Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Beveiligingsbedrijf waarschuwt tegen phishing via VoIP

phishing Beveiligingsbedrijf Secure Computing waarschuwt voor een opkomende phishing-variant, die vanwege het gebruik van VoIP-telefonie de naam 'vishing' heeft meegekregen. De criminelen die zich hiervan bedienen, de zogenaamde vishers, maken gebruik van relatief eenvoudig te verkrijgen VoIP-telefoonnummers. Deze maken ze kenbaar in mailtjes die ze naar hun beoogde slachtoffers sturen - waarin ze net zoals bij veel phishing-aanvallen plachten te melden dat er 'iets' met hun creditcard of bankrekening loos is. Omdat veel mensen vanwege de aandacht die aan phishing is besteed, voorzichtig zijn geworden met het klikken op links, stoppen de vishers maar wat extra werk in hun duistere activiteiten: ze gaan zelf achter de telefoon zitten om mensen hun creditcard of pinpasgegevens te ontfutselen, in plaats van hun slachtoffers die in een webgebaseerd interface in te laten tikken. Er zijn gevallen gemeld waarbij de vishers erin slaagden om hun nummer te 'spoofen' zodat het nummer van een creditcardmaatschappij in beeld verscheen. Secure Computing waarschuwt VoIP-gebruikers om geen nummers te bellen die in e-mails worden genoemd, maar alleen de nummers te bellen die op hun creditcard staan of met hun bankbescheiden zijn meegestuurd.

Door

20 Linkedin Google+

Bron: Secure Computing

Reacties (20)

Wijzig sortering
Als je dan toch aan het waarschuwen bent, noem die personen dan gewoon oplichters. Er zijn nog genoeg mensen die niet wat wat phising is, en als je die wilt bereiken, moet je het zo simpel mogelijk houden.
die mensen kijken niet op tweakers.net...
Hoe kan het technisch gezien dan mogelijk zijn om een telefoonnummer te spoofen? Beveilgingsfoutje in de SIP/STUN server dan?
Bovendien moet je toch zelf het telefoonnummer intypen waar je heen wilt bellen? Ik neem niet aan dat de vishers zoveel controle over het telefoonnetwerk hebben dat ze telefoontjes naar het nummer van creditcardmaatschappijen of banken naar zichzelf kunnen redirecten - als ze dat wel zouden kunnen hadden ze die mailtjes niet meer nodig. Dat betekent dat je kan spoofen wat je wilt, je slachtoffer zal toch altijd jouw VOIP-nummer moeten draaien, waarvan hij zeer gemakkelijk kan controleren of het klopt.
Niet als ze jou bellen.

Wat ze doen is jou bellen, maar IPV dat hun eigen nummer in beeld komt zorgen ze dat het nummer van Visa ofzo in beeld komt.
veel SIP-hardware kan ook ENUM-lookups doen, en deze zouden dan voor een standaard telefoonnummer een verkeerde alternatieve VOIP weg kunnen teruggeven waar je hardware gebruik van maakt om goedkoper te bellen.
Bv. een fritzbox kan deze ENUM lookups doen, hier kun je ook nog een standaard PSTN-lijn op aansluiten waar een telefoonnummer aan verbonden is. Wil je nu dat andere mensen die ook zo een fritzbox hebben je via het internet bellen ipv. via het meestal betaalde PSTN-netwerk wanneer ze je PSTN-nummer ingeven, dan kun je dit nummer registreren bij een dienst zoals http://www.e164.org/ , deze is trouwens volledig gratis, en om te controleren dat jij wel echt eigenaar bent van dit nummer bellen ze je na registratie automatisch op met een activatiecode.
Gewoonweg niet opgenomen in de specificaties van SIP.

De OPTA dicteert (terecht) dat het in Nederland niet toegestaan is om op het normale telefoonnetwerk een ander nummer als cid mee te sturen dan een nummer van je eigen lijn.

Dat soort regels zijn er voor normale telefonie, maar voor voip is dat wat lastiger vast te leggen en nog lastiger te implementeren.

Er is geen enkele technische beperking om in een sip-pakketje een ander telefoonnummer te zetten, bijvoorbeeld.

edit: was reactie op AW_Bos.
Sterker nog, SIP staat expliciet toe dat je als 'afzender' een andere naam gebruikt. Een SIP adres lijkt heel sterk op een email-adres met een displayname en een userid@domain deel.

Om anoniem te kunnen communiceren (net zoals je dat met *31 via de telefoon kan) stelt SIP voor om dan 'Anonymous' als displayname te gebruiken met een niet bestaande user@domain, maar SIP staat in principe ook toe er iets anders van te maken. Bijvoorbeeld de gegevens van een creditcard maatschappij ;)

Het is dan aan de SIP server, of ontvangende partij om de identiteit van de afzender te controleren (indien gewenst), bijvoorbeeld via een authenticatie request.
"Beveiligings bedrijf meld dat de standaard beveiliging tegenwoordig meer dan genoeg is om gerust te kunnen computeren"

En microsoft meld "De komende versie ongeveer versie ongeveer het zelfde bied als de recente"..
Maak er maar een nieuwe term van... het bestond al lang. Je noemt het Social Engineering...
Mensen die opgelicht kunnen worden, die worden ook slachtoffer... zo werkt het "systeem" nou eenmaal. of het nou is door iemand die belt voor hun creditcard gegevens of een reclame voor iets wat ze niet nodig hebben! Waar hebben we het over... De ene word als legaal gezien de andere niet.
Dit probleem kan eenvoudig worden aangepakt.
De bedrijven die het voip telefoonverkeer routeren naar het PSTN verkeer dienen erop te letten dat een gebruiker enkel het nummer kan weergeven dat aan zijn gebruikersnaam gekoppeld is.

Ik heb veel ervaring met SIP en ik kan je mededelen dat bij een aantal bedrijven de SIP provider bepaald welk nummer wordt weergeven ongeacht welk nummer jij invuld bij je afzender/callerid in de sip header.

Er moet dus strengere toezicht komen op deze VOIP providers. Het is dan haast niet meer mogelijk om te spoofen tenzij je in hun netwerk inbreekt.
Lijkt me lachen om es zo een telefoontje te krijgen:

[sterk Nigeriaans accent] Goodd moarnink, this is barrister John Holmes of Barclays bank. We 'ave ree-ason to belee've dat yor accoont is not up too dee-ate...

:+
Alle vormen van creditcardbetaling afschaffen: duur en onveilig.
De CreditCard is de veiligste methode van betalen....

In geval van fraude gaan de advocaten en speurneuzen van de CC-maatschappij graven en procederen, maar intussen heb jij je geld al weer terug. (ff asumerend dat je niet zelf hebt lopen blunderen/frauderen)
Haha, 'veiligste methode van betalen'...
3% van de omzet van creditkaarten is fraude!!
Dus stel dat er 1biljoen omzet is, dan wordt er voor 30miljard gefraudeerd.

Als je creditcard gepikt wordt en je merkt 't pas veel later, dan krijg je zeker niet zo makkelijk je geld terug (als je al iets terug krijgt). De creditcardmij. zegt dan nl. gewoon dat je 't niet op tijd gemeld hebt (binnen een paar uur ofzo).
De CreditCard is nog altijd de beste en makkelijkste en een veiligste manier van betalen en dat wereldwijd. De hollandse pinpas werkt niet overal en bij domgebruik is net zo onveilig als de credietcard.

Machtingen dat is pas linke zooi. Daarnee hebben bedrijven en oplichters de mogelijkheid om 'zomaar' geld te oosten. Bij credietcards heb je meer gegevens nodig om een betaling af te ronden en deze gegevens moeten kloppen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*