Spoofing? Wat is dat nu weer en hoe weet ik zeker wie ik aan de lijn heb?

9 april 2019

“Goedemiddag, u spreekt met de servicedesk’. Het nummer op mijn display laat inderdaad het nummer van de servicedesk zien. ‘Er is iets mis met uw e-mail account. Kunnen wij samen de instellingen nalopen? Kunt u voor mij naar de volgende website gaan of uw gebruikersnaam en wachtwoord geven ter verificatie?’ Achteraf klinkt het zo logisch dat ik deze gegevens nooit via de telefoon had moeten afgeven, maar ik geloofde echt dat ik de servicedesk aan de lijn had. En ik wilde echt geen problemen met mijn e-mail account!”

Een voorbeeld uit onze dagelijkse praktijk. Het afgelopen jaar gaf 70% van de door ons geteste medewerkers van onze klanten hun loginnaam en wachtwoord af via de telefoon. Een techniek die voice-phishing (vhishing) wordt genoemd en waar Hoffmann haar klanten bewust van maakt en mee helpt om zo te voorkomen dat gevoelige informatie in verkeerde handen komt.

Maar een tweede techniek maakt het ineens nog veel moeilijker om kwaadwillenden buiten de deur te houden: Caller ID spoofing. Met caller ID spoofing doet iemand zich voor als een ander, door te bellen met een eigen telefoon, terwijl het telefoonnummer van een ander op het display verschijnt.

Deze techniek is al langer bekend en wordt vaak op een legale manier door bedrijven gebruikt, bijvoorbeeld om de doorkiesnummers van medewerkers af te schermen. Zij sturen dan alleen het algemene telefoonnummer mee. Een goede manier om de gewenste informatie bij de klant te krijgen.

Caller ID spoofing is extreem eenvoudig toe te passen. Er zijn meerdere websites die deze dienst aanbieden. Op deze websites wordt de dienst gepromoot voor privé (“Houd je familie en vrienden voor de gek!”) en zakelijke (“Uw klanten zien alleen uw zakelijke nummer.”) doeleinden. Maar juist omdat het zo eenvoudig is, wordt er ook misbruik van gemaakt.

Fraudeurs  kunnen hierdoor eenvoudig een valse hoedanigheid aannemen conform artikel 326 Wetboek van Strafrecht. Met caller ID spoofing kunt u zich voor doen als iemand anders, zoals bijvoorbeeld: een systeembeheerder, servicedeskmedewerker, leverancier, bankier, accountant of - in grote bedrijven - de directeur. En uw medewerkers kunnen door het zien van het “juiste” telefoonnummer op het verkeerde been worden gezet. De fraudeur kan dan tijdens het telefoongesprek informatie proberen te verkrijgen zoals:

  • Gebruikersnamen en wachtwoorden van uw medewerkers, indien mogelijk accounts resetten bij de servicedesk, om zo uw netwerk binnen te kunnen dringen.
  • Privacygevoelige persoonsgegevens, zoals BSN-nummers, rekeningnummers en adresgegevens
  • Vertrouwelijke informatie, bijvoorbeeld over patenten of andere bedrijfsgeheimen.

Omdat u denkt dat u een collega, relatie of leverancier aan de telefoon hebt, kan het zijn dat u gevraagd wordt een rekeningnummer te wijzigen, bestanden te wijzigen. Geldbedragen over te maken namens de directie. Deze laatste vorm van fraude wordt ook wel CEO-fraude genoemd. Het kan hierbij gaan om flinke bedragen.

Wat kunt u doen?

Natuurlijk ligt hier een taak voor de overheid en telecomproviders. De overheid zou maatregelen moeten nemen om het spoofen van telefoonnummers tegen te gaan. Daarnaast zouden telecomproviders maatregelen kunnen nemen om dit soort telefoontjes te blokkeren.

Omdat het in Nederland nog niet zover is, delen wij hier de vier belangrijkste tips om te voorkomen dat uw bedrijf schade lijdt door caller ID spoofing en voice-phishing:

  • Zorg dat uw medewerkers zich bewust zijn van dit gevaar.
  • Spreek met uw medewerkers af dat zij in een inkomend telefoongesprek nooit persoonlijke en/of vertrouwelijke informatie verstrekken. Laat ze in plaats daarvan vragen of ze op een later moment kunnen terugbellen.
  • Spreek met uw medewerkers af dat zij nooit telefonisch betalingsopdrachten aannemen. Van wie dan ook, ook niet van de CEO of CFO. En omdat het tegenwoordig ook mogelijk is om e-mailadressen te spoofen, leest u hier meer over hoe uw medewerkers om moeten gaan met betalingsverzoeken via de e-mail.
  • Maak goede afspraken met externe leveranciers over telefonische communicatie. Spreek bijvoorbeeld met hen af dat er nooit telefonisch over inloggegevens en wachtwoorden zal worden gecommuniceerd.

Meer weten?

Heeft u vragen over dit onderwerp? Of wilt u advies op maat, bijvoorbeeld over awareness en gedragsbeïnvloeding op de werkvloer? Neem dan gerust contact op met onze afdeling Cybersecurity via 088- 298 66 00. We zijn u graag van dienst.