Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Gemeente kopie opsturen ID en loonstrook voor koopkrachttegemoetkoming.

26-11-2014, 12:44 door Anoniem, 13 reacties
Zoals de titel al zegt. Mijn gemeente vraagt om een kopie van mijn identiteitskaart en loonstrook op te sturen voor aanvraag koopkrachttegemoetkoming. Deze moet ik dan opsturen via email. Wanneer word de overheid nou eens wakker? Wanneer kunnen wij via PGP/OTR communiceren via onze gemeente? Wat kan ik hier het beste tegen doen. Gewoon een mail opsturen met PGP.
Reacties (13)
26-11-2014, 13:03 door Anoniem
maak de kopie op papier, en plamuur de niet relevante zaken weg.

even persoonlijk afleveren.

en vervolgens loopt je aanvraag vertraging op, en heb je in plaats van anonimiteit en zorgvuldige afhandeling van je gegevens bereikt dat iedereen in het gemeentehuis je kent, en je stom vind.

Gelijk hebben en krijgen zijn 2 zaken, en als het om een koopkrachttegemoetkoming gaat, zou ik me niet al te principieel opstellen.
26-11-2014, 13:25 door Preddie
Maak een kopie en zorg ervoor dat alleen noodzakelijke gegevens leesbaar zin, schrijf midden op de kopie de datum waarop je de kopie hebt gemaakt en het doel, voorbeeld:

26-11-2014 Kopie t.b.v. koopkrachttegemoetkoming Gemeente X

Door dit er midden op te schrijven kan de kopie niet voor andere doeleinden gebruikt worden. Echter het risico dat men bij onderschepping de losse gegevens gaat gebruiken blijft aanwezig zowel bij post als bij email. Persoonlijk zou ik liever kiezen voor post gezien de groep potentiële aanvallers kleiner is als bij email en daarmee het risico kleiner.

Het ministerie heeft sinds kort ook een app uitgebracht special voor het maken van een kopie van je ID, middel de app kun je vrij gemakkelijk delen van de kopie onleesbaar maken. Hier de link naar de android app:

https://play.google.com/store/apps/details?id=com.milvum.kopieid
26-11-2014, 14:17 door Briolet
Je eigen gemeente? Dan zou ik die papieren gewoon persoonlijk afgeven.
26-11-2014, 14:39 door Rawit
PGP/OTR is niet het enige wat ingevoerd moet worden. Ook de uitvoer van hun privacy beleid mag worden aangescherpt. Een collega moest een keer de geldigheid van een ID controleren en belde de gemeente waar het was uitgegeven. Mevrouw aan de telefoon zei dat het erg druk was en vroeg of het antwoord gemaild mocht worden. Collega kreeg toen een beetje teveel informatie toegestuurd van die gemeente.
27-11-2014, 14:46 door Anoniem
Net zoiets als in: https://www.security.nl/posting/27592#posting409844
"Wij hebben in onze blinde eenzijdige zuinige suffe ambtelijke wijsheid bepaald..."
Maar wat doe je er aan?...
27-11-2014, 21:14 door Anoniem
Verbaast me. Meeste gemeentesites hebben een beveiligde upload omgeving.

Naming and shaming of melden bij NCSC en een leuk t-shirt ontvangen?
28-11-2014, 13:56 door Preddie
Door Anoniem: Verbaast me. Meeste gemeentesites hebben een beveiligde upload omgeving.

Naming and shaming of melden bij NCSC en een leuk t-shirt ontvangen?

Yep, en een default username/password voor hun CMS, haha
28-11-2014, 22:01 door Anoniem
Bij mijn gemeente (Almere) vragen ze voor de koopkrachttegemoetkoming een kopie van loonstrook/uitkeringsspecificatie van September 2014 van jezelf en evt.partner en (raar genoeg) een kopie van mijn bankpas!! Ik vindt dit laatste niet zo prettig en het lijkt mij potentieel onveilig (i.v.m. de gegevens op de bankpas en de mogelijkheid tot het maken van een plastic kopie vd bankpas).Waarom willen ze een kopie vd bankpas en niet gewoon een kopie van een recent bankafschrift met een kopie vd ID-bewijs (zoals een paspoort,rijbewijs,verblijfsvergunning)?? Op een bankafschrift staan o.m.adres,rekeningnummer dus waarom hebben ze dan een kopie vd bankpas nodig!?
29-11-2014, 17:38 door Briolet
Door Anoniem: dus waarom hebben ze dan een kopie vd bankpas nodig!?

De enige zinvolle reden die ik me zo snel kan voorstellen is controleren dat je een eigen rekeningnummer opgeeft en niet dat van een crimineel. Als de aanvrager een katvanger o.i.d. is, of als iemand zich met zijn papierwerk door een 'vriend' laat helpen bij de aanvraag.

Maar echt snappen doe ik het niet, want als ik wil frauderen, kan ik een kopie leveren met elk willekeurig nummer erop. Het originele pasje laten zien lijkt me dan het minste ter controle.
08-12-2014, 11:44 door Anoniem
Door Anoniem: .Waarom willen ze een kopie vd bankpas en niet gewoon een kopie van een recent bankafschrift met een kopie vd ID-bewijs (zoals een paspoort,rijbewijs,verblijfsvergunning)?? Op een bankafschrift staan o.m.adres,rekeningnummer dus waarom hebben ze dan een kopie vd bankpas nodig!?

Omdat veel mensen geen rekeningafschriften meer hebben, en steeds minder mensen een printer in huis hebben?

Daarnaast moet je je normaal identificeren bij het ophalen van een betaalpas. Dat maakt het al een stukje lastiger om te frauderen.
Natuurlijk is dat niet de belangrijkste fraude check, die doet de gemeente achter de schermen door gebruik te maken van de aangeleverde gegevens. Daar hoort ook het controleren van de naam en adres stelling van je bankrekening(en) bij.
08-12-2014, 12:51 door Anoniem
Uiteraard heeft iedereen rekeningafschriften. ze zijn alleen niet meer op papier gedrukt maar digitaal.
08-12-2014, 13:41 door Erik van Straten - Bijgewerkt: 08-12-2014, 13:47
08-12-2014, 11:44 door Anoniem: Daarnaast moet je je normaal identificeren bij het ophalen van een betaalpas. Dat maakt het al een stukje lastiger om te frauderen.
Ik kan mij niet herinneren dat ooit gedaan te hebben. Nieuwe bankpassen en creditcards worden door de postbode (hopelijk) in mijn brievenbus gegooid (en vervolgens daar -eveneens hopelijk- niet uitgevist).

Het is evident dat enkel het kunnen overleggen van een kopie van een bankpas op geen enkele wijze de bedoelde eigenaar ervan authenticeert.

Erger: personen en/of organisaties die enige waarde hechten aan zo'n kopie brengen de echte eigenaar van een bankpas in een onmogelijke positie indien een fraudeur, onterecht, met zo'n kopie claimt voornoemde echte eigenaar te zijn. Die echte eigenaar heeft gewoon geen middelen om te bewijzen: "It Wasn't Me". Om die reden zouden dit soort praktijken verboden moeten worden (tenzij organisaties door mijn bijdragen op security.nl gaan inzien dat ze met flauwekulbeveiliging bezig zijn ;)

Toelichting: maatregelen om misbruik van pinpassen te voorkomen
(1) Moderne bankpassen bevatten allemaal een chip. Bij die chip is informatie opgeslagen die de echtheid van de pas aantoont, en die niet eenvoudig kan worden gekopieerd. De chip is in staat om, met grote zekerheid, te bewijzen dat die geheime informatie "aan boord" is, en het dus niet om een kopie van de pas gaat. Dit middel, hoewel niet perfect, is een enorme verbetering t.o.v. de magneetstrip-pas (zo'n magneetstrip kan, met een simpel cassetterecorder lees/schrijfkopje, worden uitgelezen, waarna de gegevens met zo'n zelfde kopje op de magneetstrip van een andere pas kunnen worden geschreven);

(2) Gebruikers wordt op het hart gedrukt voorzichtig om te gaan met de pas, om zo de kans op verlies en/of diefstal ervan zo klein mogelijk te houden. Ook nemen banken maatregelen (hoewel niet allemaal even effectief) om te helpen signaleren dat een nieuwe pas, na verzending, kennelijk niet bijtijds door de bedoelde nieuwe eigenaar is ontvangen;

(3) Bij elke transactie moet de bezitter van de bankpas bewijzen de legitieme bezitter van de pas te zijn (authenticatie) door haar pincode in te toetsen (sinds "dip&go" http://www.pin.nl/betalen-zonder-pincode-bij-parkeerautomaten/ en, meer recent, NFC, geldt dit niet meer voor alle transacties, helaas steeds meer afzwakkingen dus [1]). Met het invoeren van de pincode wordt getracht probleem (2) te bestrijden. Erg goed lukt dat niet, want tijdens het invoeren, kan een pincode vaak eenvoudig worde afgekeken (met name op de geldautomaten die je in Albert Heijn vindt - met een belachelijk groot keyboard zonder enige visuele afscherming). Daarnaast kun je alleen maar hopen dat pinkaartlezers niet zijn gemanipuleerd en de communicatie met achterliggende systemen, alsmede die systemen zelf, fatsoenlijk is/zijn beveiligd.

Voetnoot [1]: Hoe groter de som van de bedragen die kan worden afgeboekt zonder pincode, hoe aantrekkelijker zo'n pas wordt voor gelegenheidsdieven - die geen moeite meer hoeven te doen om de bijbehorende pincode af te kijken.

Tip 1: als je besluit om jouw pas te blokkeren voor pinloze transacties, is het een goed idee om een T-shirt te dragen waar dat duidelijk op gedrukt staat. Dit voorkomt dat gelegenheidsdieven jou een tik op de kop geven.

Tip 2: Ook als je jouw pas niet blokkeert voor pinloze transacties, raad ik je aan zo'n T-Shirt te dragen (immers, sinds in alle geparkeerde auto's een rood LEDje knippert, schijnen auto-inbraken niet meer voor te komen). Doe er je voordeel mee!

Ondanks alle nadelen die ik noem, vinden we met z'n allen het risico op pinpasfraude acceptabel, want in veel gevallen werkt de combinatie van bovenstaande maatregelen best redelijk, en -in principe- krijg je de (meeste) schade vergoed in het geval van diefstal.

Fotokopie van bankpas?
Echter, wat natuurlijk helemaal niets voorstelt, is een fotokopie van een bankpas. Denkbaar is zelfs dat een fraudeur zo'n kopie kan "fotoshoppen" uit een foto die zij met een smartphone, uit het raam van een flat boven een geldautomaat, maakt (waar mensen met de pas in de hand naar toe kunnen lopen). Of met een Google Glass bij een pinautomaat in een winkel. Geen enkele van de drie door mij genoemde maatregelen heeft effect op deze manier van "authenticeren", je moet dit gewoon niet willen en niet doen. Het zou goed zijn als alle Nederlanders zouden weigeren om mee te doen aan dit soort praktijken.
08-12-2014, 13:58 door Briolet
Door Erik van Straten:
08-12-2014, 11:44 door Anoniem: Daarnaast moet je je normaal identificeren bij het ophalen van een betaalpas. Dat maakt het al een stukje lastiger om te frauderen.
Ik kan mij niet herinneren dat ooit gedaan te hebben. Nieuwe bankpassen en creditcards worden door de postbode (hopelijk) in mijn brievenbus gegooid (en vervolgens daar -eveneens hopelijk- niet uitgevist).

Ik weet ook wel zeker dat ik mij niet (altijd) gelegitimeerd heb met een origineel identiteitsbewijs. Kijk maar naar de websites van internetbanken. Ze bieden meestal ook betaalpassen aan, maar legitimeren doe je daar doorgaans met kopietjes van identiteitspapieren.

En ik heb dit jaar een bankrekening geopend en een betaalpas ontvangen bij een Duitse bank, terwijl ik de afgelopen jaren niet eens in Duitsland geweest ben. Dat ging ook alles telefonisch en per e-mail.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.