Indignatie redactie 
Telekom, Vodafone, 1&1 en Telefónica willen hun klanten beschermen tegen frauduleuze sms-berichten. Maar ze mogen de inhoud van sms-berichten niet analyseren. Hoe werken SMS-firewalls?
SMS is niet meer zo populair als het ooit was. In 2012 werden er in Duitsland nog bijna 60 miljard verzonden, maar in 2023 was dit aantal gedaald tot slechts 5,3 miljard, aldus het Bundesnetzagentur . Berichtendiensten – idealiter met end-to-end-encryptie – hebben deze vorm van communicatie overgenomen. Mobiele telefoongebruikers zijn echter nog steeds bereikbaar via sms met behulp van hun telefoonnummer.
Criminelen maken hier misbruik van. Ze sturen sms-berichten zoals: ” Hallo, dit is mijn nieuwe nummer. LG uw favoriete kind” Of: “ De goederen die u hebt gekocht, zijn verzonden. Controleer de details” – gevolgd door een link. Fraudeurs willen bijvoorbeeld dat slachtoffers contact met hen opnemen, hun gegevens stelen of hen ertoe aanzetten malware te downloaden.
Telekom heeft onlangs aangekondigd dat het vanaf 1 april een ‘sms-firewall’ gaat opzetten tegen dergelijke fraudepogingen. Op een vraag van netzpolitik.org gaven de andere mobiele providers aan dat zij al technische maatregelen nemen om frauduleuze sms-berichten te bestrijden.
De sms-controle door mobiele providers verloopt grotendeels zonder publieke verontwaardiging, terwijl de chatcontrole die bijvoorbeeld de EU wil doorvoeren, op brede afkeuring stuit. In beide gevallen gaat het om automatische controle van berichten en een mogelijke inbreuk op de vertrouwelijkheid van de communicatie. Een infrastructuur die is ontworpen om automatisch links naar bijvoorbeeld phishing of malware te detecteren, zou vanuit een puur technisch oogpunt ook gebruikt kunnen worden om andere links te filteren.
Mobiele providers mogen geen SMS-inhoud analyseren
SMS-berichten zijn niet versleuteld, waardoor providers de inhoud eenvoudig kunnen analyseren op verdachte inhoud, bijvoorbeeld met behulp van taalmodellen. Ook in het kader van strafrechtelijke vervolging kunnen zij de sms-berichten openbaar maken, maar daarbuiten vallen korte berichten onder het telecommunicatiegeheim en worden ze beschermd door de Wet bescherming persoonsgegevens digitale telecommunicatiediensten . De mobiele providers mogen de inhoud van de sms-berichten daarom niet inzien. Maar hoe kan een SMS-firewall anders potentieel schadelijke inhoud filteren? Wij hebben dit aan de aanbieders gevraagd.
De Duitse markt voor mobiele communicatie wordt gedeeld door vier aanbieders, die elk een groot aantal merken van netwerken voorzien. Volgens Statista leverde Vodafone in het derde kwartaal van 2024 83 miljoen actieve simkaarten met mobiele netwerkdekking, Telekom 67 miljoen, Telefónica 46 miljoen en 1&1 drie miljoen.
Volgens een woordvoerder van het bedrijf in antwoord op een vraag van netzpolitik.org zal de SMS-firewall van Telekom zich in eerste instantie concentreren op verdachte links bij het automatisch analyseren van vermoedelijk frauduleuze SMS-berichten. Op iOS-apparaten zijn links naar phishingsites bijzonder problematisch; Op Android-apparaten leiden links in sms-berichten vaak naar malware.
Ook wij hebben jou steun nodig in 2025, gun ons een extra bakkie koffie groot of klein.
Dank je en proost?
Wij van Indignatie AI zijn je eeuwig dankbaar
SMS-firewalls zijn het resultaat van een spyware-aanval
Volgens een woordvoerder van Telekom is de maatregel een reactie op FluBot, “destijds de malware met de grootste hoeveelheid potentieel schadelijke korte berichten.” Het FluBot-spionageprogramma werd medio 2022 offline gehaald , maar volgens Telekom was het voor providers aanleiding om in gesprek te gaan met toezichthouders. Doel hiervan was om mensen te beschermen ‘die helaas niet optimaal omgaan met hun inloggegevens, privacy-instellingen en het delen van persoonlijke informatie op sociale media’.
Maar hoe herkent Telekom frauduleuze links? “In het dagelijkse werk van onze veiligheidsexperts verzamelen wij bij Deutsche Telekom veel kennis over de strategieën, tools en infrastructuur van criminelen.” Van bijzonder belang is kennis over op afstand bestuurde servers waarvan bekend is dat ze malware verspreiden, deel uitmaken van een botnet of bekend zijn uit de analyse van gerapporteerde schadelijke e-mails. Telekom gaat in de toekomst sms-berichten met links die naar dergelijke servers leiden, eruit filteren.
Daarnaast gebruikt Telekom verzend- en ontvangstgegevens en de datum en tijd van verzonden sms-berichten om aanwijzingen te vinden over berichten die in grotere volumes of via scripts zijn verzonden. Hierdoor kunnen aanvalsgolven worden gedetecteerd en kan de bezorging van bijbehorende sms-berichten worden voorkomen.
Telekom leest links in berichten
Om de links te kunnen lezen, moet het bedrijf echter de inhoud van de sms analyseren. Zolang het gebruikte algoritme echter niet de semantische waarde van woorden onderzoekt, maar alleen deep links herkent of verkorte links oplost en het doel vergelijkt met een lijst, zouden de toezichthoudende autoriteiten hiertegen geen bezwaar maken, aldus de woordvoerder van het bedrijf.
Hij ziet kennelijk nog een andere manier om sms-inhoud juridisch te controleren zonder in conflict te komen met de wet: “Als je bijvoorbeeld een algoritme gebruikt om hashwaarden te creëren uit de inhoud van de sms en deze vergelijkt, dan zou je dezelfde hallo-mama-hallo-papa-sms ook kunnen markeren of filteren met een waarschuwing, net zoals providers in bijvoorbeeld Spanje in de toekomst verplicht zullen worden te doen “, schrijft hij.
Vodafone schrijft dat het bedrijf een combinatie van systematische en handmatige netwerkbewaking gebruikt en daarmee al een groot deel van de spam-aanvallen kan afweren. De beveiligingsconcepten worden voortdurend verbeterd.
Vodafone en Telefónica houden zich op de vlakte over de kwestie van SMS-inhoudsanalyse
Toen we vroegen hoe Vodafone van plan is om frauduleuze sms-berichten te detecteren zonder de inhoud van de berichten te onderzoeken, schreef het bedrijf: “U moet begrijpen dat we geen verdere details over onze beschermingsmaatregelen publiceren, ook niet om te voorkomen dat criminelen deze gebruiken om hun aanvallen te ‘verbeteren’.”
Telefónica zou ook verificatie- en beschermingsmechanismen tegen frauduleuze en schadelijke sms-berichten hebben geïmplementeerd. “De systemen kunnen bijvoorbeeld sms-berichten identificeren die in grote hoeveelheden binnen een korte periode zijn verzonden”, schrijft een woordvoerder van het bedrijf. Als dergelijke massale sms-berichten worden herkend, kan het bedrijf maatregelen nemen om ze te blokkeren.
Het evalueert ook ‘feedback van klanten over mogelijke spamberichten’, vervolgt het. Telefónica overweegt ook de introductie van een spamfirewall “die berichten met bepaalde schadelijke inhoud nog sneller zal detecteren.” Op de vraag hoe de systemen frauduleuze sms-berichten zouden moeten herkennen zonder de inhoud van de berichten te analyseren, geeft het bedrijf geen antwoord.
1&1 beschikt over technische mogelijkheden voor tekstherkenning
Volgens een woordvoerster van het bedrijf maakt 1&1 gebruik van ‘herkenning op basis van volumetrische kenmerken’, wat bijvoorbeeld betekent dat onze firewalls de verantwoordelijke teams (intern en bij andere dienstverleners) waarschuwen wanneer er sprake is van een zeer hoog volume aan sms-berichten. Deze teams bepalen vervolgens de maatregelen (klant aanspreken, blokkeren, etc.) en voeren deze op basis daarvan uit.”
Het bedrijf heeft ook “mogelijkheden voor tekstherkenning en -analyse.” Verdere maatregelen worden “al afgestemd met de verantwoordelijke autoriteiten. “Er vindt momenteel dan ook geen inhoudelijke evaluatie plaats”, schrijft de woordvoerster.
