Zijn telecomproviders aansprakelijk voor de gevolgen van telefoonspoofing?
woensdag 12 augustus 2020, 15:15 door Arnoud Engelfriet, 28 reacties
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Regelmatig wordt bericht over SMSjes of telefoongesprekken afkomstig van criminelen die gebruik maken van gespoofte telefoonnummers en zo hun geloofwaardigheid te vergroten. Denk aan nummers van banken of de overheid. Zijn telecombedrijven aansprakelijk wanneer zij dergelijke vormen van spoofing toestaan, en maakt het dan nog uit hoe actief zij daarop toezien?
Antwoord: Helaas komt het steeds vaker voor dat oplichters ("phishers", in het jargon) gebruik maken van gespoofte telefoonnummers. In februari werd bijvoorbeeld bericht dat de politie samen met de Nederlandse grootbanken een onderzoek is gestart naar het spoofen van telefoonnummers van banken door oplichters. Ik heb nog geen resultaten gelezen, maar het laat de urgentie van het probleem zien. Wanneer een slachtoffer het werkelijke nummer van een bank als beller ziet, zal hij eerder het verhaal geloven natuurlijk.
Het doet raar aan dat een beller andermans telefoonnummer kan meesturen. Deze situatie bestaat echter al heel lang. Er zijn namelijk legale toepassingen, zoals wanneer een bedrijf bij alle uitgaande telefoontjes het centrale nummer meestuurt. Dan komen terugbellende klanten niet bij een specifieke medewerker terecht maar altijd bij de telefoniste.
Raar is wel dat daarbij in de praktijk geen enkele beperking wordt gehanteerd, zoals dat het ingestelde nummer ergens aan jouw bedrijf gekoppeld moet zijn in de administratie van de telecomprovider. Ik weet niet waarom dat niet gebeurt.
Aansprakelijk voor problemen als gevolg van zo'n nepnummer is een telecomprovider niet. In de wet staat immers dat partijen die toegang geven tot communicatienetwerken niet aansprakelijk zijn voor de doorgegeven informatie (art. 6:196c lid 1 BW), en dat geldt dus ook voor telefonieproviders. Onder "informatie" valt ook metadata zoals het nummer van de afzender/beller.
Ik begrijp dat de ACM (de toezichthouder in deze sector) al sinds 2018 bezig is met telecomproviders samen te werken hier wat aan te doen. Ik kan geen specifieke wettelijke regels of beleidsregels vinden waar dit onder zou vallen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (28)
12-08-2020, 15:56 door
Anoniem
Vroeger betaalde je nog voor de dienst nummerweergave, zouden we wel een paar cent kunnen terugvragen?
12-08-2020, 16:00 door
Anoniem
Onder "informatie" valt ook metadata zoals het nummer van de afzender/beller.
Dat staat anders niet in dat wetsartikel! En je kunt je afvragen of het wel om "doorgeven van informatie" gaat in ditgeval, metadata is eigenlijk geen data die doorgeven wordt maar data die door het telecombedrijf aan de verbinding
wordt toegevoegd.
12-08-2020, 16:02 door
Anoniem
Nummers zijn nooit bedoeld geweest als identificatie.
Als ik jou een brief stuur en ik onderteken die met 'pietje', zou het natuurlijk ook best raar zijn als tante pos aansprakelijk is...
Kom op, het is maar nummer weergave. 20 jaar geleden deden we dat gewoon niet en toen bestond het probleem ook niet.
Als ik jou een brief stuur en ik onderteken die met 'pietje', zou het natuurlijk ook best raar zijn als tante pos aansprakelijk is...
Kom op, het is maar nummer weergave. 20 jaar geleden deden we dat gewoon niet en toen bestond het probleem ook niet.
12-08-2020, 16:03 door
Anoniem
IETF heeft iets vergelijkbaars gedefinieerd in 2000: https://tools.ietf.org/html/bcp38.
Waarom kunnentelefonie providers dit niet?
Waarom kunnentelefonie providers dit niet?
12-08-2020, 16:11 door
Anoniem
Door Anoniem: IETF heeft iets vergelijkbaars gedefinieerd in 2000: https://tools.ietf.org/html/bcp38.
Waarom kunnentelefonie providers dit niet?
Waarom kunnentelefonie providers dit niet?
Telco's kunnen het net zo goed als ISPs inderdaad. Ze doen het mogelijk zelfs BETER dan ISPs .
(enkele tientallen procenten IP space zijn spoofable .)
12-08-2020, 16:41 door
Anoniem
telecom bedrijven doen niets, omdat ze het flink geld oplevert als ze meeheulen met de criminelen.
elke cent voip gesprek is er 1 voor hen.
elke cent voip gesprek is er 1 voor hen.
12-08-2020, 17:52 door
Anoniem
Door Anoniem: IETF heeft iets vergelijkbaars gedefinieerd in 2000: https://tools.ietf.org/html/bcp38.
Waarom kunnentelefonie providers dit niet?
Om dezelfde reden als waarom internet providers het "niet kunnen". Ze verdienen er zelf niks mee, ze gaan er zelfWaarom kunnentelefonie providers dit niet?
niks op vooruit, dus gaan ze er geen geld aan besteden. Als je dan vraag waarom ze het niet doen dan zeggen ze
dat het moeilijk is, dat ze het niet kunnen.
De enige manier om dat gedrag weg te krijgen, is als degenen die het WEL goed willen doen de peerings kappen met
de niet-kunners (niet-willers). Dan verandert het wel.
12-08-2020, 19:22 door
Anoniem
Dan verandert het wel.
Waarom zou je het WILLEN veranderen?
12-08-2020, 20:30 door
Anoniem
Door Anoniem:
Om het misbruik te stoppen (de telefoon spoofing en het voeden van DDoS attack amplifiers via IP adres spoofing)Dan verandert het wel.
Waarom zou je het WILLEN veranderen?
13-08-2020, 08:05 door
Anoniem
Door Anoniem:
geval, metadata is eigenlijk geen data die doorgeven wordt maar data die door het telecombedrijf aan de verbinding
wordt toegevoegd.
Wijsneus! Ben jij juridisch onderlegd? Ik heb iets meer vertouwen in de uitleg van Anroud.Onder "informatie" valt ook metadata zoals het nummer van de afzender/beller.
Dat staat anders niet in dat wetsartikel! En je kunt je afvragen of het wel om "doorgeven van informatie" gaat in ditgeval, metadata is eigenlijk geen data die doorgeven wordt maar data die door het telecombedrijf aan de verbinding
wordt toegevoegd.
13-08-2020, 08:58 door
Anoniem
Aansprakelijk voor problemen als gevolg van zo'n nepnummer is een telecomprovider niet. In de wet staat immers dat partijen die toegang geven tot communicatienetwerken niet aansprakelijk zijn voor de doorgegeven informatie (art. 6:196c lid 1 BW), en dat geldt dus ook voor telefonieproviders. Onder "informatie" valt ook metadata zoals het nummer van de afzender/beller.
E-mailproviders bieden hun gebruikers al sinds jaar en dag spamfilters: een dienst waarmee bepaalde e-mails geblokkeerd of gemarkeerd worden. Telefoonproviders zouden wellicht op een vergelijkbare manier niet kloppende metadata kunnen markeren of verwijderen voor abonnees.
13-08-2020, 09:05 door
Anoniem
Door Anoniem:
Doorgeven van informatie is doorgeven van informatie. De metadata is informatie die wordt doorgegeven door de provider aangezien het de beller is die het toevoegt. Er is geen enkele reden waarom dit opeens niet onder dat wetsartikel zou vallen. Het zou expliciet moeten worden buitengesloten om er niet onder te vallen.Onder "informatie" valt ook metadata zoals het nummer van de afzender/beller.
Dat staat anders niet in dat wetsartikel!
13-08-2020, 10:21 door
Anoniem
Door Anoniem:
geval, metadata is eigenlijk geen data die doorgeven wordt maar data die door het telecombedrijf aan de verbinding
wordt toegevoegd.
Nope, dat is info die de verzender kan instellen in veel situaties.Onder "informatie" valt ook metadata zoals het nummer van de afzender/beller.
Dat staat anders niet in dat wetsartikel! En je kunt je afvragen of het wel om "doorgeven van informatie" gaat in ditgeval, metadata is eigenlijk geen data die doorgeven wordt maar data die door het telecombedrijf aan de verbinding
wordt toegevoegd.
Ik ga hier niet uitleggen hoe je dat doet :-)
13-08-2020, 10:24 door
Anoniem
Door Anoniem:
Helaas niet, de ontvangende Telco kan niet zien of de versturende Telco info klopt. Aansprakelijk voor problemen als gevolg van zo'n nepnummer is een telecomprovider niet. In de wet staat immers dat partijen die toegang geven tot communicatienetwerken niet aansprakelijk zijn voor de doorgegeven informatie (art. 6:196c lid 1 BW), en dat geldt dus ook voor telefonieproviders. Onder "informatie" valt ook metadata zoals het nummer van de afzender/beller.
E-mailproviders bieden hun gebruikers al sinds jaar en dag spamfilters: een dienst waarmee bepaalde e-mails geblokkeerd of gemarkeerd worden. Telefoonproviders zouden wellicht op een vergelijkbare manier niet kloppende metadata kunnen markeren of verwijderen voor abonnees.
13-08-2020, 10:48 door
Anoniem
Als numemrherkenning onebtrouwbaar is, dan voortaan geen nummerherkenning meer faciliteren.
En nummer weergave ook meteen stoppen.
Dan lost het hele probleem zich toch ook op?
Want numemrherkenning en -weergave zijn hét probleem.
In de pre-historie, toen nummerherkenning en -doorgifte nog niet bestonden, hadden we dit probleem dat iemand zich voordeet als een ander helemaal niet.
Nooit.
Never.
... Of misschien toch wel?
Maar nu is het digitaal, en is het opeens een groot probleem waar dé provider iets aan moet doen.
De goedkoopste oplossing voor iedereen: niet meer faciliteren van nummerweergave en -doorgifte.
En nummer weergave ook meteen stoppen.
Dan lost het hele probleem zich toch ook op?
Want numemrherkenning en -weergave zijn hét probleem.
In de pre-historie, toen nummerherkenning en -doorgifte nog niet bestonden, hadden we dit probleem dat iemand zich voordeet als een ander helemaal niet.
Nooit.
Never.
... Of misschien toch wel?
Maar nu is het digitaal, en is het opeens een groot probleem waar dé provider iets aan moet doen.
De goedkoopste oplossing voor iedereen: niet meer faciliteren van nummerweergave en -doorgifte.
13-08-2020, 10:54 door
Anoniem
Door Anoniem:
Aansprakelijk voor problemen als gevolg van zo'n nepnummer is een telecomprovider niet. In de wet staat immers dat partijen die toegang geven tot communicatienetwerken niet aansprakelijk zijn voor de doorgegeven informatie (art. 6:196c lid 1 BW), en dat geldt dus ook voor telefonieproviders. Onder "informatie" valt ook metadata zoals het nummer van de afzender/beller.
E-mailproviders bieden hun gebruikers al sinds jaar en dag spamfilters: een dienst waarmee bepaalde e-mails geblokkeerd of gemarkeerd worden. Telefoonproviders zouden wellicht op een vergelijkbare manier niet kloppende metadata kunnen markeren of verwijderen voor abonnees.En is door het bieden van die spamfilter het misbruik minder geworden, of alleen anders? De Nigeriaanse prinsen heulen nog steeds met hun erfenissen, je kan nog steeds "dingen" laten vergroten met pillen op het internet - allemaal geadverteerd via e-mail/spam.
Zo zal anti-spoofing van nummermelding ook niet helpen. Misschien heeeel eventjes, en daarna verzinnen de boefjes gewoon weer wat anders. Heeft jouw telco net voor een paar ton aan apparatuur uitgegeven, zijn ze nog bezig de kosten op jou te verhalen - nul effect.
13-08-2020, 12:15 door
Anoniem
Door Anoniem: Als numemrherkenning onebtrouwbaar is, dan voortaan geen nummerherkenning meer faciliteren.
En nummer weergave ook meteen stoppen.
Dan lost het hele probleem zich toch ook op?
Want numemrherkenning en -weergave zijn hét probleem.
In de pre-historie, toen nummerherkenning en -doorgifte nog niet bestonden, hadden we dit probleem dat iemand zich voordeet als een ander helemaal niet.
Nooit.
Never.
... Of misschien toch wel?
Maar nu is het digitaal, en is het opeens een groot probleem waar dé provider iets aan moet doen.
De goedkoopste oplossing voor iedereen: niet meer faciliteren van nummerweergave en -doorgifte.
Ik ben al een paar keer gebeld vanuit het buitenland, met een of ander reclame ding. In m'n android "block this number" aanklikken en ze kunnen bellen tot ze een ons wegen, ik merk er niets van. Heerlijk!En nummer weergave ook meteen stoppen.
Dan lost het hele probleem zich toch ook op?
Want numemrherkenning en -weergave zijn hét probleem.
In de pre-historie, toen nummerherkenning en -doorgifte nog niet bestonden, hadden we dit probleem dat iemand zich voordeet als een ander helemaal niet.
Nooit.
Never.
... Of misschien toch wel?
Maar nu is het digitaal, en is het opeens een groot probleem waar dé provider iets aan moet doen.
De goedkoopste oplossing voor iedereen: niet meer faciliteren van nummerweergave en -doorgifte.
Waarom zou je dit soort heerlijke functionaliteit weg willen doen "omdat we het vroeger ook niet hadden"???
Een beetje byzndere reactie, iets als "kind met het badwater weggooien" wat mij betreft
13-08-2020, 12:21 door
Anoniem
Door Anoniem:
niks op vooruit, dus gaan ze er geen geld aan besteden. Als je dan vraag waarom ze het niet doen dan zeggen ze
dat het moeilijk is, dat ze het niet kunnen.
De enige manier om dat gedrag weg te krijgen, is als degenen die het WEL goed willen doen de peerings kappen met
de niet-kunners (niet-willers). Dan verandert het wel.
Dit gebeurt ook al. Ik ken providers die twee peering contracten/verbindingen hebben:Door Anoniem: IETF heeft iets vergelijkbaars gedefinieerd in 2000: https://tools.ietf.org/html/bcp38.
Waarom kunnentelefonie providers dit niet?
Om dezelfde reden als waarom internet providers het "niet kunnen". Ze verdienen er zelf niks mee, ze gaan er zelfWaarom kunnentelefonie providers dit niet?
niks op vooruit, dus gaan ze er geen geld aan besteden. Als je dan vraag waarom ze het niet doen dan zeggen ze
dat het moeilijk is, dat ze het niet kunnen.
De enige manier om dat gedrag weg te krijgen, is als degenen die het WEL goed willen doen de peerings kappen met
de niet-kunners (niet-willers). Dan verandert het wel.
- één voor "goede" ISP's (die reageren op meldingen en bv. BCP 38 (http://www.bcp38.info/index.php/Main_Page implementeren
- een ander voor de "bad guys", die nergens op reageren en hun zaakjes niet op orde hebben.
De meeste ellende komt vanuit die tweede categorie. Door hun een beperkte bandbreedte te geven (bv. totale bandbreedte van 1Gbit voor de bad ISP's) heb je nog steeds connectivity, maar bv. geen last van DDOS van hen uit: immers het verkeer wordt al gechocked voordat het in je eigen gebied zit.
Dus het heeft ook nu al voordeel om een "good guy/ISP" te zijn
13-08-2020, 12:43 door
Anoniem
Banken bellen je zelden maar ze zouden per klant een unieke identificatie code in het leven moeten roepen die alleen de klant en de bank weten.
(fake) Bank belt mij: "Goedemiddag met de ABN Amro, weet u dat uw pas binnenkort verloopt?"
Ik: "Goedemiddag, wat is uw identificatie code?"
Bank: "Pietje puk haalt veel bananen."
Fake Bank: "Uhhhh"
(fake) Bank belt mij: "Goedemiddag met de ABN Amro, weet u dat uw pas binnenkort verloopt?"
Ik: "Goedemiddag, wat is uw identificatie code?"
Bank: "Pietje puk haalt veel bananen."
Fake Bank: "Uhhhh"
Door Anoniem 10:24:
De ontvangende Telco kan heel snel controleren dat het meegestuurde nummer van de versturende Telco is. Die opvraging moeten ze ook doen om een gesprek naar dat nummer af te leveren; dus daar zijn Telco's best bedreven in. Klopt dat niet; dan is de meegeleverde informatie vals. Dan blijven alleen de Telco's over die hun klanten toestaan om een nummer mee te geven dat niet van hun is. Deze Telco's zijn de hoofdoorzaak van dit probleem.Door Anoniem:
Helaas niet, de ontvangende Telco kan niet zien of de versturende Telco info klopt. Aansprakelijk voor problemen als gevolg van zo'n nepnummer is een telecomprovider niet. In de wet staat immers dat partijen die toegang geven tot communicatienetwerken niet aansprakelijk zijn voor de doorgegeven informatie (art. 6:196c lid 1 BW), en dat geldt dus ook voor telefonieproviders. Onder "informatie" valt ook metadata zoals het nummer van de afzender/beller.
E-mailproviders bieden hun gebruikers al sinds jaar en dag spamfilters: een dienst waarmee bepaalde e-mails geblokkeerd of gemarkeerd worden. Telefoonproviders zouden wellicht op een vergelijkbare manier niet kloppende metadata kunnen markeren of verwijderen voor abonnees.Als de ontvangende Telco ook de versturende Telco is kan deze verifieren dat het meegestuurde nummer hoort bij de aansluiting van de klant die het gesprek opzet.
13-08-2020, 13:19 door
Anoniem
Door buttonius:
Als de ontvangende Telco ook de versturende Telco is kan deze verifieren dat het meegestuurde nummer hoort bij de aansluiting van de klant die het gesprek opzet.
De zendende Telco weet exact wie de bellende partij is, daar zorgt hij wel voor want hij wil daar een factuur voor kunnen sturen. De gebruikte signalling (SS7, zie https://en.wikipedia.org/wiki/Signalling_System_No._7) staat toe dat de zendende (bellende) partij een ander nummer mee kan sturen, en kan dus eenvoudigweg op dat moment al de verbinding verbreken en de bellende partij (na betalen van een boete en aan de schandpaal spijkeren bij de collega telco's) afsluiten.Door Anoniem 10:24:
De ontvangende Telco kan heel snel controleren dat het meegestuurde nummer van de versturende Telco is. Die opvraging moeten ze ook doen om een gesprek naar dat nummer af te leveren; dus daar zijn Telco's best bedreven in. Klopt dat niet; dan is de meegeleverde informatie vals. Dan blijven alleen de Telco's over die hun klanten toestaan om een nummer mee te geven dat niet van hun is. Deze Telco's zijn de hoofdoorzaak van dit probleem.Door Anoniem:
Helaas niet, de ontvangende Telco kan niet zien of de versturende Telco info klopt. Aansprakelijk voor problemen als gevolg van zo'n nepnummer is een telecomprovider niet. In de wet staat immers dat partijen die toegang geven tot communicatienetwerken niet aansprakelijk zijn voor de doorgegeven informatie (art. 6:196c lid 1 BW), en dat geldt dus ook voor telefonieproviders. Onder "informatie" valt ook metadata zoals het nummer van de afzender/beller.
E-mailproviders bieden hun gebruikers al sinds jaar en dag spamfilters: een dienst waarmee bepaalde e-mails geblokkeerd of gemarkeerd worden. Telefoonproviders zouden wellicht op een vergelijkbare manier niet kloppende metadata kunnen markeren of verwijderen voor abonnees.Als de ontvangende Telco ook de versturende Telco is kan deze verifieren dat het meegestuurde nummer hoort bij de aansluiting van de klant die het gesprek opzet.
Q
13-08-2020, 14:22 door
Anoniem
Door Anoniem:
Telco's kunnen het net zo goed als ISPs inderdaad. Ze doen het mogelijk zelfs BETER dan ISPs .
(enkele tientallen procenten IP space zijn spoofable .)
Door Anoniem: IETF heeft iets vergelijkbaars gedefinieerd in 2000: https://tools.ietf.org/html/bcp38.
Waarom kunnentelefonie providers dit niet?
Waarom kunnentelefonie providers dit niet?
Telco's kunnen het net zo goed als ISPs inderdaad. Ze doen het mogelijk zelfs BETER dan ISPs .
(enkele tientallen procenten IP space zijn spoofable .)
Dit is een beetje een vreemde metric want het is niet "de IP space die wel of niet spoofable" is, maar de internet
toegang aanbieders die wel of niet toelaten om het source adres te spoofen. Natuurlijk hebben die internet aanbieders
ook zelf IP space, maar dat is tamelijk irrelevant in deze.
Ik zou daarom wel eens willen weten waar je dat getal (enkele tientallen procenten) vandaan hebt, en of die partij
geacht kan worden iets te snappen van het probleem. Ik denk van niet.
13-08-2020, 14:29 door
Anoniem
Door Anoniem:
Ik ga hier niet uitleggen hoe je dat doet :-)
Het is officieel data die de provider moet toevoegen en als die dat aan de klant overlaat moet ie controleren of erDoor Anoniem:
geval, metadata is eigenlijk geen data die doorgeven wordt maar data die door het telecombedrijf aan de verbinding
wordt toegevoegd.
Nope, dat is info die de verzender kan instellen in veel situaties.Onder "informatie" valt ook metadata zoals het nummer van de afzender/beller.
Dat staat anders niet in dat wetsartikel! En je kunt je afvragen of het wel om "doorgeven van informatie" gaat in ditgeval, metadata is eigenlijk geen data die doorgeven wordt maar data die door het telecombedrijf aan de verbinding
wordt toegevoegd.
Ik ga hier niet uitleggen hoe je dat doet :-)
geldige informatie is geleverd. Dat is dus heel wat anders dan de normale, neutraal doorgegeven, informatie!
Dat er bedrijven zijn die het allemaal niks kan schelen en toelaten dat hun klanten frauderen dat weten we.
13-08-2020, 15:45 door
Anoniem
Door Anoniem:
Dit is een beetje een vreemde metric want het is niet "de IP space die wel of niet spoofable" is, maar de internet
toegang aanbieders die wel of niet toelaten om het source adres te spoofen. Natuurlijk hebben die internet aanbieders
ook zelf IP space, maar dat is tamelijk irrelevant in deze.
Ik zou daarom wel eens willen weten waar je dat getal (enkele tientallen procenten) vandaan hebt, en of die partij
geacht kan worden iets te snappen van het probleem. Ik denk van niet.
Door Anoniem:
Telco's kunnen het net zo goed als ISPs inderdaad. Ze doen het mogelijk zelfs BETER dan ISPs .
(enkele tientallen procenten IP space zijn spoofable .)
Door Anoniem: IETF heeft iets vergelijkbaars gedefinieerd in 2000: https://tools.ietf.org/html/bcp38.
Waarom kunnentelefonie providers dit niet?
Waarom kunnentelefonie providers dit niet?
Telco's kunnen het net zo goed als ISPs inderdaad. Ze doen het mogelijk zelfs BETER dan ISPs .
(enkele tientallen procenten IP space zijn spoofable .)
Dit is een beetje een vreemde metric want het is niet "de IP space die wel of niet spoofable" is, maar de internet
toegang aanbieders die wel of niet toelaten om het source adres te spoofen. Natuurlijk hebben die internet aanbieders
ook zelf IP space, maar dat is tamelijk irrelevant in deze.
Ik zou daarom wel eens willen weten waar je dat getal (enkele tientallen procenten) vandaan hebt, en of die partij
geacht kan worden iets te snappen van het probleem. Ik denk van niet.
Ontzettend veel stats, ik heb maar even de grove getallen van de summary genomen.
https://spoofer.caida.org/summary.php
De partij snapt het onzettend goed
In NL kon men uit 6.6% van de geteste IP prefixen spoofen, zie je onderaan.
Er zijn natuurlijk veel metrics te verzinnen - aantal ISPs, maar dan negeer je de schaal van de ISP, en dus het aantal mensen/systemen dat kan spoofen. Aantal AS'en , maar dan negeer je ook het aantal gebruikers/hosts dat kan spoofen .
Per-(source) prefix - ook dat negeert feitelijk het aantal systemen/gebruikers .
Ik ken eigenlijk geen ander IP -spoofability-meetproject.
En helaas ook geen equivalent overzicht voor Telco-nummer-spoofability. Maar met de wereldwijde IP-percentages denk ik niet dat de IP/ISP wereld zich al te hard op de borst kan kloppen versus de Telco wereld.
13-08-2020, 15:47 door
Anoniem
Door buttonius:
Als de ontvangende Telco ook de versturende Telco is kan deze verifieren dat het meegestuurde nummer hoort bij de aansluiting van de klant die het gesprek opzet.
Door Anoniem 10:24:
De ontvangende Telco kan heel snel controleren dat het meegestuurde nummer van de versturende Telco is. Die opvraging moeten ze ook doen om een gesprek naar dat nummer af te leveren; dus daar zijn Telco's best bedreven in. Klopt dat niet; dan is de meegeleverde informatie vals. Dan blijven alleen de Telco's over die hun klanten toestaan om een nummer mee te geven dat niet van hun is. Deze Telco's zijn de hoofdoorzaak van dit probleem.Door Anoniem:
Helaas niet, de ontvangende Telco kan niet zien of de versturende Telco info klopt. Aansprakelijk voor problemen als gevolg van zo'n nepnummer is een telecomprovider niet. In de wet staat immers dat partijen die toegang geven tot communicatienetwerken niet aansprakelijk zijn voor de doorgegeven informatie (art. 6:196c lid 1 BW), en dat geldt dus ook voor telefonieproviders. Onder "informatie" valt ook metadata zoals het nummer van de afzender/beller.
E-mailproviders bieden hun gebruikers al sinds jaar en dag spamfilters: een dienst waarmee bepaalde e-mails geblokkeerd of gemarkeerd worden. Telefoonproviders zouden wellicht op een vergelijkbare manier niet kloppende metadata kunnen markeren of verwijderen voor abonnees.Als de ontvangende Telco ook de versturende Telco is kan deze verifieren dat het meegestuurde nummer hoort bij de aansluiting van de klant die het gesprek opzet.
Je bent niet verplicht om je ingaande en uitgaande gesprekken bij dezelfde Telco te laten lopen.
Mensen met carrier-preselect of VoIP knallers weten daar alles van.
13-08-2020, 21:55 door
bollie
Hallo Arnoud,
In Canada wordt er volop actie ondernomen op dit vlak.....
Zie:
https://crtc.gc.ca/eng/archive/2019/2019-402.htm
Quote:
In Canada wordt er volop actie ondernomen op dit vlak.....
Zie:
https://crtc.gc.ca/eng/archive/2019/2019-402.htm
Quote:
The Commission also noted that the Internet Engineering Task Force (IETF)Footnote 3 has developed a technical standard, referred to as STIR [Secure Telephony Identity Revisited], which would provide a means for call-originating TSPs to certify the identity of callers, thus enabling the caller’s identity to be validated. In conjunction with STIR, the Alliance for Telecommunications Industry Solutions (ATIS)Footnote 4 has developed a framework, referred to as SHAKEN [Signature-based Handling of Asserted information using toKENs] (see ATIS-1000080), for the implementation of STIR in IP-based service providers’ networks.
13-08-2020, 22:04 door
Anoniem
De zendende Telco weet exact wie de bellende partij is, daar zorgt hij wel voor want hij wil daar een factuur voor kunnen sturen. De gebruikte signalling (SS7, zie https://en.wikipedia.org/wiki/Signalling_System_No._7) staat toe dat de zendende (bellende) partij een ander nummer mee kan sturen, en kan dus eenvoudigweg op dat moment al de verbinding verbreken en de bellende partij (na betalen van een boete en aan de schandpaal spijkeren bij de collega telco's) afsluiten.
Q
Maar waarom zou je het willen? Wat maakt het uit wat er voor een nummer mee gestuurd is?Q
Het probleem is dat mensen blijkbaar zo dom zijn om te denken dat een nummer een identificatie van de beller is. Zoals al eerder in dit topic aangehaald: de brief ondertekend door pietje... Waarom zou een nummer moeten kloppen??
14-08-2020, 11:20 door
Anoniem
Vroeger betaalde je nog voor de dienst nummerweergave, zouden we wel een paar cent kunnen terugvragen?
Denk je dat je bij de Albert Heijn prijsverhogingen van de afgelopen jaren kan gaan terug vragen ? Of compensatie, omdat sommige verpakkingen stuk kleiner zijn geworden en minder bevatten ? Da's helaas gewoon commercie.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Wij zijn op zoek naar een ervaren en gecertificeerde CISO die een bewezen track record heeft in het verder volwassen maken van de security functie binnen (overheids) organisaties. Het takenpakket van de CISO heeft een organisatie breed karakter en gaat veel verder dan ICT alleen.
Consultant Assets & Security
Wij zoeken een gemotiveerde en kundige collega die samen met ons onder andere zorg draagt voor het ontwikkelen en beheren van onze assets en in het bijzonder de informatiebeveiliging van deze assets. Iets voor jou? Meer weten of direct solliciteren!
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.