefoonbedrijf de nummer informatie doorgeven.
In geval 3 zou het afleverende telefoonbedrijf moeten doorgeven dat het nummer van de beller onbekend is.

Dat zijn technisch prima oplossingen, maar waar je dan tegenaan loopt zijn de EU regels die het niet toelaten dat je
een bepaald bedrijf de vrije en gelijkwaardige toegang tot je netwerk ontzegt.
Als een "niet-vertrouwd telefoonbedrijf" ontdekt dat je hun nummerweergave stript en daarmee jouw klanten het idee
geeft dat dit bedrijf wellicht niet betrouwbaar is, dan krijg je problemen. Dus die procedure moet eerst verplicht
gemaakt worden, je kunt niet eigenmachtig als telefoonbedrijf je klanten gaan beschermen. En daardoor zit iedereen
op zijn handen naar elkaar te kijken en gebeurt er niks.


De IT hoek die de afgelopen 30 jaar noch email-met-betrouwbare afzender noch IP met vertrouwde source 'overal' heeft kunnen garanderen in hun eigen domein gaat nu de telecom protocollen (en processen) re-designen in hun forum hoekje omdat ze denken dat dat zo perfect gaat lukken dat mensen dan _wel_ mogen vertrouwen op het caller id.

Miss Universe die "world peace" wil vraagt ook wat om iets wat weinig kans op resultaat, maar je kunt er tenminste naar kijken.

Leer (letterlijk) maar leven met een niet zo perfecte wereld , waarom je niet blindelings op afzender nummers, email afzenders , kranten, de staatsomroep, het knappe wagentje van sjonnies autosjop, mensen aan de deur of politici mag vertrouwen.
07-10-2024, 20:12 door buttonius
Door Anoniem:
Door buttonius:
Wat wel zou kunnen werken is dat de telefoonbedrijven flinke boetes riskeren voor het doorgeven van valse informatie. Er zijn in deze een paar gradaties mogelijk:
1: het gesprek is afkomstig van een eigen abonnee
2: het gesprek is afkomstig van een vertrouwde partner van het afleverende telefoonbedrijf
3: het gesprek is afkomstig van een niet-vertrouwd telefoonbedrijf

In geval 1 of 2 kan het afleverende telefoonbedrijf de nummer informatie doorgeven.
In geval 3 zou het afleverende telefoonbedrijf moeten doorgeven dat het nummer van de beller onbekend is.

Dat zijn technisch prima oplossingen, maar waar je dan tegenaan loopt zijn de EU regels die het niet toelaten dat je
een bepaald bedrijf de vrije en gelijkwaardige toegang tot je netwerk ontzegt.
Als een "niet-vertrouwd telefoonbedrijf" ontdekt dat je hun nummerweergave stript en daarmee jouw klanten het idee
geeft dat dit bedrijf wellicht niet betrouwbaar is, dan krijg je problemen. Dus die procedure moet eerst verplicht
gemaakt worden, je kunt niet eigenmachtig als telefoonbedrijf je klanten gaan beschermen. En daardoor zit iedereen
op zijn handen naar elkaar te kijken en gebeurt er niks.

Een tamelijk eenvoudig contract tussen twee telefoonbedrijven is voldoende. In dat contract garanderen ze aan elkaar dat ze alleen juiste nummer informatie zullen doorgeven en, mochten ze daar toch een foutje in maken, dan zullen ze de boetes die het afleverende telefoniebedrijf daarvoor krijgt vergoeden.
08-10-2024, 09:58 door Anoniem
Door buttonius:
Een tamelijk eenvoudig contract tussen twee telefoonbedrijven is voldoende. In dat contract garanderen ze aan elkaar dat ze alleen juiste nummer informatie zullen doorgeven en, mochten ze daar toch een foutje in maken, dan zullen ze de boetes die het afleverende telefoniebedrijf daarvoor krijgt vergoeden.
Ja alleen schaalt dat niet naar miljoenen "telefoonbedrijven" want dan moet je n*(n-1) van die contracten afsluiten.
Het hele nummerweergavesysteem is bedacht in de tijd dat telefoonbedrijven nog staatsbedrijven waren of anderszins
grote bedrijven met een reputatie en financiele basis. Maar nu kan iedere puber op een zolderkamer "telefoonbedrijf"
worden en dan werken dat soort oplossingen niet meer.
08-10-2024, 13:47 door buttonius
Door Anoniem 09:58:
Door buttonius:
Een tamelijk eenvoudig contract tussen twee telefoonbedrijven is voldoende. In dat contract garanderen ze aan elkaar dat ze alleen juiste nummer informatie zullen doorgeven en, mochten ze daar toch een foutje in maken, dan zullen ze de boetes die het afleverende telefoniebedrijf daarvoor krijgt vergoeden.
Ja alleen schaalt dat niet naar miljoenen "telefoonbedrijven" want dan moet je n*(n-1) van die contracten afsluiten.
Het hele nummerweergavesysteem is bedacht in de tijd dat telefoonbedrijven nog staatsbedrijven waren of anderszins
grote bedrijven met een reputatie en financiele basis. Maar nu kan iedere puber op een zolderkamer "telefoonbedrijf"
worden en dan werken dat soort oplossingen niet meer.
Kom op nou. Geen enkel telefoonbedrijf is rechtstreeks met alle andere telefoonbedrijven verbonden. Ze hoeven alleen met hun direct verbonden partners zo'n contract te hebben. In het contract staat uiteraard dat zo'n tussenliggend telefoonbedrijf instaat voor de correctheid van de nummerinformatie van de gesprekken die ze doorgeven. Kun je niet voor sommige van je partner-bedrijven instaan, dan geef je nummerinformatie afkomstig van die partners niet door.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.