“Goedemiddag, u spreekt met de servicedesk”. Het nummer op mijn display laat inderdaad het nummer van de servicedesk zien. ‘Er is iets mis met uw e-mailaccount. Kunnen wij samen de instellingen nalopen? Kunt u voor mij naar de volgende website gaan of uw gebruikersnaam en wachtwoord geven ter verificatie?’ Achteraf klinkt het zo logisch dat deze gegevens nooit via de telefoon had moeten afgeven, maar de slachtoffers geloofden echt dat de servicedesk aan de lijn was.
Volgens de bedrijfsrechercheurs van Hoffmann een voorbeeld uit de dagelijkse praktijk. Het afgelopen jaar gaf 70% van de geteste medewerkers van klanten van Hoffmann hun loginnaam en wachtwoord af via de telefoon. Een techniek die voice-phishing (vhishing) wordt genoemd en waar Hoffmann haar klanten bewust van maakt en mee helpt om zo te voorkomen dat gevoelige informatie in verkeerde handen komt.
Maar een tweede techniek maakt het ineens nog veel moeilijker om kwaadwillenden buiten de deur te houden: Caller ID spoofing. Met caller ID spoofing doet iemand zich voor als een ander, door te bellen met een eigen telefoon, terwijl het telefoonnummer van een ander op het display verschijnt.
Deze techniek is al langer bekend en wordt vaak op een legale manier door bedrijven gebruikt, bijvoorbeeld om de doorkiesnummers van medewerkers af te schermen. Zij sturen dan alleen het algemene telefoonnummer mee. Een goede manier om de gewenste informatie bij de klant te krijgen.
Caller ID spoofing is extreem eenvoudig toe te passen. Er zijn meerdere websites die deze dienst aanbieden. Op deze websites wordt de dienst gepromoot voor privé (“Houd je familie en vrienden voor de gek!”) en zakelijke (“Uw klanten zien alleen uw zakelijke nummer.”) doeleinden. Maar juist omdat het zo eenvoudig is, wordt er ook misbruik van gemaakt.
Fraudeurs kunnen hierdoor eenvoudig een valse hoedanigheid aannemen conform artikel 326 Wetboek van Strafrecht. Met caller ID spoofing kunt iemand zich voor doen als iemand anders, zoals bijvoorbeeld: een systeembeheerder, servicedeskmedewerker, leverancier, bankier, accountant of – in grote bedrijven – de directeur. Binnen een bedrijf kan op deze manier gevraagd worden geld over te maken namens de directie. Deze laatste vorm van fraude wordt ook wel CEO-fraude genoemd. De praktijk leert dat het kan hierbij gaan om flinke bedragen.