Door Anoniem: De fraude met een legitimatiebewijs kan worden tegengegaan door met de app "KopieID" alleen een (digitale) copie van dat legitimatiebewijs af te geven, waarbij het BSN-nummer en bijvoorbeeld de foto zwart zijn weggelakt.
NEE!Waarom nietDe situatie hier was dat iemand "aan de andere kant van de lijn" wil dat jij bewijst dat jij
niet iemand anders bent dan je zegt te zijn. Als het een echte werkgever zou zijn, is het niet zo gek dat die vraag gesteld wordt.
Probleem: als de ontvangende identiteitsfraudeur genoegen neemt met een deels zwartgelakte scan of kopie-ID, waarom zou een derde dat dan niet doen?Oftewel:
online authenticeren kan niet betrouwbaar door een (deels zwart gelakt) plaatje op te sturen - dat ook anderen in bezit kunnen hebben en desgewenst kunnen photoshoppen! Dus
zelfs als er een tekst doorheen staat, kun je die weer weghalen. Wellicht niet zodanig dat die kopie exact op het onbeschreven origineel lijkt,
maar dat maakt niet uit - want de ontvanger
weet niet hoe het origineel eruit ziet!
Het hele concept van op afstand authenticeren met een kopietje paspoort werkt alleen betrouwbaar als alle ontvangers en verzenders 100% betrouwbaar zijn (en er geen onbetrouwbare mensen zijn die "onderweg" kunnen meekijken en/of vervangen). Als we het erover eens zijn dat dit nooit zo was, is en gaat zijn, moeten we hier onmiddelijk mee ophouden.
Reden voor paspoorten en rijbewijzenDe
reden dat wij paspoorten en rijbewijzen hebben is,
in de eerste plaats, dat we
weten dat er
mensen zijn die de boel belazeren. En je er
dus niet op kunt vertrouwen dat, als iemand zegt dat hij Erik van Straten heet (met BSN B, NAW gegevens X, geboortedatum Y en geboorteplaats Z), en/of rijbewijs ABE heeft,
dit daadwerkelijk zo is. Hoewel velen denken dat paspoorten en rijbewijzen (authenticatie; en bij een rijbewijs, daarna, autorisatie) er zijn zodat jij iets
wel kunt bewijzen, is onzin,
want waarschijnlijk ben jij eerlijk. Het gaat er vooral om dat oneerlijke mensen de boel niet kunnen belazeren - doordat zij zo'n bewijs
NIET kunnen overleggen!
Kans om slachtoffer te wordenMax Meldpunt liet zien dat criminelen
bewust naar slachtoffers zoeken hetgeen de
kans vergroot dat je met zo'n crimineel te maken krijgt. Daarnaast is het geen toeval dat graaiers opduiken op plaatsen waar veel te graaien valt (voorbeelden: [1] en destijds bijklussende persoonsgegevensverkopers bij de GGD).
[1]
https://nos.nl/artikel/2445277-opnieuw-haagse-ambtenaar-verdacht-van-het-uitgeven-valse-id-bewijzenWie is de ONTVANGER en is deze BETROUWBAAR?Het fraaie van het in Max Meldpunt beschreven scenario is dat je, als eerlijke verzender,
de ontvanger moet kunnen vertrouwen. Dat kan op z'n vroegst als
eerst jij redelijk zeker weet dat die ontvanger is wie hij/zij zegt te zijn, en
hij/zij niet op dat moment al identiteitsfraude pleegt door zich uit te geven voor een betrouwbaar persoon. Maar dit is natuurlijk wel een kip/ei probleem, vooral bij individuen: wie authenticeert als eerste?
Een voorbeeld van AitM (Attacker in the Middle) identiteitsfraude zie je in [2], maar er zijn legio voorbeelden van dit soort AitM fraudegevallen te vinden op internet.
[2] Uit
https://www.nu.nl/internet/4396305/mannen-lichten-2500-klanten-marktplaats.html:
17 jan 2017: Mannen lichten klanten Marktplaats op
[...]
Kopers moesten na WhatsApp-contact ook een kopie van hun legitimatiebewijs opsturen om hun betrouwbaarheid aan te tonen. Maar de verdachten gebruikten de identiteitsgegevens daarna om zich weer als 'nieuwe' verkoper voor te doen en zelf buiten beeld te blijven.
[...]
Die paspoort-app van de overheid
heeft totaal geen zin in bovenstaande situatie! En dat was niet vorige week of zo...
Nb. als je
wél redelijk zeker weet wie iemand "aan de andere kant van de lijn" is, zegt dat an sich niets over diens
betrouwbaarheid. Wat je hier
wél aan hebt is dat je wellicht informatie kunt vinden over gedragingen van die persoon in het verleden
én dat je weet
wie jou belazerd heeft (mocht dat gebeuren) en daarmee aangifte bij de politie kunt doen. Precies omdat (cyber) criminelen
beide risico's kennen en betrouwbaar over willen komen, doen zij zich bij voorkeur voor als een ander, een
wel betrouwbaar overkomend en opspoorbaar persoon. En als die persoon slachtoffer wordt, is dat mede
jouw schuld - want jij vertrouwt onterecht in dit systeem, en
verzaakt de ander fatsoenlijk te authenticeren!
Scan van of Kopie-ID?Er zijn 2 mogelijkheden die elkaar uitsluiten:
a) Een scan van of een kopie-ID kunnen opsturen zegt niets over jouw identiteit.
b) Een scan van of een kopie-ID kunnen opsturen bewijst dat jij degene vermeld op die scan/kopie bent. Echter, zodra een fraudeur deze ontvangt en bewijst jou te zijn door die scan of kopie-ID naar een derde te sturen: ga verder bij a).
Je
kunt je niet wapenen tegen fraudeurs door een "kopietje ID" en andere authenticerende persoonsgegevens op te sturen of op andere wijze te delen, ook niet door delen van die kopie onleesbaar te maken.
Oplossing: asymmetrische cryptografie!Techsolutionisten (dat was ik ook, maar ben ik minder) buitelen momenteel over elkaar heen, roepend dat het "de oplossing is" om jouw kopietje ID (of losse persoonsgegevens daaruit: IRMA/Yivi)
digitaal te signeren - om manipulatie te voorkómen!
Maar daarbij vergeten zij:
1) Wie is de ontvanger?Je weet nog steeds niet
eerst of de ontvanger is wie hij/zij zegt te zijn (laat staan of hij/zij betrouwbaar is), noch wat hij/zij met jouw gegevens gaat doen, ook niet hoe goed zijn/haar systemen beveiligd zijn noch hoe lang jouw gegevens zullen worden bewaard (het advies is om jouw identiteitsbewijs
zo min mogelijk uit handen te geven, maar hier wil de commerciële lobby niet jouw gegevens
even inzien, doch er een 100% identieke digitale kopie van
bezitten). Als microsoftonline.com van Microsoft is, waarom is
microsoft-online.com dat dan niet? En waarom is [3], met Google certificaat, niet van Google, en hoe weet je zeker van wie de getoonde informatie
wél is - laat staan of je die informatie kunt vertrouwen? Het internet krioelt van onduidelijkheden en van de cybercriminelen die daar handig misbruik van maken.
[3]
https://sites.google.com/a/trustinpeople.com/trust-in-people---the-information-protection-company/security-plaza2) Welke garanties heb je dat ontvangers zich niet voor kunnen doen als jou?Stel je wilt een PGO (digitale Persoonlijke GezondheidsOmgeving) zoals bij
https://mijnpgo.org en je ontvangt een mailtje van jouw huisarts waarin zij per ongeluk
https://mijnpgo.nl of
https://mijnpgo.com in heeft gezet (of je ontvangt een overtuigend phishing-mailtje met zo'n soort link) - en stel dat het domein waar dat linkje naar wijst ondertussen door cybercriminelen is gekocht en zij daarop een identieke kopie van
https://mijnpgo.org (o.i.d.) hebben gemaakt. Kunnen zij dan, met de gegevens uit jouw "ID-wallet" of IRMA-app, namens jou bijvoorbeeld een lening afsluiten? Ik weet niet of en welke maatregelen daartegen genomen zijn, maar hoe goed zijn die - oftewel, kunnen criminelen die omzeilen? In elk geval weet ik dat het knap lastig is om "Evil proxy" [4] -achtige aanvallen betrouwbaar te pareren.
[4]
https://security.nl/posting/7736443) Niet alleen identiteitsfraudeurs willen jouw persoonsgegevensWelliswaar is niet iedereen op internet een identiteitsfraudeur, maar het stikt wel van de persoonsgegevensverzamelaars
om andere redenen in jouw nadeel (van statistici via marketingmonsters naar ordinaire beïnvloeders). Zij vinden het heel fijn dat jij niet meer kunt liegen over jouw geboortedatum of andere persoonsgegevens. Natuurlijk is het een nobel streven dat je met IRMA precies kunt delen wat jij wilt en wat niet, maar als je
vandaag (zonder IRMA) op een webshop etc. niet
alle verplichte velden invult, krijg je gewoon niet wat jij wilt. Waarom zou dat verbeteren met IRMA? Sterker, omdat de andere kant
weet dat je, met zo'n app of "ID-wallet", niet kunt liegen over jouw geboortedatum (tenzij je identiteitsfraude pleegt, bijv. door de smartphone van een ander te gebruiken, maar daar gaan we nog even niet vanuit), is het voor de andere kant
aantrekkelijker om juist méér persoonsgegevens verplicht te maken. De AVG verbiedt dit, maar daar wordt ook
nú al nauwelijks of niet op gecontroleerd laat staan op gehandhaafd.
4) Digitale handtekening kun je verwijderen (wellicht nieuw laten zetten)Fraudeurs kunnen een digitale handtekening eenvoudig verwijderen en daarna "ongestraft" gegevens manipuleren (waaronder plaatjes photoshoppen). Als het goed is (er zijn vast uitzonderingen!) kunnen zij daarna die data niet opnieuw digitaal laten signeren, maar zolang er minstens één malloot is die waarde hecht aan
unsigned identificerende gegevens,
heb jij een probleem. Het lukt criminelen nu soms ook al om bijvoorbeeld malware van een geldige digitale handtekening te voorzien - waarom zou dat hier niet ook bij lukken?
5) Malware op jouw smartphoneMet malware (met voldoende rechten) op jouw smartphone kunnen cybercriminelen jou laten zien wat zij willen dat jij ziet, en namens jou andere "toetsen indrukken". Jij kunt dan denken dat je op site X authenticeert met gegevens A en B, terwijl de malware dat (onzichtbaar voor jou) wijzigt in site Y met gegevens A t/m E. Dit soort malware bestaat al jaren voor internetbankieren (vooral voor grotere banken in landen met meer inwoners en door meer aardbewoners gesproken talen). Voor een voorbeeld zie Figure 7 in [5] en de tekst daaronder.
[5]
https://www.group-ib.com/blog/godfather-trojan/6) In wiens belang is authenticeren?We willen voorkómen dat minderjarigen porno kunnen kijken, kunnen gokken, alcohol kunnen kopen etc. De methode om dat te doen is
NIET dat mensen van 18+ kunnen bewijzen dat zij 18+ zijn, maar dat mensen van 17-
NIET kunnen bewijzen dat zij 18+ zijn. En
dat garanderen is onmogelijk, want als een jongere de smartphone van een ouder iemand leent, dan
ziet de controlerende kant dat NIET. En omdat lenen van smartphones soms lastig kan zijn, zullen er (betaalde) "proxy-apps" op de markt komen die verbinding maken met smartphones van
identiteitsezels en/of van
gehackte smartphones - zodat het eenvoudig wordt om te bewijzen dat je iemand anders bent. En dat niet alleen voor mensen jonger dan 18.
Hoogstwaarschijnlijk ontstaan er meer problemen (o.a. hoe is revocation geregeld, kun je mensen DoS'en door te melden dat er met hun identiteit wordt gefraudeerd en wie betaalt het als iemand anders namens jou met geld heeft gesmeten), maar ben ik niet creatief genoeg om alle scenario's te bedenken en uit te werken.
Stel je voor dat supermarkten bemenste kassa's zouden vervangen door zelfscankassa's om er vervolgens achter te komen dat er veel meer gestolen wordt...
zó naief zijn we toch niet met z'n allen?
Okay, point taken, hoe dan wel online absoluut authenticeren?De vraag die ik hierna altijd krijg, luidt: "maar hoe kun je
dan wél betrouwbaar online absoluut (met jouw NAW gegevens etc.) authenticeren?"
Antwoord:
DAT KAN NIET.
Ook al
wil je het nog zo graag, is het véél goedkoper (voor de controleur) en hoef je alleen maar je smartphone mee te nemen: je
kúnt niet alle problemen met een app (of andere technische maatregelen) oplossen - en niet de controleur
maar jij loopt de risico's - en betaalt de rekening als het fout gaat.
Okay, point taken, hoe dan wel absoluut authenticeren?Je kunt alleen
in levenden lijve redelijk betrouwbaar authenticeren, mits bij een betrouwbare controleur van jouw identiteitsbewijs die dat ID-bewijs checkt op aanwijzingen voor vervalsingen (zoals te zien in [6] - iets dat nauwelijks of niet mogelijk is bij een scan of fotokopie) maar ook dat jij sterk lijkt op de foto op dat identiteitsbewijs en dat de rest van de beschrijving klopt (geslacht, leeftijd, lengte, kleur ogen). En zelfs dat is niet 100% betrouwbaar, want soms worden paspoorten onterecht uitgegeven ([7]) of komen identiteitsfraudeurs weg met vervalsingen.
[6]
https://spectator.clingendael.org/sites/spectator/files/inline-images/Een%20Duitse%20douanebeambte%20controleert%20een%20paspoort%20in%202004.%20Reuters.jpg[7]
https://static.standaard.be/Assets/Images_Upload/2015/09/16/b5bfdae8-5c83-11e5-8c16-41efac056b90_original.jpgOnline of "op afstand"-authenticatie is veel minder betrouwbaar, onder meer omdat de betreffende persoon en de controleur elkaar niet kunnen zien. Je kunt dat proberen "te repareren" met foto's of video's maar die kunnen -zonder dat je dat weet- van een ander zijn. Vooral de opkomst van AI/ML zullen het fraudeurs steeds makkelijker maken. Ook stemgeluid kunnen worden vervalst: [8].
[8]
https://security.nl/posting/787196ConclusieAuthenticatie vindt altijd plaats via een keten van schakels - die zelden allemaal even sterk zijn. Bij online (op afstand) "absoluut" authenticeren wordt er een heel stel schakels (soms zeer zwak, zoals een kopietje-ID) tussengevoegd en bovendien verliezen partijen elkaar
letterlijk uit het oog. Helemaal stom is online een paspoort of rijbewijs kunnen verkrijgen (oeps: [9]). Indien authenticatie als betrouwbaarder wordt ingeschat dan het is, leidt dat onherroepelijk tot meer identiteitsfraude en grotere schade voor slachtoffers.
Waarom mis ik kopietje-ID (ook
ná zwartlakken met privacy-app), IRMA, Yivi, digitale rijbewijzen en "ID-wallets" nog in [10]?
[9]
https://security.nl/posting/787939[10]
https://www.maakhetzeniettemakkelijk.nl/