image

Aantal slachtoffers identiteitsfraude bijna verdubbeld

vrijdag 20 april 2018, 11:26 door Redactie, 9 reacties

Het aantal slachtoffers van identiteitsfraude dat melding bij het Centraal Meldpunt Identiteitsfraude en -fouten (CMI) maakte is vorig jaar bijna verdubbeld, zo staat in een rapport van het ministerie van Binnenlandse Zaken. Bij het CMI kunnen burgers melding doen van identiteitsfraude of een fout in hun persoonsgegevens.

Vorig jaar ontving het CMI bijna 3.000 meldingen van slachtoffers van identiteitsfraude en/of -fouten. Voor het derde jaar op rij gaat het om bijna een verdubbeling in meldingen ten opzichte van het voorgaande jaar. In 2016 ging het om ruim 1700 meldingen, terwijl het er in 2015 nog 800 waren. De meldingen komen binnen via een webformulier dat is te vinden op rijksoverheid.nl/identiteitsfraude. Veruit de meeste meldingen worden digitaal gedaan, maar "sporadisch" gebeurt dit per post.

"De doorlooptijd voor het oplossen en afhandelen van meldingen is afhankelijk van de complexiteit en aard van de melding en daarom niet vermeld bij de gemiddelde behandeltijd in deze rapportage. Sommige meldingen zijn na één telefoontje of bericht afgehandeld en met andere melders is veel contact en loopt het traject langer. Bij een langere doorlooptijd is er tussentijds altijd contact met de melder", aldus het ministerie (pdf).

Reacties (9)
20-04-2018, 12:39 door Anoniem
Dit lijkt me dus het ergste wat je kan overkomen.
Dit zal dus steeds meer gebeuren omdat andere " zaken "door betere beveiliging en bewustwording moeilijker worden om geld aan te verdienen.
Daarom zeg ik zelf: geen justitie ruime mogelijkheden en bevoegdheden om dit ook aan te pakken.
20-04-2018, 12:53 door Anoniem
De kop is volstrekt fout. Het aantal slachtoffers is niet bijna verdubbeld, het aantal meldingen is bijna verdubbeld. Maar dat maakt security.nl niet zo veel uit, want sensatie. Dat er meer sensatie kan zitten in het punt dat de cijfers over meldingen ver uit elkaar kunnen liggen en het aantal slachtoffers dus al jaren veel hoger dan de meldingen waarop de overheid stuurt doet er voor security.nl kennelijk ook niet toe.
20-04-2018, 13:33 door Anoniem
De manier waarop de overheid nu "identiteit" doet is ongeveer net zo stuk als de PvdA-partijfilosofie of de D'66-relatie met democratie, alleen zijn er geen kiezers om het eindelijk hard af te straffen. Hier is innovatie broodnodig en ook heel goed mogelijk. Maarja, dan moet je wel willen, als overheid, en dat betekent iets anders dan op je dooie gemak morgen weer hetzelfde doen als gisteren.
20-04-2018, 13:45 door Anoniem
Door Anoniem: De kop is volstrekt fout. Het aantal slachtoffers is niet bijna verdubbeld, het aantal meldingen is bijna verdubbeld. Maar dat maakt security.nl niet zo veel uit, want sensatie. Dat er meer sensatie kan zitten in het punt dat de cijfers over meldingen ver uit elkaar kunnen liggen en het aantal slachtoffers dus al jaren veel hoger dan de meldingen waarop de overheid stuurt doet er voor security.nl kennelijk ook niet toe.
Hearhear.
20-04-2018, 15:30 door karma4
Bzk mid doet niet eens aan autenticatie. Ze hebben hier een funametele faal door het negeren van autenticatie na identiteit noemen.

Ze dragen uit dat het weten van een naam zo ook het bsn het bewijs is dat je de persoon bent. Electronic security geïnteresseerde weet dat je na het userid nog iets als pin of wachtwoord moet inregelen.
20-04-2018, 17:57 door Werkezel
Jou bsn dat ben jij! Hun bij de overhijd kunne ut wete. Den helen tijd al dien krietiek op hun, me broek zak dr van af !!!
20-04-2018, 18:51 door Anoniem
Je meet in dit geval natuurlijk altijd twee dingen, namelijk de hoeveelheid identiteitsfraude, maar ook de bereidheid om te melden en de bekendheid van het middel. De groei komt wel overeen met andere rapporten (zoals van het Centraal Bureau voor de Statistiek, enkele maanden geleden). Dat laat echter een veel groter aantal gevallen zien. Het preciese getal is me even ontschoten, maar uitgerekt over een gemiddelde levensverwachting kwam het er op neer dat statistisch gezien iedere Nederlander 2 of 3 keer mag verwachten 'aan de beurt' te zijn.

Dat is een fors probleem. Identiteitsfraude staat hoog op de lijst van nachtmerries, niet zozeer vanwege de financiële schade, maar vanwege de Kafkaeske toestanden waartoe het vaak leidt. Het loskoppelen als je het zo wil noemen van het slachtoffer worden en daarna nog een keer slachtoffer worden van de genoemde toestanden staat dan ook hoog op de prioriteitenlijst voor me. Maar even los daarvan speelt er nog iets. Hoewel het ook voorkomt dat mensen uit persoonlijk gewin aan identiteitsfraude doen, is de hoge vlucht naar we uit onderzoeken weten vooral vanwege de financiering van weinig frisse zaakjes. Drugshandel, kp-industrie, illegale wapenhandel, illegale ivoor- en andere goederenhandel, terrorisme. Een venijnig detail is dat mede daardoor veel van de onder de "veiligheid gaat voor privacy" identificatie veel erger is dan alleen maar een homeopatisch kwakzalversmiddel, het is als financieringsbron van een grootte waarvan de kwaadwillenden in hun stoutste dromen nooit aan hadden kunnen denken tegen de makers gekeerd...

Voorkomen heeft daarom een bijna net zo hoge prioriteit als een snelle genezing. We weten als professionals hoe we dat moeten doen. De kunst is om gehoor te krijgen. Zo maar een bloemlezing:
- Beperking. Allerlei nutteloze identificatie die er niet meer is, kan niet misbruikt worden.
- Compartimentering. Een van de grootste knelpunten is dat alles via (vaak volstrekt onbeveiligde) kopietjes paspoort gaat. Daarom kan een simpele autohuur leiden tot fraude met een bankrekening of mega aankoop aan de andere kant van de wereld. Dat maakt het zo kwetsbaar. Een breuk moet niet tot een totaal doorscheuren leiden. Dat heet fail safe.
- Doelbinding. Zoiets simpels als het over een kopie heenschrijven waar het voor is, is geen medicijn voor alle kwalen, maar in ieder geval is het al beter dan niets.
- Authenticatie vs. Autorisatie. Wat wil je bereiken. Dat je weet wie iemand is, of dat iemand bevoegd is tot gebruik van de dients? Het laatste kan volstrekt anoniem. Bovendien bewijst authenticatie niet autorisatie.
- Voor de zaken die er echt toe doen, het sterkste authenticatiemiddel en alleen het sterkste authenticatiemiddel. Het allersterkste middel dat ik ken is een fysieke smartcard met PIN passphrase (bijvoorbeeld 8 karakters alfanumeriek, miljoenen mogelijkheden en 3-5 kansen voor de kwaadwillenden, succes!), met daarop public-private keypairs gebaseerd op certificaten en onbreekbare encryptie. Het is niet onbreekbaar, maar het is een enorme bak werk en zeldzaam. Het is ook relatief gemakkelijk te vervangen (fail safe). Waarom klungelen we voor transacties en subsidies van tienduizenden euros of inkomen voor de rest van het leven met wachtwoordjes, publiek bekende getalletjes (BSN) en fotokopieën als we dergelijk krachtige middelen hebben?
Het kost wel wat. Maar het wordt het langzamerhand ook wel waard.
21-04-2018, 07:22 door Anoniem
Door Anoniem: Het kost wel wat. Maar het wordt het langzamerhand ook wel waard.
Voor de burger zou het al een tijdje een godsend zijn. Voor overheden niet.

Namelijk ze moeten dan hun hele werkwijze overhoop halen, heel hard nadenken bovendien (Ambtenaren), en een verlies van macht op de koop toenemen. Mischien leuk om nog even in herinnering te brengen dat identiteit en paspoorten oorspronkelijk ingevoerd zijn om politieke dissent te kunnen volgen en de kop in te drukken. Dat we ondertussen Nederland helemaal dichtgetimmerd hebben zodat je niets kan als je niet met je identiteit metaforisch op je voorhoofd rondloopt is slechts een uitvloeisel.
21-04-2018, 08:33 door karma4
Door Anoniem:
- Compartimentering. Een van de grootste knelpunten is dat alles via (vaak volstrekt onbeveiligde) kopietjes paspoort gaat. Daarom kan een simpele autohuur leiden tot fraude met een bankrekening of mega aankoop aan de andere kant van de wereld. Dat maakt het zo kwetsbaar. Een breuk moet niet tot een totaal doorscheuren leiden. Dat heet fail safe.
Daarom moet je de identificatie ofwel de bewering wie het gaat (identificatie) niet door elkaar gaan gooien met het bewijs dat hij dat ook is (autenticatie). Een kopietje paspoort weten van een bsn is geen autenticatie.
Het user-id is niet het zelfde als het wachtwoord ...


- Authenticatie vs. Autorisatie. Wat wil je bereiken. Dat je weet wie iemand is, of dat iemand bevoegd is tot gebruik van de dients? Het laatste kan volstrekt anoniem. Bovendien bewijst authenticatie niet autorisatie.

Autorisatie is wat iemand voor activiteiten mag doen dat is wat anders dan de identificatie waarna na met de autenticatie ook dat het de juiste persoon is. Nadat die fase is gedaan betekent het niet dat je ineens alles onbeperkt zou mogen doen. Zo is met vals geld betalen nog steeds fout al is het iets makkelijker om schade te verhalen.


Het kost wel wat. Maar het wordt het langzamerhand ook wel waard.
Gezien de principiele fouten die telkens weer met idnetitificatie / autenticatie / autorisatie gemaakt worden is er nog veel te doen.

https://www.owasp.org/index.php/Authentication_Cheat_Sheet
https://www.owasp.org/index.php/Access_Control_Cheat_Sheet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.