Door Briolet: @Bitwiper: Blijkbaar weet je niet hoe dit werkt. Als je een nieuw telefoonnummer wil gebruiken, moet je eerst de code op het oude toestel ontvangen. Zonder een SMs via het oude toestel, gaat de aanpassing van het nummer via een brief op het geregistreerde huisadres.
In
https://www.digid.nl/nl/vraag-en-antwoord/hoe-kan-ik-mijn-telefoonnummer-wijzigen/ lees ik:
1. Ga op www.digid.nl naar ‘Inloggen Mijn DigiD’
2. Log in met uw gebruikersnaam en wachtwoord.
3. Ziet u nu een scherm waarop u een sms-code moet invullen? Klik dan op de link ’Extra controle via sms (opnieuw) aanvragen’. Ziet u dit scherm niet? Ga dan door naar de volgende stap.
4. Kies rechts op het scherm voor ‘Telefoonnummer wijzigen’.
Heeft u uw oude telefoon nog? Kies dan voor de bovenste optie. U kunt nu uw oude nummer vervangen door uw nieuwe nummer door de stappen te volgen. Heeft u uw oude telefoon niet meer, kies dan voor: ‘Ik kan geen sms meer ontvangen op mijn oude telefoonnummer’ en volg de volgende stappen: [...]
Van die brief lijkt alleen sprake als je geen SMS meer kunt ontvangen op jouw oude telefoonnummer, maar dat kan juist wel.
De cybercriminelen laten je, aanvankelijk
uitsluitend met gebruikersnaam en wachtwoord, inloggen op hun nepsite. Met die gegevens logt het script van de cybercriminelen in op de echte DigiD site en checkt of jij SMS-authenticatie hebt geactiveerd. Als dat zo is, gaat het script naar bovengenoemde pagina (van de echte digid.nl) en laat een SMS naar jouw telefoon sturen (van de nietsvermoedende burger dus). Ondertussen toont de nepsite jou een pagina met een lulverhaal ("U heeft SMS-verificatie ingeschakeld, voer de code in uit het SMS-bericht in dat u zometeen ontvangt") dus met het verzoek om jouw (
eerste!) SMS code in te vullen, hetgeen elke burger ongetwijfeld braaf doet. Op de nepsite natuurlijk, waarna het script die code op de "nieuw telefoonnummer" pagina van de echte DigiD site onder "oude nummer" invoert.
Vermoedelijk zal er, ter bevestiging van het nieuwe telefoonnummer, een
tweede SMS naar dat
nieuwe nummer worden gestuurd, maar dat is natuurlijk in het bezit van de cybercriminelen (waarbij het hoogstwaarschijnlijk om een wegwerp SIM en/of gestolen telefoon gaat, of een doorgeschakeld nummer van een gehackte VOIP centrale of iets dergelijks).
Overigens, mocht het nodig zijn (hier niet volgens mij), is het een koud kunstje om iemand 2x een code te laten intikken, door na de eerste code terug te melden dat een onjuiste code is ingevoerd (terwijl die wel goed was). Nette mensen zeggen dan iets als "Hèh? Ik weet toch zeker..." en voeren de nieuw ontvangen code braaf in. Desgewenst vermelden de criminelen dat er, door een bug in het systeem, helaas soms foutieve SMS codes worden verzonden. En er dus niets anders opzit dan het opnieuw te proberen...
Nb. nu ik dit weet heb ik er
helemaal geen spijt van dat ik SMS-authenticatie nooit geactiveerd heb, want "met" is duidelijk minder veilig dan "zonder" - in elk geval zolang dit soort MITM aanvallen realiteit zijn.
Immers, als je nog
geen gebruik maakt van SMS 2FA en dat wilt inschakelen (of als een cybercrimineel dat wil met willekeurig welk telefoonnummer), zal er eerst een brief naar je huisadres worden gestuurd. Die brief onderscheppen is mogelijk, maar het kost tijd voordat die brief arriveert, en cybercriminelen hebben meestal haast en houden er bovendien niet van om ergens fysiek aanwezig te moeten zijn (alhoewel zij er zelden voor terugdeinzen om lokale ezels voor hun karretje te spannen).
Daar komt bij dat SMS authenticatie ondeugdelijk is omdat de communicatie ervan onvoldoende beveiligd is en criminelen, o.a. met social engineering, jouw telefoonnummer naar hun telefoon kunnen overzetten (soms blijken tijdelijke doorschakelingen ook mogelijk).
En dat nog los van het feit dat ik een bloedhekel aan (o.a. 2FA) systemen heb die veel minder veilig met mijn authenticatiegegevens omspringen dan de betrouwbaarheid van mijn authenticatiegegevens rechtvaardigt (zie mijn reactie onder
https://www.security.nl/posting/567572/Kamervragen+over+inloggen+met+rijbewijs+via+DigiD).
Door Briolet: En start daarna ASAP een campagne om alle burgers erop te wijzen dat digid.nl een EV certificaat heeft, …
Ik denk niet dat dit gaat helpen. Dat deel van de bevolking dat via een link in een mail inlogt op DigiD, zal echt geen certificaten en andere url's controleren.
Ik denk dus
wel dat dit gaat
helpen (en ik onderbouw dat, maar 100% haal je natuurlijk nooit).
De meeste browsers maken duidelijk zichtbaar onderscheid tussen enerzijds EV-certificaten, en anderzijds niet-EV-certificaten (dus DV- en OV-). Waarschuw mensen om geen browsers te gebruiken die
zelfs dit onderscheid niet maken.
Kunnen intikken en controleren van domeinnamen is sowieso een voorwaarde om veilig te kunnen surfen. Typfouten in telefoonnummers worden ook genadeloos afgestraft (met "verkeerd verbonden"), en als je geld overmaakt naar een bankrekeningnummer van een geldezel i.p.v. naar de bedoelde persoon of instantie, heb ik geen medelijden met je als je dat geld definitief kwijt bent. Ik ken geen alternatief, leer wat domeinnamen zijn, waar ze beginnen en waar ze eindigen!
Als je, als overheid, een
digitale overheid nastreeft, vind ik het de plicht van diezelfde overheid:
A) Dat zij alle burgers fatsoenlijk uitlegt hoe zij daar zo veilig mogelijk mee om kunnen gaan;
B) Qua veiligheid ook de hand in eigen boezem steekt. Dat gebeurt absoluut onvoldoende: bijna nergens EV certificaten (soms slechts ten dele https en dat kan echt niet meer) en zelfs in veel gevallen geheel niet of onvoldoende naleven van de "pas toe of leg uit" eisen (zoals jij bijv. in
https://www.security.nl/posting/567236/Overheid+waarschuwt+voor+phishingmails+die+om+DigiD+vragen#posting567254 beschreef, en ik in
https://www.security.nl/posting/566101/NL%3A+veel+brakke+https+sites optekende);
C) En door een fatsoenlijk vangnet te creëren voor als het fout gaat (zonder dat daar bij elk incident kamervragen of TV programma's als Radar, Kassa en Opgelicht voor nodig zijn). Want misbruik zal
altijd blijven plaatsvinden; de kunst is om het misbruikpercentage (zowel door derden als door burgers die
zelf de boel belazeren, bijv. door onterecht te
claimen dat zij het slachtoffer zijn van identeitsfraude en zij een subsidie zelf nooit ontvangen hebben) zo laag mogelijk te krijgen - en te houden.
Terzijde, iedereen die denkt (of marketingcrap gelooft) dat
digitaliseren hetzelfde is als
bezuinigen, gaat -vroeger of later- lelijk op z'n bek.