Europol heeft een krachtige oproep gedaan om actie te ondernemen tegen spoofing van nummerherkenning, waarin wordt gewaarschuwd dat de techniek steeds vaker door fraudeurs wordt gebruikt om aanvallen op financiële criminaliteit en social engineering te vergemakkelijken. Het bureau stelt dat fraudeurs het nummer manipuleren dat aan de ontvangers van de oproep wordt getoond, zodat de oproep afkomstig lijkt te zijn van een vertrouwde instelling, een overheidsinstantie of een bekend contactpersoon. Deze verkeerd weergegeven identiteit stelt criminelen in staat om slachtoffers te verleiden tot het vrijgeven van persoonlijke gegevens, het autoriseren van betalingen of het overhandigen van gevoelige gegevens.
In zijn rapport is Europol notes verantwoordelijk voor ongeveer 64 procent van de gemelde gevallen van frauduleuze telefooncommunicatie wereldwijd, en dat de verliezen als gevolg van dit soort aanvallen worden geschat op ongeveer 850 miljoen euro per jaar.
De dreiging is niet beperkt tot één land of regio, aangezien het grensoverschrijdende karakter van deze aanvallen rechtshandhavingsonderzoeken bemoeilijkt, omdat aanvallers vaak oproepen van buiten het land van het slachtoffer ontvangen, waardoor de traceerbaarheid wordt verminderd.
Spoofing van nummerherkenning is niet alleen een ergernis of overlast. Het is een belangrijke factor bij ernstigere fraude. Uit de analyse van Europol blijkt dat vervalste oproepen criminelen helpen zich voor te doen als legitieme organisaties, waardoor slachtoffers veel meer geneigd zijn om aan eisen te voldoen. Criminelen kunnen zich bijvoorbeeld voordoen als een bank, een belastingdienst of een nutsbedrijf en vervolgens een persoon overtuigen om geld over te maken of inloggegevens te onthullen.
De techniek ondersteunt ook zogenaamde “technische ondersteuning”-zwendel waarbij bellers beweren van een bekend bedrijf te zijn en slachtoffers vragen om software voor externe toegang te installeren. Zodra de controle over het apparaat is verleend, kunnen criminelen gegevens extraheren, malware installeren of geld omleiden. In extreme gevallen wijst de groep op “swatting”-incidenten waarbij een vervalste oproep een reactie van de hulpdiensten op het huisadres van het slachtoffer veroorzaakt, waardoor een risico voor leven en eigendommen ontstaat.
Europol waarschuwt dat spoofing vaak wordt aangeboden als een “dienst” door criminele groepen. Ze bieden tools, infrastructuur of platforms waarmee anderen vervalste gesprekken kunnen voeren zonder diepgaande technische kennis. Het bestaan van dergelijke diensten verlaagt de toetredingsdrempel voor fraude, waardoor zelfs kleine actoren sterke misleidingstactieken kunnen gebruiken.
Waarom staat Europa voor bijzondere uitdagingen?
Europese wetshandhavingsinstanties erkennen verschillende structurele uitdagingen bij de bestrijding van spoofing. De telecomnetwerken en -regelgeving van veel landen zijn niet gebouwd met fraudepreventie of verificatie van de identiteit van de beller als een centraal aandachtspunt. Als gevolg hiervan kunnen vervalste nummers worden gerouteerd via verschillende netwerken, waaronder Voice over Internet Protocol-kanalen, wat het traceren van de oorsprong bemoeilijkt en de handhaving bemoeilijkt.
Uit een enquête van Europol in 23 landen bleek dat rechtshandhavingsinstanties vaak geen samenwerkingsmechanismen hebben met telecomexploitanten, beperkte toegang hebben tot technische gegevens over vervalste oproepen en te maken hebben met wetgeving die grensoverschrijdend inconsistent is. Wanneer bijvoorbeeld een vervalst nummer afkomstig lijkt te zijn uit een land, maar de beller zich daarbuiten bevindt, worden de wettelijke kaders voor onderzoek en wederzijdse bijstand overbelast en traag.
Bovendien verifiëren veel netwerken de identificatie van de beller (CLI) niet bij het tot stand brengen van oproepen. Zonder verificatie van het weergegeven nummer kunnen gebruikers gemakkelijk worden misleid en kunnen providers de ware bron van de oproep niet betrouwbaar achterhalen. Volgens Europol is de gefragmenteerde uitvoering van technische normen in de lidstaten een van de hoofdoorzaken van kwetsbaarheid.
Financiële impact en menselijke kosten van spoofing
Hoewel precieze wereldwijde cijfers moeilijk vast te stellen zijn, geeft de schatting van Europol van verliezen van ongeveer 850 miljoen euro per jaar een duidelijke indicatie van de omvang. Het feit dat 64 procent van de frauduleuze oproepen wereldwijd betrekking heeft op spoofing van nummerherkenning, onderstreept de centrale rol ervan in moderne fraude.
Personen die het doelwit zijn van vervalste oproepen kunnen niet alleen financiële verliezen lijden, maar ook emotionele en psychologische schade. Slachtoffers voelen zich vaak geschonden, in verlegenheid gebracht of beschaamd, wat de melding en het herstel kan vertragen. Financieel kunnen ze spaargeld verliezen, frauduleuze leningen ontvangen of te maken krijgen met identiteitsdiefstal die gevolgen op de lange termijn heeft. Organisaties kunnen ook te maken krijgen met reputatieschade wanneer hun naam of nummer wordt vervalst in grote campagnes.
Omdat de techniek gebruikmaakt van vertrouwen, met behulp van een bekend of vertrouwd nummer, is de kans groter dat slachtoffers aan verzoeken voldoen. Een telefoontje dat zich voordoet als een bank of toezichthouder kan bijvoorbeeld leiden tot onmiddellijke naleving onder waargenomen autoriteit, waardoor een slachtoffer minder tijd heeft om vragen te stellen of na te denken over het verzoek.
Welke technische en regelgevende maatregelen nodig zijn
Europol schetst een veelzijdige strategie om spoofing van nummerherkenning tegen te gaan. Een technische maatregel is het opzetten van robuuste traceback-systemen waarmee telefoongesprekken hop-voor-hop kunnen worden getraceerd totdat de afzender is geïdentificeerd. Zonder dergelijke tools kunnen vervoerders de ware bron van vervalst verkeer mogelijk niet identificeren.
Een andere prioriteit is de authenticatie van oorsprongsnummers. Netwerken moeten bijvoorbeeld controleren of een nummer dat als beller-ID wordt gebruikt, daadwerkelijk toebehoort aan het abonneeaccount van de beller, en dat oproepen die vanuit het buitenland naar een land worden doorgestuurd, informatie moeten bevatten die de herkomst verifieert. Het vaststellen van wereldwijde standaarden voor CLI-authenticatie is cruciaal.
Op het gebied van regelgeving roept Europol op tot geharmoniseerde kaders in heel Europa, zodat exploitanten en rechtshandhavingsinstanties volgens consistente regels werken. Dit omvat duidelijke wettelijke mandaten voor telecomoperators om oproepgegevens te delen, snel mee te werken aan onderzoeken en databases met bekende vervalste nummers te blokkeren.
Rol van telecomoperatoren en belanghebbenden
Aanbieders van telecommunicatie spelen een sleutelrol bij preventie. Ze zijn verantwoordelijk voor het implementeren van nummervalidatie, het filteren van verdachte oproepen, het delen van telemetrie met wetshandhavers en het identificeren van misbruik van legitieme nummers. Europol benadrukt dat veel luchtvaartmaatschappijen nog steeds opereren zonder voldoende intern toezicht op vervalst verkeer, of zonder integratie met rechtshandhavingskanalen.
Brancheorganisaties en regelgevers moeten ook ingrijpen. Telecomregulatoren kunnen bijvoorbeeld providers verplichten om “Calling Line Identification-authenticatie” of soortgelijke kaders aan te nemen, nalevingsvereisten uit te vaardigen voor het routeren van internationale oproepen en boetes op te leggen aan providers die vervalst verkeer mogelijk maken. Coördinatie tussen nationale regelgevers, exploitanten en wetshandhavers is essentieel omdat spoofingcampagnes vaak over rechtsgebieden heen springen.
Consumentenbewustzijn is een andere factor. Zelfs de beste technische verdediging zal falen als individuen een nummer blindelings blijven vertrouwen. Eindgebruikers moeten worden getraind om onverwachte oproepen in twijfel te trekken, onafhankelijk officiële contactkanalen te controleren en te voorkomen dat gevoelige informatie wordt verstrekt alleen omdat een vertrouwd nummer op het scherm verschijnt.
Wat u kunt doen om uzelf te beschermen tegen spoofing
Vanuit een persoonlijk of zakelijk perspectief kunnen verschillende praktijken het risico van spoofing verminderen. Ten eerste, wanneer u oproepen ontvangt met het verzoek om doorverbinden, tweefactorauthenticatie of inloggegevens, moet u de beller als verdacht behandelen, tenzij deze onafhankelijk is geverifieerd. Bedrijven moeten werknemers ook trainen om onverwachte oproepen in twijfel te trekken, zelfs als ze vertrouwde beller-ID’s weergeven.
Ten tweede helpt het om een beleid van “verifiëren” te handhaven. Hang op, zoek het officiële nummer van de organisatie en bel ze terug in plaats van het inkomende nummer te gebruiken. Dit zorgt ervoor dat u geen interactie heeft met een vervalst nummer. Bedrijven moeten deze regel handhaven voor financiële afdelingen, HR-teams of iedereen met toegang tot gevoelige gegevens of betalingen.
Ten derde, gebruik oproepfiltering, blokkeerlijsten en monitoring van verdachte nummers op organisatieniveau. Als uw bedrijf grote transacties omvat, kan het opvragen van oproepgegevens van providers voor verdachte inkomende oproepen de politie helpen vervalst verkeer op te sporen.
Ten slotte moeten individuen alert blijven. Wees vooral voorzichtig als een vertrouwd nummer belt en vraagt om betaling, persoonlijke gegevens of software-installatie zonder het verzoek te verifiëren. Het melden van verdachte oproepen aan toezichthouders of vervoerders helpt bij het opbouwen van informatie die fraudeurs de schaal kan ontzeggen die ze nodig hebben.