Je leest:

Vals telefoontje met vishing en VoIP

Vals telefoontje met vishing en VoIP

Auteur: | 21 oktober 2010

Wanneer je bankiert op internet, weet je dat je moet letten op de ‘echtheid’ van de website. Maar doe je dat ook bij een telefoongesprek? Zou wel moeten, want ‘vishing’ is in opkomst en door de overgang naar digitaal bellen, nemen de risico’s toe.

Nee, vishing is niet ‘fishing’ met een spelfout. Het is een samenvoeging van voice en phishing. Dat laatste is het ‘afvangen’ van gevoelige gegevens door een valse website te gebruiken, die precies lijkt op het origineel. Zo kun je nietsvermoedend inloggen op de site van je bank, terwijl dat eigenlijk een nep-site is, opgezet door fraudeurs. Vishing maakt gebruik van zo’n zelfde trucje, maar dan via de telefoon.

Flickr: Drew Leavy

Hoe vishing kan gaan

Meneer Smit wordt gebeld: “Dag meneer Smit, we hebben ongebruikelijke activiteiten op uw rekening waargenomen. U moet direct met xxxx-xxxxxx bellen om eventuele problemen op te lossen of te voorkomen.” Meneer Smit ziet op zijn display dat het telefoonnummer afkomstig is van zijn bank en hij belt dan ook direct het opgegeven nummer. “Welkom bij de De Bank. Toets ter controle na de piep uw geboortedatum in.” Aangezien de welkomstboodschap klinkt zoals altijd, geeft Meneer Smit nietsvermoedend al zijn belangrijke gegevens op, zoals zijn creditcardnummer en pincode.

Vooral het zien van het juiste telefoonnummer zet Meneer Smit op het verkeerde been. Van websites en e-mails weet je dat je voorzichtig moet zijn, maar de telefoon vertrouwen veel mensen blindelings. Een vals telefoonnummer in beeld brengen, is met de komst van VoIP echter niet meer zo ingewikkeld.

Bellen in pakketjes

VoIP staat voor Voice over IP. Het is een techniek waarbij spraak niet over de telefoonlijn, maar via het internet loopt. De telefoon gebruikt dan dezelfde lijn die je computer gebruikt om op internet te komen. Dat kan niet zomaar; je hebt een speciale telefoon nodig die het spraaksignaal omzet of een apparaatje tussen je gewone telefoon en de internetkabel. Daarnaast heb je nog een VoIP-provider nodig. Dat is een bedrijf wat voor jou de signalen op de juiste manier over internet gaat versturen.

Het klinkt misschien allemaal nieuw, maar veel mensen bellen al met VoIP. Wanneer je namelijk overstapt naar ‘digitaal bellen’ dan ga je eigenlijk VoIP-en. Het kastje dat je krijgt van bijvoorbeeld KPN, UPC of Tele2 zet de signalen om en verstuurt ze via het Web. De afbeelding hieronder toont hoe je VoIP thuis vaak in z’n werk gaat.

Vaak is het zo dat de gewone telefoon verbonden is met het apparaat dat je krijgt van je provider (KPN, UPC, etc.). Die zet de audiosignalen vervolgens om en verstuurt de pakketjes via het internet.

Het digitaal bellen heeft veel voordelen. Het is bijvoorbeeld vaak een stuk voordeliger, vooral bij bellen naar het buitenland. Een keerzijde is echter dat het ook voordelen biedt voor mensen met minder goede bedoelingen.

Caller ID spoofing

Omdat de verbinding niet meer (geheel) via speciale telefoonlijnen loopt, heeft het telefoonnummer minder betekenis gekregen. Bij gewone telefonie kun je aan het telefoonnummer veelal zien waarvandaan gebeld wordt: bij het nummer ‘0031 12 345 6789’ geeft 0031 het land aan, 12 is het netnummer (gemeente) en 3456789 is het abonneenummer. De ‘345’ van dat nummer kan ook nog voor veel mensen gelijk zijn, bijvoorbeeld per dorp of straat.

Bij VoIP wordt het spraaksignaal echter in kleine pakketjes over het internet verstuurd en dat werkt niet met telefoonnummers, maar met IP-adressen. Er wordt wel een telefoonnummer ‘bijgeplakt’, want anders kunnen mensen je niet (terug)bellen, maar omdat dat ‘bijplakken’ door het modem zelf gedaan wordt en niet meer vastligt door de vaste telefoonbekabeling, kan er makkelijker mee gesjoemeld worden.

Zo vond telefoonhacker ‘Lucky225’ in 2003 een lek in Vonage, een VoIP-provider. Lucky225 hackte de software van het modem zodat Vonage wel het echte nummer kreeg, maar een ander, zelf gekozen nummer doorstuurde naar degene die hij belde. Tegenwoordig zijn er meerdere technieken in omloop voor dit zogenaamde caller ID spoofing.

Het meest eenvoudig is het gebruik van een spoofing dienst. Neem bijvoorbeeld SpoofTel. Wanneer je bij dat bedrijf een account aanmaakt, kun je via een programma op je computer of via de website een spoof-telefoontje plegen. Je geeft op vanaf welk nummer je écht belt en welk nummer je aan de andere kant wilt laten zien. Vervolgens gaat jouw eigen telefoon over en zodra je opneemt, maakt SpoofTel de verbinding met de andere kant, waar vervolgens jouw zelf gekozen nummer in beeld verschijnt.

Beveiliging

Nu het zo eenvoudig geworden is een nepnummer in beeld te brengen, wordt vishing steeds populairder. Onderzoekers van de Amerikaanse universiteit Georgia Tech hebben daarom een systeem ontwikkeld dat valse telefoontjes kan detecteren.

h4. Niet illegaal Er zijn natuurlijk ook legitieme redenen om een ‘nepnummer’ te gebruiken. Wanneer een huisarts naar een patiënten belt bijvoorbeeld en hij zijn nummer liever geheim houdt. Of een bedrijf dat veel telefoonlijnen heeft, maar alle uitgaande gesprekken één nummer mee wil geven.

Het systeem, genaamd PinDr0p, werkt met een ‘digitale vingerafdruk’. Bij het bellen wordt een audiosignaal onderweg altijd iets ‘beschadigd’ door het netwerk: bij VoIP kunnen bijvoorbeeld pakketjes kwijtraken en gewone telefoonlijnen kunnen ruis aan het signaal toevoegen. Elk telefoontje krijgt zo een bepaalde combinatie van beschadigingen mee, die hoort bij een bepaalde route over het netwerk. PinDr0p analyseert deze ‘digitale vingerafdruk’ en kan hiermee vaststellen waar het signaal oorspronkelijk vandaan komt.

PinDr0p moet de vingerafdrukken echter wel ergens mee kunnen vergelijken. Om het systeem te testen, analyseerde de onderzoekers in totaal 16 telefoontjes vanuit allerlei landen. Op basis hiervan maakten ze een digitale vingerafdruk voor elke locatie. Daarna belden ze nog eens vanuit elke locatie en toen wisten ze in 90% van de gevallen waar het telefoontje vandaan kwam. Bij meerdere vingerafdrukken per locatie was de detectie nog hoger: bij twee vingerafdrukken 96.25% en bij vijf zelfs 100%.

Er is dus wel iets tegen te doen, maar voorlopig zit zo’n systeem nog niet in jouw telefoon. Daarnaast zou er dan een grote database aan vingerafdrukken samengesteld moeten worden. Je zult daarom zelf goed op moeten blijven letten en je persoonlijke informatie nooit zomaar afgeven.

Zie ook:

Lees meer over telefonie op Kennislink:

Oeps: Onbekende tag `feed’ met attributen {"url"=>"https://www.nemokennislink.nl/kernwoorden/digitaal-bellen/telefonie/telefoon/mobiele-telefoon/mobiel-bellen/index.atom?m=of", “max”=>"10", “detail”=>"minder"}

Dit artikel is een publicatie van NEMO Kennislink.
© NEMO Kennislink, sommige rechten voorbehouden
Dit artikel publiceerde NEMO Kennislink op 21 oktober 2010

Discussieer mee

0

Vragen, opmerkingen of bijdragen over dit artikel of het onderwerp? Neem deel aan de discussie.

NEMO Kennislink nieuwsbrief
Ontvang elke week onze nieuwsbrief met het laatste nieuws uit de wetenschap.