Dit werkt phishing in de hand. Zelfs als telefoonnummers niet gespoofed zouden kunnen worden, wordt, in plaats van dat nummer, vaak een meegestuurde naam (die eenvoudig vervalst kan worden en niet gegarandeerd uniek van een organisatie is) getoond in SMS-apps. En zelfs als het nummer altijd getoond zou worden, is het noodzakelijk dat ontvangers checken dat dit nummer daadwerkelijk van de kennelijke afzender is – en dat wordt een big fail.
Daarnaast kunnen SMS-berichten door derden worden “geïnjecteerd” in de infrastructuur. Ten slotte is de zekerheid, dat ze aankomen, beperkt, en als mensen teveel en/of valse SMS-berichten krijgen, stoppen ze met lezen (steeds meer mensen zijn al notificatie-moe).
Vertrouwelijkheid speelt hierbij wellicht geen enkele rol, maar authenticiteit, integriteit en beschikbaarheid (inclusief gelezen worden door de bedoelde persoon) wel degelijk.
Kansloos qua betrouwbaarheid en veel te eenvoudig te misbruiken door cybercriminelen – waarbij dat laatste natuurlijk niet naar boven komt in een kleinschalig onderzoek.
Bovendien, hoe komt de overheid aan mijn telefoonnummer, en hoe weet de overheid dat dit nog steeds mijn telefoonnummer is? Zie ook https://security.nl/posting/767725.
Wellicht het probleem van (goedkopere en snellere) digitale communicatie is dat die voordelen ook bestaan voor criminelen én dat de pakkans meestal veel kleiner is dan bij “ouderwetse” communicatie (brief of live aan de balie) – naast het risico op een stortvloed van door de afzenders belangrijk gevonden informatie. Hebben we dan helemaal niks geleerd van e-mail spam?
Bron: Security.nl