Het hacken van een onvoldoende beveiligd account is zo gebeurd. Daarmee kunnen uw persoonlijke gegevens in handen komen van internetcriminelen. Met alle gevolgen van dien. Fennel Aurora, cyber security expert bij F-Secure, vertelt wat identiteitsfraude voor gevolgen kan hebben en hoe u zich ertegen kunt beschermen.

Wat is identiteitsfraude?

‘Het opzettelijk misbruiken van persoonsgegevens om bijvoorbeeld geld te kunnen opnemen van jouw bankrekening. Vaak vindt identiteitsfraude plaats op het internet. Maar met jouw persoonsgegevens die ze via het internet hebben bemachtigd kunnen ze bijvoorbeeld ook eenvoudig valse papieren identiteitsbewijzen maken.’

Dat klinkt zorgwekkend. Hoe vaak komt identiteitsfraude voor?

‘Precieze aantallen zijn moeilijk te geven, maar we hebben wel een indruk. We weten dat de halve wereldpopulatie – een kleine vier miljard mensen – op het internet actief is. We weten ook dat in de eerste zes maanden van dit jaar alleen al meer dan dit aantal aan wachtwoorden zijn gelekt via datalekken. Er zweven dus miljarden identiteitsgegevens rond op het internet waarmee criminelen hun voordeel kunnen doen. Niet voor niets is identiteitsfraude in onder meer Amerika een miljardenindustrie. Er is een volledig ecosysteem van georganiseerde misdaad actief achter de schermen.’

Wat zijn die gevolgen? Wat kunnen criminelen allemaal doen met jouw identiteit?

‘Ze kunnen bijvoorbeeld internetaankopen doen waarvan de rekening bij jou terechtkomt. Maar ze kunnen ook op jouw naam geldleningen afsluiten of belastingteruggaven aanvragen. En met jouw gegevens kunnen ze een vals identiteitsbewijs maken dat ze laten zien wanneer ze worden gepakt voor een misdaad. Er zijn gevallen bekend waarbij onschuldige mensen vanwege deze vorm van identiteitsfraude zijn opgepakt voor misdaden die ze niet hebben gepleegd. Het is dan knap lastig om te bewijzen dat jij dat niet bent geweest.’

Hoe kom je erachter dat iemand anders jouw identiteit misbruikt?

‘Soms kom je daar nooit achter of duurt het jaren. Maar je kunt het ook meteen merken als je bijvoorbeeld je pinpas niet meer kunt gebruiken omdat de limiet is overschreden. Of op het moment dat je geen hypotheek kunt afsluiten omdat je schijnbaar leningen hebt afgesloten waarvan je de rente niet betaald hebt. ’

Hoe ontstaat identiteitsfraude, wat maakt dat dit mogelijk is?

‘Twee dingen. Mensen denken vaak dat ze zich identificeren met inloggegevens die alleen zij kennen. Maar zo geheim zijn die niet. Op sommige telefoons kun je je bijvoorbeeld identificeren met je vingerafdruk of je gezicht. Maar jouw vingerafdruk is overal te vinden. Al helemaal op het scherm van je telefoon. Ook zijn overal foto’s van je gezicht te vinden. Daarmee kan een crimineel toegang krijgen tot je telefoon als deze gezichtsherkenning heeft (met uitzondering van een iPhone; Apple’s FaceID is hiertegen beveiligd, red). Ook paspoort- en rijbewijsnummers laat je desgevraagd overal achter, bijvoorbeeld op overheidswebsites of bij de balie van het ziekenhuis. En wat te denken van je adres of de meisjesnaam van je moeder. Vaak is het voldoende om je hiermee te identificeren.

De tweede reden dat digitale identiteitsfraude mogelijk is, komt doordat overheden en internetpartijen in het verleden niet voldoende hebben gedaan om mensen te wijzen op het belang van het gebruik van sterke wachtwoorden. Niemand kan tientallen of honderden sterke wachtwoorden onthouden. Daarvoor heeft de industrie nu gebruiksvriendelijke wachtwoordmanagers, ook vaak password managers genoemd, ontwikkeld. Die hadden er veel eerder moeten zijn.’

Is dat de oplossing tegen identiteitsfraude. Sterke wachtwoorden?

‘Het is in feite het enige dat je kunt doen. Honderd procent bescherming tegen internetcriminelen is een illusie, maar maak het ze wel zo moeilijk mogelijk. Gebruik een sterk en uniek wachtwoord voor elk afzonderlijk platform waarop je inlogt. Daarmee maak je het ze moeilijk om met één gestolen paswoord toegang te krijgen tot jouw andere accounts. En zet twee-factor-authenticatie aan daar waar het kan. Gebruik daarvoor een speciale app als Google authenticator of een Yubikey, een soort usb-stick die je op je computer aansluit.’

Verdwijnen wachtwoorden in de toekomst en komen er nieuwe manieren waarmee we ons kunnen identificeren?

‘Nee, ik denk niet dat wachtwoorden ooit zullen verdwijnen. Daar zullen we mee moeten leren leven. Er komen hooguit andere vormen bij voor tweestapsverificatie. Gelukkig komen er steeds meer gebruiksvriendelijke wachtwoordmanagers op de mark. Ook zijn er programma’s op de markt die een “alert” uitsturen als jouw gegevens ergens zijn gevonden waar ze niet thuishoren. Deze zijn nu vooral in Amerika actief, maar eind van dit jaar komt F-Secure met zo’n alertprogramma met een geïntegreerde wachtwoordmanager.’

Tot slot. Wat doe je als je slachtoffer wordt van identiteitsfraude?

‘Wordt er misbruik gemaakt van je bankgegevens? Dan bel je je bank. Is bijvoorbeeld je Facebook-account gehackt? Verander dan meteen je wachtwoord en ook dat van andere accounts waarvoor je hetzelfde wachtwoord gebruikt. Realiseer je ook dat wanneer je gegevens op het internet hebt gezet, deze er vrijwel niet meer af te halen zijn. Je kunt bijvoorbeeld je Facebook-account wel opheffen, maar jouw gegevens zijn allang doorverkocht aan honderden andere bedrijven. Daarom is het zo belangrijk dat je inloggegevens moeilijk te achterhalen zijn voor anderen.’

XS4ALL en uw online veiligheid

XS4ALL is de beste keuze voor online veiligheid. Benieuwd waarom?

Lees meer over veiligheid  >

Lees meer over identiteitsfraude op:

https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude

https://www.politie.nl/themas/identiteitsfraude.html

https://www.consumentenbond.nl/internet-privacy/identiteitsfraude

https://veiliginternetten.nl/themes/situatie/ik-ben-slachtoffer-van-identiteitsfraude/

Deel dit:

Reacties

  1. anoniem says:

    DigiD van Logius is inderdaad een enorm obstakel naar een veiliger internet.

    Recent zijn veel van hun klanten begonnen met het verplichten van SMS controle, omdat dit ‘veiliger’ zou zijn. Helaas is dat onzin:

    1. Bijvoorbeeld: “De extra controle door in te loggen via de DigiD-app of via sms-controle is veiliger dan inloggen met alleen uw DigiD-gebruikersnaam en -wachtwoord. Daardoor kan niemand anders namens u inloggen.” Hiermee geeft men al aan dat men er van uit gaat dat onbevoegden niet kunnen inloggen op de account van iemand anders. Dit kan echter wel, alleen kunnen ze nu de aansprakelijkheid afschuiven op de klant.

    2. Risico’s SMS controle: SMS codes kunnen door mallware op de telefoon onderschept worden. SMS codes kunnen via een besmette web- of IP-camera van het scherm worden gelezen. Er kan gebruik worden gemaakt van een kwetsbaarheid in het SS7 protocol. Bij verlies of diefstal van toestel met simkaart ontvangt de dief of vinder de codes en is de eigenaar controle over zijn DigiD kwijt. Het is niet meer mogelijk het abonnement op te zeggen omdat hierbij het nummer naar een ander abonnee gaat en omdat het nummer binnen DigiD alleen vervangen kan worden door een nieuw. Deze inlogmethode maakt dus een abonnement bij een commerciële 3e partij, verplicht.

    3. DigiD substantieel SMS controle zorgt ervoor dat er meer vertrouwelijke informatie via de DigiD-inlog elders, toegankelijk wordt. Dit werkt juist risicoverhogend: als er dan toegang wordt verkregen, ligt er meteen veel meer op straat.

    4. DigiD-app: door een besmette smartphone of malafide app (https://tweakers.net/nieuws/151790/digid-website-waarschuwt-voor-malafide-mijnoverheid-app-in-play-store.html) kan nog steeds “iemand anders namens u inloggen”

    6. Er bestaan veiligere alternatieven op basis van het Time-based One-Time Password algorithm (Initiative For Open Authentication en de Internet Engineering Task Force). Vreemd genoeg kunnen deze niet met DigiD gebruikt worden: dat is alleen mogelijk met hun single point of failure: de DigiD app, die alleen op een beperkt aantal apparaten en alleen online werkt.

    Voor het veilig berichten en documenten uitwisselen precies hetzelfde verhaal: Organisaties gebruiken ‘achterlijke’ producten als berichtenboxen en verplichten hun klanten deze te gebruiken. Terwijl hier ook een veel veiliger en betrouwbaarder alternatief bestaat in de vorm van secure mail. Voordeel is als iedereen DAT (ondertekenen van mail en bestanden) zou gebruiken, online phising helemaal niet meer voor zou komen. Nee, nu moeten mensen links in mails aanklikken die naar een website op internet leidt om zo hun berichten te lezen….Iets wat we iedereen juist proberen af te leren! Erg logisch, Logius?!

    Daarbij komt nog eens dat voor elke inlog met DigiD en voor elk gelezen bericht in de berichtenbox Logius een bedrag van tientallen centen krijgt overgemaakt. Logius is van de overheid en de afnemers van de dienst berekenen de kosten door aan hun klanten. Dus eigenlijk gewoon weer verkapte cyber-belasting. Vreemd omdat de organisaties ook open standaarden kunnen implementeren i.p.v. zich afhankelijk maken van een enkele partij die bij een storing een heel land kan belemmeren te functioneren.

    Nee, het internet had echt toegevoegde waarde kunnen hebben voor de mensheid. Maar door dit soort gedachteloze cowboypraktijken van incompetent IT-manangement, is het een puinzooi op Internet geworden en kost het meer energie alle valkuilen te ontwijken dan men er baat bij heeft.

    Wat je kan doen? Digitale dienstverlening actief weigeren tenzij dit een degelijke, structurele oplossing is die gebaseerd is op open standaarden (TOTP, e-mail, OpenDocument, etc). Zo worden we niet met zijn alle afhankelijk van 1 bedrijf, waardoor er een monopolie ontstaat en het ons straks heel veel geld gaat kosten om online zaken te regelen, terwijl we aan de andere kant verplicht worden dit te doen. Dus: niet alleen maar klagen maar gewoon weigeren met goede argumenten.

    Even ontopic :) betreft identiteit: bedrijven kunnen gemakkelijk op vertoon van ID bewijs een secret key (QR code) uitgeven die met elke compatible authenticator gebruikt kan worden. Geen afhankelijkheid van Logus of zijn servers, kosteloos in gebruik, geen single point of failure/attack meer, meer zekerheid over de identiteit en veiliger. En als je dan toch je ID laat zien, wissel dan ook public keys of certificaten uit voor secure mail: kan de wildgroei aan onveilige en gebruikersonvriendelijke berichtenboxen bij derden ook eindelijk stoppen.

    • anoniem says:

      De code die je per sms van DigId krijgt, is toch maar even geldig? Zie daar nog geen probleem… Of het voor de rest klopt wat u typt weet ik niet, u lijkt deskundiger dan ik.. :-)

      • anoniem says:

        Als de (onbeveiligde) SMS code onderschept wordt, kan deze gedurende geldigheid direct ingezet worden om de login sessie te kapen en snel veel vertrouwelijke info te downloaden of de contactgegevens te wijzigen. TOTP kan ook op een volledig offline apparaat gebruikt worden; dan is het onmogelijk gegenereerde codes gestolen worden: ze worden lokaal gegenereerd, b.v. zoals bij de reader van je bank. Echter de DigiD app draait alleen op online toestellen en daar is dus wel altijd het risico dat mallware de codes door kan sturen.

  2. Ton says:

    Alles moet met DiGiD, maar overheid sites zijn de gevaarlijkste voor ons. Eén van de laatste berichten spant de kroon, RDW is een site waarmee al je gegevens gewoon in het criminele circuit gekomen zijn, oplossing: er wordt een onderzoek ingesteld en wij horen er niets meer van. Nog één erg recent: Hellevoetsluis lekte bsn’s, woonadressen en telefoonnummers van inwoners. Verder zijn alle grote al gehackt, Adobe, ING, Rabo, ABN-Amro etc etc.

    Een volledig onwerkzaam systeem voor creëren voor de gebruiker is beslist niet de oplossing.

    Nog iets: geef NOOIT je BSN nummer af, helaas staat het overal in en zelfs achter op je rijbewijs, waar inmiddels allemaal hulpmiddelen voor zijn om het bij scannen (autohuur e.d.) onzichtbaar te maken, wat een onzinnige oplossing, dat kan echt anders.

    Cookies, waaaat?? wie haalt het in z’n hersens om bestanden op mijn computer te zetten, nou gewoon iedereen kan dat, maar je moet toch toestemming geven. Doe een simpele test waar je toestemming voor geeft bij bv Google. Volledig onbegrijpelijk, je ziet een lijst met bedrijven (die niemand kent) waar je gegevens aan verkocht worden en voor alle cookie gegevens waar je toestemming voor geeft kom je in een 32 pagina’s tellende PDF terecht en dat is alleen Google. OK, dan schakel je ze toch uit, tuurlijk alleen kom je dan nergens meer in, probeer dit maar eens gewoon op je bank rekening, zonder toestemming kom je er niet in, dus cookies uitschakelen kan niet.

    Oplossing, we schrijven er een wetboek bij, doen dat nog een keer met 2 soortgelijke wetboeken in de EU en je hebt je er maar aan te houden.

    Zo dat ben ik even kwijt, stop alsjeblieft met dit soort internet bladvulling, iedereen weet dit en niemand leest dit nog, want als simpele eindgebruiker KAN JE ER HELEMAAL NIETS TEGEN DOEN !!!! Helaas moet je ergens toch bij je eigen bank kunnen komen.

    • anoniem says:

      Al die cookiewalls zijn ook niet echt een oplossing lijkt me.. Ik kom ze te vaak tegen.. En voor cookies zijn ook andere middelen in te zetten. Dus als iedereen cookies weigert bedenkt men wel iets anders..

      Zorgelijk zijn ook allerlei ‘nepdeskundigen’ die je in de media aantreft.. Ik lees vaak berichten waarvan ik denk dat er geen echte experts achter zitten, al denken ze dat wel dat te zijn.. :-)

  3. JJ says:

    Tsja, Ik ben nu een dikke 25 jaar ‘verbonden’ en ik ben er wel een beetje klaar mee. Helaas is het zo dat ik tegewoordig gewoon verplicht word om internet te hebben. De overheid gaat mijn defecte computer niet reparen. Het is bijna zo erg dat ik verplicht word om een tablet of dumbphone aan te schaffen om dat anderen dat goed uitkomt. Ook die zal ik zelf moeten betalen. Het liefst niet contant.

    Inderdaad Ton, tastbare harde valuta. Althans, zolang je niet van je fiets geslagen wordt.

    F*** het internet.

    • anoniem says:

      Mooi dat u dan toch nog bij de (voorlopig) beste provider van Nederland zit.. :-)

  4. Ton says:

    Al heel erg lang duidelijk, dus is het onmogelijk voor een simpele eindgebruiker om je te verdedigen tegen de georganiseerde internet criminaliteit. Helaas worden alles digitaal geregeld en is “gewoon doen” niet meer mogelijk, dus grote bedrijven en providers, aan het werk. Het is wel heel erg makkelijk om alleen te melden dat echte beveiliging niet meer mogelijk is, maar we kunnen wel “alerts” sturen, wat een onzin allemaal.

    Gewoon betalen is in veel zaken al niet meer mogelijk, als we met z’n allen nou toch alleen maar met tastbaar geld gaan betalen wordt het al een heel stuk veiliger. Zo is er heel veel meer te bedenken.

    • anoniem says:

      ‘Tastbaar geld’ zegt niet alles, dat kan op een dag ineens veel minder waard worden..
      Zo zijn er nog talloze andere uitdagingen om onze wereld beter te maken.. :-)