image

Grapperhaus: beveilig WhatsApp-account met tweestapsverificatie

dinsdag 10 november 2020, 10:55 door Redactie, 24 reacties

Gebruikers van WhatsApp moeten tweestapsverificatie inschakelen om hun account te beschermen, zo stelt minister Grapperhaus van Justitie en Veiligheid. Aanleiding voor het advies is het nieuws dat fraudeurs de WhatsApp-accounts van burgemeesters, wethouders, gemeenteraadsleden en journalisten wisten over te nemen en vervolgens voor WhatsAppfraude gebruikten.

Tijdens een overleg van de vaste commissie voor Justitie en Veiligheid kwam het incident aan de orde. CDA-Kamerlid Van Toorenburg liet weten dat ze erg van het nieuws was geschrokken. "Dan zou je denken: sufferdjes, had er nou een dubbele beveiliging op gedaan en hoe komen jullie er überhaupt bij om dat allemaal niet te doen? Maar dat is te makkelijk gezegd. We moeten het gevaar ook niet onderschatten", zo liet ze weten.

Volgens Van Toorenburg hebben de oplichters die de WhatsApp-accounts overnamen ook toegang gekregen tot allerlei berichten en uitgewisselde bestanden van de burgemeesters, gemeenteraadsleden en andere functionarissen. Ze vroeg de minister om nogmaals naar dit onderwerp te kijken. "Wat kunnen wij er met elkaar aan doen om die whatsappfraudes aan te pakken? Ik maak mij namelijk wel erg veel zorgen over wat hier is gebeurd", aldus Van Toorenburg.

Grapperhaus stelt in een reactie op de vraag van het CDA-Kamerlid dat politie en het Openbaar Ministerie deze vorm van fraude serieus oppakken. Er is echter ook een rol voor gebruikers weggelegd, voegt de minister toe. "Alertheid is echt het eerste grote belang van de mensen zelf. Nooit een ontvangen code via WhatsApp retour sturen. Beveilig je whatsappaccount echt met een tweestapsverificatie. Ik zeg tegen iedereen die nu zit te kijken dat ze nu op hun telefoon moeten nagaan of ze dat gedaan hebben."

Volgens Grapperhaus moeten mensen ook nooit via digitale middelen in gaan op verzoeken van mensen die om geld vragen. "En zorg nou dat je dubbele codes hebt. Ik ben echt heel benieuwd hoeveel van de mensen die hier getuige zijn van mijn beantwoording, zelf die dubbele codering in hun WhatsApp en andere dingen hebben. Het is echt zo van belang dat we met z'n allen alert zijn."

Een alertheid die bij sommige ambtenaren, juist betrokken bij de aanpak van WhatsAppfraude, ontbreekt, stelde de minister: "We moeten ons er altijd bewust van zijn dat nogal wat van dit soort criminelen al digitaal weg zijn tegen de tijd dat de politie erbij kan komen. Daarom is het van belang dat we zeggen: mensen, voorkom het gewoon. Ik vind het natuurlijk spijtig dat mensen in bepaalde ambtelijke posities die juist dit soort problematiek tegen zouden moeten gaan, die alertheid kennelijk niet zelf hebben."

Reacties (24)
10-11-2020, 11:08 door Anoniem
Dit snap ik even niet... ik ben zelf geen WhatsApp gebruiker maar ik heb wel eens die app bij mensen geinstalleerd.
Wat ik er van snap is dat WhatsApp niet werkt met een username/password maar gekoppeld is aan het nummer van
de telefoon. Je geeft het nummer en je krijgt een code per SMS. Hoe moet daar dan nog tweestapsverificatie aan
worden toegevoegd? Als je hierop in kunt breken dan moet je toch al in staat zijn om SMS naar dat nummer te
onderscheppen?
10-11-2020, 11:21 door _R0N_
Door Anoniem: Dit snap ik even niet... ik ben zelf geen WhatsApp gebruiker maar ik heb wel eens die app bij mensen geinstalleerd.
Wat ik er van snap is dat WhatsApp niet werkt met een username/password maar gekoppeld is aan het nummer van
de telefoon. Je geeft het nummer en je krijgt een code per SMS. Hoe moet daar dan nog tweestapsverificatie aan
worden toegevoegd? Als je hierop in kunt breken dan moet je toch al in staat zijn om SMS naar dat nummer te
onderscheppen?
De 2de stap is een pincode in dit geval. WA ondersteund standaard dat je kunt inloggen met een pin.
Dus als iemand jouw WA account kaapt door je SIM te klonen hebben ze ook je PIN nodig. Het is niet perfect maar beter dan niets.
10-11-2020, 11:22 door Anoniem
Door Anoniem: Dit snap ik even niet... ik ben zelf geen WhatsApp gebruiker maar ik heb wel eens die app bij mensen geinstalleerd.
Wat ik er van snap is dat WhatsApp niet werkt met een username/password maar gekoppeld is aan het nummer van
de telefoon. Je geeft het nummer en je krijgt een code per SMS. Hoe moet daar dan nog tweestapsverificatie aan
worden toegevoegd? Als je hierop in kunt breken dan moet je toch al in staat zijn om SMS naar dat nummer te
onderscheppen?
De idioten sturen die code door aan een crimineel.
10-11-2020, 12:26 door Anoniem
Kijk. Zo makkelijk kan het dus gewoon zijn. Jammer dat er niemand naar je luistert.
10-11-2020, 12:29 door Briolet - Bijgewerkt: 10-11-2020, 12:30
Door Anoniem:
Door Anoniem: Dit snap ik even niet... ik ben zelf geen WhatsApp gebruiker maar ik heb wel eens die app bij mensen geinstalleerd.…
De idioten sturen die code door aan een crimineel.

Nee. Dat zijn verschillende codes. De doorgestuurde code heeft men per mail gekregen om het account op een nieuw toestel te kunnen zetten.

De factor-2 code staat daar los van en moet je aanvullend ook nog intikken als je het account over zet. Verder moet je die factor-2 code ook om de paar dagen intikken om ervoor te zorgen dat je die niet vergeet.
10-11-2020, 12:31 door Erik van Straten
Is dat dezelfde Grapperhaus die wil dat WhatsApp kraakbare encryptie gaat gebruiken?
10-11-2020, 12:33 door Anoniem
Veiligheid van Whatsapp is de gebruiker zelf. Het enige nadeel is mogelijkheid tot delen van álle bestanden, ook malafide. Bijvoorbeeld besmette afbeeldingen die niet als zodanig worden herkend.
Voor de rest is het fishing.
10-11-2020, 12:38 door Anoniem
[rant]
Het ironische hier is, dat de grote veiligheidsdiensten in de wereld standaarden als SMS hebben zitten verzwakken zodat ze erbij konden om criminelen, terroristen en pedofielen te kunnen afluisteren (echt waar!). Maar nu hebben universiteiten deze kwetsbaarheden kunnen achterhalen en kunnen criminelen met een IMSI catcher, op simpele hardware, hetzelfde en zit onze minister te klagen dat de WhatsApp van burgemeesters kan worden afgeluisterd en overgenomen.
Had die GSM telefoons dan niet zitten verzwakken overheid! Ik hoop dat de voordelen over de jaren dat alleen de veiligheidsdiensten dit konden opwegen tegen de onveiligheid die elke telefoongebruiker nu ervaart.
Maak niet opnieuw dezelfde fout door straks met president Biden in zee te gaan minister Grapperhaus. Toekomstige jonge generaties zullen hier veel last van ondervinden. Dit met SMS kon je al in de jaren negentig zien aankomen. Hoe heet dat: Defective by Design?
Voor Amerika pakt het wel goed uit want die kunnen elke handelsdeal in Europa zien voordat die gesloten is. En daar dan onder gaan zitten met hun eigen bod.
[/rant]
10-11-2020, 13:17 door Anoniem
Door Erik van Straten: Is dat dezelfde Grapperhaus die wil dat WhatsApp kraakbare encryptie gaat gebruiken?
En dezelfde Ferd die met Femke ruziede over de BLM demonstratie via WhatsApp begin juni
10-11-2020, 13:33 door Anoniem
Door Briolet:
Door Anoniem:
Door Anoniem: Dit snap ik even niet... ik ben zelf geen WhatsApp gebruiker maar ik heb wel eens die app bij mensen geinstalleerd.…
De idioten sturen die code door aan een crimineel.

Nee. Dat zijn verschillende codes. De doorgestuurde code heeft men per mail gekregen om het account op een nieuw toestel te kunnen zetten.

De factor-2 code staat daar los van en moet je aanvullend ook nog intikken als je het account over zet. Verder moet je die factor-2 code ook om de paar dagen intikken om ervoor te zorgen dat je die niet vergeet.

Per MAIL??? maar hoe weet WhatsApp dan je mailadres? Dat heb ik nog nooit ergens hoeven invullen...
Bij de telefoons waar ik het op zet vraagt ie alleen het nummer en stuurt daar dan een SMS heen.
Ok ik snap dat als iemand anders een whatsapp account wil hacken dan hoeft ie alleen maar een telefoon te pakken,
daar het nummer van het slachtoffer intikken in de app, slachtoffer krijgt dan een code gestuurd, en dan even opbellen
of SMS'en met "hee er ging iets mis jij kreeg net een code en die was voor mij bedoeld" en dat ze die dan doorsturen.
Daar trappen mensen wellicht wel in zeker met een geloofwaardig verhaal (hee je spreekt met ICT ik ben een nieuwe
telefoon voor je aan het klaarmaken en heb nu die code even nodig).

Maar goed als dan de mogelijkheid van een extra code whatever bestaat dan helpt dat niet tegen deze kraak want dat
gaan die mensen ook gewoon doorsturen. Het is geen 2e factor, het is alleen meer van hetzelfde.
10-11-2020, 14:36 door Anoniem
Volgens Van Toorenburg hebben de oplichters die de WhatsApp-accounts overnamen ook toegang gekregen tot allerlei berichten en uitgewisselde bestanden van de burgemeesters, gemeenteraadsleden en andere functionarissen.

En de organisaties waar deze mensen werkzaam zijn hebben geen beveilgde chat-omgevingen in eigen beheer?

Waarom werken dit soort personen met whatsapp en delen daar gevoelige bestanden op.
Daar gaat het al fout.

[ ] geschikt
[X] ongeschikt

(idem voor oa. Grappenhaus)
10-11-2020, 15:12 door Anoniem
Kan ik dan ook geen cojona meer krijgen via WhatsApp Ferd?
10-11-2020, 15:36 door Briolet
Door Anoniem: Per MAIL??? maar hoe weet WhatsApp dan je mailadres? Dat heb ik nog nooit ergens hoeven invullen...
Bij de telefoons waar ik het op zet vraagt ie alleen het nummer en stuurt daar dan een SMS heen.

Dan ben ik abuis. Je kunt een mail adres koppelen aan je WhatsApp account, voor herstelacties. Blijkbaar is dat niet de standaard. (Ik heb het ook nog nooit hoeven gebruiken).

Volgens de faq is dat mailadres inderdaad nodig bij 2FA, om een vergeten 2FA pincode te kunnen herstellen.

https://faq.whatsapp.com/general/verification/how-to-manage-two-step-verification-settings
10-11-2020, 15:41 door Anoniem
kan die beste man niet weg a u b.
en neem de rest mee uit de haag
wat een zooitje zeg.
10-11-2020, 15:46 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Is dat dezelfde Grapperhaus die wil dat WhatsApp kraakbare encryptie gaat gebruiken?
En dezelfde Ferd die met Femke ruziede over de BLM demonstratie via WhatsApp begin juni
Dat was ik alweer vergeten... Maar dat ligt nu toch al op straat - zijn WhatsApp berichten tussen ambtenaren overigens WOBable? (zou Brenno dat weten?)
10-11-2020, 15:55 door Anoniem
Schandalig dat bedrijven en overheden belangrijke informatie uitwisselen via WA.
10-11-2020, 17:01 door Anoniem
Door Anoniem: Schandalig dat bedrijven en overheden belangrijke informatie uitwisselen via WA.
Facebook is een verlengstuk geworden van overheden, dus 'erg betrouwbaar' geacht. Politici maken vanwege hun 'voorbeeldfunctie' niet openlijk gebruik van bijv. Thunderbird met pgp. Bang dat ze daarmee in eigen voet schieten wanneer echt veilige communicatiemiddelen met e2e encryption mainstream worden.
In het geval van bedrijven zijn het de hooggeschoolde maar oerdomme digibete managers die uit gemakzucht en 'popie jopie' whatsapp gebruiken voor iedere soort communicatie.
10-11-2020, 18:29 door Anoniem
@Madeleine van Toorenburg (CDA) weet u waar ik nu zo van schrik dat u het gebruik van Whatsapp door de overheid blijkbaar de normaalste zaak van de wereld vindt. Weet u al dat Whatsapp van Facebook Inc. is? En dat deze toko evil is?

Zo gaat data via Whatsapp linea recta richting de VS, de kans dat het daar van de servers gewist wordt acht ik heel klein. En anders komt het wel via 'onze' sleepwet bij de NSA terecht.

Politici die niet weten wat speelt in de samenleving dikke min één.
10-11-2020, 18:43 door Anoniem
Door Erik van Straten:
Door Anoniem:
Door Erik van Straten: Is dat dezelfde Grapperhaus die wil dat WhatsApp kraakbare encryptie gaat gebruiken?
En dezelfde Ferd die met Femke ruziede over de BLM demonstratie via WhatsApp begin juni
Dat was ik alweer vergeten... Maar dat ligt nu toch al op straat - zijn WhatsApp berichten tussen ambtenaren overigens WOBable? (zou Brenno dat weten?)
Dag Erik (rijksambtenaar-Minbzk): bij de Rijksoverheid is de richtlijn: geen gebruik van WhatsApp.. Alleen "Signal" is toegestaan: (en dit, ook alleen, voor "niet confidentiele" berichten)..
10-11-2020, 21:28 door Erik van Straten
@rijksambtenaar-Minbzk: dank voor jouw antwoord!

Probleem: ik hoor/lees te vaak over "richtlijnen" (in https://eenvandaag.avrotros.nl/item/ruim-een-derde-van-alle-coronatests-niet-door-ggd-maar-particulier-we-verliezen-het-zicht-op-het/ is zelfs sprake van "strengere richtlijnen").

Is Nederland een vrijblijvende adviesmaatschappij aan het worden of zo?

Als het mensen niet verboden wordt om met collega's te whatsappen (en er geen sancties zijn bij overtreding) dan kun je erop wachten dat er vertrouwelijke informatie (waaronder persoonsgegevens van derden) via zo'n medium wordt uitgewisseld.
10-11-2020, 22:53 door Anoniem
Door Anoniem: kan die beste man niet weg a u b.
en neem de rest mee uit de haag
wat een zooitje zeg.

Op eeuwig durende huwelijksreis sturen.....
11-11-2020, 09:52 door Anoniem
Door Anoniem:
Door Anoniem: Schandalig dat bedrijven en overheden belangrijke informatie uitwisselen via WA.
Facebook is een verlengstuk geworden van overheden, dus 'erg betrouwbaar' geacht. Politici maken vanwege hun 'voorbeeldfunctie' niet openlijk gebruik van bijv. Thunderbird met pgp. Bang dat ze daarmee in eigen voet schieten wanneer echt veilige communicatiemiddelen met e2e encryption mainstream worden.
In het geval van bedrijven zijn het de hooggeschoolde maar oerdomme digibete managers die uit gemakzucht en 'popie jopie' whatsapp gebruiken voor iedere soort communicatie.
Volgens mij snap je niet helemaal met wie een gemeenteraadslid, een wethouder, een burgemeester of een ondersteunend ambtenaar mee moeten communiceren. Om het je makkelijk te maken, veel burgers communiceren via WA en om het contact met de burger laagdrempelig te houden, en niet om de burger te verplichten om via PGP te hoeven communiceren, is het gebruik van WA erin geslopen. Is dat goed, wellicht niet maar met welk alternatief zou de burger dan op een veilige wijze met zijn wethouder of raadslid moeten communiceren dan? Dat men gemakshalve ook voor vertrouwelijke zaken WA is gaan gebruiken is te verklaren doordat ook burgemeesters, wethouders, raadsleden ed. ook gewoon mensen zijn die niet voor ieder wisse wasje aparte tools willen gaan gebruiken. Ga er maar vanuit dat de meeste burgemeesters, wethouders en raadsleden helemaal niet zo digi-vaardig zijn als verondersteld wordt. Als jij een laagdrempelige super veilige oplossing weet, die zelfs door niet digi vaardige mensen kan worden gebruikt dan staat iedereen daar wel voor open.
Het gebruik van FB apps als WA is zeker niet goed te praten maar het is op z'n minst een stuk veiliger dan e-mail. Maar in gemeenteland zijn de CISO's er inmiddels ook wel van overtuigd dat het gebruik van Signal een stuk veiliger is, en net zo laagdrempelig als WA. Wel erg laat maar beter laat dan nooit zullen we maat zeggen.
11-11-2020, 10:07 door Anoniem
Gelekte WA communicatie van Ferd en Femke:


Ferd: Hoi Femke, ga je vanavond mee uit eten?
Femke: Nee ik moet het pistool van mijn man nog ergens verstoppen.
Ferd: Oke, prima. Dan graag een andere keer.


;-)
11-11-2020, 10:52 door Anoniem

Ferd: Hoi Femke, ga je vanavond mee uit eten?
Femke: Nee ik moet het pistool van mijn man nog ergens verstoppen.
Kwam dat pistool in deze docu voor?

https://www.2doc.nl/documentaires/series/2doc/2020/cannabis1.html
https://www.2doc.nl/documentaires/series/2doc/2020/cannabis2.html
https://www.2doc.nl/documentaires/series/2doc/2020/cannabis3.html
https://www.2doc.nl/documentaires/series/2doc/2020/cannabis4.html
https://www.2doc.nl/documentaires/series/2doc/2020/cannabis5.html ...magistratelijk, hoor!
https://www.2doc.nl/documentaires/series/2doc/2020/cannabis6.html

Ferd Grapperhaus kwam er overigens wel meermaals in voor...

...enneh.... in mijn optiek "ietsje" schandaliger dan een puberzoon die wegrent met een onklaar danwel nep pistool.
Richt daar eens je pijlen op.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.