image

361 Nederlanders loggen in met DigiD via link in phishingmail

woensdag 5 december 2018, 10:54 door Redactie, 14 reacties

Een phishingmail die afkomstig leek van MijnOverheid heeft afgelopen weekend 361 Nederlanders verleid om in te loggen met DigiD. In de e-mail stond de boodschap dat er een bericht van MijnOverheid klaarstond om gelezen te worden. Slachtoffers moesten op een link drukken om via DigiD in te loggen en het bericht te lezen. En 361 mensen hebben dat gedaan, vertelt een Logius-woordvoerder aan NU.nl. Logius is de beheerder van DigiD en MijnOverheid.

De mensen die probeerden in te loggen vanuit de phishingmail, hebben hun DigiD-inloggegevens naar criminelen gestuurd. De slachtoffers hadden echter kunnen herkennen dat het om een nepmail ging want volgens Logius staat er in e-mails van MijnOverheid nooit een link om te klikken, juist om phishing te voorkomen.

De getroffen accounts zijn inmiddels allemaal geblokkeerd, aldus de woordvoerder. Volgens de organisatie zijn er geen signalen dat de accounts op enige manier zijn misbruikt.

De slachtoffers worden per brief of telefonisch op de hoogte gesteld van het feit dat ze in een phishingmail zijn getrapt.

Reacties (14)
05-12-2018, 11:33 door MM
1- Okay, als ze bellen is het wel helemaal goed???? Let wel, ze vragen dan niet om je pin-code en je wachtwoord.

2- Ze mailen niet met een link, let daar op !!!!

3- Maar ... als ze bellen of je een brief sturen, dan is er niets aan de hand. Géén mails met links hoor!

wauw ... verwarrend niet, voor een "normale gebruiker".

Je hebt daarentegen wel op een ECHTE nep mail geklikt .. boefje ! let daar op!
Neeeee .. ik ben ECHT van DigiD, serieus hoor! niet meer doen! ...
Duidelijk nu eindelijk ???

Ik mail je morgen anders even! ...
05-12-2018, 11:35 door Bitwiper - Bijgewerkt: 05-12-2018, 11:36
De slachtoffers worden per brief of telefonisch op de hoogte gesteld van het feit dat ze in een phishingmail zijn getrapt.
En hoe weten slachtoffers -en nog-niet-slachtoffers- dat zo'n brief (mogelijk met "ga naar <url> en...") of dat telefoontje authentiek is?

(@MM: sorry ik zag jouw post pas nadat op op "Opslaan" had geklikt)
05-12-2018, 11:40 door MM - Bijgewerkt: 05-12-2018, 11:53
Door Bitwiper:
De slachtoffers worden per brief of telefonisch op de hoogte gesteld van het feit dat ze in een phishingmail zijn getrapt.
En hoe weten slachtoffers -en nog-niet-slachtoffers- dat zo'n brief (mogelijk met "ga naar <url> en...") of dat telefoontje authentiek is?

(@MM: sorry ik zag jouw post pas nadat op op "Opslaan" had geklikt)

Nou .. inderdaad .. mijn gedachten, no prob .. ik vond dit te bizar om niet even in te loggen .. waren we samen.
05-12-2018, 11:53 door Briolet
Door Bitwiper:En hoe weten slachtoffers -en nog-niet-slachtoffers- dat zo'n brief (mogelijk met "ga naar <url> en...") of dat telefoontje authentiek is?

Dat is minder relevant omdat dit alleen een mededeling is. In die brief/mail zal echt geen link staan.
05-12-2018, 11:57 door MM - Bijgewerkt: 05-12-2018, 11:57
Door Briolet:
Door Bitwiper:En hoe weten slachtoffers -en nog-niet-slachtoffers- dat zo'n brief (mogelijk met "ga naar <url> en...") of dat telefoontje authentiek is?

Dat is minder relevant omdat dit alleen een mededeling is. In die brief/mail zal echt geen link staan.
LOL .. behalve dan die ene slimme, die daarop inspringt ?
Het zijn immers ALTIJD enkel mededelingen, er staan nooit links in ...
Toch lukt het wel ontzettend veel he? ...
05-12-2018, 12:17 door Anoniem
Tja dat is stom. Tijd om 361 Nederlanders die DIgiID gebruiken een cursus te geven in veilig computergebruik
05-12-2018, 12:17 door Anoniem
Leg mij eens uit dat ze weten dat het om 361 personen zijn die op die link hebben gedrukt. Die link moet ergens anders naar toe geleid zijn ipv digid, dus hoe weet DigiD dat ze op die link hebben gedrukt? Ze vertellen niet alles hier.
05-12-2018, 13:09 door Anoniem
Door MM:
Door Briolet:
Door Bitwiper:En hoe weten slachtoffers -en nog-niet-slachtoffers- dat zo'n brief (mogelijk met "ga naar <url> en...") of dat telefoontje authentiek is?

Dat is minder relevant omdat dit alleen een mededeling is. In die brief/mail zal echt geen link staan.
LOL .. behalve dan die ene slimme, die daarop inspringt ?
Het zijn immers ALTIJD enkel mededelingen, er staan nooit links in ...
Toch lukt het wel ontzettend veel he? ...

Als ik een brief krijg met daarin een link dan
a) kan ik daar niet op klikken
b) zie ik bij het overtikken wel dat er iets raars in staat.
c) tik ik de link braaf over en verdien ik alle ellende die ik daarmee over me afroep omdat ik een sukkel ben.

Kom mensen, doe niet zo dom. Alsof oplichters niet al sowieso op het idee komen om mensen een brief namens DigID te sturen. DE Postcodeloterij weet immers ook nog steeds iedereen lastig te vallen.
05-12-2018, 16:43 door Anoniem
Door Anoniem: Leg mij eens uit dat ze weten dat het om 361 personen zijn die op die link hebben gedrukt. Die link moet ergens anders naar toe geleid zijn ipv digid, dus hoe weet DigiD dat ze op die link hebben gedrukt? Ze vertellen niet alles hier.

Natuurlijk vertellen ze niet alles.
Bedrijven doen dit ook, die sturen werknemers een nep phishing link en kijken wie er op klikt en wie dan op de vingers getikt moet worden.
DigiID stuurt gewoon ter test een phishing email uit en gaat zitten tellen en zo komen ze erachter dat van de zoveel mensen die ze het gestuurd hebben er 361 op geklikt hebben.
Simpel zat.
05-12-2018, 22:11 door Anoniem
digid.nl heeft geen EV certificaat, maar is veilig.
06-12-2018, 06:57 door Anoniem
Door Anoniem:
Door Anoniem: Leg mij eens uit dat ze weten dat het om 361 personen zijn die op die link hebben gedrukt. Die link moet ergens anders naar toe geleid zijn ipv digid, dus hoe weet DigiD dat ze op die link hebben gedrukt? Ze vertellen niet alles hier.

Natuurlijk vertellen ze niet alles.
Bedrijven doen dit ook, die sturen werknemers een nep phishing link en kijken wie er op klikt en wie dan op de vingers getikt moet worden.
DigiID stuurt gewoon ter test een phishing email uit en gaat zitten tellen en zo komen ze erachter dat van de zoveel mensen die ze het gestuurd hebben er 361 op geklikt hebben.
Simpel zat.
Als er een man-in-the-middle aanval is uitgevoerd moeten ze in de logging bij DigiD kunnen zien dat er verschillende accounts vanaf hetzelfde IP-adres hebben ingelogd. Lijkt me dat ze het eerder daarop gebaseerd hebben...
06-12-2018, 13:02 door Anoniem
Optionele 2-factor authenticatie vervangen door verplichte 2-factor authenticatie, en dan is dit probleem grotendeels verholpen. Zou de overheid ooit leren ? Of krijgen we nog tal van dit soort incidenten, door de mogelijkheid van onveilig inloggen op DigiD met enkel username/password ?
06-12-2018, 13:02 door Anoniem
Natuurlijk vertellen ze niet alles.
Bedrijven doen dit ook, die sturen werknemers een nep phishing link en kijken wie er op klikt en wie dan op de vingers getikt moet worden.
DigiID stuurt gewoon ter test een phishing email uit en gaat zitten tellen en zo komen ze erachter dat van de zoveel mensen die ze het gestuurd hebben er 361 op geklikt hebben.

Zuig wat uit je duim, en presenteer het als de waarheid. Inhoudsloos gebrabbel.
06-12-2018, 23:40 door Briolet - Bijgewerkt: 06-12-2018, 23:41
Door Anoniem: Optionele 2-factor authenticatie vervangen door verplichte 2-factor authenticatie, en dan is dit probleem grotendeels verholpen.

Echt niet. Het slachtoffer krijgt nml een sms-je met de 2e code en vult dit in op de fake site. De oplichters gebruiken deze code bij hun eigen inlog. Het is hier vaker besproken dat een 2FA via sms in deze context niet helpt.

2FA helpt alleen als het wachtwoord gelekt is en de slachtoffers niet zelf met deze inlog bezig zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.