Waarom telefonische oplichting zo moeilijk aan te pakken is

Waarom telefonische oplichting zo moeilijk aan te pakken is

Door Mary-Ann Russon
Zakelijke verslaggever, BBC News

Gepubliceerd1 dag geledenDelencloseDeel paginaKopieer linkOver delenafbeeldingsbronGetty ImagesafbeeldingsonderschriftTelefoonfraude is enorm toegenomen tijdens de pandemie

Velen van ons weigeren nu telefoontjes van een onbekend nummer te beantwoorden, uit angst dat het oplichting zou kunnen zijn.

En we zijn bang om een ​​sms te ontvangen, zogenaamd van onze bank of een bezorgbedrijf, opnieuw vanwege de bezorgdheid dat het van fraudeurs zou kunnen zijn.

Een recent rapport suggereert dat we terecht voorzichtig zijn. In de 12 maanden tot maart 2021 was het aantal telefoontjes en sms-fraude in Engeland, Wales en Noord-Ierland met 83% gestegen ten opzichte van het voorgaande jaar, volgens consumentengroep Which?.

Die? analyseerde gegevens van Action Fraud, het nationale meldpunt voor fraude en cybercriminaliteit in het VK, en zegt dat dit de grootste stijging was van alle soorten frauduleuze aanvallen.

Het voegt eraan toe dat de sprong werd aangewakkerd door meer mensen die dingen bezorgden tijdens de pandemie, wat leidde tot een overeenkomstige enorme toename van valse sms-berichten voor pakketbezorging.

afbeeldingsbronGetty ImagesafbeeldingsonderschriftDe toename van fraude bij het bezorgen van sms-berichten is enorm gestegen naarmate meer van ons online hebben gekocht

Bij deze ‘smishing’-aanvallen sturen fraudeurs een persoon een bericht, schijnbaar van een legitiem nummer, om te beweren dat er een kleine betaling nodig is voordat een pakket kan worden afgeleverd. Wanneer u vervolgens op de link klikt, proberen ze uw bankgegevens te stelen.

Maar hoe kunnen de fraudeurs dit precies en waarom is het zo moeilijk voor telecombedrijven en overheden om het probleem aan te pakken?

Matthew Gribben, een cyberbeveiligingsexpert, zegt dat criminelen het kunnen laten lijken alsof hun telefoontje of sms afkomstig is van het echte telefoonnummer van een bank of bezorgbedrijf, vanwege aanhoudende kwetsbaarheden in het VK (en andere landen) telefoonnetwerksystemen.

“Het huidige Britse telefoonnetwerk kan op geen enkele manier 100% garanderen dat het presentatienummer dat het wordt verteld het daadwerkelijke nummer is – het moet je op je woord geloven”, zegt dhr. Gribben, een voormalig adviseur van GCHQ. de inlichtingendienst van de Britse regering.

De kern van het probleem is een telefonisch identificatieprotocol genaamd SS7, dat dateert uit 1975. Het is een beetje ingewikkeld, maar geduld met ons.

SS7 vertelt het telefoonnetwerk vanaf welk nummer een gebruiker belt of sms’t, ook wel het “presentatienummer” genoemd. Dit is cruciaal om gesprekken van de een naar de ander te kunnen doorverbinden. Het probleem is dat fraudeurs een presentatienummer kunnen stelen en dit vervolgens aan hun eigen nummer kunnen koppelen.

Het probleem treft zowel vaste als mobiele telefoons, waarbij SS7 nog steeds centraal staat in de 2G- en 3G-delen van mobiele telefoonnetwerken die onze spraakoproepen en sms-berichten blijven verzenden – zelfs als u een 5G-handset heeft.

Een theorie is dat de kwetsbaarheden van SS7 niet kunnen worden verholpen omdat de telecombedrijven nationale veiligheidsdiensten toegang moeten geven tot hun netwerken, maar de heer Gribben zegt dat GCHQ (de Britse inlichtingendienst) de communicatie kan controleren zonder gebruik te maken van SS7-mazen.

Het probleem, zegt hij, is dat SS7 nog steeds wereldwijd wordt gebruikt in telecomnetwerken. En het moet worden vervangen in plaats van opgelapt.

image sourceGetty Imagesimage captionTekstberichten, waaronder deze legitieme en vele twee-factor-authenticatieberichten, worden verzonden met behulp van oude technologie

“SS7 is ontwikkeld in de veronderstelling dat er altijd legitieme activiteit zou zijn [and] goodwill rond het gebruik ervan”, legt Katia Gonzalez uit, hoofd fraudepreventie en -beveiliging bij BICS, een in Brussel gevestigd telecombedrijf dat mobiele telefoonnetwerken verbindt en beveiligt.

Telefonische oplichters eisen £1.000 om te stoppen met bellen Oplichting via sms en hoe ermee om te gaan

“Er is te veel legacy-technologie [reliant upon it] waar we niet vanaf kunnen – we zullen deze SS7 2G/3G-netwerken nog minstens 10 jaar hebben.”

Jon France, hoofd industriebeveiliging bij de GSMA, de handelsorganisatie die mobiele netwerkaanbieders over de hele wereld vertegenwoordigt, zegt dat “veel van deze problemen zullen verdwijnen” nadat 5G-netwerken volledig zijn uitgerold. Dit betekent dat SS7 – en 2G en 3G – volledig kunnen worden vervangen.

Mevrouw Gonzalez is het ermee eens: “Het kostte wat tijd om deze fouten te begrijpen en hoe ze werden uitgebuit. Nu met 5G zal er beveiliging zijn van [the centre] ervan.”

De heer Gribben waarschuwt echter dat zelfs wanneer SS7 wordt vervangen door iets “geheel nieuw en sprankelend, er nog steeds andere kwetsbaarheden zullen zijn” [that fraudsters can exploit]”.

image sourceGetty Imagesimage captionExperts zeggen dat wanneer telefoonsystemen allemaal over 5G gaan, het voor fraudeurs veel moeilijker zal zijn om ze te hacken

De GSMA zegt dat telecombedrijven “veel moeite en investeringen” steken in het aanpakken van oplichting.

BICS van zijn kant gebruikt kunstmatige-intelligentiesystemen om inkomende frauduleuze oproepen en sms-berichten te detecteren en te blokkeren.

Mevrouw Gonzalez voegt eraan toe dat de enige manier om oplichting via sms te voorkomen, is om telecombedrijven in staat te stellen AI te gebruiken om teksten te scannen op links naar nepwebsites voordat ze worden verzonden. Toch is het onwaarschijnlijk dat privacytoezichthouders het daar ooit mee eens zullen zijn.

Dus in plaats daarvan roept BICS op tot “meer samenwerking tussen telecombedrijven en overheden, betere relaties tussen landen en meer inspanningen van de bedrijven om informatie over de nieuwste kwetsbaarheden te delen”.

New Tech Economy is een serie die onderzoekt hoe technologische innovatie het nieuwe opkomende economische landschap vorm zal geven.

Als het gaat om frauduleuze telefoongesprekken, is er de laatste jaren een grote toename van zogenaamde “robo-calling” – geautomatiseerde spraakoproepen.

Er bestaan ​​systemen voor oproepauthenticatie die hen kunnen helpen stoppen, en de Britse telecomregulator Ofcom zegt met de telecomindustrie te overleggen wat er kan worden geïmplementeerd en hoe snel.

“Deze criminele oplichting wordt steeds geavanceerder en de aanpak ervan vereist inspanningen van verschillende instanties”, zegt een woordvoerder van Ofcom.

“We werken nauw samen met politie, industrie en organisaties als NCSC [the National Cyber Security Centre] – die verantwoordelijk is voor cyberbeveiligingsnormen in het VK – om het probleem aan te pakken.”

Een internationale normalisatie-instelling, de in de VS gevestigde Internet Engineering Task Force (IETF), heeft ook nieuwe protocollen ontwikkeld om robo-calling te voorkomen.

In een knipoog naar James Bond heet het systeem “Stir and Shaken”. De Amerikaanse autoriteiten hebben mobiele operators opgedragen om de protocollen tegen eind 2021 te implementeren, maar Ofcom zegt dat Britse providers dit niet kunnen doen totdat de netwerken tegen 2025 voldoende zijn geüpgraded.

image sourceBICSimage captionBICS’ Katia Gonzalez zegt dat SS7 hier nog een decennium is

Aangezien oplichting via telefoon en sms niet snel zal verdwijnen, zegt Amanda Finch, chief executive van de beroepsorganisatie, Chartered Institute of Information Security: “Er is altijd meer dat telecombedrijven zouden kunnen doen”.

“Maar beveiliging is een voortdurend bewegend doelwit… in principe moet iedereen waakzaam zijn”, voegt ze eraan toe.

Ondertussen zegt Robert Blumofe, chief technology officer van cloudbeveiligingsbedrijf Akamai: “Ik denk niet dat er snel een wereld is waar we mensen kunnen leren om niet voor de gek gehouden te worden, dus de oplossing moet een manier bevatten om de reactie van de sms-berichten proberen uit te lokken.”

.