image

Zembla uitzending slaat in als bom

maandag 10 november 2008, 17:27 door Redactie, 25 reacties

Gisteravond kwam Zembla met een uitzending over creditcardfraude en hoe eenvoudig het is om die gegevens te misbruiken, tot grote schrik en verbazing van de politiek en het OM. Zo gaat D66 Tweede Kamerlid Alexander Pechtold vragen stellen en wil het OM dat er een meldplicht voor gehackte websites en bedrijven komt. De gestolen gegevens werden via besmette machines en gehackte websites bemachtigd en kwamen daarna in handen van Zembla. De informatie kan echter ook via skimming worden verkregen, zo waarschuwt fraudebestrijder Ultrascan. De prijzen per creditcard variëren van 50 Eurocent to 5 Euro, afhankelijk van de hoeveelheid geleverde data.

De handel in gestolen identiteitsgegevens wordt beheerst door zogenaamde Open Source Criminele Netwerken (OSCN). Open Source Criminele Netwerken hebben een aantal kenmerken. Ten eerste hebben OSCN vrije of zeer goedkope toegang tot alle benodigdheden om hun misdaden te plegen. De belangrijkste benodigdheid, het internet, is bijna overal ter wereld toegankelijk, voor weinig geld, zeker in verhouding tot de mogelijke criminele opbrengsten. Ten tweede, bevinden de criminelen en slachtoffers zich in verschillende jurisdicties. Dit bemoeilijkt het berechten. Ten derde, opereren deze criminelen anoniem. Dat bemoeilijkt het opsporen.

Onderschatting
Met name In Amerika en Groot-Brittannië komt identiteitsfraude veel voor, wat in het geval van de VS door het gebruik van het social security nummer wordt vergroot. Volgens de fraudebestrijder wordt internet gerelateerde criminaliteit en grote anonieme criminele netwerken nog steeds zwaar onderschat door de Nederlandse overheid en doet men dit vooral af als een persoonlijk probleem of een probleem van banken en creditcardmaatschappijen. "Er is geen sprake van enige urgentie bij de overheid, laat staan dat het als een nationaal risico wordt behandeld."

"Volgens de banken is het een probleem van creditcardmaatschappijen, wat vreemd is, omdat het dezelfde criminele netwerken zijn die internet bankieren en debit kaarten als doelwit hebben. Het resultaat is dat iedereen naar elkaar blijft wijzen. Sommigen dringen aan op internationale samenwerking bij opsporing, maar tegelijkertijd staat privacywetgeving een noodzakelijke gegevens uitwisseling in de weg. Er wordt dus niets aan onderzoek en bestrijding gedaan en identiteitsfraude en OSCN blijven explosief groeien."

Overheid
Ultrascan merkt op dat dat er nauwelijks budgetten voor onderzoek zijn, laat staan voor de bestrijding ervan. Het gevolg is dat de politie geen tijd en mankracht heeft om deze vormen van grensoverschrijdende criminaliteit aan te pakken. Ook de fraudebestrijder ziet graag dat er een meldingsplicht voor gehackte bedrijven komt. "De overheid moet het mogelijk maken (met terugwerkende kracht) inzicht te krijgen in alle data lekken, of dit nu de persoonsgegevens van 50 werknemers gaat of om verlies van miljoenen gegevens van een belastingdienst." Verder zou de overheid grootschalige onderzoeken naar grensoverschrijdende OSCN mogelijk moeten maken. Het is de vraag in hoeverre dit nog helpt. Experts zijn ervan overtuigd dat "we al te laat zijn."

Meldplicht
Het College Bescherming Persoonsgegevens wil dat er een meldingsplicht voor gehackte sites en bedrijven komt: “Ik vind dat er een meldingsplicht zou moeten komen. Waardoor bedrijven die zien, of weten of kunnen weten dat er uit hun databases spullen zijn ontvreemd, dat die dat centraal zullen moeten melden, en openbaar moeten melden.” Ook fraude-officier van Justitie mr. F. Speijers wil een meldingsplicht: “Het bedrijf waar dat gebeurt is, behoort al die klanten te informeren Dan voorkom je voor een belangrijk deel dat ik geweldig verrast word dat er met mijn identificerende gegevens misbruik wordt gemaakt. Vergelijk het met normale diefstal en nu zijn het elektronische gegevens. En daar word ik dan niet over geïnformeerd? Ik vind dat dat ook zou moeten.”

Mastercard secure code
Eigenaren van een Mastercard Secure Code werden ook tijdens de uitzending gewaarschuwt. Wie zich in Nederland voor de kaart aanmeldt "om zich beter te beveiligen bij internet transacties" accepteert een eigen risico van 150 euro. De kaart blijkt echter helemaal geen extra veiligheid te bieden. Iedereen kan de door gebruiker zelf bedachte code laten resetten naar een nieuwe code en de betaling laten goedkeuren. Mocht de gebruiker een geldig kaartnummer invoeren, gecombineerd met een verkeerde naam, dan geeft het Secure Code systeem de correcte naam weer. Als laatste controleert het systeem alleen op de geldigheid van de kaart. In de uitzending bevestigt een ING-fraude medewerker de kwetsbaarheid van de kaart.

Reacties (25)
10-11-2008, 17:39 door SirDice
Open Source Criminele Netwerken? Beetje last van beroeps verdwazing?

Bedoelen jullie niet Open-Bron Criminele Netwerken?

http://www.ultrascan.nl/Satelliet_Notitie_Open_Bron_Criminele_Netwerken.pdf
10-11-2008, 18:22 door Anoniem
Oh my Gawd. Heeft Justitie en de politiek liggen slapen, hun kop in het zand gestoken of zijn ze echt dom en oblivious of the facts? Als het echt zo mocht zijn dat de overheid dit niet wist, dan is het tijd onze "jongens' met een kluitje in het riet te sturen en een echt Cyber Crime Task Force op te starten. Dit is niet alleen te gek voor worden....het is een f....g shame. Ik kan er gewoon niet bij? Verleden jaar heb ik een lezing gegeven over Cybercrime en er zaten zo'n 350 in de zaal waarvan veel van de overheid (ja ook politie en zelfs AIVD). Dus er moest toch iets bekend zijn?

Groet en slaap veilig
10-11-2008, 18:38 door [Account Verwijderd]
[Verwijderd]
10-11-2008, 20:42 door Anoniem
Dat de politici hierover verbaasd zijn, geeft maar eens weer aan hoe weinig inzicht ze hebben in dergelijke zaken.
En deze lui moeten beslissingen nemen over bewaarplicht, EPD, enz.
10-11-2008, 21:47 door Eerde
Door Iceyoung
Inderdaad, zo verander je in een zucht van eerlijke Linux gebruiker is een rasechte crimineel
En het alom bekend dat dat nu juist de minst criminele gebruikers van zijn van alle OS'en ;)
10-11-2008, 22:24 door Anoniem
De ID-theft cijfers in de USA dalen. De reden is dat er daar veel meer actieve opsporing is en er
veel wetten zijn aangenomen om TD-theft aan te pakken. Maar elders stijgen de cijfers: Nederlanders zijn
tegenwoordig simpelweg lager hangend fruit.


Batman
10-11-2008, 22:26 door prikkebeen
Er is een hele grote Open Bron aanwezig op internet. We hebben er dagelijks allemaal last van. Die bron heet Windows.
Maar er is hoop! Deze Open Bron is zichzelf langzaam aan het verwoesten. De Open Bron is bijna resistent voor antivirus injecties geworden.
10-11-2008, 23:29 door Anoniem
Tsjongejonge, wat een bom! Een klein natgeworden rookbommetje dan misschien.

- 1 van de kleinere oppositiepartijen gaat vragen stellen; het is tegenwoordig bijna meer bijzonder als er geen kamervragen gesteld worden. Het regent vandaag, morgen komt daar een spoeddebat over ;-)
- 1 van de partijen die meewerkt aan de uitzending wordt nogmaals aangehaald met wat wazige teksten over Open Source (of Open Bron) Criminele Netwerken. De PDF die in de comments hierboven aangehaald wordt, maakt het niet veel duidelijker...
- het CPB, ook al in de uitzending aanwezig, herhaalt de uitspraken uit de uitzending nog maar een keertje
- en de bevinding over de Secure Code wordt nog een keer herhaald
- oh ja, er keken ongeveer 1/6 van de mensen die naar Peter Errrr keken naar deze baanbrekende uitzending vol 'nieuws'

De kop had beter kunnen zijn: "Samenvatting van het toch al oude nieuws van Zembla, voor wie het gemist heeft"
11-11-2008, 08:12 door [Account Verwijderd]
[Verwijderd]
11-11-2008, 09:07 door Anoniem
Bij echte credit cards ligt het risico in eerste instantie bij de acceptant. Deze moet aantonen dat hij terecht geld claimt. Helaas zijn er veel debit cards die in de ogen van de gebruikers voor credit cards doorgaan. Kortom: weet wat je hebt, en hoe het werkt. Ook al is dat saai.
11-11-2008, 09:10 door Anoniem
Door SirDiceOpen Source Criminele Netwerken? Beetje last van beroeps verdwazing?

Bedoelen jullie niet Open-Bron Criminele Netwerken?

http://www.ultrascan.nl/Satelliet_Notitie_Open_Bron_Criminele_Netwerken.pdf

Het wordt gewoon engels gehouden, want tsja in nederland is bijna niets meer van ons zelf :(
11-11-2008, 09:14 door Anoniem
Door prikkebeenEr is een hele grote Open Bron aanwezig op internet. We hebben er dagelijks allemaal last van. Die bron heet Windows.
Maar er is hoop! Deze Open Bron is zichzelf langzaam aan het verwoesten. De Open Bron is bijna resistent voor antivirus injecties geworden.

Blaat blaat. Ja hoor daar zijn we weer: Linux vs Windows.... Hou toch eens op met die eeuwige discussie. Het gaat toch niet om het OS? Bovendien: als je de exploits bekijkt binnen bijvoorbeeld Metasploit dan snap ik al helemaal niet meer waar die discussie vandaan komt. Beide bevatten fouten en gevoeligheden. Daarnaast zijn het heel vaak slecht geschreven applicaties die op het platform draaien welke de boosdoener zijn. Zoals de hack van een webserver met een FTP pakket erop. Was wel makkelijk voor de upload van bestanden.... yeah right!

Maar om even bij het topic te blijven: ik heb de aflevering gezien en denk dat het een gigantische afgang is voor politiek, overheid maar ook voor de private sector. Tis toch een grof schandaal dat men zo verbaasd reageerde. Leven ze in een andere wereld of zo? Ik ben het met eerdere schrijvers eens: dan heeft men toch echt zitten slapen de afgelopen jaren!

Wat doen ze dan vraag ik me wel eens af? Ik zie dat meer en meer: als je het maar op papier allemaal aan kan tonen dat je procedures en dergelijke op orde zijn dan zit het allemaal wel goed. De ene ISO na de andere SOx en we auditen en loggen alles aan elkaar! De ene taskforce (ook zo'n hype) na de andere en het resultaat....

Iedereen weet al jaren dat credit cards nou niet echt heel veilig zijn. Dat was zo en dat is zo. Dat was zo omdat je jaren geleden ook al een doordrukvelletje had waar fraude mee mogelijk was en dat is zo omdat door Zembla maar weer eens het feit gepresenteerd is dat er slechte controle is op stamgegevens. Jaren geleden schreef iemand eens geld vanmijn rekening af, bleek dat een niet nader te noemen bank niet eens een controle uitvoerde op de handtekening en de stamgegevens.

ING is dan ook slechts een voorbeeld. Wat ik wel schrijnend vind, is dat ING dan het e.e.a. als veilig(er) aanprijst terwijl er gewoon weer een verkapte marketing achterzit. Wees dan eens innovatief! Dat kost geld maar geeft ook kansen om je te onderscheiden van de concurrentie. Volgens mij worstelen we gewoon met een opdrogende beveiliging van de huidige middelen. Er zal gewoon een nieuwe generatie middelen moeten komen en nog beter: een geheel herziene visie op beveiligsconcepten. Het kraakt in z'n voegen.
11-11-2008, 09:14 door Anoniem
Hint: Tja geheimhouding maakt ook het moeilijk hé.
11-11-2008, 09:30 door [Account Verwijderd]
[Verwijderd]
11-11-2008, 09:32 door Skizmo
Ojee.. nu gaat heel nederland op zijn kop staan over iets dat ALLANG bekend was. Programma's als Zembla en Nova laten zo goed zien wat voor lemming-gedrag we vertonen.
11-11-2008, 09:33 door Preddie
Het College Bescherming Persoonsgegevens wil dat er een meldingsplicht voor gehackte sites en bedrijven komt:


hoezo dat nu ? ik zou het CBP al niet meer vertrouwen sinds de laatste uitspraken of gaan ze deze informatie ook op de OV-chipkaart plaatsen ? vind het hele CBP één grote pure schijnvertoning
11-11-2008, 10:42 door Jan-Hein
Het verbaast mij dat er zo vaak naar nationale overheden wordt gekeken alsof ze problemen op het Internet kunnen oplossen.
Geen enkele nationale overheid, en zeker niet een relatief kleine zoals de Nederlandse, kan dit en ze zullen het nooit met uitsluitend nationale bevoegdheden kunnen.
11-11-2008, 11:00 door Anoniem
Door prikkebeenEr is een hele grote Open Bron aanwezig op internet. We hebben er dagelijks allemaal last van. Die bron heet Windows.
Maar er is hoop! Deze Open Bron is zichzelf langzaam aan het verwoesten. De Open Bron is bijna resistent voor antivirus injecties geworden.

Word toch eens wakker man,omdat linux voor jou alles is word windows de grond ingetrapt.
volg eens een goede cursus windows.
11-11-2008, 13:24 door Anoniem
een meldplicht, dat is tevens ook het grootste probleem. Bedrijven die weten dat ze gehacked zijn, zijn zich al bewust en een goed eind op weg. De meeste bedrijven weten niet eens dat ze gegevens hebben gelekt. Het zou dus een onzin maatregel zijn. Als de overheid zich ermee zou bemoeien (wat ik me afvraag) kunnen ze zich beter richten op bewustwording, daarna eens kijken naar zichzelf (EPD) en mogelijk als iedereen zich bewust is, ze zichzelf op orde hebben nog eens een meldplicht instellen. Eerder maar niet...
11-11-2008, 14:36 door Anoniem
Iemand die het EPD heeft kunnen kraken op afstand? Dat noem ik nl. 'n hack-zetten voor het goede doel :P
11-11-2008, 18:30 door Anoniem
tja, wat wil je van een overheid die alles perfect op papier in orde hebt, maar als het op de praktijk op aan komt .
alleen maar boetes kan uit delen
11-11-2008, 23:46 door Anoniem
Tjezz, wat heb ik weer gelachen met hun pincodes en intoetsen van ccv code's.


1] De nadruk lag ook niet echt op een goed anti-virus pakket installeren, want ben je al een heel stuk veiliger.
Met zo'n beetje elke keylogger op je systeem ben je nooit veilig, hoeveel pinocodes je ook moet invullen.
Dus een goede av scanner op je systeem kan een hoop elende voorkomen.

2] Diegene die een boek besteld bij bijv. bol.com en op een ander adres laat bezorgen hebben ze zo te pakken
dus een slecht voorbeeld.

3] Het al dan al proberen om website's uit een ander land uit de lucht te halen, lukt toch nooit, en zou het lukken
dan gaat het verhandelen wel via e-mail, ftp, of nog anders.

4] Weer net hetzelfe verhaal als 3x kloppen.nl
Heb je eenmaal een trojan op je systeem dan helpt 3x kloppen ook niks meer.
Wil je goede raad geven, geef dan aan dat mensen een goed av programma moeten installeren, en hun software
up-to-date houden.

5] Naar mijn idee prutsen ze maar wat aan met hun voorlichting, of de verkeerde mensen op de verkeerde plek.
Met bijv. Kaspersky [ als av ], en secunia [ als software inspector ] kom je al een heel stuk in de juiste richting.

5] Bankzaken of online bestellingen zou je kunnen doen, met een linux live boot cd.


Tja onze overheid, heeft de klok wel horen luiden, maar weet niet waar de klepel hangt
14-11-2008, 16:09 door Anoniem
Door AnoniemTjezz, wat heb ik weer gelachen met hun pincodes en intoetsen van ccv code's.


1] De nadruk lag ook niet echt op een goed anti-virus pakket installeren, want ben je al een heel stuk veiliger.
Met zo'n beetje elke keylogger op je systeem ben je nooit veilig, hoeveel pinocodes je ook moet invullen.
Dus een goede av scanner op je systeem kan een hoop elende voorkomen.

2] Diegene die een boek besteld bij bijv. bol.com en op een ander adres laat bezorgen hebben ze zo te pakken
dus een slecht voorbeeld.

3] Het al dan al proberen om website's uit een ander land uit de lucht te halen, lukt toch nooit, en zou het lukken
dan gaat het verhandelen wel via e-mail, ftp, of nog anders.

4] Weer net hetzelfe verhaal als 3x kloppen.nl
Heb je eenmaal een trojan op je systeem dan helpt 3x kloppen ook niks meer.
Wil je goede raad geven, geef dan aan dat mensen een goed av programma moeten installeren, en hun software
up-to-date houden.

5] Naar mijn idee prutsen ze maar wat aan met hun voorlichting, of de verkeerde mensen op de verkeerde plek.
Met bijv. Kaspersky [ als av ], en secunia [ als software inspector ] kom je al een heel stuk in de juiste richting.

5] Bankzaken of online bestellingen zou je kunnen doen, met een linux live boot cd.


Tja onze overheid, heeft de klok wel horen luiden, maar weet niet waar de klepel hangt

1) Wat een gezwam. Een goede anti-virusscanner zegt tegenwoordig echt helemaal niets meer. De signatuur veranderen en hop, je bent er doorheen. Vaak een eitje. Meerdere voorbeelden gezien.

2) het gaat om de strekking van het verhaal.

3) ja, het gaat er echter om meer internationale afspraken te maken zodat je als crimineel in ieder geval niet veilig bent als je in een wazig oord een servertje hebt neergezet van waaruit je dit soort zaken in de praktijk brengt. Volgens mij zal dit nog lange tijd een utopie blijken. Bij veel landen heeft dit geen prioriteit, ze hebben het veel te druk om de broek op te houden.

4) ook onzin. De maatregelen die hier genoemd worden zijn volstrekt ontoereikend en bieden schijnveiligheid. Ik noem zero-day exploits en zelfs SSL verbindingen en de certificaten die kunnen fake zijn. Dat zegt toch een doorsnee gebruiker ook helemaal niets!
Kaspersky labs heeft zelfs aangegeven dat er op dit moment maar een manier is die nog enig vertrouwen kan krijgen: een aparte VM in een andere OS-smaak dan het host-systeem (met firewall etc etc) en van waaruit de verbinding tot stand komt en waarna alle historie wegvalt als de VM afgesloten is. Verder zijn er geen verbindingen toegelaten van buitenaf tot de VM. Dit staat overigens ook al weer ter discussie. Kijk eens naar de kwetsbaarheden in VM's.

5) nou, zie mijn voorgaande opmerkingen. Ontoereikend.

6) Dat komt al een heel eind in de richting! Kijk maar eens naar:
http://www.security.nl/artikel/23454/1/USB-stick_voor_veilig_internetbankieren.html

Het probleem is in het algemeen dat een bank geen vat heeft op de werkplek of omgeving van de eindgebruiker. Je kunt lastig daar zaken afdwingen. Dan kun je nog 100x zeggen dat er maatregelen genomen moeten worden. Een eindgebruiker wil dit niet weten en HOEFT dit ook niet te weten. Hij wil een functionaliteit veilig ingevuld zien.

Vanuit de IT techniek denken we veel te gemakkelijk over het besef bij eindgebruikers. Veel mensen weten niet eens wat een virus, worm of laat staan een SSL verbinding is. Dat moet je weghalen. Waarom dan moeilijk doen en dus gewoon iets verplichten zodat end-to-end veiligheid kan worden gegarandeerd en je wel vat hebt op datgene wat op afstand gebeurt? Wil je internet bankieren. Prima maar daar zijn voorwaarden aan verbonden om jezelf, anderen en de bank te beschermen.
27-11-2008, 16:07 door Anoniem
Een simpel probleem: in de parkeergarage in Rotterdam, De Oosterhof (voor kenners bij Albert Hein en Laplace) zitten aan de binnenkant in de sleuf waar je je Visa kaart in moet voeren sinds 2 (?) weken 2 witte plastic geleiders. Ik heb er geen idee van waarom die er ineens geplaatst zijn. Ik weet echter ook niet waar ik dat kan melden. Bij wie moet ik dat navragen?

Ik betaal in de parkeergarage altijd met mijn Visa kaart. Lekker makkelijk, maar dit geeft me toch wel een ongemakkelijk gevoel.

Advies is welkom.

Maria
30-11-2008, 21:46 door prikkebeen
Ik zou de politie bellen, maar ik weet niet of die er iets mee doen. Misschien kunnen ze wel voor je uitzoeken wie de eigenaar van de garage is en daar navraag doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.