Hopelijk wordt het geen wetsvoorstel waarbij onder het mom van het tegengaan van spoofing allerlei nieuwe surveillance wordt toegestaan in de telecommunicatie (aantasting van het telecommunicatiegeheim).

Ook moet het mogelijk blijven om met een afgeschermd nummer (vroeger bekend als: "geheim nummer") te bellen. Degene die gebeld wordt, ziet dan dat het nummer is afgeschermd. Dat is dus géén spoofing.

Van de EU valt op dit gebied niets goeds te verwachten, Brussel zet in op zoveel mogelijk massasurveillance. Waarschijnlijk wil de minister zich verschuilen achter de EU als hij weer met iets aankomt dat het recht op privacy aantast.

Met nummerherkenning kun je ook tekst meesturen ter herkenning. Zelf hebben we diverse VoIP telefoons en daar zie je ook de meegestuurde tekst. Soms staat daar heel vreemde tekst waarvan ik vermoed dat de afzender niet eens weet dat dit meegestuurd wordt. Ideaal om daar een afzender in leesbare tekst mee te spoofen.

Het hele wetstvoorstel heeft het echter alleen over nummers. Na flink spitten vond ik in punt 3 toch nog een passage waar staat dit ook gecontroleerd moet worden. Ik vraag me echter af in hoeverre dit gaat werken als de aanbieder in het buitenland zit.

De VVD heeft het steeds maar laten liggen en nu vragen ze erom? De hypocrisie...

Zinloos. Hieronder een tikkie gechargeerd, maar wel hoe het zit.

De Anoniem op dit forum roept regelmatig "banken bellen nooit".

Als ik dat ontkracht (supersimpel, zo blijkt uit het eerstvolgende antwoord) zegt de Anoniem: "OK, maar tegenwoordig kun je in de app checken of het jouw bank is die belt".

En als ik zeg dat zo'n check in je app kansloos is (zie onder de "Chase Case" in https://security.nl/posting/842742) dan zegt de Anoniem "OK, maar als de bank belt en jou vraagt om geld over te maken naar een kluisrekening, dan is dat natuurlijk foute boel".

Als ik dan zeg dat criminelen zich voorturend aanpassen, bijvoorbeeld door (zich voordoend als bankmedewerker) de klant te bellen en te zeggen dat de bank ziet dat er een virus op hun computer zit, en zij het beste (want gratis) Avast Antivirus kunnen downloaden vanaf https://avastdevicescan·com (live op dit moment, meer info in https://security.nl/posting/876323), dan zegt de Anoniem dat je wel héél stom bent als je Teamviewer op je PC, smartphone of tablet installeert.

Als ik dan zeg dat het *bijvoorbeeld* ook om "AnyDesk" kan gaan, een virusscanner die -naar verluidt- op elk apparaat werkt, dan antwoordt de Anoniem met whataboutism ("ja maar oplichting bestaat al heel lang, "pig butchering" https://nos.nl/artikel/2555805-honderden-buitenlanders-bevrijd-uit-online-scam-centra-in-myanmar, etc).

Zodra spoofing van telefoonnummers onmogelijk gemaakt is, zullen criminelen zeggen namens de Politie, een door de bank ingehuurd onderzoeksbureau of namens een andere bank te bellen - waar naartoe, vanaf de rekening van het (toekomstige) slachtoffer, grote bedragen zouden worden overgemaakt.

Als mensen niet, heel toevallig, alle telefoonnummers, waar hun bank ooit mee zou kunnen bellen, in hun telefoon hebben staan, zien zij een nietszeggend nummer (vergelijkbaar met een domeinnaam zoals avastdevicescan·com): een nummer (of een combinatie van kleine letters, cijfers, '-' en '.' [los van IDN's] zoals in een domeinnaam) zegt meestal niets over wie de (huidige!) eigenaar daarvan is.

Een drama met domeinnamen kan ontstaan als deze (door verkopen, of ongeautoriseerde toegang tot DNS records, of DNS/BGP-hijacks) in handen van kwaadwillenden vallen: dat geldt straks ook voor (niet meer gebruikte) telefoonnummers (die nog bij mensen in hun lijst met contacten staan - een lijst die naar elke nieuwe telefoon gekopieerd wordt).

Vergelijkbaar met BGP-hijacks: voor voldoende handige Harry's is de "backbone" van het wereldwijde telefonienetwerk zo lek als een mandje. Veel te veel (ook vage) partijen hebben toegang tot de "control"-laag (zie bijv. https://youtube.com/watch?v=wVyu7NB7W6Y).

Bovendien kan een fraudeur bellen vanaf het eerstvolgende vrije 088-nummer en claimen dat dit een nieuw nummer is van de bank. En toen?

Spreekt de beller goed Nederlands, tutoyeert de beller, en schriftelijk: zie je taalfouten, kloppen de logo's, gebruikt de afzender het afzenderdomein van uw bank (hoe weet je of een afzenderdomein niet van jouw bank is), als u dat niet ziet in uw e-mailprogramma, check dan SPF, DKIM en DMARC (en check ook uw AUTOEXEC.BAT - of andere ICT-magie) enzovoorts: dat levert allemaal geen hard bewijs van echt of nep, zeker niet voor mensen die geen forensisch- en/of ICT expert zijn.

Je krijgt authenticatie op afstand heel moeilijk voldoende veilig voor (uiteindelijk) risicovolle transacties. Dat lukt beslist niet met "onspoofbare" nummers, ook al zouden die in enkele zeer specifieke gevallen iets kunnen helpen. Dat terwijl AI de betrouwbaarheid van authenticatie op afstand elke dag verder verzwakt.

Wat wél zou kunnen helpen is als internetbellen de standaard wordt, en bellende organisaties daar fatsoenlijke digitale certificaten voor zouden gebruiken. En de gebelde persoon gewaarschuwd wordt als de beller ongeauthenticeerd is, en als deze wél geauthenticeerd is, met welke betrouwbaarheid dat heeft plaatsgevonden.

Zonder een TLS-achtige constructie zal de identiteit van bellers doodsimpel gespoofd kunnen blijven worden - wát je ook verzint.

M.i. moeten we ophouden met steeds proberen lokale brandjes te blussen, terwijl de veenbrand zich ondergronds blijft uitbreiden.

Wacht maar, totdat je je moeder opeens aan de lijn hebt die zelf iets met haar telefoon heeft gedaan wat haar nummer afschermd. Hoe weet jij nou zeker dat dat geen spoofing is?

Spoofing is verboden. En er is een protocol om spoofing tegen te gaan:
STIR/SHAKEN;
https://en.wikipedia.org/wiki/STIR/SHAKEN
Wat we nodig hebben is niet nieuwe regels maar betere handhaving.

Eh... even terug... Wat is het probleem eigenlijk?
Het probleem is niet technisch, het probleem is dat mensen om de een of andere vage reden denken dat een nummer identificerend is. Daar is het nooit voor bedoeld geweest. En dus is het niet zo...

Hehe, mijn moeder heeft een afgeschermd nummer. Als ze belt hoor ik aan haar stem en wat ze zegt dat het geen spoofing is. Zij vraagt mij trouwens nooit om Anydesk te installeren of een bedrag over te maken naar een onbekend rekeningnummer. Een tijd lang werd ik regelmatig gebeld door "Microsoft" die in het Engels probeerden een gesprek aan te knopen. Dat was nooit van een afgeschermd nummer. Afgeschermd of niet zegt niets over of een beller te vertrouwen is.

Zo te zien heeft het beperkingen:
https://en.wikipedia.org/wiki/STIR/SHAKEN#Limitations_of_STIR/SHAKEN

Als techniek die is gemaakt met het idee om door mensen gebruikt te worden iets wezenlijk anders doet dan de gebruikende mensen in grote meerderheid verwachten dan is dat wel degelijk een probleem van hoe die techniek werkt, en niet een probleem van wat die mensen verwachten.

Systemen zo laten werken dat wat mensen zien en meemaken zo veel mogelijk is wat ze uit zichzelf verwachten dat het is wordt het principle of least surprise of het principle of least astonishment genoemd.

Je hebt CLIP en CNIP velden De eerste stuurt een nummer mee en het tweede een stuk tekst. Dus zelfs met een onbekend nummer kun je een 'bekend lijkende' tekst meesturen om vertrouwen te wekken. In hoeverre toestellen CNIP ondersteunen weet ik eigenlijk niet. Onze telefoons ondersteunen het wel en onze VoIP provider stuurt die data ook mee.

Een toestel met het DTMF protocol ondersteunt geen CNIP. Toestellen met het FSK protocol voor nummerherkenning ondersteunen wel CNIP. In België is FSK de standaard. In Nederland weet ik het niet, maar KPN gebruikt DTMF. (dus geen tekst)

Het eerste deel is natuurlijk al lang het geval. Eigenlijk iedereen die telefonie van zijn internet provider afneemt, krijgt de telefonie via VoIP of de kabelvariant ervan.