Zo herken je telefoon spoofing via je smartphone

Zo herken je telefoon spoofing via je smartphone

Online veiligheid is een belangrijk aspect in de digitale wereld waar wij nu inzitten. Hierdoor kunnen wij onze identiteit en systemen goed beveiligen door moderne technologieën, maar één nadeel kleeft eraan mee. Cybercriminelen gaan ook online bezig, waaronder spoofing. Binnen spoofing zijn er verschillende soorten te herkennen. In dit artikel leg ik uit wat telefoon spoofing precies is.

Wat is spoofing van een telefoonnummer?

Spoofing is kort gezegd het vervalsen van je identiteit waardoor jij je voordoet als iemand anders of als een organisatie. Dit is volgens de Nederlandse wetgeving strafbaar, zeker wanneer je hier misbruik van maakt door bijvoorbeeld oplichting. Maar hoe werkt spoofing via een telefoonnummer eigenlijk?

Wanneer je een simkaart koopt (of een telefoonabonnement afsluit) dan krijg je een nummer. In de meeste gevallen gaat het hierbij om een mobiel telefoonnummer (06-nummer), maar het kan ook gaan om een vast nummer, een 080-nummer of een 0900-nummer. Met deze telefoonnummers kan je bellen naar andere nummers wereldwijd, waarbij er een bepaald tarief van toepassing is (afhankelijk van de provider van het nummer).

Op het internet worden er diensten, tools en software aangeboden om een willekeurig nummer te kiezen. Dit nummer koppel je aan jouw eigen telefoonnummer, waardoor je je voor kunt doen als iemand anders. Dus kort gezegd heb je 06-123456 dat je koppelt aan een illegaal gekozen nummer zoals 0123-12345678. Wanneer je een willekeurig persoon zou bellen, dan zou die met telefoon spoofing niet het bovenstaande 06-nummer zien, maar het 0123-nummer. Hierdoor bel je eigenlijk via je 06-nummer, maar de ontvanger ziet het 0123-nummer. Zo kunnen cybercriminelen bijvoorbeeld zich voordoen als de Politie, een landelijke of internationale organisatie, of helaas steeds voorkomende de nooddienst van de bank zoals die van de Rabobank of de ING. Maar telefoon spoofing komt ook voor uit naam van de Belastingdienst, Douane, Politie of grote organisaties zoals Microsoft.

Waarschuwing: Het aanbieden, het afnemen of het betrokken raken bij deze praktijken van telefoon spoofing is volgens de Nederlandse wetgeving strafbaar. Ga daarom op geen enkele manier bezig met deze praktijken, ook niet voor de ‘fun’ of ‘om te kijken hoe het werkt’.

 

Hoe gaan de criminelen te werk?

De criminelen die Nederlandse slachtoffers maken, bijvoorbeeld bij spoofing vanuit een bank zoals de ING of de Rabobank, wordt er gebeld vanuit het noodnummer van de bank. Hierin word er kenbaar gemaakt dat er op dit moment x aantal pogingen gedaan worden om je geld te stelen en dat je het geld ‘veilig’ moet overbrengen op een kluisrekening. De eerste belangrijke opmerking die hierbij zal worden gegeven is: De bank zal in geen enkel geval via de telefoon of via e-mail vragen om je geld naar een andere bankrekening over te zetten omdat er een x aantal inlogpogingen worden gedaan op je eigen bankrekening.

De cybercrimineel zal gelijk aangeven dat er 2 á 3 personen voor jou op dit moment bezig zijn om je geld veilig te houden. Hiervoor moet alleen je dag limiet omhoog worden gezet. Uit veiligheid hebben banken hier een timer opgezet waarna het pas gebruikt kan worden, bijvoorbeeld 10, 15 of 30 minuten. Zolang zal de cybercrimineel jou ook aan de lijn houden.

Nadat de tijd verstreken is moet je vaak in één keer of in meerdere keren (bijvoorbeeld in 2 of 5 keer) het geld overmaken naar een ander rekeningnummer. Bijvoorbeeld naar de ING of de Rabobank rekening terwijl dat je bij de ABN Amro zit. Deze rekeningen zijn vaak van de criminelen die het geld doorsturen naar buitenlandse rekeningen, bijvoorbeeld in Roemenië, Oekraïne of Rusland.

Wanneer het geld overgemaakt is dan is het al te laat, omdat dit een actie is door de betreffende rekeninghouder. Daarom zullen banken geen vergoeding geven en de kosten niet dekken. Echter bij de ING worden slachtoffers gecompenseerd als zij slachtoffer zijn van telefoon spoofing.

 

Tips om telefoon spoofing te herkennen

Om jou beter te kunnen helpen met het analyseren of een telefoontje daadwerkelijk van de bank, de Politie of een andere instantie (zoals de Belastingdienst) komt heb ik hieronder een aantal tips weergegeven.

01. Gebruik het gezonde verstand

Natuurlijk makkelijk gezegd dan gedaan. Vooral wanneer je hoort dat je bankrekening door x aantal personen wordt aangevallen. Hierdoor krijg je stress en zal je sneller overgaan tot actie, die juist de cybercriminelen willen hebben.

Zo krijg ik nog weleens e-mails of sms berichten van zogenaamde banken waar ik totaal geen rekening bij heb. Ik weet dan 100 % zeker dat deze e-mails of sms berichten afkomstig zijn van cybercriminelen, ook al lijkt de afzender wel te zijn van de bank.

Ook met het krijgen van telefoontjes moet je het gezond verstand blijven gebruiken. Vraag bijvoorbeeld wat de naam is van de medewerker, op welke naam de bankrekening staat (zonder dit zelf eerst te zeggen) of vraag bij welk bankkantoor de medewerker werkt. Verbreek hierna de verbinding en bel handmatig de bank via hun (nood)telefoonnummer om te verifiëren of de betreffende medewerker daadwekelijk in dienst is. Mocht deze persoon wel echt in dienst zijn (dat het geen vals telefoontje was), dan kunnen zij je altijd doorverbinden. Maar in veel gevallen zal het helaas toch om spoofing gaan door cybercriminelen.

02. Bescherm je telefoon en computer

Ik raad altijd aan om in ieder geval één keer per week te controleren op updates. Zowel op je telefoon als op je computer(s). Dit kan je doen door naar je instellingen van je telefoon te gaan en te controleren of er bijvoorbeeld Android of IOS updates zijn. Met regelmaat brengen Android, IOS en je telefoonmerk updates uit die beveiligingsproblemen zullen oplossen. Op je computer kun je dit principe ook doen door Windows update te gebruiken of te kijken of je IOS van je Apple computer een update heeft.

Vergeet daarnaast ook niet om in je Apple store, Google Play, Microsoft Store en je gebruikte software (zoals bijvoorbeeld Microsoft Office) te kijken of er een update is. Bijvoorbeeld voor je (meest) gebruikte apps en software. Door deze met regelmaat te updaten worden beveiligingsproblemen opgelost en kunnen bugs (die een lek veroorzaken) gedicht worden. Zo ben je weer een stukje veiliger!

Tot slot raad ik je zeker aan om op zowel je telefoon als op je computer een antivirus te installeren. Zo kan je bijvoorbeeld gebruik maken van ESET, AVG of Kaspersky. Bekijk deze bewust en laat je eventueel adviseren door een expert op dit gebied. Ik raad McAfee en Windows Defender af om deze op je computer of telefoon te draaien.

03. Urgente reden om actie te ondernemen

Eén van de belangrijke kenmerken is de urgente reden om een bepaalde actie te ondernemen. Bijvoorbeeld door nu het spaargeld over te maken op de zogeheten kluisrekening die bij een andere bank ondergebracht zijn. Of dat je de dagelijkse limiet moet ophogen zoals eerder beschreven is in dit artikel.

Hierbij zal de telefonist(e) ook altijd vertellen dat er 2 of 3 medewerkers aanwezig zijn die nu voor jou aan de slag gaan. In dit geval heb je bijna met zekerheid te maken dat je met cybercriminelen te maken heb. Verbreek de verbinding en bel je bank zelf om te kijken of er daadwerkelijk iets aan de hand is.

04. Luister naar de omgeving

Telefoonoplichtingen zijn helaas van alle tijden, waarbij de cybercriminelen meegaan met de tijd. Om te achterhalen of je mogelijk met cybercriminelen te maken heb is het luisteren naar achtergrondgeluiden die je hoort een essentieel aanknopingspunt.

Als je bijvoorbeeld met iemand van een bank zou bellen (de cybercrimineel) die zogenaamd op kantoor zou zitten terwijl dat je een snelweg op de achtergrond hoort. Dan zou je al vrij snel de conclusie kunnen trekken dat je te maken heb met cybercriminelen. Ook zou je eventuele andere (soortgelijke) gesprekken kunnen horen op de achtergrond die interessant kunnen zijn voor bijvoorbeeld de Politie.

Let op: Het kan zijn dat de cybercriminelen de achtergrondgeluiden faken. Bijvoorbeeld door kantoorgeluiden die je bij de bank hoort na te bootsen, terwijl dat zij gewoon in een kamertje thuis zitten. Het is dus geen garantie dat je dan daadwerkelijk met een echte (bank)medewerker belt!

05. Verzamel informatie en doe aangifte!

Verzamel zoveel mogelijk informatie van de cybercrimineel. Hieronder kun je een overzicht vinden van de informatie die je kunt verzamelen.

• • Wat is de naam van de persoon?
  • Hebben zij een locatie gezegd waar vanuit zij bellen?
  • Voor welke bank of instantie werken zij?
  • Naar welke bankrekeningen moet je het doorsturen?
  • Wat is de datum en tijd waarop zij bellen?
  • Hoe spreekt de persoon (accent, fouten, moeilijke woorden)?
  • Welke achtergrondgeluiden hoor je?
  • Hoor je ook vreemde talen op de achtergrond?
  • Wat is het telefoonnummer waarop zij je bellen?

 

Noteer alle informatie die je hoort via het telefoongesprek. Ook al is het misschien klein en niet relevant, het zou kunnen helpen om de daders te kunnen vinden. Doe daarom dan ook altijd aangifte bij de Politie. Daar kunnen rechercheurs en ICT’ers van de Politie onderzoek doen naar deze cybercriminelen, zodat zij gestraft kunnen worden voor spoofing en oplichting. Ook al lijkt het misschien een speld in de hooiberg. Iedere cybercrimineel die wij kunnen stoppen kan geen nieuwe spoofing slachtoffers meer maken!