Criminelen namen WhatsApp-accounts Bossche ambtenaren over
WhatsApp-accounts van meerdere ambtenaren van de gemeente Den Bosch zijn door criminelen overgenomen, die zo met berichten konden meelezen. Onder andere het hoofd communicatie van de gemeente werd slachtoffer, zo meldt Omroep Brabant vandaag.
In een intern document dat in handen van de omroep kwam waarschuwen politie en het Openbaar Ministerie dat meerdere accounts van burgemeesters, wethouders, gemeenteraadsleden en mensen van de Veiligheidsregio Brabant-Noord zijn overgenomen. Criminelen weten dit te doen door de verificatiecode voor de accounts te ontfutselen.
Om een account te bevestigen verstuurt WhatsApp via sms een zescijferige verificatiecode. Criminelen vragen in naam van het slachtoffer deze verificatiecode op, waarna die de code op zijn telefoon ontvangt. Vervolgens wordt het slachtoffer door de criminelen via WhatsApp of telefonisch benaderd dat hij per ongeluk een code heeft ontvangen die eigenlijk voor iemand anders was bedoeld.
De crimineel vraagt dan of het slachtoffer de ontvangen code kan doorsturen. Met de doorgestuurde verificatiecode kunnen de criminelen het WhatsApp-account overnemen. Zodra het account is overgenomen hebben de criminelen toegang tot de contactenlijst. In het geval van de overgenomen WhatsApp-accounts werden die voor de bekende WhatsApp-fraude gebruikt.
Contacten van de getroffen ambtenaren ontvingen berichtjes waarin de criminelen zich voordoen als het slachtoffer en vragen om geld. Eind oktober waren er volgens het OM en de politie landelijk twintig slachtoffers, waaronder wethouders, een burgemeester, journalisten en medewerkers van brandweer, gemeenten en ministeries. De gemeente Den Bosch heeft ambtenaren opgeroepen om hun accounts via tweefactorauthenticatie te beveiligen.
Je weet tenslotte nooit of er achter deze actie toch iets meer zit dan alleen financieel gewin.
Maar iets zegt me dat ambtenaren watshap voor vanalles gebruiken waar het helemaal niet voor geschikt is. Maar ja, het is zo makkelijk he...
Whatsapp is van Facebook. Facebook zit in de VS. Data is daar niet veilig (iig niet voor persoonsgegevens, dus ook voor besluiten). Op Whatsapp horen geen vertrouwelijke zaken ...
Want het gaat gewoon om geld overmaken. Er wordt geen melding gemaakt van datalekken.
Social engineering gaat nog heel groot worden... https://en.wikipedia.org/wiki/The_Art_of_Deception
TheYOSH
WhatsApp is niet gekoppeld aan je phone, maar aan je telefoonnummer. Als de crimineel dit van een bepaald persoon (of een VIP) weet te achterhalen, dan zet hij een account op met dat telefoonnummer. De verificatiecode gaat nu naar het slachtoffer die niet begrijpt waarom hij een verificatiecode krijgt. Daarna krijgt het slachtoffer een sms-bericht dat 'zijn' code 'per ongeluk' naar dit nummer is gevoerd en vraagt het slachtoffer om deze code aan hem door te geven. Als het slachtoffer dit doet, dan kan het account van het slachtoffer worden overgenomen. De berichten en de contactenlijst zijn dan voor de crimineel of aanvaller volledig openbaar (ondanks E2E encryptie!).
De fout zit niet alleen in het ontbreken van tweestapsverificatie, maar ook dat WhatsApp in feite slecht ontworpen is qua veiligheid. Hierdoor is het mogelijk dat iemand slachtoffer kan worden van hacking.
Want het gaat gewoon om geld overmaken. Er wordt geen melding gemaakt van datalekken.
Social engineering gaat nog heel groot worden... https://en.wikipedia.org/wiki/The_Art_of_Deception
TheYOSH
Er zijn dus meerdere vormen van fraude in omloop voor WA
DE fout zit niet in het ontbreken van tweestapsverificatie, maar in de naïviteit van de gebruikers. Wanneer je een code krijgt en iemand vraagt daarom (want verkeerd verzonden), dan moet je reactie zijn dat hij het maar opnieuw moet doen. Tweestapsverificatie werkt ook niet, wanneer je iets wat naar jou gestuurd wordt als controle, maar gewoon aan een onbekende geeft.
Hoe dom kan je zijn, om een verificatie code, die aan je telefoonnummer is gekoppeld, door te sturen.
Dat is net zo dom als je pincode doorgeven.
Ik denk dat de meeste met weet het niet antwoorden, is het niet zo dat de software zo veilig moet zij dat dat
niet mogelijk is.
Maar ja geef de burger die helemaal niets met ict te maken heeft en die apps in vertrouwen gebruikt
maar de schuld, want betrouwbare apps maken is toch te moeilijk. Je moet dat niet zien zoals jij het ziet maar meer
naar de gebruiker gericht, jij weet hoe het werkt maar de meeste gebruikers niet.
Vroeger zat niet de meeste tijd in een programma maken maar in wat de gebruiker allemaal verkeerd kon doen.
DE fout zit niet in het ontbreken van tweestapsverificatie, maar in de naïviteit van de gebruikers. Wanneer je een code krijgt en iemand vraagt daarom (want verkeerd verzonden), dan moet je reactie zijn dat hij het maar opnieuw moet doen. Tweestapsverificatie werkt ook niet, wanneer je iets wat naar jou gestuurd wordt als controle, maar gewoon aan een onbekende geeft.
Hoe dom kan je zijn, om een verificatie code, die aan je telefoonnummer is gekoppeld, door te sturen.
Dat is net zo dom als je pincode doorgeven.
Neen, hoe dom kun je zijn om te gaan schreeuwen: "meteen ontslaan", of fouten maken niet iedereen kan overkomen.
Fijne HR-functionaris zou jij zijn.
Tjonge jonge wat een kortzichtigheid wordt er vandaag toch weer geëtaleerd. De sarcastische opmerking: "Hoe onsla je criminelen" ontgaat je al.
In een ander draadje is er weer een die helemaal van de wap raakt door een aanstaand vuurwerkverbod en hier is er weer een die nog niet verder kan kijken dan de vlieg die voorop zijn neus zit, daardoor blind voor de splinter in andermans oog en onbewust van de balk in het zijne.
Als het je lukt .... laat dan tot je doordringen dat er zeker mensen zijn die geen fouten maken. Oh ja, onbetwistbaar. Kerkhoven vol.
Tweestapsverificatie werkt ook niet, wanneer je iets wat naar jou gestuurd wordt als controle, maar gewoon aan een onbekende geeft.
Hoezo werkt Tweestapsverificatie niet? Zelfs als je zo dom bent om die code door te geven dan nog kan de ander niets omdat hij jouw 6 cijferige PIN niet kent.
Alleen irritant dat WhatsApp je om de paar dagen om die PIN vraagt om te voorkomen dat jij die vergeet. Ik onthoud hem echt wel en zo niet staat hij wel in mijn wachtwoord manager.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
