image

"Zesduizend Nederlanders doen dit jaar melding van identiteitsfraude"

vrijdag 7 oktober 2022, 16:26 door Redactie, 12 reacties

Naar verwachting zullen dit jaar ruim zesduizend Nederlanders melding van identiteitsfraude doen, zo stelt minister Bruins Slot van Binnenlandse Zaken. Tot en met augustus zijn er al meer dan vierduizend meldingen bij het Centraal Meldpunt Identiteitsfraude (CMI) binnengekomen. Het CMI registreert meldingen van identiteitsfraude en fouten in persoonsgegevens en ondersteunt en adviseert slachtoffers.

"Afgaande op deze aantallen voor 2022 (in totaal 4019) verwachten we ook dit jaar ruim 6000 meldingen te ontvangen. Door eventuele incidenten (zoals een datalek of veranderende/nieuwe fraudetechnieken) kan er opeens een flinke toename in het aantal meldingen zijn", aldus de minister, die reageerde op vragen van de vaste commissie voor Binnenlandse Zaken over de begroting van het ministerie. De commissie vroeg zich af waar de toename van het aantal meldingen over identiteitsfraude bij het CMI vandaan komt.

Volgens Bruins Slot is begin 2020 een voorlichtingscampagne gestart om met name jongeren weerbaarder te maken tegen identiteitsfraude. "Hierdoor is er een grote toename geweest in de meldingen van 2019 naar 2020, welke structureel lijkt. Daarnaast was er in 2020 een grote stijging in de meldingen “bestellingen op naam”, dit zijn meldingen waarbij de burger aangeeft rekeningen of aanmaningen te krijgen voor bestelling die de burger niet zelf heeft gedaan."

Reacties (12)
07-10-2022, 17:03 door karma4
Je zou zeggen dat identiteitsfraude een echt privacyprobleem is. Opvallend dat de AP daarbij geen thuis geeft.
Ze hebben meer met de eenvoudigere opzet van bescherming van de misdadigers.
07-10-2022, 18:11 door Anoniem
Ze willen toch graag een digitale samenleving
en alles in de cloud,wij van de europese unie willen dat.

EUNL2022
07-10-2022, 21:47 door Anoniem
Wat de burger moet leren is dat je rekeningen voor niet gedane bestellingen gewoon kunt weggooien. En dat je daarnaast wel gedane bestellingen pas betaalt als je tevreden bent. Anders had men maar niet op krediet moeten leveren. Een factuur is geen aanslag.

Daarnaast moet de burger beter worden geinformeerd dat als hij niet helemaal tevreden was, een kleine betaling al voldoende is om de goede wil te tonen. En de rest voorlopig te laten zitten, waarna nog een klein beetje weer de goede wil toont.

Wie levert op krediet hoort zich deze risicos bewust te zijn. Of anders boter bij de vis te vragen. Alleen meteenvonnismageriemand zomaar in je zakken zitten. Wordt er met extra kosten gedreigd, ook dat zijn geen absolute rechten.
07-10-2022, 22:59 door Erik van Straten
Door karma4: Je zou zeggen dat identiteitsfraude een echt privacyprobleem is.
In een deel van de gevallen niet. Bijvoorbeeld in https://www.dentons.com/en/footer/fraud-alert/domains somt Dentons (naar eigen zeggen "the world's largest law firm") domeinnamen op die door identiteitsfraudeurs zijn gebruikt om zich voor te doen als medewerker van Dentons.

Maar ook Microsoft moest het weer flink ontgelden (zie de lijsten met domeinnamen onderin https://abnormalsecurity.com/blog/cobalt-terrapin-invoice-fraud).

In https://www.security.nl/posting/770175/KNLTB+teleurgesteld+in+tussenuitspraak+rechter+over+AVG-boete+AP kun je daarentegen lezen dat de KNLTB (haar in goed vertrouwen verstrekte) persoonsgegevens van haar leden verkoopt aan partijen waarbij niemand garandeert dat die gegevens niet verder gaan "zwerven", d.w.z. niet in handen kunnen vallen van misbruikers zoals identiteitsfraudeurs (waaronder WhatsApp-fraude, zie https://www.maxmeldpunt.nl/oplichting/whatsapp-fraude-blijft-toenemen-politie-waarschuwt-opnieuw/).

Terecht dat de AP daar een boete voor heeft uitgedeeld.

Overigens is het aantal meldingen dat het CMI ontvangt vermoedelijk een klein topje van een erg grote ijsberg. Whatsapp-fraude, BEC (niet alleen "Business" Email Compromise), bellende fake Microsoft of bankmedewerkers, pinfraudeurs, phishing-websites en ga zo maar door zijn m.i. ook vormen van identiteitsfraude, waarvan -schat ik- hooguit een fractie aan het CMI wordt gemeld.

De afgelopen maanden heeft bijvoorbeeld de Russische trollenfabriek hard haar beste gedaan door zich voor te doen als bekende Britse, Duitse, Franse, Letse en Italiaanse nieuwssites. Alleen al voor de website van de Duitse "Der Spiegel" (spiegel.de) werd fake news gepost op sterk op de echte lijkende websites met de volgende domeinnamen (via https "dankzij" DV-certificaten):
- spiegel.agency
- spiegel.cab
- spiegel.fun (www-spiegel-de.spiegel.fun)
- spiegel.ink
- spiegel.ltd
- spiegel.pro
- spiegel.quest
- spiegel.today
- spiegel.work
- spiegeli.life
- spiegeli.live
- spiegeli.today
- spiegelr.live
- spiegelr.today

Meer info:
https://medium.com/dfrlab/russia-based-facebook-operation-targeted-europe-with-anti-ukraine-messaging-389e32324d4b

https://about.fb.com/news/2022/09/removing-coordinated-inauthentic-behavior-from-china-and-russia/
of direct het rapport als PDF: https://about.fb.com/wp-content/uploads/2022/10/CIB-Report_-China-Russia_Sept-2022-1-1.pdf

Bron: https://www.bleepingcomputer.com/news/security/meta-dismantles-massive-russian-network-spoofing-western-news-sites/
08-10-2022, 11:30 door Anoniem
Door karma4: Je zou zeggen dat identiteitsfraude een echt privacyprobleem is. Opvallend dat de AP daarbij geen thuis geeft.
Als er al een relatie is tussen identiteitsfraude en privacywetgeving, dan is het waarschijnlijk eerder dat de privacywetgeving
een deugdelijke verificatie van de identiteit (en attributen) bemoeilijkt, en daarmee identiteitsfraude mogelijk maakt.
08-10-2022, 11:34 door Anoniem
Door Erik van Straten:bellende fake Microsoft of bankmedewerkers, pinfraudeurs, phishing-websites en ga zo maar door zijn m.i. ook vormen van identiteitsfraude, waarvan -schat ik- hooguit een fractie aan het CMI wordt gemeld.
Dat vind ik wel erg ver gezocht!
Als er een callcenter random nummers belt en zegt van Microsoft te zijn, dan is dat alleen fraude tov van de identiteit
van Microsoft, niet van het slachtoffer. En dat soort vormen van fraude wordt in veel gevallen juist vergemakkelijkt
door allerlei privacywetgeving die tegenhoudt dat je zaken zelf even natrekt.
Bijvoorbeeld als je een appje binnen krijgt van "het nieuwe nummer van je dochter" kun je niet even in een reverse nummer
register de houder van dat nummer natrekken "want privacy". Zelfs als nummerweergave waterdicht zou zijn heb je
nog dat probleem.
08-10-2022, 13:28 door [Account Verwijderd]
Identiteitsfraude zal ook getriggerd worden door eisen van (plaatselijke) overheid met betrekking tot digitaal aanleveren van persoonlijke documenten en hier of daar toch onvoldoende aandacht voor de instandhouding van privacygevoelige informatie die ten nadele kunnen vallen voor de burger bij communicatie met de overheid.

Een persoonlijk ervaren voorbeeld:

Zo'n maand terug heb ik energietoeslag aangevraagd.
Ik moest ook ten bewijze van een op mijn naam gesteld bankrekeningnummer een scan van mijn bankpas aanleveren.
Suf als ik was vergat ik het serienummer van de bankpas zwart te maken.
Meteen heb ik maatregelen genomen, maar hoeveel mensen zijn er misschien wel die niet weten dat het zéér belangrijk is dat een vreemd persoon naast - uiteraard - de PIN-code, niet het serienummer van een bankpas te weten komt?

En daarmee kom ik terug op mijn opmerking hierboven.
De gemeente waar ik woon kan deze ernstige fout grotendeels voorkomen door te vermelden dat het bankpas serienummer onzichtbaar gemaakt moet worden.

OK, waarschijnlijk zou ik nog de fout hebben gemaakt want ik was er op dat moment niet goed bij met mijn hoofd, maar neemt niet weg: een gewaarschuwd mens telt voor twee! Het zou een kleine moeite zijn geweest als de waarschuwing wel was vermeld bij de lijst van aan te leveren documenten en specifiek dáár waar het de bankpas betrof.
08-10-2022, 14:39 door Anoniem
Door Quink:
Meteen heb ik maatregelen genomen, maar hoeveel mensen zijn er misschien wel die niet weten dat het zéér belangrijk is dat een vreemd persoon naast - uiteraard - de PIN-code, niet het serienummer van een bankpas te weten komt?
Ik denk dat de meeste mensen wel weten dat dat niet boeit. Het serienummer is totaal onbelangrijk om wel of niet
te weten. Je kunt daar verder niks mee, behalve misschien geloofwaardig overkomen als je telefonisch probeert
de pas te blokkeren.
08-10-2022, 15:16 door Erik van Straten - Bijgewerkt: 08-10-2022, 15:17
Door Anoniem:
Door Erik van Straten:bellende fake Microsoft of bankmedewerkers, pinfraudeurs, phishing-websites en ga zo maar door zijn m.i. ook vormen van identiteitsfraude, waarvan -schat ik- hooguit een fractie aan het CMI wordt gemeld.
Dat vind ik wel erg ver gezocht! Als er een callcenter random nummers belt en zegt van Microsoft te zijn, dan is dat alleen fraude tov van de identiteit van Microsoft, niet van het slachtoffer.
Ja en? Alsof uit de definitie van identiteitsfraude zou volgen dat degene wiens identiteit onterecht wordt aangenomen, altijd het grootste slachtoffer zou moeten zijn?

Dat is vaak niet het geval, ook niet bij Whatsapp-fraude (kijk de laatste aflevering van Max Meldpunt nog maar eens na).

Door Anoniem: En dat soort vormen van fraude wordt in veel gevallen juist vergemakkelijkt door allerlei privacywetgeving die tegenhoudt dat je zaken zelf even natrekt.
Privacywetgeving kan dit bemoeilijken, maar in heel veel gevallen was, voordat privacywetgeving versterkt werd, identificerende informatie simpelweg onbetrouwbaar (toen whois nog niet was dichtgetimmerd, stond daar ook al zinloze of ordinair gelogen informatie in).

Het stokoude probleem is niet dat eerlijke mensen niet liegen, maar dat criminelen dat wel doen. Ja duh zul je zeggen, maar indien je met een crimineel te maken hebt schiet je er meestal niks mee op als 99% van de gegevens in een systeem met identificerende informatie is aangedragen door eerlijke mensen.

Door Anoniem: Bijvoorbeeld als je een appje binnen krijgt van "het nieuwe nummer van je dochter" kun je niet even in een reverse nummer register de houder van dat nummer natrekken "want privacy". Zelfs als nummerweergave waterdicht zou zijn heb je nog dat probleem.
Wat een flutargument: omdat er Whatsapp-fraude bestaat zou er een waterdicht systeem moeten bestaan waarin je kunt opvragen "van wie is dit telefoonnummer op dit exacte moment"?

Immers, als jouw zoon of dochter zojuist een ander nummer heeft gekregen (wat bijna niemand wil) moet dat wel meteen geregistreerd staan (en mag je hopen dat daarbij geen identiteitsfraude heeft plaatsgevonden). En bij verlies of diefstal moet je (zonder dat identiteitsfraude al te eenvoudig is) jouw naam bij jouw oude nummer kunnen schrappen (en dat ook echt meteen doen). En nooit je telefoon uitlenen.

Idee: Wellicht een nieuw soort digitale certificaten waarbij (in plaats van een public key) een telefoonnummer aan unieke NAW-gegevens gekoppeld is, met deze keer wel een betrouwbaar revocation system? Laat ook maar.

De verkoop van anonieme pre-paid SIM-kaarten zou je dan waarschijnlijk ook moeten verbieden.

Los van dat zo'n waterdicht systeem nooit bestaan heeft voor het brede publiek en m.i. onwenselijk is voor die groep juist vanwege privacyrisico's waaronder phishing: denk je echt dat iedereen die via Whatsapp belazerd wordt met "telefoon verloren, geleend toestel van collega, geld nodig" dan niet het oude nummer belt maar wel bedenkt dat je zo'n reverse lookup kunt doen, waar dat ook al weer was en dat daadwerkelijk doet? En dat je dan ook weet of die persoon daadwerkelijk een collega van jouw zoon of dochter is? Of een studiegenoot? Of een aardig iemand in de trein?

Het probleem hier is teveel vertrouwen in mensen en techniek (te vaak niet precies weten of je het niet realiseren wat de technische -maar ook social engineering- mogelijkheden zijn voor identiteitsfraudeurs waardoor dit potentiële slachtoffers kwetsbaar maakt). Dat probleem los je niet op door privacy af te schaffen.
08-10-2022, 16:43 door karma4
Door Anoniem:
Door karma4: Je zou zeggen dat identiteitsfraude een echt privacyprobleem is. Opvallend dat de AP daarbij geen thuis geeft.

Als er al een relatie is tussen identiteitsfraude en privacywetgeving, dan is het waarschijnlijk eerder dat de privacywetgeving
een deugdelijke verificatie van de identiteit (en attributen) bemoeilijkt, en daarmee identiteitsfraude mogelijk maakt.
Dank je dat is de achtergrond van mijn opmerking
08-10-2022, 16:59 door karma4
Door Erik van Straten:
Door karma4: Je zou zeggen dat identiteitsfraude een echt privacyprobleem is.
In een deel van de gevallen niet. Bijvoorbeeld in https://www.dentons.com/en/footer/fraud-alert/domains somt Dentons (naar eigen zeggen "the world's largest law firm") domeinnamen op die door identiteitsfraudeurs zijn gebruikt om zich voor te doen als medewerker van Dentons. .
Dat lijkt me toch een privacy probleem. Bij de slachtoffers, Denton en betreffende medewerker.

IMaar ook Microsoft moest het weer flink ontgelden (zie de lijsten met domeinnamen onderin [
Wil je aub kiezen Er staat namelijk "Social engineering methods like those commonly used in business email compromise attacks are growing more sophisticated because it’s becoming more challenging to fool security-aware workforces and bypass security software. " De telco whatsapp dan wel opens source schuldig verklaring omdat daar een naam van misbruikt is, is niet professioneel. Je zou zal security specialist er voor moeten zijn om look alikes te bannen, zwarte lijst of liever een bevoorrechte witte lijst. Daarnaast gedegen authenticatie dat oplichters hun gang kunnen gaan komt door het makkelijk kunnen verbergen van de juisten identiteit.

Nou nee, zeer onterecht. De AP lijkt aan privacy activisme te doen niet aan privacybescherming.

Overigens is het aantal meldingen dat het CMI ontvangt vermoedelijk een klein topje van een erg grote ijsberg. Whatsapp-fraude, BEC (niet alleen "Business" Email Compromise), bellende fake Microsoft of bankmedewerkers, pinfraudeurs, phishing-websites en ga zo maar door zijn m.i. ook vormen van identiteitsfraude, waarvan -schat ik- hooguit een fractie aan het CMI wordt gemeld.
Zoals je zou moeten weten vindt de AP registratie van oplichtingspogingen een inbreuk van privacy.
De fraudehelpdesk is daarom gestopt, Het melden aan CMI zal bij escalatie ook wel verboden worden door de AP.

De afgelopen maanden heeft bijvoorbeeld de Russische trollenfabriek hard haar beste gedaan door zich voor te doen als bekende Britse, Duitse, Franse, Letse en Italiaanse nieuwssites. Alleen al voor de website van de Duitse "Der Spiegel" (spiegel.de) werd fake news gepost op sterk op de echte lijkende websites met de volgende domeinnamen (via https "dankzij" DV-certificaten):
Interessant hier kan ik je volgen. Alleen het uitbannen van die praktijken zal lastig zijn met Rusland/Poetin propagandisten in het de kamer en in bepaalde media. Die gaan steigeren als er iets tegen gedaan zou worden.
09-10-2022, 09:50 door [Account Verwijderd] - Bijgewerkt: 09-10-2022, 10:49
Door Anoniem:
Door Quink:
Meteen heb ik maatregelen genomen, maar hoeveel mensen zijn er misschien wel die niet weten dat het zéér belangrijk is dat een vreemd persoon naast - uiteraard - de PIN-code, niet het serienummer van een bankpas te weten komt?
Ik denk dat de meeste mensen wel weten dat dat niet boeit. Het serienummer is totaal onbelangrijk om wel of niet
te weten. Je kunt daar verder niks mee, behalve misschien geloofwaardig overkomen als je telefonisch probeert
de pas te blokkeren.

Ja zeg... ga de ernstige denkfout die je maakt ook nog publiceren hier!

Als ik telefonisch contact zoek met mijn bank (ING) om zaken te regelen die betrekking hebben op mijn bankrekening, stel: bijvoorbeeld een wijziging van mijn adres, vraagt de helpdeskmedewerker ter verificatie dat ik werkelijk ben wie ik zeg te zijn, onder andere het serienummer van mijn bankpas. en jij vertelt hier dat het serienummer van de bankpas "totaal onbelangrijk om wel of niet te weten" is?!?

"Alsjeblieft zeg!"

Stel: jij bent een medewerker van de gemeente waar ik woon die misbruik wil gaan maken van de gegevens op mijn bankpas waarvan ik een scan heb gezonden voor aanvraag van de energietoeslag en de ING bank belt:
"Goedemiddag met de heer Quink, serienummer bankpas 123X456, ik ga verhuizen, etc. "
Daarop geef jij mijn geboortedatum door - daarom vraagt de ING altijd - die te lezen is in de verdere informatie die ik heb gestuurd.... Wil jij mij wijsmaken dat jij géén succesvolle poging tot identiteitsfraude in gang zet, en ik "de pisang ben?"

Voordat je iets post hier denk dan de volgende keer dieper door dan slechts over dat wat aan de oppervlakte drijft!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.