Wat doet Proximus tegen online- en telefoonfraude?
We hebben het allemaal vast wel meegemaakt: je ontvangt een sms, of een e-mail waarin je moet klikken op een link als 'je pakket is onderweg' terwijl je niets besteld hebt… Daarna moet je allerhande persoonlijke gegevens, codes en wachtwoorden invullen. Zo krijgen criminelen toegang tot je rekening en gaan ze met je geld aan de haal. Het gebeurt ook telefonisch: men belt je op en overhaalt je om je wachtwoorden en bankrekeninggegevens mee te delen.
Wat doet Proximus nu eigenlijk tegen deze fraude? Om daar het antwoord op te vinden neem ik contact op met collega Patrick Coone, hij is incident- en communicatiemanager binnen Customer Operations.
KRYSTINA SFERLAZZA
Patrick: Ik ben de communicatie manager voor de residentiele markt. Bij grote incidenten met hoge impact grijpen wij in, zowel extern (onze klanten) als intern (winkels, fieldmedewerkers, callcenters,..). Verder ben ik ook de liaison tussen IT en de persdienst, kwestie van snel en efficiënt naar onze klanten te kunnen communiceren. We staan ook dagelijks in contact met onze investigations en regulatory (regelgeving) teams, die zich over de fraude cases buigen. Ook heel belangrijk is dat je moet kunnen denken zoals een fraudeur: 'als ik fraudeur ben, wat zou ik daarmee kunnen doen? Wat zou mijn winst kunnen zijn?
Krystina: Dat klinkt alsof er meer achter zit dan enkel data ontfutselen?
Neem nu de mass-spoofing van afgelopen dagen, ze bellen je op en spelen een geautomatiseerd bericht af dat de bankgegevens geraakt zijn en dat je op een toets moet drukken om met een federale agent doorgeschakeld te worden. Er is een risico dat een klant dat doet, en die fraudeur gaat dan proberen data te ontfutselen. Dat is gevaarlijk maar waar het hen écht om gaat is dat men tracht een database te maken die hen toelaat om te checken 'is dat nummer dat we nu targeten actief of niet? Is dat bevestigd ,en dat is heel simpel door gewoon op te nemen of er komt een voicemail, dan kan men dat nummer vlaggen als actief.
Men kan zelfs zien bij welke operator je bent aangesloten. Als je vanuit het buitenland belt krijg je een andere soort ringtone en dat kan via een robotmechanisme geïdentificeerd worden als een nummer van Telenet, van Proximus, ... Ook op basis van de voicemail. De stem die we gebruiken, de aankondiging zelf, verschilt per operator, ook dat kan het robotmechanisme herkennen.
Zo kunnen ze zichzelf telkens verbeteren en komen ze geloofwaardiger over natuurlijk…
Wat men doet is lijsten bouwen, en die lijsten zijn goud waard. Ze gaan dit daarna verkopen op het dark web en fraudeurs betalen hier 1000 tot 10.000€ voor. Stel: je wilt als fraudeur een smishing-campagne doen of iets dergelijks, dan ga je op zoek naar lijsten waarvan je zeker bent dat je geen false positives hebt of althans zo weinig mogelijk. En hier bouwen ze dus aan een Belgische lijst met actieve klanten zowel vast als mobiel, die 100% correct is. Dit kunnen ze dan in de volgende weken, maanden, jaren gebruiken voor allerlei malafide campagnes.
Als community manager lees ik soms dat klanten vertellen: "Toen het nummer dat me belde zeer bizar leek, heb ik die fraudeur eens goed liggen gehad! Ik nam op en zei: 'politiezone Leuven, hoe kan ik u helpen?' Die schrok!", of: "Ik heb hem aan het lijntje gehouden!" Dat lijkt me dan zeker niet aan te raden?
Neen absoluut niet, als je opneemt hebben ze zelfs nog meer details. Dit is een Nederlandstalige klant bijvoorbeeld, je noemt ook de naam van een stad waar je waarschijnlijk woont. Allemaal geen goed idee. De klanten kunnen het best de verdachte nummers altijd doorgeven aan ons voor analyse.
Kunnen we daar iets aan doen?
Het is zeer complex en ik ga dit trachten zo goed mogelijk te beantwoorden zonder dat ik al te veel belangrijke details deel, want we moeten ons ervan bewust zijn dat ook mensen met minder goede intenties zouden kunnen meelezen natuurlijk. Het klassieke spoofing verhaal zit als volgt in mekaar: Een klant stelt vast dat zijn nummer misbruikt wordt, hij krijgt bijvoorbeeld één of meerdere telefoontjes met de melding dat ze een gemiste oproep van hem hebben terwijl de klant niet gebeld heeft naar deze nummers. Deze belt naar Proximus om dit te melden. De Proximus-medewerker noteert 3 belangrijke parameters: het nummer van de klant, het nummer waarnaar deze zogezegd gebeld zou hebben en het tijdstip. Dan volgt er een eerste onderzoek en als daaruit blijkt dat er inderdaad iets niet klopt dan sturen ze het door naar het NMC (Network Monitoring Center) die dan verder onderzoek doen en trachten dit verkeer zo snel mogelijk te stoppen.
En waarom blokkeren we die nummers niet meteen na x aantal meldingen? Bepaalde fabrikanten van smartphones kunnen dit toch ook?
Fabrikanten hebben vandaag software in hun toestellen zitten waarbij je nummers kan rapporteren, je kan die oproep doorgeven als verdacht. Sommige laten zelfs nog meer toe, daar kan je bijvoorbeeld zelfs aangeven welke soort fraude het is en wat voor soort oproep dat was (Microsoft frauduleuze oproepen bv). Als er telkens opnieuw hetzelfde nummer aangegeven wordt als fraude dan gaan ze dat nummer doorsturen in hun database met als gevolg dat andere klanten te zien gaan krijgen: opgelet fraude call, scam call. Tegenhouden gebeurt dus op het toestel zelf, maar ze worden dus niet geblokkeerd. Wij kunnen ook nummerranges blokkeren, maar is niet zomaar toegelaten in België. Daar moet een gegronde reden voor zijn. Achter veel van die spoofing nummers zitten echte klanten. Dus als we die zomaar afsluiten dan kunnen al die klanten plots niet meer bellen. Het is niet zo eenvoudig.
Safeonweb, waar alle operatoren zich achter scharen
Eendracht maakt macht, het is de nationale wapenspreuk van België en het zou net zo goed die van de Belgische operatoren kunnen zijn.
Het nationale platform waar burgers phishingmails naartoe kunnen sturen, is sinds december uitgebreid om ook het doorsturen van sms-berichten mogelijk te maken. Na analyse door Safeonweb worden de websites die als phishing zijn bevestigd, in real time naar de operatoren doorgestuurd, die de links zullen blokkeren. Dit project heet BAPS (Belgian Anti-Phishing Shield).
Proximus is momenteel de enige die alle phishing sites die het CCB (Centrum voor Cybersecurity België) ontvangt in (bijna) real time blokkeert. Het is de bedoeling dat eind dit jaar alle operatoren dit kunnen.
Uiteraard passen de fraudeurs hun teksten continu aan om zo deze blokkeringen te omzeilen. Maar de telecomoperatoren blijven alert!
Meer informatie over BAPS (Belgian Anti-Phishing Shield)
Maar Safeonweb komt enkel tussen rond cyberfraude als ik het goed begrijp?
Safeonweb kan niet tussenkomen in het spoofingverhaal. Zij oriënteren zich niet op voice-gerelateerde fraude maar op alles wat cyber-gerelateerde fraude is en vandaar dat zij wel tussenkomen bij sms, mms, e-mail, omdat daar URL's inzitten. Via verdacht@safeonweb.be kunnen mensen melding maken van phishing of smishing en daar zit een zoekmachine achter die die URL's gaat herkennen en onderzoeken. Waar de machine phishing of andere verdachte sites detecteert, gaat die deze collecteren, doorsturen en de vertaling maken in IP's en DNS'en. Dan worden ze doorgestuurd naar de ISP's (de internetserviceproviders, zoals Proximus er dus één is) met het verzoek die pagina's offline te halen en te vervangen door de BAPS-pagina, de waarschuwingspagina die de klant zal wijzen op het feit dat de URL die hij of zij zoekt een fraudeleuze pagina is. Maar voor voice kunnen zij dat niet, zij hebben geen voice analytics-module en kunnen geen checks in ons netwerk gaan uitvoeren, want dat gebeurt bij de operator zelf.
Wat velen niet weten is dat wij in dit verhaal zeer goed samenwerken met de andere operatoren, we mogen dan wel concullega’s zijn, maar de strijd tegen criminelen voeren we samen. In het kader van fraudebestrijding is het zeer belangrijk dat er samengewerkt wordt tussen alle operatoren en partijen. Iedereen die er baat bij heeft moet erin betrokken worden, want een fraudeur blijft niet bij één partij en gaat inderdaad héél de telecomwereld ondersteboven gooien. En vandaar dat wij dus heel nauw samenwerken met de verschillende operatoren, het Belgisch Instituut voor Post en Telecommunicatie (BIPT, de schakel tussen alle operatoren) en het CCB (de beheerder van SafeOnWeb) wanneer het gaat over grote fraudevormen. Er worden regelmatig meetings opgezet waar we informatie met elkaar delen en overleggen met elkaar. Wat kunnen we doen? Hoe kunnen we de burgers beter informeren? Wij wisselen ook gegevens uit met elkaar rond scenario’s en acties die we samen kunnen nemen. Op basis van die uitwisseling kunnen we zaken van mekaar leren om het nog beter te doen.
Wij hebben al een paar keer samengewerkt vanuit mijn rol als CM, voor grote storingen maar ook voor frauduleuze berichten. Wij zijn dan effectief op de socialmediakanalen onze klanten gaan waarschuwen. Dat was -denk ik- nog nooit eerder gebeurd. Is er nog ruimte voor verbetering in de communicatie?
Ik vind dat we op gebied van communicatie goed bezig zijn. We hebben op een bepaald moment zoveel meldingen gekregen van fraude en hebben hier over gecommuniceerd op onze socialemediakanalen. We hebben dan ook Safeonweb ingeschakeld en ook zij communiceerden erover en verstuurden meldingen naar hun gebruikers. Maar op een bepaald moment werd het zo een omvangrijk verhaal dat er echt een noodzaak was om nog breder te gaan en om de media hier ook over te laten berichten om de burgers te waarschuwen en te informeren. We hebben dan onze regulator het BIPT ingeschakeld en het CCB, met de vraag om de media hiervan op de hoogte te stellen. En dit hebben ze effectief ook gedaan. We hebben toen heel snel geschakeld!
Een laatste vraag dan toch nog. Hoe zie je de strijd tegen fraude in de toekomst? De fraudeurs worden steeds slimmer.
Niet alleen de fraudeurs worden slimmer, ook wij en zeker wanneer we de krachten bundelen staan we sterk! Want ook de samenwerking tussen operatoren en cyber defense centers is veel intenser geworden de afgelopen jaren. En niet alleen in België, maar ook op internationaal vlak. We blijven investeren in nieuwe technologieën, waarin vooral machine learning en AI een belangrijke rol zullen spelen. Dit zijn zaken die we in het verleden niet ter beschikking hadden, maar gelukkig de laatste jaren een enorme evolutie hebben doorgemaakt en ons de nodige ondersteuning zullen bieden in het analyseren van nieuwe patronen. Het zal een uitdaging blijven om de steeds veranderende patronen van de fraudeurs te blijven (h)erkennen.
Geïnteresseerd in dit onderwerp?
Hallo allemaal!
'Community manager'? Voor degenen die het nu horen donderen in Keulen leg ik dit graag kort uit.
Een community manager beschermt de reputatie van het bedrijf op social media, gaat echt luisteren naar de vragen en feedback van de community, en zorgt ervoor dat de interne teams met deze input de diensten kunnen verbeteren.
En laat de feedback van onze klanten nu de inspiratie zijn van mijn eerste blogpost 'Wat doet Proximus tegen online- en telefoonfraude?'.