Politie ontdekt iSpoof-server in Almere en haalt oplichtingsdienst uit de lucht

Het Cybercrimeteam Midden-Nederland heeft in samenwerking met de Londense Metropolitan Police Service iSpoof-servers uit de lucht gehaald. Via deze servers was het mogelijk om telefoonnummers te verbergen en mensen op te lichten.

Het Cybercrimeteam Midden-Nederland is tijdens een onderzoek naar helpdeskfraude op iSpoof gestuit en ontdekte dat deze dienst, die populair is bij criminelen die zich willen voordoen als een bank of overheidsorganisatie, werd gehost op servers in Almere. Na verder onderzoek bleek de uitbater van de iSpoof-dienst in Londen te wonen en bleek dat de Metropolitan Police al een onderzoek naar deze persoon was gestart.

Het Cybercrimeteam plaatste vervolgens een tap op de servers in Almere en verzamelde informatie over de dienst, de gebruikers en de werkwijze. Uit die tap blijkt dat iSpoof-gebruikers wereldwijd per maand ongeveer een miljoen gesprekken voerden of pogingen daartoe deden. In Nederland ging het volgens de politie om duizenden telefoontjes per maand.

Op zondag 6 november heeft de Metropolitan Police de uitbater gearresteerd en enkele dagen later is de iSpoof-dienst zelf uit de lucht gehaald. De Amerikaanse inlichtingendienst FBI heeft daarna beslag gelegd op de domeinnaam ispoof.cc. Volgens de Nederlandse politie wordt er nu hard gewerkt om de gebruikers van de dienst te identificeren om ze vervolgens te kunnen arresteren als dat van toepassing is. In Nederland zijn inmiddels 2 mensen aangehouden en in andere landen zijn in totaal al minstens 142 arrestaties verricht.

Via de dienst iSpoof was het mogelijk om eigen telefoonnummers te verbergen en namens iemand anders naar anderen te bellen. Dergelijke diensten worden doorgaans gebruikt door oplichters die zich willen voordoen als een officiële instantie en op die manier bankgegevens willen ontfutselen bij nietsvermoedenden, om ze vervolgens op te lichten.

IT-banen

Reacties (89)

Arnoud Engelfriet

Politiek en recht

24 november 2022 09:33

Het kabinet had in 2021 aangekondigd dat ze zouden komen met een voorstel om de Telecommunicatiewet zo aan te passen dat telecomproviders worden verplicht om telefoonspoofing aan te pakken.
https://www.tweedekamer.n...2021Z10835&did=2021D23591

Recent is er een internetconsultatie geweest met een wetsvoorstel hierover:
https://www.internetconsultatie.nl/nummerbeleid/b1
Artikel 11.10 Telecommunicatiewet gaat gewoon verbieden dat je "onjuiste" nummers meestuurt. Het moet aan je eigen bedrijf gekoppeld zijn (als gebruiker/afnemer), en zeer beperkte uitzonderingen kan de ACM invoeren als daar behoefte aan is. Ook mag de ACM nadere regels gaan maken over controleverplichtingen door telecomproviders. Denk aan een zwarte lijst met bv. nummers van banken (die jij dus niet mag laten gebruiken in uitgaande gesprekken) of een plicht om die nummers te bellen voordat de gebruiker ze mag activeren.

djwice

@Arnoud Engelfriet • 24 november 2022 14:00

Een nummer bellen voordat je koppelt is niet waterdicht.
Met fysieke toegang tot een telefoon is het te omzeilen. En dat is bij veel bedrijven maar ook privé personen makkelijk te doen.
Uiteraard werkt insiders omkopen en social engineering (babbeltrucs) ook in dit geval.

Deze manieren van omzeilen van de verificatie worden al meer dan tien jaar actief gebruikt. Het is binnen een paar seconden uit gevoerd en gaat zo snel dat mensen niet verwachten dat er een nummerverificatie, met nummermisbruik als doel, heeft plaatsgevonden.

[Reactie gewijzigd door djwice op 24 juli 2024 23:18]

Ramoncito @djwice • 24 november 2022 18:20

Ik werd zelf onder meer door onbestaande Nederlandse 06-nummers gebeld. Ik heb me suf gepiekerd hoe sommige dingen nou in zijn werk gingen, maar had nog niet gedacht aan software op de smartphone zelf. Heb je daar misschien een verhelderende link met info voor?

djwice

@Ramoncito • 24 november 2022 21:52

De aanvaller kan in hun eigen software of zoals in dit geval die van de provider, een willekeurig telefoonnummer als afzender kiezen, ook een niet bestaand nummer.

Zie het als de achterkant van een envelop, je kunt zelf kiezen welk naam en adres je op de achterkant als afzender zet, het postbedrijf controleert niet of het klopt.

Een wat technischer voorbeeld; met een eigen server hebt, kun je een HTTP/3 verzoek doen naar een andere website en de HTTP-HEADER 'user-agent' de waarde "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36" geven. De website die dat van jou ontvangt kan niet zien dat eigenlijk een NodeJS of PHP script bent.

En zo is ook het telefoonnummer van de afzender gewoon een waarde die naar wens kan worden ingevuld als je een telefoon centrale bent.

[Reactie gewijzigd door djwice op 24 juli 2024 23:18]

TheMak @djwice • 25 november 2022 10:24

Maar dan heb je wel ren snder id modig om de geluidspakketjes terug te dturen.

djwice

@TheMak • 25 november 2022 12:32

Dat is op de UDP/IP laag, niet de applicatie laag.

WillySis @Arnoud Engelfriet • 25 november 2022 09:24

De criminelen die spoofing gebruiken voor grootschalige oplichting zullen zich niet veel aantrekken van een verbod op spoofing. Een verplichting om telecomproviders op te laten treden tegen spoofing gaat helaas niet veel helpen. Technisch is het te eenvoudig om een fake nummer door te laten geven. De providers hebben daar niet zoveel invloed op.

Arnoud Engelfriet

Politiek en recht

@WillySis • 25 november 2022 09:59

Waarom zou dat niet veel helpen? Als je alleen al zegt, nummers mogen niet op deze zwarte lijst van de ACM staan (met daarop banken, overheden etc), dan rem je al een fors deel van de fraude. En je kunt ook zeggen, nummers moeten gevalideerd doordat een robotje ze belt en een viercijferige code doorgeeft.

Nog geavanceerder is met STIR/SHAKEN (wat Microsoft heeft voorgesteld), als we dat protocol wettelijk voorschrijven dan zal er ook heel wat minder fraude komen. Waarom denk jij van neit?

WillySis @Arnoud Engelfriet • 25 november 2022 12:08

Zeker bij voice over IP systemen kan de provider (voor zover ik weet) niet zien wie de eigenlijke beller is.
Nummers op een zwarte lijst zetten houdt in dat de bedrijven die die nummers zelf gebruiken die nummers ook niet kunnen gebruiken, tenzij er weer een lijst met uitzonderingen wordt toegevoegd.

Aanpassen van de techniek en protocollen kan helpen, maar het zal nooit lang duren voordat de grote criminele oplichters die weer hebben gekraakt. In India is telefonische oplichting gewoon een complete industrie. Daar zal men weel strenger tegenop moeten treden.

Mark Robert heeft een informatief filmpje over deze industrie gemaakt (https://www.youtube.com/watch?v=xsLJZyih3Ac) waarop hij ook een bedrijf aanpakt.

Verwijderd 24 november 2022 09:01

Hoe is het uberhaubt mogelijk dat je een telefoonnummer kunt spoofen?

Not Pingu @Verwijderd • 24 november 2022 09:04

Kennelijk is het voor providers niet mogelijk om te controleren of het inkomende nummer klopt (zolang dit nummer niet bij de provider zelf geregistreerd staat). Er is m.a.w. nog niet zoiets als SPF voor telefoonnummers. (Correctie: dat is er wel maar is nog niet overal geadopteerd).
Hier een uitleg over hoe spoofen werkt (voor educatieve doeleinden)

[Reactie gewijzigd door Not Pingu op 24 juli 2024 23:18]

joop99 @Not Pingu • 24 november 2022 10:01

Maatregelen tegen spoofing zijn er wel en het is in de vs en Canada al verplicht.
https://en.m.wikipedia.org/wiki/STIR/SHAKEN

[Reactie gewijzigd door joop99 op 24 juli 2024 23:18]

Menesis @Not Pingu • 24 november 2022 09:26

....en hij is offline helaas

KRASH @Menesis • 24 november 2022 09:37

Het was gewoon een artikel hoe je een PBX op kunt zetten, het daadwerkelijke spoofen werd er niet in uitgelegd. Het kunnen spoofen is een kwestie van een VOIP provider vinden die het toestaat je eigen caller id te gebruiken. Degene die in het artikel genoemd werd was volgens mij https://voip.ms/

blinchik @KRASH • 24 november 2022 13:23

Vroeger spoofte ik ook, maar dan "legitiem".

Als er een call binnen kwam op mijn vast nummer, werd dat als ik niet kon opnemen doorverbonden naar mijn GSM. Maar dan stuurde ik het nummer van de originele beller, zodat ik op mijn GSM kon zien wie er belde. Nu is spoofen niet meer mogelijk via mijn VOIP provider, dus nu zie ik een oproep van mijn eigen nummer op mijn GSM komen, en weet ik niet wie er belt vooraleer ik opneem.

In principe bestaat er ook zoiets als 302 redirects bij SIP, maar lijkt ook niet te werken via mijn VOIP provider.

Snap het wel dat dit niet toegelaten wordt omwille van misbruik, maar het was wel handig :-)

Ramoncito @blinchik • 24 november 2022 18:23

Bijzonder om te lezen dat er ook een legitieme reden is om zoiets op te zetten (daarom een +2), maar ik denk niet dat er nog een tweede reden te vinden is...

[Reactie gewijzigd door Ramoncito op 24 juli 2024 23:18]

locke960 @Ramoncito • 24 november 2022 20:54

Een bedrijf dat meerdere telefoonlijnen en nummers heeft, maar bij uitgaande gesprekken toch altijd het hoofdnummer wil laten zien.

Een dokter die met een mobieltje een patiënt belt, maar toch het nummer van de praktijk wil laten zien om:
a. de patiënt direct te laten herkennen dat het de dokter is.
b. het mobiele nummer geheim te houden om niet gek gebeld te worden.

etc, etc

Genoeg goede redenen dus. Het echte probleem is dat telco's het veel te gemakkelijk gemaakt hebben en klakkeloos aannemen wat de klant zijn systeem beweerd. Geen beveiliging dus. En dat laatste moet dus veranderen.

[Reactie gewijzigd door locke960 op 24 juli 2024 23:18]

Tweakez @KRASH • 24 november 2022 10:21

Eh, er staat op de pagina wel degelijk welke stappen je moet doorlopen.

Jerie

@KRASH • 24 november 2022 12:55

Ralph Moonen heeft hier een demonstratie van gegeven op een Tweakers.net privacy & security conferentie (fake cell tower opzetten). Ik meen die van 2019 in Hilversum.

[Reactie gewijzigd door Jerie op 24 juli 2024 23:18]

SherlockHolmes @Menesis • 24 november 2022 09:33

Ik heb m nog net kunnen openen voordat ie offline ging, zeer interessant artikel ben echt aan het genieten.

Jelmer @SherlockHolmes • 24 november 2022 09:36

https://webcache.googleus...&cd=1&hl=nl&ct=clnk&gl=nl

Lednov @Menesis • 24 november 2022 09:39

De hamster is gaan rennen, want hier werkt de site gewoon (weer).

mangahuisman @Menesis • 28 november 2022 14:52

Niet meer

mphilipp @Not Pingu • 24 november 2022 09:40

Bijzonder interessant artikel. Nou wist ik wel dat je relatief makkelijk thuis een eigen PBX kon draaien. Een vriend van mij is daar jaren geleden al een keer mee bezig geweest. Astrix gebruikte hij toen volgens mij. En nu kan het gewoon op je Pi....

3raser @Not Pingu • 24 november 2022 09:47

Die uitleg is een complete tutorial om een Voip server op te zetten en niet zozeer een uitleg over hoe spoofen werkt.

Via Voip is spoofen enorm eenvoudig. Ik kwam hier zelf achter tijdens het opzetten van zo'n server. Komt erop neer dat je eigenlijk zelf bepaald vanaf welk nummer je belt ongeacht of je dat nummer bezit.

SunnieNL

@Not Pingu • 24 november 2022 11:55

Interessant artikel.

Dat spoofen heb ik ook met SMS gezien.
Ik gebruik voor mijn demo omgeving een SMS gateway van messagebird.
Daarin kun je een afzender meegeven. Daar kan ik gewoon 'ziggo' of 'microsoft' van maken en dat wordt ook gewoon getoond door de telefoon in de berichtenapp.
Er is geen kunst aan en kost je per SMS enkele cent. Maar het is zo eenvoudig om dat te doen.
Phishinglink in de tekst en je weet zeker dat er van de 100 mensen minimaal 1 op klikt.

Timmiejj @Not Pingu • 24 november 2022 14:22

Ik ben er nooit helemaal tot diep niveau ingedoken maar vanuit operationeel support was de oplossing voor spoofing klachten meestal dat de netwerk provider waarbij het verkeer vandaan kwam een bepaalde blokkade moest zetten.

Bijvoorbeeld een klacht van een klant dat zijn nummer (wat bij een mvno op tmobile netwerk zat) gebruikt werd voor spoofing want hij kreeg elke keer belletjes van onbekenden dat zij een gemiste oproep van hem hadden. Bleek dan dat dit verkeer vanuit een buitenlands netwerk kwam via KPN of Vodafone kwam.

Nam dan contact op met KPN met het verzoek aan hen om enkel MO (Mobile originating) verkeer van dat specifieke msisdn als het vanuit T-mobile gerouteerd werd.

Goed dat dit soort shit aangepakt word, spoofing is niet alleen vervelend voor eventuele slachtoffers van fraude maar zeker ook voor degenen wie hun nummer gebruikt wordt in de spoofing, je zal maar 30x per dag belletjes krijgen 'Hallo ik heb een oproep van u gemist' $_/-\o_$

PageFault @Verwijderd • 24 november 2022 09:04

Ik denk gewoon een pakketje op het netwerk gooien, net zoals TCP verkeer. Het gebeurt op hele grote schaal, heb zovaak SMSjes en calls gekregen met een verkeerd nummer of zelfs waar het nummer ontbrak (zodat je het ook niet kunt blokkeren). De mobile providers interesseert het niet, die doen er niks aan.

Sorcerer8472 @PageFault • 24 november 2022 10:23

Dit was inderdaad zo maar is niet meer waar: providers kwamen met allerlei producten (vaak gratis) die hun klanten hiervan afschermden.

In het begin was het juist lucratief: men had geen onbeperkt bellen en je betaalt in de VS ook voor inkomende minuten. Da's nu veranderd waardoor het juist in het belang van providers is om dit op te lossen, ook om meerwaarde te bieden tegenover concurrenten.

PageFault @Sorcerer8472 • 24 november 2022 10:27

Sinds wanneer dat dan? 2 maanden geleden had ik nog enkele SMS-jes zonder nummer voor een prijs om op te halen en de dame hier nog een stapel telefoontjes (met dank aan de KvK met de verkoop van de gegevens jaren geleden....). Providers: Vodafone en KPN hier.

Sorcerer8472 @PageFault • 24 november 2022 10:47

Sorry, verkeerde draadje, ik dacht dat dit ook over STIR/SHAKEN ging.
Wat ik zei ging over de VS. Heb in NL nog geen producten hiervoor gezien, het probleem is hier ook niet zo gigantisch als in de VS waar het ontvangen van meerdere van dit soort calls per dag niet ongebruikelijk was.

PageFault @Sorcerer8472 • 24 november 2022 10:50

Ow geen probleem, ik vergis me ongeveer 10x per uur

Ik hoop dat hier een einde aan komt, laatste 2 jaar is het redelijk rustig, maar we hebben echt wel wat irritante jaren gehad. Vooral omdat je niet op nummer kon blokkeren op die manier.

YangWenli @Sorcerer8472 • 24 november 2022 14:09

Nederland heeft het geluk dat onze taal vrij obscuur is.

Odie @Verwijderd • 24 november 2022 09:05

Gewoon, vervalste signalling en een upstream telco die je nummers niet screened en dus alles toestaat.

Ruuddie @Odie • 24 november 2022 09:13

Die screening inderdaad dus vooral. De normale providers (KPN, Vodafone, T-Mobile, etc) doen wel screening. Je mag nooit met een nummer naar buiten bellen dat niet van jou is. Of je mag het alleen doen als je belt naar een mobiele telefoon die van jouw organisatie is, zodat je bij een doorschakeling van je vaste telefeoon naar mobiel, wel de originele beller ziet.

Er zijn heel wat shady/hobby cloud providers die wat meer 'free for all' zijn. Ik heb als test een keer met +31111111111 naar buiten gebeld, werkt gewoon. Ik had 10 jaar geleden zelfs een provider die ook niet-10-cijferige nummers accepteerde. Dan kon ik dus naar buiten bellen met '12345' en werd dit ook zo op je mobiele telefoon weergegeven.

[Reactie gewijzigd door Ruuddie op 24 juli 2024 23:18]

Odie @Ruuddie • 24 november 2022 09:16

Neem een gemiddeld transit contract en je mag alles sturen. Moet ook wel, anders kan ik (als operator) m’n werk niet doen. Alleen is het gebruik van die transit aan strenge regels gebonden en een daarvan is: gij zult alleen nummers meesturen die van jou zijn. Maar dat is blauwe-ogen werk en eventueel straf bij herhaalde geconstateerde overtredingen. Bij de grote jongens moet je dus geen misbruik maken, maar er zijn genoeg shady-as-shit partijtjes die dit soort diensten aan iedereen verkoopt die het maar wil en zero abuse beleid hanteren.

Keypunchie

Nederland

@Ruuddie • 24 november 2022 14:21

5-cijferige nummers zijn ook gewoon legitieme nummers.

14030 is bvb. de servicedesk van gemeente utrecht.

Timmiejj @Ruuddie • 24 november 2022 14:25

Er zijn ook best scenario's waarbij het wenselijk is dat de afzender veranderd kan worden. SMS is een ander protocol maar het is toch best handig dat mijn tandarts de afspraak bevestiging kan sturen met als afzender 'Tandarts Pietje' ipv een of ander 097 nummer wat ik niet ken.

JonnyTheG @Verwijderd • 24 november 2022 09:11

Je kunt toch ook een email adres spoofen? Zelfde werkt eigenlijk voor een telefoonnummer. Alleen mag dat natuurlijk niet. Zo heeft mijn vaste telefoonprovider ook onze mobile telefoonnummers in de centrale staan zodat we daarmee kunnen uitbellen. Maar ondertussen heb ik al een ander mobile nummer, maar ik kan dus nog steeds uitbellen met mijn oude. Eigenlijk zou er op telefoonnummers eenzelfde systeem moeten komen als email, spf, dmarc, dkim en dat soort achtige zaken. Er gaat veel geld in om met deze praktijken. Dat de banken en verzekeraars nog niet een hulpkreet hebben gedaan. Volgens mij verloopt het meeste telefoonverkeer wel digitaal tegenwoordig. Dus ik zou zeggen, aanpakken die hap.

jeanj @JonnyTheG • 24 november 2022 09:22

Waarom zou email adres of telefoonnummer spoofen natuurlijk niet mogen?

Ik mag ook een briefkaart sturen met als ondertekening Sinterklaas...

Odie @jeanj • 24 november 2022 09:27

Ja, maar je mag niet een brief op vervalst papier van de belastingdienst sturen en net doen alsof je van de belastingdienst bent...

cadsite @Odie • 24 november 2022 09:53

Het kan soms handig zijn.
Wij konden dat op onze vorige tel. centrale ook instellen.

Dan kon je bellen met je gsm (via app) en als uitgaande nummer gaf ik dan het kantoornummer op.

Je kon ook bellen met je kantoortelefoon en als uitgaande nummer je gsm nummer ingeven. Als mensen je dan willen terugbellen, bellen ze naar je mobiel ipv via de centrale te moeten passeren.

Odie @cadsite • 24 november 2022 13:42

Dat soort constructies zijn ook prima 'legaal', zolang jij maar de nummer owner bent van de nummers die je uitstuurt. Dat is ook gebruikelijk.

Terrestrial @jeanj • 24 november 2022 11:32

Omdat er geen legitieme doeleinden voor zijn. De enige oplossing is dit technisch aan banden te gaan leggen, niet met regelgeving verbieden want daar heb je niks aan. Daar houden echte criminelen zich toch niet aan.

Technisch gezien moet er dan wel eerst 1 systeem komen wat iedereen accepteert en wereldwijd invoert, en dat zou indien nodig wel afgedwongen kunnen worden met regelgeving.

jeanj @Terrestrial • 24 november 2022 12:04

Er zijn juist wel legitieme doeleinden om dit te doen, zoals cadsite hierboven al aangeeft voor telefonie. Of die opwegen tegen de nadelen, is een ander vraag stuk

Het is een veel voorkomend probleem dat de standaarden van de vorige eeuw, niet het misbruik hebben voorzien wat nu gebeurt (denk bv spam, telefoonspoofing etc). Echter het aanpassen van deze standaarden en vooral het implementeren is een lastige en kostbare zaak. En men ervaart niet de druk van een millenniumprobleem of het ipv4 adressen tekort, om er wat aan te doen.

Terrestrial @jeanj • 24 november 2022 13:00

Nee cadsite geeft aan dat het handig is dat wil niet zeggen legitiem. Bovendien kun je authenticeren dat die centrale ook daadwerkelijk dat nummer in bezit heeft en dan is het ook geen spoofing meer en uiteraard moet die authenticatie ook plaats vinden op de ontvangende kant. En hetzelfde moet gaan gebeuren met mailservers. Dan zijn alle problemen de wereld uit, kun je nog wel rogue server software hebben die niet checkt of het verzendende nummer of mail adres wel mag, maar als de andere kant ook checkt kunnen ze nog niks. want dan wordt het gewoon afgewezen.

cadsite @Terrestrial • 24 november 2022 14:26

De centrale heeft die nummers niet in zijn bezit.
Mijn mobiel nummer is van mij, niet van de firma.

Terrestrial @cadsite • 24 november 2022 17:02

het kantoor die de voip centrale draait heeft wel dat nummer in bezit, jij kunt middels een account/software bellen via de centrale en het algemene kantoor nummer mee sturen als afzender.

cadsite @Terrestrial • 24 november 2022 18:31

Neen, echt niet...
Ik heb mijn eigen prive gsm nummer. Dat is van mij, van niemand anders.
Lees eens wat er staat. Wij konden eender welk nummer invullen. We gebruikten dat wel enkel legitiem, maar we konden er eender welk nummer invullen, ook het jouwe.

Terrestrial @cadsite • 24 november 2022 19:44

Maar dat is juist een situatie waar we vanaf moeten dat zeg ik toch. Alleen dat jij belt met een voip account van het werk via je prive telefoon en het centrale nummer van het kantoor mee stuurt is geen probleem zolang die voip centrale ook maar de eigenaar is van dat nummer. Snap je het punt? (moet dus alleen kunnen als je route via die centrale) Technisch gezien is dat prima te regelen.

Wat je niet wil is dat iedereen zomaar een nummer kan invullen als afzender wat nu wel het geval is omdat er zowel in voip server software geen controle mechanisme zit ingebouwd en uiteraard moet dat via een globale standaard gaan plaats vinden en ook aan de ontvangst zijde, want ook daar wil je check of het afzender nummer wel echt van de juiste server afkomstig is.

cadsite @Terrestrial • 24 november 2022 21:11

Vroeger konden we dat.
Nu hebben we terug de 3CX software, maar nu lukt dat niet meer.
Ik vermoed dus dat het ondertussen niet meer zo 1-2-3 te doen is.
Althans, dat hoop ik.

jeanj @Terrestrial • 24 november 2022 20:42

Als je met legitiem bedoeld legaal, dan is spoofing zeker niet illegaal.
Maar je kan met spoofing zeker illegale zaken doen, zoals je voor een bank uitgeven en geld aftroggelen. Vergelijk het met encrytie, an sich niet illegaal, tot ik je schijf encrypt en geld vraag voor de sleutel….

ouweklimgeit @Verwijderd • 24 november 2022 09:11

Net zo gemakkelijk als de afzender van een sms of email. Als je bijvoorbeeld een Asterisk server (SIP) draait dan is het eenvoudig om gewoon een ander telefoonnummer zichtbaar te laten worden. Vergeet niet dat telefoon/sms en email ontzettend oude technieken zijn die nooit de intentie hadden om 'veilig' te zijn tegen misbruik.

Creeperhaze @Verwijderd • 24 november 2022 09:28

Dat heeft te maken met hoe de telefonie wereld werkt op dit moment.
Bij Telefonie spreken we over een A(afzender) en een B(gebeld) nummer.
En De wet zegt dat als een nummer in je bezit is je dit nummer als A nummer mag gebruiken.
Maar met alle digitale centrales kan je heel makkelijk je A nummer veranderen naar wat je wilt.
Dat daar verder geen controle opzit bij de telefonie is mede omdat zij daar ook aan verdienen.
Meestal zie je ook dat als je last hebt van een bepaald nummer.
En je gaat klagen bij KPN Vodafone of T-mobile.
Dan krijg je meestal te horen dat na onderzoek blijkt dat de centrale in het buitenland zit.
En dat ze daar geen actie op kunnen ondernemen omdat ze maar tot de grens rechten hebben.
Persoonlijk blijf ik dit gewoon een soort maffia praktijk vinden.
Omdat providers hier zelf ook een spelletje van maken en erg veel aan verdienen.

Maar goed op een digitale centrale kan je elk A nummer invoeren wat je wilt.
Om daarmee uit te bellen.

ultimasnake @Verwijderd • 24 november 2022 09:22

Voor Mobiele telefonie zou ik het niet direct weten maar weet dat het bij SMS 'slechts' een header is. Vanuit diensten zoals MessageBird kan ik zelfs namens iedereens telefoonnummer (mogelijk zitten er beperkingen op maar ken die niet) een SMS versturen. Waarschijnlijk heeft dat te maken met het feit dat SMS ook A-Z ondersteund in de afzender en daarmee dus geen validatie plaats kan/hoeft te vinden. Mogelijk dat SMS echter daarin minder aantrekkelijk is aangezien verkeer terug naar de eigenaar van het nummer gaat en niet naar de verzender.

pauldebra @Verwijderd • 24 november 2022 09:31

Dit is standaard functionaliteit die door veel bedrijven (waaronder ook banken) gebruikt wordt.
Wanneer je door een echte medewerker van een bedrijf wordt gebeld krijg je meestal een centraal nummer van het bedrijf te zien en niet het telefoonnummer waaronder die medewerker zelf bereikbaar is. Zo vermijden bedrijven dat medewerkers rechtstreeks door (misschien ongewenste) klanten kunnen worden gebeld, maar alleen via het centrale nummer.

joop99 @pauldebra • 24 november 2022 10:38

Dat is geen spoofing maar gewoon het groep/ACD nummer meesturen waar de dienst die de bewuste medewerker achter zit.

pauldebra @joop99 • 24 november 2022 11:20

De techniek is gewoon het meesturen van een nummer dat verschilt van dat van de beller.
Het veranderen van het nummer van de beller in het nummer van een ander is spoofing, of dit nu legaal door een organisatie gebeurt of door een crimineel. Het is een kwestie van terminologie maar wat je als persoon die gebeld wordt ziet is "een ander nummer dan het echte nummer van de beller". Voor mij is dat in alle gevallen spoofing.

CAPSLOCK2000

Nederland
Politiek en recht
Cybercrime

@Verwijderd • 24 november 2022 10:22

Hoe is het uberhaubt mogelijk dat je een telefoonnummer kunt spoofen?

De vraag is misschien meer hoe je een nummer zou moeten controleren, zeker als het compatible moet zijn met decennia aan oude telefoonsystemen van providers over de hele wereld. Lijkt mij nog niet makkelijk.

snrwo1 @Verwijderd • 24 november 2022 11:49

dat vraag ik mij ook al jaren af. Moet toch een 'koud kunstje' zijn om dit onmogelijk (technisch) te maken. Volgens mij is dit gewoon pure onwil van de telecom sector omdat het niet wettelijk geregeld is. Ze verdienen aan al die telefoontjes.

Alex3 @snrwo1 • 24 november 2022 12:26

Ja, het is te gek voor woorden dat banken opdraaien voor de schade en niet de telefoonbedrijven.

xmenno @Verwijderd • 24 november 2022 11:52

Ja heel gemakkelijk, ik kon bij mijn SIP trunk elk willekeurig nummer invullen. Zo had ik onder andere een doorschakeling gemaakt die het nummer van de originele beller toonde. Niet om iets kwaads te doen, ik kwam er achter tijdens configureren van de trunk en maakte er makkelijk gebruik van. Ik had ook nog wat trunks in het buitenland en soms belde ik uit via de NL trunk met het buitenlandse nummer omdat dat dan goedkoper was, en mensen konden dan voor lokaal tarief terugbellen.

Dennisdn @Verwijderd • 24 november 2022 12:02

Het is vooral niet nieuw. In de jaren '90 had je al dubieuze websites die het gratis aanboden om te bellen of smsen via een ingesteld nummer en zaten wij er elkaar mee te pesten in de klas.

jmmk @Verwijderd • 24 november 2022 14:54

Het telefoonsysteem is al heel oud, vroeger was alles gewoon bedraad geïnstalleerd, met spoofen is nooit rekening gehouden en dat was er ook niet bij zonder toegang tot de centrale.
Met voice over IP ontstonden ineens heel andere mogelijkheden en werd het telefoonverkeer inclusief de sturing ervan digitaal met alle mogelijkheden van misbruik van dien.
Ik gebruik zelf twee inkomende en een uitgaande voip-providers. Ik heb m'n nummers daar wel moeten verifiëren, maar dat kan binnen een minuut als je toegang hebt tot de telefoon: je krijgt een controle-oproep, toetst het controlenummer in en klaar. Niet alleen vaste, maar ook mobiele nummers kun je verifiëren.
De uitgaande provider (waar het bij spoofing om draait) biedt me ook een app, zodat ik vanaf m'n mobieltje via wifi een oproep kan plaatsen alsof het van m'n vaste zakelijke nummer komt. Of ik kan in de VS (waar ik nu zit) via wifi bellen alsof het van m'n mobiel komt.
Dus ja, als er iemand kwaad wil doen, kan dat technisch vrij makkelijk.

Lagonas 24 november 2022 10:04

Ik snap sowieso niet waarom spoofing zo makkelijk gaat. bij mijn werkgever gebruiken we een telefoon centrale van een niet nader te noemen heel bekend bedrijf gespecialiceerd in netwerken en telefonie (wil criminelen niet teveel info geven), en daar kunnen we ook zelf bij elke telefoonnummer die we aanmaken een ander nummer invoeren. Dit wordt normaliter uiteraard gebruikt dat het bijvoorbeeld als afzender het nummer van de receptie laat zien, maar ik heb zelf al eens getest en was verbaasd dat ik er elk nummer kan invullen, en het werkt.

Als test had ik toen het mobiele nummer ingevuld dan een vriend, en daarna mijn eigen mobiel gebeld. Het liet gewoon zijn naam zien op mijn mobiel. Vriend was uiteraard erg verbaasd toen ik hem een screenshot stuurde dat hij me "gebeld had". Ook andere nummers werkten zonder problemen.

Uiteraard heb je hiervoor specifieke servers en infrastructuur nodig, maar het is niet onmogelijk of moeilijk om dit voor kwade doeleinden te gebruiken.

[Reactie gewijzigd door Lagonas op 24 juli 2024 23:18]

Herko_ter_Horst

@Lagonas • 24 november 2022 11:01

Dat komt omdat de basistechniek nog stamt uit de tijd dat dames op rolschaatsen fysiek kabeltjes in de telefooncentrale moesten in- en uitpluggen. https://www.youtube.com/watch?v=v0Sek4u3mpo Spoofen had men nog nooit van gehoord. Hier backwards-compatible security aan toevoegen is vrijwel onmogelijk.

DaRealRenzel @Herko_ter_Horst • 24 november 2022 22:32

Nee hoor, STIR en SHAKEN is daar juist op gebaseerd.

jeanj @DaRealRenzel • 25 november 2022 10:43

Ik kende het niet, er is dus een oplossing voor https://en.wikipedia.org/wiki/STIR/SHAKEN

CAPSLOCK2000

Nederland
Politiek en recht
Cybercrime

@Lagonas • 24 november 2022 10:49

Ik snap sowieso niet waarom spoofing zo makkelijk gaat.

Waarom zou het niet makkelijk zijn? Het makkelijkste en goedkoopste systeem is om niks te controleren. Dat is dus hoe het gebouwd is. Vergeet niet dat ons telefoonsysteem ouder is dan de computer. Nu is er wel veel veranderd sindsdien maar er is ook veel hetzelfde gebleven.

Het is meer een modern ding dat mensen geloven dat dergelijke informatie betrouwbaar is.
Vergelijk het eens met een brief in een papieren envelop. Daar kan je ook ieder afzender opzetten die je wil en niemand die het kan controleren. Als je geluk hebt staat er in de brief een handtekening die je kan herkennen maar betrouwbaar is dat totaal niet.

LaFleche 24 november 2022 09:44

Ze zijn wel gehaaid maar als als ze binnen een gesprek beginnen over betalen in bitcoins/crypto of giftcards, dan moet er toch allerhande alarmbellen bij je afgaan? of dat je even je banksaldo moet overschrijven naar een ander rekeningnummer?

en ik wil niet discrimineren maar als je een koeterwaals Engels sprekende Indiase figuur aan de lijn krijgt dan denk je toch ook bij jezelf 'ophangen!!!!' (of heel lang aan de praat houden :-) )

Maar blijkbaar zijn er nog hele volk stammen die er in trappen anders stoppen ze er wel mee.

Kijk voor de gein eens op youtube naar 'scammer payback', scambaiter of kitboga. Soms hilarisch!

SgtElPotato @LaFleche • 24 november 2022 10:03

Zo denken wij, maar moet je voorstellen dat iemand de telefoon opneemt die hier nog nooit van gehoord heeft. Die nog nooit heeft gehoord van scammers op de telefoon, vrij weinig verstand heeft van computers etc. Als dan ineens een 'Microsoft support' belt met problemen op je computer kan dat wel echt legitiem overkomen..

CAPSLOCK2000

Nederland
Politiek en recht
Cybercrime

@LaFleche • 24 november 2022 10:42

Ze zijn wel gehaaid maar als als ze binnen een gesprek beginnen over betalen in bitcoins/crypto of giftcards, dan moet er toch allerhande alarmbellen bij je afgaan? of dat je even je banksaldo moet overschrijven naar een ander rekeningnummer?

Veel slachtoffers hebben nog nooit gehoord van crypto of giftcards en zeker niet in combinatie met oplichting. Dat belletje dat zou moeten gaan rinkelen is er gewoon niet. Voordat er geld overhandigd moet worden krijgen de slachtoffers ook een voorbereiding om ze makkelijker mee te laten werken, bijvoorbeeld door ze wijs te maken dat ze eerst heel veel geld hebben ontvangen dat ze "terug" moeten geven.

en ik wil niet discrimineren maar als je een koeterwaals Engels sprekende Indiase figuur aan de lijn krijgt dan denk je toch ook bij jezelf 'ophangen!!!!' (of heel lang aan de praat houden :-) )

Niet als je drie keer per dag gebeld wordt door zo iemand en je zelf ook niet zo best Engels preekt. Wij in Nederland zijn gewend aan goed Engels en wij kunnen betalen voor de "dure" callcenter medewerkers die Nederlands of goed Engels spreken. Maar als je zelf niet zo goed Engels spreekt is het heel anders, dan hoor je ook minder de problemen in het taalgebruik van de ander. Grote delen van de wereld spreken een stuk minder goed engels en hebben minder geld en zijn er aan gewend om regelmatig slecht verstaanbare telefoontjes te krijgen.

Een Engelstalige collega van mij klaagt regelmatig over de mails en telefoontjes die hij van zijn collega's krijgt. "Jullie denken allemaal foutloos Engels te spreken en te schrijven maar voor mij is er maar weinig verschil met alle spam die ik krijg. Jullie zien je eigen fouten niet eens omdat jullie allemaal steed weer dezelfde fouten maken en denken dat het zo hoort."

Maar blijkbaar zijn er nog hele volk stammen die er in trappen anders stoppen ze er wel mee.

Dat kun je van de meeste vormen van oplichting zeggen. Casino's verdienen er iedere dag bakken geld aan en dan wéten mensen rationeel gezien dat ze geld gaan verliezen in een oneerlijk spel en nóg doen ze er aan mee en geloven ze in hun geluk. Als dat al lukt dan lukt het ook wel om geld af te troggelen bij mensen die geen idee hebben wat er aan de hand is als ze zo'n telefoontje krijgen.
Mensen zijn van nature goed van vertrouwen en behulpzaam. Oplichters maken daar misbruik van.

Herko_ter_Horst

@LaFleche • 24 november 2022 10:50

Hele volksstammen niet, maar een paar is genoeg.

Deveon @LaFleche • 24 november 2022 23:36

Zo vanzelfsprekend is dat niet hoor. Probeer voor de gein maar eens tegen een bankmedewerker die jou belt te vragen of zich als zodanig kunnen identificeren. Hun protocol schrijft voor dat ze niet kunnen vertellen waar het over gaat totdat jezelf geïdentificeerd hebt bijzondere persoonsgegevens als geboortedatum, IBAN en/of adres. Precies de informatie die een scammer nodig heeft om zich als jou voor te doen..

Not Pingu 24 november 2022 09:02

Zou dit dan ook de bron zijn van al die 'This is a message from Netherlands Department of Justice' belletjes die schijnbaar van een Nederlands 06-nummer komen? Het aantal van 'duizenden telefoontjes per maand' in Nederland is dan wel erg laag.

Aiii @Not Pingu • 24 november 2022 09:09

Goede kans, maar ook een zeer goede kans dat ze verreweg niet de enige speler zijn op dit vlak. Het is immers een zeer populaire vorm van oplichting (wereldwijd).

Oon

@Not Pingu • 24 november 2022 09:18

Er zijn wel meer plekken waar dit soort telefoontjes vanaf (kunnen) komen, maar dit zal inderdaad één van de bronnen zijn

The Zep Man

Nederland
Politiek en recht
Hackers

24 november 2022 09:14

Nu de vloer gedweild is, wordt het tijd om de kraan dicht te draaien. Verplicht telco's om mee te werken aan een onderling nummerauthenticatiesysteem, op straffe van niet meer mee mogen doen bij niet meewerken.

Er zijn zoveel alternatieven op bellen dat een eventuele (tijdelijke) onmogelijkheid van internationaal te bellen niet meer zo desastreus is als dat het twintig jaar geleden zou zijn.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 23:18]

Odie @The Zep Man • 24 november 2022 09:28

Ik zou zeggen: sluit je aan bij de ITU en doe een voorstel.

ctc 24 november 2022 09:17

Ik heb een tijdje telefooncentrales geplaatst (o.a. Siemens HiPath) en kan me herinneren dat je daar ook een soort caller id/algemeen nummer kon ingeven van waaruit je altijd belde (een soort hide-nat voor telefoonnummers) daar kon je volgens mij ook al nummers in zetten die niet van jou waren. Dat was me eens opgevallen toen ik een base-config niet juist had aangepast en er nog een ander nummer in stond, in principe is dat ook spoofen.

feuniks 24 november 2022 09:52

Zoals heel veel, vrees ik dat de legaliteit van dit soort diensten ergens in een heel grijs gebied te vinden is. Aan de ene kant staat niets mij in de weg om een brief op de post te doen met eender welke naam en adres als afzender. Iemand die weet hoe de post in elkaar zit, zal waarschijnlijk aan de stempel kunnen zien dat er iets niet klopt als de brief in Maastricht is gepost, maar een afzender uit Groningen claimed te zijn, maar zelfs dat zou kunnen. Ik heb zelfs wel eens brieven op de post gedaan terwijl ik bijvoorbeeld op vakantie was. Die hadden als afzenderadres uiteraard mijn thuisadres.
Het probleem van een andere naam (of nummer in het geval van een telefoon) is wel dat je daarmee potentieel andere wetten schendt. Je geeft je namelijk uit voor iemand anders. En hoewel dat wellicht formeel niet eens strafbaar is (spoiler: in het echte leven heet ik niet feuniks) kan het wel een vorm van misleiding zijn. En daar gaat het hier om. Deze "klanten" van de dienst gebruikten de dienst om mensen op te lichten. Of de dienst zelf dus strafbaar is, hangt dan weer heel erg af van het feit of het aanbieden van een dergelijke dienst strafbaar is en / of de aanbieders wisten (of konden weten) dat de dienst gebruikt zou worden voor strafbare handelingen. Een wat duidelijker voorbeeld is, dat ik zonder problemen mensen kunstmest kan verkopen, maar als ik weet of kan weten dat de koper de kunstmest gaat gebruiken om een bom te maken, dan ben ik zeker medeplichtig en dus ook strafbaar.
Het probleem voor de aanbieders van de dienst is wel, dat ik persoonlijk geen legitieme use case zie, waarom ik gebruik zou kunnen of willen maken van de dienst. Misschien om een geintje met iemand uit te halen, maar om dat als business case voor je bedrijf te nemen... Zelfs als de aanbieders te goedertrouw waren, dan nog zouden ze moeten weten dat dit een uitermate geschikte dienst is voor criminelen en zouden ze daar maatregelen tegen moeten nemen. Ik ben trouwens niet zo naïef om te denken dat deze aanbieders dachten een legale dienst aan te bieden.

DB LucF 24 november 2022 13:38

Op de Youtube pagina van Politie Midden-Nederland nog een schop nagegeven.
https://www.youtube.com/watch?v=8SZG7UF0Hb8

Falcon 24 november 2022 09:00

Goed bezig!

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (89)

Sorteer op:

Weergave: