Telefoonspam, robot-calling en nummer-spoofing: wat is het en hoe kom je ervanaf?

Lees je onze verhalen graag? Meld je dan nu aan voor Marks nieuwsbrief vol verhalen die jou en je onderneming helpen groeien. 

Een onbekend nummer verschijnt op het scherm van je telefoon. Je besluit niet op te nemen. Vijf minuten later gaat je telefoon opnieuw en tien minuten daarna weer. Als je uiteindelijk opneemt, krijg je een ‘bandje’ aan de lijn. Of het is iemand die zegt van Microsoft te zijn. Je besluit de verbinding te verbreken, maar tien minuten later gaat je telefoon alwéér. Je bent slachtoffer van telefonische spam. Hoe komt dit? En vooral, hoe kom je ervanaf?

Hoe werkt het technisch?

Laten we beginnen met de techniek: hoe werkt het telefonienetwerk? In Nederland bestaan telefoonnummerblokken in series van 100, 1.000 en 10.000. 088-nummers worden per 100 uitgegeven en regionale nummers, zoals 050-nummers, per 10.000. Een nummerblok is gekoppeld aan een operatorcode. In ons geval is dat de GRID-operatorcode. Deze code wordt vervolgens gekoppeld aan een operator: bijvoorbeeld KPN, British Telecom of Vodafone. Er is één centrale database waarin staat welk nummerblok en welk telefoonnummer bij welke operator hoort. Belt een T-Mobile-klant naar een Voys-nummer? Dan kijkt T-Mobile in de centrale database, die ziet dat het nummer op de GRID-operatorcode staat en weet daardoor dat het telefoontje op het Voys-netwerk afgeleverd moet worden.

Stel je voor dat jij vanaf ons netwerk belt naar een mobiel T-Mobile-nummer. Dan zetten wij een gesprek op en geven daarbij jouw telefoonnummer mee, mits je dat niet onderdrukt wilt hebben. Dit nummer van de afzender/beller noem je Calling Line Identification (CLI). Het 06-nummer dat je belt heet Destination ID (DID).

Een operator controleert niet of De CLI daadwerkelijk gehost wordt door de GRID-operatorcode, omdat er vertrouwen is tussen operators onderling. Zo vertrouwen wij bij Voys erop dat T-Mobile alleen nummers ‘op het netwerk zet’ die het bedrijf ook zelf host. En zo vertrouwt T-Mobile erop dat wij hetzelfde doen. Wat is nu het probleem? Niet elke operator – zeker uit het buitenland – houdt zich aan deze afspraak. Sterker nog: ook wij maken daarin weleens een uitzondering. Dat doen we met een goede reden.

Waarom zetten wij soms een CLI op het netwerk die niet van ons is?

Een telefoonnummer kun je slechts hosten bij één operator. Een nummer dat je host bij KPN kan dus niet als back-up ook bij Voys worden gehost. Stel je voor dat je als organisatie klant bent bij KPN en dat die telecomprovider een storing heeft. Dan ben je niet alleen onbereikbaar, je kunt ook niet meer naar anderen bellen met je eigen nummers.

Dit is voor een aantal instanties buitengewoon lastig, denk aan ziekenhuizen. Voor sommige deze van instanties zijn wij daarom de back-up. Wij hebben daarbij wel de bevestiging dat het nummer werkelijk van de klant is. Daarnaast wordt deze back-up-lijn slechts in noodgevallen gebruikt. Dit is nummer-spoofing: het op het netwerk zetten van een andere CLI.

Dit is een tweede situatie waarin we een niet-Voys-nummer op ons netwerk zetten: we krijgen een inkomend gesprek van klant A (bijvoorbeeld Vodafone mobiel) en dat schakelen we gelijk door naar het mobiele nummer van klant B (T-mobile mobiel). Klant B ziet op dat moment het mobiele Vodafone-nummer van Klant A in het scherm.

Nummer-spoofen en de wet

Volgens de wet is nummer spoofing verboden.

Degene die diensten van de informatiemaatschappij verricht als bedoeld in artikel 15d lid 3 van het Burgerlijk Wetboek, bestaande uit het doorgeven van van een ander afkomstige informatie of het verschaffen van toegang tot een communicatienetwerk is niet aansprakelijk voor de doorgegeven informatie, indien hij:
a. niet het initiatief tot het doorgeven van de informatie neemt;
b. niet degene is die bepaalt aan wie de informatie wordt doorgegeven; en
c. hij de doorgegeven informatie niet heeft geselecteerd of gewijzigd.

We zijn als telecomprovider echter niet verantwoordelijk voor het doorgeven van de informatie (art. 6:196c lid 1 BW).

Er zijn verschillende diensten die – nadat ze hebben bevestigd dat een nummer van iemand is – de bijbehorende CLI op het netwerk zetten. Zo zijn er CRM-pakketten waarmee je kunt bellen met je zakelijke nummer, zonder dat deze partijen formeel telecomoperator zijn en zonder dat zij het nummer hosten. Hier ontstaat een schemergebied en dat heeft te maken met de tapverplichting.

Tapverplichting en nummer-spoofing

Stel je voor dat de politie het idee heeft dat er illegale activiteiten bij iemand plaatsvinden, dan kunnen zij een verzoek indienen om een nummer te tappen. Nadat de officier van justitie hier – dankzij goede onderbouwing – goedkeuring voor heeft gegeven, kijkt de politie bij welke operator dit nummer gehost wordt. Stel de operator is KPN, dan krijgt KPN een tapverzoek en deze provider zorgt vervolgens dat het nummer afluisterbaar wordt.

Is dit nummer van een bedrijf dat een CRM-pakket gebruikt en daarmee het nummer spooft? Dan gaat het gesprek via een andere operator het netwerk op. Daarmee is het gesprek voor politie niet meer af te luisteren. Sterker nog, ze zullen niet eens weten van het bestaan van uitgaande telefoontjes.

Nu zie je bij criminelen een enorme verschuiving. Die gebruiken vaak compleet aangepaste telefoons waarmee ze volledig anoniem en versleuteld kunnen bellen. Dat is ook de reden dat het ‘achterdeurtje’ van Grapperhaus complete schijn is: echte criminelen gebruiken die consumentenapps als Signal, Telegram en WhatsApp niet.

Tapverzoeken gaan daarom in de toekomst steeds minder vaak over de onderschepping van de telefoongesprekken en steeds vaker over het onderscheppen van het internetverkeer.

Hoe komt het dat robot-calls zo zijn toegenomen en hoe verdienen ze geld?

De vraag is nu waarom die robot-calls steeds vaker voorkomen. Daarvoor zijn meerdere redenen te noemen.

Scrapers en crawlers

Om een nummer te kunnen spoofen en bellen, moet je weten welke nummers er zijn. Daarvoor worden twee zaken gebruikt die we hierna robotjes noemen. Allereerst een crawler. Een crawler is een robotje waarmee je pagina’s op het web kunt afstruinen en kunt downloaden. Een scraper is een robotje dat uit die pagina’s bepaalde data kan halen, zoals telefoonnummers. Deze twee robotjes halen daarmee niet alleen data uit bijvoorbeeld een telefoongids, maar ook uit andere zaken die op het web staan. Denk aan de website van een voetbalvereniging waar toevallig een aantal telefoonnummers van de feestcommissie op staan.

Die scrapers- en crawlers-robotjes zijn steeds volwassener en goedkoper geworden. Dat is de eerste reden waardoor robot-calls zijn toegenomen.

Belbot

Nu alle telefoonnummers verzameld zijn, moet een crimineel die nummers gaan bellen. Daarvoor worden dezelfde opensource-bouwblokken gebruikt die wij ook als telecomprovider gebruiken. Die bouwblokken zijn met de tijd steeds toegankelijker geworden. Dat is de tweede reden waardoor robot-calls flink zijn toegenomen.

Er zijn twee soorten belbots. De eerste belbot belt heel veel nummers op en hangt op zodra de telefoon overgaat. Je ziet daarmee een gemiste oproep in je scherm en de hoop van de internetcrimineel is dat je dit nummer terugbelt. Dit noem je wangiri-fraude en daar schreef ik eerder een stuk over. Bel deze buitenlandse nummers vooral niet terug. Hieraan zijn hoge kosten verbonden en de fraudeurs krijgen een klein deel van dit bedrag voor elke minuut dat je naar het nummer belt. Makkelijk geld verdienen.

De tweede belbot belt heel veel nummers en zodra je de telefoon opneemt, krijg je een callcentermedewerker in het buitenland aan de lijn die doet alsof hij of zij van bijvoorbeeld Microsoft is. Dit noem je scamming.

Over de werking daarvan maakte Mark Rober een heel goede video die je hieronder kunt bekijken. Wat je daarin vooral ontdekt is dat deze vorm van criminaliteit onwijs goed georganiseerd is.

Bellen wordt goedkoper

Bellen is de afgelopen 20 jaar steeds goedkoper is geworden. Dat is – naast de goedkoper en bruikbaarder wordende techniek – de derde reden dat belfraude in verschillende vormen steeds vaker voorkomt.

Hoe verdienen criminelen hier geld aan?

Bij wangiri-fraude verdient de de internetcrimineel een klein beetje geld met elke keer dat jij een duur buitenlands nummer terugbelt. Bij scamming wordt er op verschillende manieren geld verdiend. Onder andere door controle te krijgen tot je computer, waarmee criminelen indirect toegang je internetbankieren proberen te krijgen.

Wat kun je er zelf aan doen?

Dan de grote vraag: hoe voorkom je deze vormen van belfraude, telefoonscam en internetcriminaliteit?

Apps die inkomend verkeer blokkeren

Op je smartphone kun je een app installeren die verkeer van nummers die je niet kent blokkeert, of waarmee je bepaalde nummers kunt blokkeren. Androidplanet schreef een goed stuk over wat je kunt doen en welke apps handig zijn voor je Android-telefoon. Gebruik je een iPhone? Dan wijken we uit naar de vrienden van iCulture die hier een topstuk over schreven.

Klanten van Voys

Klanten van Voys kunnen onze filtermodule gebruiken om nummers te blokkeren. Hoe dat werkt lees je in ons handige hulpartikel over de filtermodule.

Meld het bij de toezichthouder

Ben je slachtoffer van belfraude? Dan is het belangrijk dat je hier melding van maakt bij je telecomprovider en de toezichthouder. De toezichthouder is voor de telecomsector de Autoriteit Consument en Markt (ACM). Daarmee wordt de fraude niet alleen inzichtelijk, ze kunnen hierdoor ook nader onderzoek doen.

Wat doen de operators

Eigenlijk zou het mogelijk moeten worden om je nummer realtime om te kunnen zetten van de ene naar de andere operator. Zo zou je bij een grote storing – zoals we die ooit bij Vodafone zagen – snel weer bereikbaar kunnen zijn bij een andere operator. Je zou wellicht zelfs de mogelijkheid moeten hebben om je contract te beëindigen bij zo’n wanprestatie.

Op het moment dat dit mogelijk is, kun je vervolgens controleren of een operator die een nummer op het netwerk zet ook werkelijk de hoster is van dat telefoonnummer. In Nederland zouden bovenstaande zaken relatief eenvoudig mogelijk zijn.

Het grootste probleem bevindt zich niet hier, dat ontstaat in het buitenland. De Nederlandse markt is op bovenstaand gebied heel volwassen. De buitenlandse markt is dat niet. Daarbij zien we ook veel markt-protectionisme ontstaan. Zo leveren wij Franse nummers aan Franse klanten, maar accepteert de Franse markt onze gesprekken alleen als die ook via een Franse operator op het netwerk komen. Dit is voor een internetbedrijf lastig te begrijpen. Als ik je zou vertellen dat je alleen het Franse internet op mag als je in Frankrijk bent, zou je me voor gek verklaren. En als je bank je zou vertellen dat je alleen een betaling in Duitsland mag doen via een Duitse bank, zou je dat ook niet begrijpen.

Wat ook zou helpen, is meer toezicht. Je kunt case-by-case exact zien via welke operator frauduleus verkeer op het netwerk komt. Die operator kun je daar kritisch op aanspreken. Hier ligt een rol voor de bestaande toezichthouder, de ACM. De operator kan dit overigens ook heel goed zelf. In Nederland zijn het vooral de internationaal opererende telecomoperators die hierin kritisch naar hun verkeer mogen gaan kijken (kuch, KPN Wholesale). Het probleem is dat er geld wordt verdient met dit frauduleuze verkeer, dus de drijfveer om dit probleem aan te pakken is beperkt. Wel zien we dat er steeds meer zelfcontrole plaatsvindt.

Er zijn ook technische mogelijkheden om dit probleem aan te makken. STIR (Secure Telephony Identity Revisited)/Shaken is hiervan een voorbeeld. Dit mondiaal implementeren is echter een enorme uitdaging.

Als we kijken naar de robuustheid in het Nederlandse telecomnetwerk, dan start deze bij het sneller schakelen bij storingen. Vervolgens zou er actief CLI-controle kunnen plaatsvinden. Zo controleert de operator wat op het netwerk komt. Zowel telefoonspam als telefoonscams zijn dan snel verleden tijd. De markt zal hier zelf niet snel voor kiezen, daarom is een politieke zet. Wil die markt een politieke zet voorkomen? Dan is zelfcontrole de enige optie die overblijft. En met de toename van dit verkeer wordt het tijd dat de internationaal opererende telecomoperators hier vandaag nog mee aan de slag gaan.