Beantwoord

Waarom doet KPN niks tegen spoofing?

  • 14 February 2024
  • 9 reacties
  • 135 keer bekeken

KPN waarom weigeren jullie iets aan spoofing te doen? 

Jullie kunnen dit wel.

Spoofing:

  • Het schaadt vertrouwen. Mijn nummer komt nu op allerlei websites als spammer.
  • Mijn collega's, vrienden en familie kunnen er niet op vertrouwen 
  • second factor via SMS is onbetrouwbaar 
  • Spoofing in combinatie met AI  voice clonen is de volgende stap. Er is maar 11 seconden nodig om iemands stem te kopiëren

KPN biedt zelf of via third parties diensten aan om nummers legitiem te spoofen. De zogenaamde gratis terug bel functie op websites is hier een voorbeeld van.

 

Dit wordt dus misbruikt. Dat KPN er niets aan kan doen is onzin.KPN Leg maar uit waarom niet. Ergens wordt er een rekening verstuurd.

Zo'n 15 jaar geleden heb ik deze techniek zelf mogen gebruiken in wetenschappelijk prototype voor electronische samenwerking.

Hoe werkt het?

Via een webservice geef je de centrale de opdracht om twee telefoonnummers met elkaar in verbinding te stellen. Voor beide nummers kun je opgeven wat er in de nummer weergave komt te staan. Dit hoeft geen bestaand nummer te zijn. De beller (spoofer) wordt door de centrale gebeld. Hij neemt op. vervolgens wordt de gebelde(gespoofde) gebeld en de verbinding is tot stand gebracht. Zelf heb ik 15 jaar geleden ter test zo mijn vrouw zo gebeld met in de nummer weergave ons eigen nummer. Onder de nummer weergave hingen wel de id's van de aansluitingen . De rekening moet tenslotte toch ergens naar toe, en die webservice is ook niet gratis.

 

Een andere manier is mogelijk (e)sim klonen, maar dan verwacht ik rare dingen op een gespecificeerde rekening of mogelijk problemen in het netwerk. Bij het klonen van een eSIM heeft KPN ook iets uit leggen. Daarnaast zijn dan de kloon en de echte sim aan verschillende masten verbonden. Ook dat is te achterhalen. Een kan niet antwoord gaat hier ook niet op. 15 jaar geleden  heb ik ook de prototype lokatie gebaseerde reisplanner op basis van cell-id voor NS gemaakt.  GPS was toen niet standaard in mobiele telefoons. Beetje offtopic uitleg voor wat meer achtergrondinformatie. Via third party SMS diensten kon je binnen 7 seconden redelijk exacte locatie bepalingen doen via driehoeksmeting, voor ons doel te langzaam. 112 kan dit direct en gebruikt dit ook. Voor NS was het cell-id met daaraan de plaatsnaam meestal voldoende. Op perron 11 in Hengelo krijg je een mast in Enschede en gaat dat dan dus fout. De lokatie gebaseerde reisplanner heeft de Volkskrant gehaald. KPN weet heel goed met welke mast jouw toestel en de kloon verbonden is. Een legitiem gebruik voor een gekloonde sim is een sim in je auto.


Admin edit: eigen topic voor je aangemaakt

icon

Beste antwoord door wjb 14 February 2024, 19:19

Bekijk origineel

9 reacties

Reputatie 7
Badge +8

@Hans Kruse 

Waar baseer je eigenlijk op dat een mogelijkheid is om dit tegen te gaan, én dat KPN er niks aan doet?

Het punt van spoofing is gewoon een zwakte in het protocol. In vergelijking met 15 jaar geleden is VOIP als een malle de wereld over gegaan, en elke VOIP-server staat het toe om een willekeurig telefoonnummer als afzender te gebruiken. Veel servers doen hier een controle op, maar lang niet allemaal. 

De enige oplossing om dit tegen te gaan is een nieuw protocol afdwingen die alle VOIP-servers ter wereld gebruiken. En hoe ga je dat doen met 100.001 telecombedrijven?

Waarop ik het baseer is zoals ik aangaf dat ik telefooncentrales daadwerkelijk heb aangestuurd via webservices.

Prive heb ik in het verleden ook Asterisk gedraaid.

Naast wat er weergegeven wordt , moet er ook een (IP) verbinding worden opgezet en een rekening betaald worden. Follow the money?

KPN heeft mij op Twitter eerder aangegeven niks te kunnen doen. Dat betwijfel ik om bovengenoemde redenen.

Kun je de gebruikte VoIP protocollen benoemen? Dan ga ik de specificaties ook zeker even lezen. 

Reputatie 7

Er is inderdaad niets te doen aan spoofing.

De doorgifte van het nummer voor de nummerherkenning (caller-ID) zit namelijk in het "geluidsspoor" en dat zou betekenen dat KPN het "gesprek" zou moeten afluisteren. Dat is, zonder gerechtelijk bevel, uiteraard niet toegestaan. Alleen de ontvanger (jouw telefooncentrale of telefoon) mag dat wel.

Reputatie 7
Badge +8

@Hans Kruse

We nemen het fictieve nummer +31 14-1234567. Stel dat Nederlandse zakenman in Japan dat nummer gebruikt om bereikbaar te zijn en ermee te kunnen bellen voor zijn relaties 

En stel dat een groep scammers in India het nummer +31 14-1234567 gebruiken als ingesteld CallerID.

Hoe moet KPN weten dat het gebruik van de CallerID in India frauduleus is, en niet die uit Japan?

En zit ik dus nu opgescheept met allerlei mensen die denken dat ik hun gebeld heb. Sommigen bellen mij. Ik kan me voorstellen dat ze ook mijn nummer registreren als spammer op sommige "wie heeft mij gebeld" websites. Getver. Tijd voor een standaard aanpassing.

Ik heb wel de nummer van de mensen die mij terug gebeld hebben. Als ze aangeven wanneer en hoe laat ik gebeld zou hebben, dan kun je dus dat afluister bevel voorkomen? Je kunt dan de connecties traceren?

Reputatie 7
Badge +8

@Hans Kruse 

Dus KPN moet zelf alle mensen bellen die jou abusievelijk gebeld hebben, zeg je? En dan?......

@Hans Kruse

Dus KPN moet zelf alle mensen bellen die jou abusievelijk gebeld hebben, zeg je? En dan?......

Nee ik denk dat het mogelijk is om samen met de terugbellers te kijken wanneer ze door "fake mij" gebeld zijn. Op basis van die informatie kun je wel een trace doen zonder dat je in de voice data kijkt. 

Reputatie 7
Badge +8

Je doet een trace, en dan? KPN kan en mag niet zomaar een server blokkeren. Dus dan komt het meer uit bij een abuse-verzoek vanuit KPN, en dan is het de vraag of die VOIP-beheerder eraan gaat meewerken. Ik kan mij indenken dat landen uit India, Rusland, Maleisië, China etc... niet echt snel zullen meewerken.

Onlangs schreef ik er nog over : 

Het zou natuurlijk zo moeten zijn dat alleen de legitieme gebruikers het nummer mogen en kunnen meesturen.
Het is helaas nooit goed ontworpen maar gewoon ontstaan, zonder na te denken over misbruik.

In dit recente onderwerp over hetzelfde :

 

Reageer