Skip to main content

Spoofing Aanpakken

R

Beste Odido Community,

Ik wil graag een ernstig en structureel probleem onder de aandacht brengen: telefoonnummer-spoofing. Mijn zakelijke 06-nummer wordt al maandenlang dagelijks misbruikt door spoofing. Dagelijks word ik meerdere keren gebeld door mensen die beweren dat ik hen heb gebeld, terwijl dat absoluut niet zo is. Dit gebeurt via fraudeurs (vermoedelijk crypto-scammers) die mijn nummer spoofen. En dit kan morgen net zo goed jouw nummer zijn

 

Wat mij verbaast en teleurstelt, is de reactie van Odido en andere telecomproviders in Nederland. Ondanks herhaaldelijke meldingen wordt mij verteld dat er “geen technische oplossing” is en dat ze hier weinig aan kunnen doen. Dat klopt simpelweg niet.

Er bestaan namelijk technische oplossingen, zoals het STIR/SHAKEN-protocol, dat in diverse landen al succesvol wordt toegepast om spoofing tegen te gaan of in ieder geval te minderen. Kort uitgelegd werkt STIR/SHAKEN door elke oproep cryptografisch te authenticeren, zodat ontvangers kunnen verifiëren of de beller echt is wie hij beweert te zijn. Het implementeren van zo’n protocol vereist uiteraard investeringen en samenwerking tussen telecombedrijven, maar is wel degelijk mogelijk. Door dit na te laten, lijkt het alsof de providers hun wettelijke zorgplicht om klanten tegen fraude te beschermen niet serieus nemen.

Ik doe daarom een dringend beroep op Odido (en alle andere providers) om verantwoordelijkheid te nemen en deze technologieën zo snel mogelijk te implementeren. Het excuus dat er "niets aan gedaan kan worden" is simpelweg niet langer acceptabel.

Ik hoor graag jullie ervaringen en steun, zodat we dit onderwerp krachtig op de agenda van Odido (en andere providers) kunnen zetten. Stuur me gerust een bericht. Ik ben het beu om telkens te horen dat er geen oplossing bestaat en dat een nieuw nummer de enige optie zou zijn.

Met vriendelijke groet,

RF

 

Artikel 11.3 Telecommunicatiewet

“De aanbieder van een openbaar telecommunicatienetwerk of van een openbare telecommunicatiedienst neemt passende technische en organisatorische maatregelen om de beveiliging en integriteit van zijn netwerk en dienst te garanderen.”

 

Hieruit volgt dat de provider wettelijk verplicht is om maatregelen te nemen om fraude, zoals spoofing, te voorkomen of in ieder geval te beperken. Hoewel de wet geen specifieke technologie (bijvoorbeeld STIR/SHAKEN) noemt, verplicht zij wél tot “passende technische en organisatorische maatregelen”. Aangezien spoofing een bekend probleem is en er oplossingen bestaan, is het moeilijk te verdedigen dat telecomproviders hun zorgplicht nakomen als zij niets ondernemen.

Uitgelichte reactie

17 maart 2025

Hoi ​@Rimatus 

Operators binnen Nederland zijn verplicht om nummer whitelisting te doen voor aansluitingen op hun netwerk.  Dat betekend dat op de DSl of Sip trunken die zij verkopen een whitelist moet draaien waardoor alleen de aan de klant zijn gealloceerde PSTN of mobiele nummers als CLI mogen worden gebruikt.

Het probleem met spoofing is een internationaal probleem. In het buitenland , buiten de EU zijn deze regels er niet of worden niet nageleefd. Ik kan dus gewoon voor een paar us dollar op een Amerikaanse website een gesprek of sms opzetten met een willekeurige CLI. Omdat vanaf dat soort landen ook legale manieren Nederlandse 06 nummers gebruikt worden, bijvoorbeeld omdat daar Nederlandse gebruikerd roamen betekend dat je niet zomaar al die gesprekken kan blokkeren of met alle internationale partijen stir/shaken implementeren. 

Maar als je dit met de door jou voorgestelde technology wilt oplossen gaat dat altijd (veel) geld kosten. Gezien de enorme kostenpost die banken hebben vanwege spoofing zou voor hen er heel snel een positieve business case zijn om Nederlandse providers dit te laten implementeren en daarvoor de kosten te betalen. Dat komt sterker over dan het, terecht vervelend,  maar "enkelvoudig" probleem wat er op jouw zakelijke nummer gebeurd. Dus ik zou zeggen, ga je oplossing bij banken pitchen maar ik ben bang dat een wereldwijde Stir/shaken implementatie nog wel even op zich wachten.

 

4 reacties

eric
Super User
Forum|alt.badge.img+14
  • ericSuper User
  • Odido Superuser
  • 8645 reacties
  • 17 maart 2025
Uitgelichte reactie

Hoi ​@Rimatus 

Operators binnen Nederland zijn verplicht om nummer whitelisting te doen voor aansluitingen op hun netwerk.  Dat betekend dat op de DSl of Sip trunken die zij verkopen een whitelist moet draaien waardoor alleen de aan de klant zijn gealloceerde PSTN of mobiele nummers als CLI mogen worden gebruikt.

Het probleem met spoofing is een internationaal probleem. In het buitenland , buiten de EU zijn deze regels er niet of worden niet nageleefd. Ik kan dus gewoon voor een paar us dollar op een Amerikaanse website een gesprek of sms opzetten met een willekeurige CLI. Omdat vanaf dat soort landen ook legale manieren Nederlandse 06 nummers gebruikt worden, bijvoorbeeld omdat daar Nederlandse gebruikerd roamen betekend dat je niet zomaar al die gesprekken kan blokkeren of met alle internationale partijen stir/shaken implementeren. 

Maar als je dit met de door jou voorgestelde technology wilt oplossen gaat dat altijd (veel) geld kosten. Gezien de enorme kostenpost die banken hebben vanwege spoofing zou voor hen er heel snel een positieve business case zijn om Nederlandse providers dit te laten implementeren en daarvoor de kosten te betalen. Dat komt sterker over dan het, terecht vervelend,  maar "enkelvoudig" probleem wat er op jouw zakelijke nummer gebeurd. Dus ik zou zeggen, ga je oplossing bij banken pitchen maar ik ben bang dat een wereldwijde Stir/shaken implementatie nog wel even op zich wachten.

 

Welkom bij de klant-helpt-klant Community van Odido.
R
  • Rimatus
  • Auteur
  • is een Top Poster
  • 5 reacties
  • 17 maart 2025

Ik begrijp je punt over whitelisting, internationale routes en het belang dat banken hier wellicht in zouden kunnen investeren. Alleen heb ik nu niets te maken met banken; de kern ligt bij de telecomproviders en de bestaande wetgeving die hen verplicht om hun netwerken te beveiligen.

Bovendien zie ik dat 95% van de mensen die mij terugbellen, een Nederlands 06-nummer hebben. Juist daarom is STIR/SHAKEN of een vergelijkbaar protocol zeker de moeite waard: wanneer alle Nederlandse providers dit implementeren, kan een groot deel van de spoofed calls al worden geblokkeerd. Als het dan uit het buitenland komt, is het in elk geval direct duidelijk dat de oproep niet geverifieerd is.

Dat is niet slechts een ‘klein’ probleem op mijn 06-nummer. Ik krijg elke dag 3 of 4 mensen die terugbellen omdat ze een gemiste oproep van mijn nummer zien. Kun je nagaan hoeveel er in totaal gebeld worden zonder dat ik het weet. Het is dus absoluut niet “enkelvoudig”, het raakt niet alleen mij, maar ook talloze andere mensen die dat nummer zien. Dat providers hier niets doen, is simpelweg niet aanvaardbaar. De infrastructuur om binnenlandse oproepen te authenticeren bestaat, maar vereist wel dat de operators investeren en actief samenwerken.

Kortom, laten we in Nederland zelf beginnen. Als we ons eigen nummerplan en nationale routes veilig maken, pakken we al een groot deel van het probleem aan. De resterende internationale spoofing is inderdaad lastiger, maar dat maakt het belang van een nationale aanpak alleen maar groter.

eric
Super User
Forum|alt.badge.img+14
  • ericSuper User
  • Odido Superuser
  • 8645 reacties
  • 17 maart 2025

Je praat hier op dit forum met andere klanten. Maar een dergelijke grote verandering komt met een businesscase want als dit nu al wettelijk verplicht zou zijn dan had de ACM of EZ al lang ingegrepen vanwege de belangen van de banken. Misschien kennen die jouw oplossing niet of begrijpen ze dat dit maar een deeloplossing is.

Jouw gedachten dat je niks met banken te maken hebt is dan weer jammer, ik vind je idee een beetje Don Quichot niveau, daarom dacht ik met je mee voor je nationale businesscase. Nu blijft het een beetje hangen op een klant helpt klant forum. Dit moet je gewoon groter en professioneler aanvliegen. Richt een belangengroep op en organiseer informatie sessies etc...

Welkom bij de klant-helpt-klant Community van Odido.
R
  • Rimatus
  • Auteur
  • is een Top Poster
  • 5 reacties
  • 17 maart 2025

@eric Eric,

Je blijft maar wijzen naar banken, terwijl spoofing véél verder reikt dan de financiële sector. Elke particulier of ondernemer kan het slachtoffer worden. Bovendien bestaan er wél werkende oplossingen (STIR/SHAKEN), die in sommige landen zelfs verplicht zijn. Dat Tros Radar of ING daar weinig aandacht aan hebben besteed, maakt het niet minder belangrijk of minder haalbaar.

Providers hebben volgens artikel 11.3 Telecommunicatiewet een zorgplicht om hun netwerken te beschermen. Het argument “de ACM heeft niet ingegrepen, dus het zal wel geen probleem zijn” slaat de plank mis: juist door druk van consumenten en belangengroepen komt zo’n toezichthouder in beweging. Ik ondervind dagelijks schade in mijn bedrijf, en talloze andere Nederlanders worden ook lastiggevallen door terugbellers die denken dat ik hen heb gebeld.

Die houding van “koop maar een nieuw nummer” is ronduit belachelijk. Technisch is er genoeg mogelijk, ook zonder de banken daarin te betrekken. De ‘Don Quichot’-opmerking vond ik respectloos. Als providers echt werk willen maken van binnenlandse spoofing, kunnen ze STIR/SHAKEN uitrollen, heel simpel. Dat zou een groot deel van de Nederlanders direct beter beschermen.

Ik zit niet alleen in de Odido-community, maar ook bij KPN en Vodafone, vroeger bij Libertel begonnen dus ik weer een beetje hoe het werkt. Ik wil zoveel mogelijk gedupeerden bij elkaar brengen om druk te zetten op de telecomsector, die over de kennis en middelen beschikt om dit probleem aan te pakken. Als het puur om geld gaat, is dat geen excuus om de wet- en regelgeving te negeren. Ik overweeg zelfs juridische stappen, want het is duidelijk dat deze technologie al lang beschikbaar is, maar gewoon niet wordt ingezet.

Kortom: het is niet “te moeilijk” of “te duur.” Er is een duidelijke plicht en ook een kant-en-klare oplossing. Ik hoop dat we daar met z’n allen, in plaats van me weg te zetten als Don Quichot, gewoon eens serieus naar gaan kijken.

cyber38
1 persoon vindt dit leuk
  • cyber38
    cyber38

Reageer


ForumvoorwaardenCookie instellingen

Cookiebeleid

Wij gebruiken cookies om uw bezoekers ervaring te verbeteren en te personaliseren. Ga je akkoord, of ga je door op de website dan ga je akkoord met ons cookiebeleid. Meer informatie.

 
Cookie instellingen