Vandaag even compleet iets anders: spoofing. Ik heb er inmiddels al bijna een jaar last van en heb nu de hoop opgegeven dat het beter gaat worden, dus toch maar besloten mijn mobiele nummer te wijzigen. Daarover zo meer. “Spoofing?” zult u wellicht zeggen, wat is dat?
Spoofing
Wikipedia zegt er het volgende over: Spoofing is het vervalsen van kenmerken met als doel om tijdelijk een valse identiteit aan te nemen. Dit kan bijvoorbeeld gaan om e-mail, website, IP-adres, telefoonnummer en biometrische kenmerken. In mijn geval gaat het dus om mijn telefoonnummer. In het Engels wordt dit ook omschreven als Caller ID spoofing.
Opnieuw volgens Wikipedia: Public telephone networks often provide caller ID information, which includes the caller’s number and sometimes the caller’s name, with each call. However, some technologies (especially in Voice over IP (VoIP) networks) allow callers to forge caller ID information and present false names and numbers. Gateways between networks that allow such spoofing and other public networks then forward that false information. Since spoofed calls can originate from other countries, the laws in the receiver’s country may not apply to the caller. This limits laws’ effectiveness against the use of spoofed caller ID information to further a scam.
Vanzelfsprekend en zoals beschreven is het doel vooral voor het oplichten van mensen. Door te bellen met een Nederlands 06-nummer is de kans groter dat een beoogd slachtoffer opneemt, en daarmee ook groter dat diegene trapt in de oplichting. Veel van de mensen die ik gesproken heb gaven aan gebeld te zijn door mensen die slecht Engels spraken. Overigens gaven ze zich daarbij uit voor verschillende bedrijven. Wat ik heb gehoord is dat ze zich o.a. voordeden als Netflix of Microsoft, maar ze belden ook voor investeringen. En dat allemaal met hetzelfde nummer, dus reken maar dat er een callcenter achter zit. Het feit dat deze vorm van oplichting bestaat en steeds vaker voorkomt geeft aan dat het succesvol is. Zou dat niet het geval zijn, dan zouden deze oplichters hier hun tijd niet mee verdoen.
Slachtoffers
Daarmee zijn er helaas ook slachtoffers. Mensen die in deze vorm van telefonische oplichting zijn getrapt. Dit zijn de echte slachtoffers. Zover ik weet hebben die mij nooit gebeld. Dan zijn er nog die mensen die er niet zijn ingetrapt, maar wel zijn lastig gevallen. Ook wel een beetje slachtoffer. Daarvan heb ik er een aantal aan de telefoon gehad. En dan zijn er de mensen die een gemiste oproep hadden staan en terugbelden. Hiervan heb ik er heel veel aan de lijn gehad! En tenslotte nog ikzelf. Hoe heb ik hier last van gehad?
Ongeveer een jaar geleden werd ik voor het eerst gebeld door iemand die zei een gemiste oproep van me te hebben. Ik dacht nog aan een broekzakgesprek of iets dergelijks, en besteedde er verder geen aandacht aan. Maar een week of twee later kreeg ik weer iemand aan de telefoon. U had mij gebeld? Wie bent u? De week erop waren het er twee. En daarna vier. En op een gegeven moment vier tot zes per dag. En als je dan zelf de oproep mist, dan bel je toch ook maar even terug, want het kan toch ook wel belangrijk zijn.
Zo heb ik veel mensen gesproken de afgelopen maanden. Sommigen reageerden direct boos. Waarom bel je mij?! Sommigen reageerden verbaasd of meelevend. En sommigen reageerden hartstikke positief en gezellig, hetgeen in deze coronatijd toch ook wel leuk was. Ik had eerst nog wel het idee dat het vanzelf zou ophouden, dat ze een keer een ander nummer in hun systeem zouden inkloppen, maar dat blijkt niet het geval. En uiteindelijk kosten al die gesprekken, al die keren uitleggen wat er aan de hand is, best wel tijd en energie.
Maar wat echt tijd kost, dat moet nog komen. Daarover zo meer.
Kun je dan niets doen?
Het korte antwoord is nee. Je kunt niets doen. Behalve dus een nieuw mobiel nummer nemen, want, zoals gezegd, het houdt niet op. Het lange antwoord:
- Ik heb contact opgenomen met KPN, mijn mobiele provider. Het probleem uitgelegd. Ze hebben onderzoek ingesteld en geconstateerd dat het verhaal klopt, maar dat ze niets kunnen doen. Advies: neem een ander nummer.
- Ik heb aangifte gedaan bij de politie. Het probleem uitgelegd. Niemand die begrijpt waar je het over hebt. Oh, dus u wordt lastig gevallen? Door wie dan? Nee, ik word niet lastig gevallen. Andere mensen worden lastig gevallen. En als ik zou weten door wie, dan zou ik wel even contact hebben opgenomen met de vraag of ze een ander nummer zouden willen gebruiken. Advies: niets.
- Ik heb een melding gedaan bij de Fraude Helpdesk. Goed, het wordt genoteerd. En dat is het dan wel. Advies: niets.
Kortom, nee, je kunt niets doen. Neem een ander nummer. En wacht daar geen jaar mee. Het houdt niet op. Echt niet.
En nu dan?
Ik heb een nieuw nummer aangevraagd en het oude nummer opgezegd. Dit had overigens wel via KPN gekund, kosteloos, maar zo heb ik nog even beide nummers naast elkaar. Want nu komt het tijdrovende werk. Alles en iedereen op de hoogte brengen dat je nummer gewijzigd is. Ik heb daar nog een maand de tijd voor. Dat lijkt een kleinigheid, maar het mobiele nummer is zo’n belangrijk onderdeel van ons leven geworden, dat het bijna niet meer te doen is alles en iedereen te informeren. Want waar hebben we het dan over?
- Vrienden en kennissen: Kan ik informeren via WhatsApp of met een SMS-je vanaf m’n oude nummer.
- Zakenrelaties: Kan ik informeren via een mail of een belletje.
- Banken, verzekeraars, etc.: Tja, via een portal, bellen, via een mail of brief, maar… wie zijn het allemaal? Wie heeft allemaal mijn mobiele nummer? Het waterleidingbedrijf? De stroomleverancier? De autodealer? Uiteraard zijn ze niet allemaal even belangrijk. Soms maakt het ook helemaal niet uit of ze je nummer hebben, maar het kan soms ook knap vervelend zijn als ze het niet hebben.
- Zakelijke en persoonlijke relaties van langer geleden. De opdrachtgever bij een project dat ik vorig jaar heb afgerond, de systeembeheerder die je nog kon bellen als hij nog vragen had, die ene engineer waarmee ik toen geweldig had samengewerkt, ja wie zijn dat allemaal? En hoe informeer ik ze?
- En misschien wel de lastigste, MFA, multi-factor authentication. Al die websites waarop je multi-factor authenticatie geactiveerd hebt door middel van je mobiele telefoon. En waarop je alleen nog kunt inloggen met de code die je via SMS of een belletje ontvangt. Apple, Microsoft, Google, maar ook DigiD, ja, wie eigenlijk allemaal?! En soms kun je alleen een nieuw nummer registreren na een bevestiging via SMS op het oude nummer. Dus als je geen toegang meer hebt tot het oude nummer…
Kortom, een berg werk. Maar, zoals gezegd, je hebt geen keuze. Het houdt niet vanzelf op. En in veel landen is het ook niet strafbaar. Het kan schijnbaar niet geblokkeerd worden door de providers. Dus tenzij je dag in dag uit met wildvreemden wilt praten over spoofing, neem een ander nummer.
Tot slot
Ik begin dus maar iedereen te informeren dat ik een ander nummer heb. En ik stop de oude SIM kaart in een oude Nokia 6310i. Die het na 10 jaar in een lade nog gewoon doet trouwens. Zelfs de accu is nog in goede conditie! Zo kan ik nog even zien of ik mensen vergeten ben te informeren. En als je dit leest en je hebt ook geen bericht gehad, mail me dan even. Ik geef je graag weer even m’n actuele contactgegevens.
Ik sluit af met een paar tips.
- Word je gebeld door dit soort oplichters? Uiteraard, trap er niet in. Bel ook niet terug, tenzij je twijfelt of het die nieuwe werkgever is die je net had benaderd voor de baan van je dromen. En blokkeer het nummer als anders blijkt. Want vaak bellen de oplichters meerdere keren.
- Houdt een overzicht bij van de partijen waar je je nummer hebt afgegeven. Gewoon een simpel lijstje in Excel of in een notitieblokje. Misschien niet van dat leuke hotel in Bulgarije, waar ze je belden wat je die avond wilde eten, maar wel van de belangrijkere relaties. Zij waarmee je als het goed is maar weinig contact mee hebt, maar als ze je zoeken dan is het vaak best belangrijk. De verzekeringsagent, iemand?
- Houdt zeker ook een overzicht bij van de websites, portals, waarop je MFA hebt geactiveerd door middel van een mobiele telefoon (SMS/bellen). Want als je dan geen beschikking meer hebt over je oude mobiele nummer, kan toegang krijgen best heel moeilijk worden. Zeker bij de grote internationale bedrijven zoals Apple, eBay of Booking.
- En als het even kan, gebruik niet je mobiele nummer voor MFA, maar gebruik een app. Bijvoorbeeld Microsoft Authenticator, beschikbaar voor Android en iOS. Sowieso is een app veel veiliger dan SMS (vanwege een andere vorm van cybercrime, SIM swapping), maar je kunt ook een backup maken van de gegevens en deze bijvoorbeeld terugzetten op je nieuwe telefoon, of als je een nieuw mobiel nummer hebt. En je kunt toegang tot de app afschermen door middel van een PIN code of je vingerafdruk.
- En gebruik, wanneer het kan, altijd MFA! Multi-factor authentication voorkomt heel veel gevallen van cybercrime. Voor toegang tot jouw online gegevens is altijd jouw mobiele telefoon nodig. Zelfs als je wachtwoord in handen van onbekenden is gevallen, is toegang tot jouw gegevens niet mogelijk zonder je telefoon in handen te hebben. En als je dan ongevraagd MFA meldingen op je toestel krijgt weet je dat iemand jouw wachtwoord in handen heeft. En spreek partijen die geen MFA bieden voor hun portal aan op hun verantwoordelijkheid!
Vragen?
Ik ben helaas inmiddels ervaringsdeskundige op het gebied van caller-ID spoofing. Dus als je vragen hebt, reageer gerust. Je krijgt sowieso een antwoord van me.