Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Nummerspoofing

Aanvallen

Spoofing via SMS of spraakoproep waarbij een ander nummer dan het eigen nummer wordt gebruikt.

Nummerspoofing is een aanvalstechniek waarbij een beller of sms-verzender een vals telefoonnummer toont op het scherm van de ontvanger. De ontvanger ziet een vertrouwd nummer, bijvoorbeeld van een bank, overheidsinstantie of bekend bedrijf, terwijl het gesprek of bericht in werkelijkheid afkomstig is van een oplichter. Deze vorm van identiteitsvervalsing maakt het voor slachtoffers vrijwel onmogelijk om op basis van het getoonde nummer te beoordelen of een oproep legitiem is. Nummerspoofing vormt de technische basis voor veel vormen van telefonische fraude, van bankhelpdeskfraude tot vishing-aanvallen.

De techniek is mogelijk doordat het telefonienetwerk van oorsprong is ontworpen op basis van vertrouwen. Het protocol dat verantwoordelijk is voor het doorgeven van nummerinformatie, Caller ID, voert geen verificatie uit op de juistheid van het meegegeven nummer. Met behulp van VoIP-diensten (Voice over IP) en gespecialiseerde software kan vrijwel iedereen een willekeurig nummer als afzender instellen. In Nederland veroorzaakt nummerspoofing jaarlijks miljoenen euro's schade door bankhelpdeskfraude en phishing via de telefoon. De Fraudehelpdesk en politie ontvangen dagelijks meldingen van slachtoffers die zijn misleid door nep-telefoontjes van zogenaamde bankmedewerkers of politieagenten.

Hoe werkt nummerspoofing?

Nummerspoofing maakt technisch gebruik van het Caller ID-systeem dat bij elk telefoongesprek nummerinformatie meestuurt. Bij traditionele telefoonlijnen wordt dit nummer automatisch door de provider ingesteld. Bij VoIP-telefonie kan de gebruiker of serviceprovider dit nummer echter handmatig configureren. Oplichters gebruiken VoIP-gateways, SIP trunks of gespecialiseerde spoofingdiensten om een willekeurig telefoonnummer als afzender in te stellen.

Bij sms-spoofing werkt het vergelijkbaar. Het afzenderveld van een sms-bericht kan worden ingesteld op een alfanumerieke naam of telefoonnummer naar keuze. Omdat sms-berichten met hetzelfde afzendernummer als je bank automatisch in hetzelfde gesprek worden gegroepeerd op je telefoon, lijkt een gespoofde sms van "je bank" volkomen legitiem. De ontvanger ziet het bericht verschijnen in dezelfde conversatie als eerdere echte berichten van die bank.

Bij grootschalige fraudecampagnes zetten criminelen geautomatiseerde systemen in, zogenaamde robocallers, die duizenden nummers per dag bellen met vooraf opgenomen berichten. De ontvanger hoort een geautomatiseerde stem die zich voordoet als de politie, belastingdienst of een techbedrijf, met de boodschap dat er een probleem is dat direct actie vereist. Zodra het slachtoffer reageert, wordt de oproep doorgeschakeld naar een "medewerker" die het vertrouwen verder opbouwt en het slachtoffer overhaalt om geld over te maken, inloggegevens te delen of software te installeren die de aanvaller toegang geeft tot het systeem.

Hoe herken je nummerspoofing?

Het herkennen van nummerspoofing is lastig omdat het getoonde nummer er legitiem uitziet. Toch zijn er signalen die je helpen een gespoofde oproep te identificeren. Banken, overheidsinstellingen en politie vragen nooit telefonisch om wachtwoorden, pincodes, TAN-codes of om geld over te maken. Als een beller dit doet, is het vrijwel zeker fraude, ongeacht welk nummer op je scherm verschijnt.

Let op druk en urgentie. Oplichters creeren bewust een gevoel van paniek: "je rekening wordt geblokkeerd", "er is een verdachte transactie", "je moet nu handelen". Legitieme organisaties geven je altijd de mogelijkheid om terug te bellen op het officieel bekende nummer. Een andere indicator is wanneer de beller vraagt om remote access software zoals TeamViewer of AnyDesk te installeren. Geen enkele bank of overheidsinstantie doet dit.

Bij sms-berichten geldt extra waakzaamheid wanneer het bericht een link bevat en vraagt om direct te klikken. Controleer altijd of de URL daadwerkelijk naar de website van de organisatie leidt. Bij twijfel over de legitimiteit van een oproep of bericht, hang op en bel zelf terug naar het officieel bekende nummer van de betreffende organisatie, dat je opzoekt via de officiele website.

Hoe bescherm je je tegen nummerspoofing?

Op individueel niveau begint bescherming met bewustwording. Weet dat elk telefoonnummer op je scherm vervalst kan zijn en vertrouw nooit blind op het getoonde nummer. Beantwoord geen oproepen van onbekende nummers als je dit niet verwacht. Als je een verdacht telefoontje ontvangt, hang op en bel het officiele nummer van de organisatie zelf terug. Deel nooit persoonlijke gegevens, wachtwoorden of financiele informatie via de telefoon, tenzij je het gesprek zelf hebt geinitieerd naar een betrouwbaar nummer.

Telecombedrijven in Nederland werken aan technische oplossingen om nummerspoofing tegen te gaan. Het STIR/SHAKEN-framework is een protocol dat digitale certificaten koppelt aan telefoonnummers, waardoor ontvangende providers kunnen verifieren of het nummer daadwerkelijk afkomstig is van de opgegeven afzender. De implementatie hiervan in Nederland is in ontwikkeling. De Autoriteit Consument en Markt (ACM) houdt toezicht op naleving van telemarketingregels en kan boetes opleggen bij misbruik.

Voor organisaties is het beschermen van eigen telefoonnummers tegen spoofing relevant. Neem contact op met je telecomprovider over mogelijkheden voor nummervalidatie en het blokkeren van inkomende gespoofde oproepen. Informeer klanten en medewerkers actief over nummerspoofing en de wijze waarop je organisatie communiceert. Het NCSC publiceerde zelf een waarschuwing nadat hun eigen telefoonnummer werd misbruikt voor spoofing. Train medewerkers om niet telefonisch gevoelige informatie te delen zonder de identiteit van de beller te verifieren via een terugbelactie, een maatregel die ook beschermt tegen vishing.

Nummerspoofing en de zakelijke context

Voor bedrijven is nummerspoofing niet alleen een risico als slachtoffer, maar ook als onvrijwillige medeplichtige. Wanneer criminelen het telefoonnummer van jouw organisatie spoofen om klanten op te lichten, lijdt jouw merk reputatieschade. Klanten die worden gebeld door oplichters die zich voordoen als jouw bedrijf, koppelen de negatieve ervaring aan jouw organisatie. Het is daarom belangrijk om klanten proactief te informeren over hoe je organisatie communiceert en welke informatie je nooit telefonisch opvraagt. Publiceer deze informatie op je website en in je klantcommunicatie. Overweeg het implementeren van verificatiemethoden, zoals in-app bevestiging of een terugbelproces via een vast nummer, zodat klanten de legitimiteit van oproepen kunnen verifieren.

Veelgestelde vragen over nummerspoofing

Is nummerspoofing illegaal in Nederland?

Nummerspoofing op zichzelf is niet expliciet verboden, maar het gebruik ervan voor fraude of oplichting is strafbaar onder de noemer van oplichting, identiteitsfraude en computervredebreuk. De ACM kan boetes opleggen aan telemarketingbedrijven die geen geldig terugbelnummer tonen. Crimineel gebruik valt onder het Wetboek van Strafrecht.

Kan mijn eigen nummer worden misbruikt voor spoofing?

Ja. Oplichters kunnen elk telefoonnummer als afzender instellen, inclusief het jouwe. Als mensen terugbellen naar het gespoofde nummer, bel je telefoon terwijl je niets met de fraude te maken hebt. Meld dit bij je telecomprovider en de Fraudehelpdesk. Je bent niet aansprakelijk voor het misbruik van je nummer.

Hoe beschermen banken zich tegen bankhelpdeskfraude via spoofing?

Banken bellen nooit met het verzoek om pincodes, wachtwoorden of geld over te maken. Ze investeren in klantenvoorlichting en detectiesystemen die ongebruikelijke transactiepatronen herkennen. Sommige banken bieden in-app verificatie waarmee je kunt controleren of een oproep echt van de bank afkomstig is.

Wat moet je doen als je slachtoffer bent van nummerspoofing-fraude?

Neem direct contact op met je bank als financiele gegevens zijn gedeeld. Doe aangifte bij de politie. Meld de fraude bij de Fraudehelpdesk (fraudehelpdesk.nl) en het Centraal Meldpunt Identiteitsfraude als persoonlijke gegevens zijn gedeeld. Wijzig wachtwoorden van accounts die mogelijk gecompromitteerd zijn.

Werken spoofing-blokkeer-apps effectief?

Apps zoals Truecaller en Hiya identificeren bekende spamnummers op basis van databases met gemelde nummers. Ze bieden bescherming tegen bekende fraudenummers, maar kunnen niet alle gespoofde oproepen detecteren omdat oplichters continu nieuwe nummers gebruiken. Ze zijn een nuttige extra laag, maar geen garantie.

Bescherm je organisatie tegen telefonische fraude. Vind de juiste aanbieder via Social engineering testen op IBgidsNL.