Volgens cybersecurity specialist en ethisch hacker Sijmen Ruwhof werkt het technisch vrij eenvoudig. “Via bepaalde belsoftware kun je zelf een afzendnummer invoeren. Als je dan uitbelt, toont de software het nummer dat jij hebt opgegeven voor het gesprek.”

Waarom ze juist bekende nummers gebruiken

Bellers kunnen zo elk denkbaar telefoonnummer gebruiken, ook dat van je bank of je buurman. “Al die nummers worden gewoon door een computerprogramma ingevoerd. Dat betekent niet per se dat die nummers ook echt in het bezit zijn van het bedrijf dat ermee belt. In principe kan ieders nummer worden gebruikt,” aldus Ruwhof.

Het gevolg: je kunt als ontvanger niet meer vertrouwen op wat je op je scherm ziet. “Oplichters voeren soms bewust het nummer van een bank in. Sommige mensen hebben dat nummer opgeslagen in hun telefoon, dus dan verschijnt automatisch de naam van bijvoorbeeld de Rabobank in beeld. Waarom zou je daar dan aan twijfelen?”

Blokkeren werkt niet, wat kun je wel doen?

Niet alleen oplichters maken er gebruik van. “Telemarketeers gebruiken deze methode ook om je iets te verkopen. Blokkeren van het nummer heeft dus ook geen zin, omdat ze niet echt met dat nummer bellen.” 

Volgens Ruwhof is de belangrijkste tip: bel zelf terug als je een raar of dubieus telefoontje krijgt, en zeker als je bank je belt. “Je kunt geen telefoontjes ontvangen op een gespoofd (nagemaakt) nummer. Hang dus op en bel de bank of beller zelf terug. Ze kunnen dan niet opnemen, omdat ze dat nummer alleen als frontje hebben gebruikt.”

“Controleer, bel terug en vertrouw op je gevoel. Dat is ontzettend belangrijk. De aanvalsmethodes en oplichtingsscenario’s veranderen continu. Het is een kat-en-muisspel. De enige constante bescherming is je onderbuikgevoel.”

Wat kunnen providers hieraan doen?

Volgens Ruwhof zijn grote Nederlandse providers hier in het verleden al op aangesproken. “Zij zijn daar jaren geleden op de vingers getikt. De vraag was: moeten jullie geen zwarte lijst opstellen, zodat mensen niet zomaar kunnen bellen met de nummers van banken, bijvoorbeeld? Toen hebben ze inderdaad een paar lijsten opgesteld. Maar die zijn incompleet, worden niet altijd goed bijgewerkt, en zijn bij sommige providers simpel te omzeilen.”

Toch ligt de kern van het probleem niet bij deze grote providers. Eerder bij het systeem zelf, en bij kleine buitenlandse aanbieders die weinig controleren. Spoofing is niet makkelijk te stoppen, legt Ruwhof uit. Niet alleen omdat het tijd en geld kost, maar ook omdat de onderliggende techniek simpelweg verouderd is. Het protocol waarmee telefoonnummers worden meegestuurd in een telefoongesprek werd al in de jaren ’70 ontwikkeld, voor vaste telefoonlijnen. Inmiddels kan ook via internet worden gebeld en is het laagdrempelig geworden om zelf een telefoonprovider op te starten,.

“Ook op het internet gebruiken we zogenoemde dinosaurusprotocollen,” zegt Ruwhof. “Er worden meer pleisters geplakt dan dat er echt naar structurele oplossingen wordt gekeken. Die kosten heel veel geld.”

Kleine (buitenlandse) aanbieders, weinig controle

Wie met een gespooft nummer belt, doet dat dus niet via een grote Nederlandse provider. “Telefoonproviders die online telefoonverbindingen aanbieden, doen dat niet zomaar voor iedereen, vanwege het grote risico op misbruik,” zegt Ruwhof. “Maar er zijn genoeg aanbieders die het wel toestaan, of die dat niet goed controleren of afschermen.”

Vaak gaat het om kleine buitenlandse VoIP-diensten (Voice over IP), waarbij je via een webportaal zelf een belaccount aanmaakt. De drempel is laag: je hoeft geen telefoonabonnement af te sluiten, geen identiteitsbewijs te uploaden en meestal ook geen echt nummer te registreren. Je logt in, voert het nummer in dat je wilt tonen, en belt direct via de software. Zo kunnen bedrijven of kwaadwillenden ieder willekeurig nummer gebruiken, ook nummers van banken, instanties of mensen uit je contactenlijst.

Volgens Ruwhof is dat precies waar het probleem zit: deze aanbieders vallen buiten het toezicht dat op Nederlandse providers wél van toepassing is. En zolang er geen internationaal toezicht of technische standaard komt om afzendernummers te verifiëren, blijft het mogelijk. “In principe kan ieders nummer worden misbruikt.”

Spoofing is verboden, maar moeilijk te stoppen

Volgens toezichthouder ACM is spoofing verboden. Criminelen en oplichters mogen zich niet voordoen als iemand anders door een vals telefoonnummer te tonen, bijvoorbeeld dat van je bank. Toch komt het regelmatig voor, juist omdat het technisch zo eenvoudig is en moeilijk is terug te herleiden wie er precies belt.

ACM kan optreden tegen bedrijven die misbruik maken van Nederlandse of Europese telefoonnummers, bijvoorbeeld in het geval van ongewenste telemarketing. Gaat het om buitenlandse partijen buiten de EU, dan houdt de bevoegdheid van de toezichthouder op. Wel verzamelt ACM meldingen, zodat zij consumenten kunnen waarschuwen en misbruik in kaart kunnen brengen.

Dit kun jij bij spoofing doen

Word je gebeld door een verdacht nummer, bijvoorbeeld steeds wisselende nummers, een buitenlands nummer of eentje dat lijkt op je bank? Vertrouw het niet blind. Zoek het nummer op via een zoekmachine of spamchecker, verbreek de verbinding en meld het.

Heb je een verdacht telefoontje gehad? Meld het via ConsuWijzer of bij de Fraudehelpdesk. Is jouw eigen nummer misbruikt? Dan is dat vaak op toeval berust. Het computerprogramma selecteert willekeurige nummers. Wees dus niet bang dat ze specifiek jou moeten hebben.