Privacy - Wat niemand over je mag weten

Bloeiende handel in ID-gegevens

03-03-2023, 13:40 door Anoniem, 24 reacties
Attentie: TV-programma vanavond 3 maart ergens tussen 19.50 en 20.28u op NPO2 :

"On-line uw persoonsgegevens achterlaten kan leiden tot identiteitsfraude.
Criminelen kopen daarmee op uw naam spullen of sluiten abonnementen af. En u betaalt de rekening."

Enne...:
is je ID opsturen via een app op je smartphone of tablet naar de bank (zoals tegenwoordig gewoonte lijkt te worden)
eigenlijk wel zo veilig?

Zolang ik bij niemand anders dan mijn bank een kopie van mijn ID heb laten maken op een bankkantoor,
en mijn ID zou later uitlekken, dan is behoorlijk duidelijk dat de bank hier verantwoordelijk voor is.

Als ik mijn ID echter via een app naar de bank heb opgestuurd, zou er ook sprake kunnen zijn van bijvoorbeeld malware op mijn smartfoon die stiekem mijn ID (ook) naar iemand anders heeft opgestuurd.
Een bank zou zich achter dit argument kunnen verschuilen om hiermee zichzelf enigszins vrij te pleiten.
(Kifid is daar namelijk erg goed in...)
Reacties (24)
03-03-2023, 17:16 door Anoniem
Identiteitsdiefstal werkt maar tijdelijk. Het gezicht klopt niet, het adres klopt niet, etc. etc. Het komt uiteindelijk altijd uit en dan betaal je de prijs.
03-03-2023, 17:30 door Erik van Straten
Door Anoniem: Attentie: TV-programma vanavond 3 maart ergens tussen 19.50 en 20.28u op NPO2 :

"On-line uw persoonsgegevens achterlaten kan leiden tot identiteitsfraude.
Criminelen kopen daarmee op uw naam spullen of sluiten abonnementen af. En u betaalt de rekening."
Dank! Ik ga kijken (boven, vriendin kijkt schaatsen).

Door Anoniem: Zolang ik bij niemand anders dan mijn bank een kopie van mijn ID heb laten maken op een bankkantoor, en mijn ID zou later uitlekken, dan is behoorlijk duidelijk dat de bank hier verantwoordelijk voor is.
Jij zult dan moeten bewijzen dat alleen jouw bank een kopie of scan bezit, en dat kan niet (de stadhuismedewerker kan een kopie of scan hebben gemaakt voordat jij het ID-bewijs kreeg, of een nieuw exemplaar aan een ander hebben gegeven: zie de bovenste link in https://security.nl/posting/787931).

Zelfs als je iets unieks op de kopie of scan voor jouw bank zou schrijven, moet je maar afwachten of jij dat bewijs van fraude te zien krijgt, en zelfs dan kan het bataljon advocaten van de bank roepen dat jij kopiën daarvan ook naar andere partijen hebt gestuurd of dat die scan vanaf jouw computer moet zijn gestolen (of de kopie uit jouw wandmeubel).

Door Anoniem: Als ik mijn ID echter via een app naar de bank heb opgestuurd, zou er ook sprake kunnen zijn van bijvoorbeeld malware op mijn smartfoon die stiekem mijn ID (ook) naar iemand anders heeft opgestuurd.
Een bank zou zich achter dit argument kunnen verschuilen om hiermee zichzelf enigszins vrij te pleiten.
(Kifid is daar namelijk erg goed in...)
Ah, je had dat zelf al eerder bedacht... Bewijzen dat iets niet gebeurd kan zijn, is meestal erg lastig. En inderdaad, Kifid is hartstikke objectief...
03-03-2023, 23:57 door Anoniem
Ik verhuis dit jaar of begin volgend spontaan naar een ander land. De ID is al binnen. Officieel.

Dus geen gedoe.
04-03-2023, 11:00 door Anoniem
Het programma heet Meldpunt en is op NPOstart terug te zien:

https://www.npostart.nl/meldpunt/03-03-2023/POW_05536350
04-03-2023, 11:47 door Anoniem
Door Erik van Straten: Dank! Ik ga kijken

uitzending MAX Meldpunt
over 'De handel in ID-gegevens'

https://www.npostart.nl/meldpunt/03-03-2023/POW_05536350

Online uw persoonsgegevens achterlaten kan leiden tot identiteitsfraude. Criminelen kopen daarmee op uw naam spullen of sluiten abonnementen af. U betaalt de rekening. Op internet is een bloeiende handel in identiteitsgegevens en scripts om deze van consumenten te ontlokken. Wat kunt u doen om ID-fraude te voorkomen? Te gast: criminoloog Renushka Madarie en advocaat Nicolette Heijkant.

Een organisatie mag uitsluitend een kopie van uw identiteitsdocument vragen als zij daartoe wettelijk verplicht zijn.

https://www.maxmeldpunt.nl/recht/persoonsgegevens-delen-deze-organisaties-mogen-vragen-om-uw-legitimatiebewijs/


Rijksdienst voor Identiteitsgegevens:Centraal Meldpunt Identiteitsfraude (CMI)
https://www.rvig.nl/centraal-meldpunt-identiteitsfraude
04-03-2023, 13:13 door Anoniem
Leuk dat CMI , maar ze komen alleen maar met wat stomme tips.

Dat je iets bij de politie moet melden is ook bekend. In de praktijk doen ze er niets mee (al 10-20 jaar geleden last gehad van ID fraude). Een fake social media account maken valt daar ook onder. Niet alleen als je facturen krijgt van onbekende bedrijven.

Je kunt nog steeds geen BSN veranderen.

Een overheid die zichzelf serieus neemt neemt ook 'doxing' en 'id fraude' op om in aanmerking te komen voor een eventuele naamsverandering (Justis) zonder teveel poespas of kosten.

De overheid.... werkt alleen voor een select groepje vriendjes. Wat als die 'opeens' op internet staan met hun prive gegevens?

Wat dan? Gaan ze dan wel werken...?

We zitten allemaal in hetzelfde schuitje (titanic)... where we go 1....
04-03-2023, 15:25 door Anoniem
De vrouw in de uitzending van MAX Meldpunt heeft een foto opgestuurd van haar identiteitsbewijs aan haar "nieuwe werkgever", maar wat in werkelijkheid een fraudeur bleek te zijn.

De fraude met een legitimatiebewijs kan worden tegengegaan door met de app "KopieID" alleen een (digitale) copie van dat legitimatiebewijs af te geven, waarbij het BSN-nummer en bijvoorbeeld de foto zwart zijn weggelakt.
Met de KopieID app kan ook een watermerk worden aangebracht, met bijvoorbeeld het doel waarvoor de copie is afgegeven: bijvoorbeeld de tekst "aankoop smartphone Belsimpel 2023-03-04", of "huur auto 2023-03-04".

https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/veilige-kopie-identiteitsbewijs
"Veilige kopie (van mijn identiteitsbewijs) met KopieID-app".
Met een korte instructie-video.
04-03-2023, 23:47 door Erik van Straten - Bijgewerkt: 05-03-2023, 00:47
Door Anoniem: De fraude met een legitimatiebewijs kan worden tegengegaan door met de app "KopieID" alleen een (digitale) copie van dat legitimatiebewijs af te geven, waarbij het BSN-nummer en bijvoorbeeld de foto zwart zijn weggelakt.
NEE!

Waarom niet
De situatie hier was dat iemand "aan de andere kant van de lijn" wil dat jij bewijst dat jij niet iemand anders bent dan je zegt te zijn. Als het een echte werkgever zou zijn, is het niet zo gek dat die vraag gesteld wordt.

Probleem: als de ontvangende identiteitsfraudeur genoegen neemt met een deels zwartgelakte scan of kopie-ID, waarom zou een derde dat dan niet doen?

Oftewel: online authenticeren kan niet betrouwbaar door een (deels zwart gelakt) plaatje op te sturen - dat ook anderen in bezit kunnen hebben en desgewenst kunnen photoshoppen! Dus zelfs als er een tekst doorheen staat, kun je die weer weghalen. Wellicht niet zodanig dat die kopie exact op het onbeschreven origineel lijkt, maar dat maakt niet uit - want de ontvanger weet niet hoe het origineel eruit ziet!

Het hele concept van op afstand authenticeren met een kopietje paspoort werkt alleen betrouwbaar als alle ontvangers en verzenders 100% betrouwbaar zijn (en er geen onbetrouwbare mensen zijn die "onderweg" kunnen meekijken en/of vervangen). Als we het erover eens zijn dat dit nooit zo was, is en gaat zijn, moeten we hier onmiddelijk mee ophouden.

Reden voor paspoorten en rijbewijzen
De reden dat wij paspoorten en rijbewijzen hebben is, in de eerste plaats, dat we weten dat er mensen zijn die de boel belazeren. En je er dus niet op kunt vertrouwen dat, als iemand zegt dat hij Erik van Straten heet (met BSN B, NAW gegevens X, geboortedatum Y en geboorteplaats Z), en/of rijbewijs ABE heeft, dit daadwerkelijk zo is. Hoewel velen denken dat paspoorten en rijbewijzen (authenticatie; en bij een rijbewijs, daarna, autorisatie) er zijn zodat jij iets wel kunt bewijzen, is onzin, want waarschijnlijk ben jij eerlijk. Het gaat er vooral om dat oneerlijke mensen de boel niet kunnen belazeren - doordat zij zo'n bewijs NIET kunnen overleggen!

Kans om slachtoffer te worden
Max Meldpunt liet zien dat criminelen bewust naar slachtoffers zoeken hetgeen de kans vergroot dat je met zo'n crimineel te maken krijgt. Daarnaast is het geen toeval dat graaiers opduiken op plaatsen waar veel te graaien valt (voorbeelden: [1] en destijds bijklussende persoonsgegevensverkopers bij de GGD).

[1] https://nos.nl/artikel/2445277-opnieuw-haagse-ambtenaar-verdacht-van-het-uitgeven-valse-id-bewijzen

Wie is de ONTVANGER en is deze BETROUWBAAR?
Het fraaie van het in Max Meldpunt beschreven scenario is dat je, als eerlijke verzender, de ontvanger moet kunnen vertrouwen. Dat kan op z'n vroegst als eerst jij redelijk zeker weet dat die ontvanger is wie hij/zij zegt te zijn, en hij/zij niet op dat moment al identiteitsfraude pleegt door zich uit te geven voor een betrouwbaar persoon. Maar dit is natuurlijk wel een kip/ei probleem, vooral bij individuen: wie authenticeert als eerste?

Een voorbeeld van AitM (Attacker in the Middle) identiteitsfraude zie je in [2], maar er zijn legio voorbeelden van dit soort AitM fraudegevallen te vinden op internet.

[2] Uit https://www.nu.nl/internet/4396305/mannen-lichten-2500-klanten-marktplaats.html:
17 jan 2017: Mannen lichten klanten Marktplaats op
[...]
Kopers moesten na WhatsApp-contact ook een kopie van hun legitimatiebewijs opsturen om hun betrouwbaarheid aan te tonen. Maar de verdachten gebruikten de identiteitsgegevens daarna om zich weer als 'nieuwe' verkoper voor te doen en zelf buiten beeld te blijven.
[...]
Die paspoort-app van de overheid heeft totaal geen zin in bovenstaande situatie! En dat was niet vorige week of zo...

Nb. als je wél redelijk zeker weet wie iemand "aan de andere kant van de lijn" is, zegt dat an sich niets over diens betrouwbaarheid. Wat je hier wél aan hebt is dat je wellicht informatie kunt vinden over gedragingen van die persoon in het verleden én dat je weet wie jou belazerd heeft (mocht dat gebeuren) en daarmee aangifte bij de politie kunt doen. Precies omdat (cyber) criminelen beide risico's kennen en betrouwbaar over willen komen, doen zij zich bij voorkeur voor als een ander, een wel betrouwbaar overkomend en opspoorbaar persoon. En als die persoon slachtoffer wordt, is dat mede jouw schuld - want jij vertrouwt onterecht in dit systeem, en verzaakt de ander fatsoenlijk te authenticeren!

Scan van of Kopie-ID?
Er zijn 2 mogelijkheden die elkaar uitsluiten:

a) Een scan van of een kopie-ID kunnen opsturen zegt niets over jouw identiteit.

b) Een scan van of een kopie-ID kunnen opsturen bewijst dat jij degene vermeld op die scan/kopie bent. Echter, zodra een fraudeur deze ontvangt en bewijst jou te zijn door die scan of kopie-ID naar een derde te sturen: ga verder bij a).

Je kunt je niet wapenen tegen fraudeurs door een "kopietje ID" en andere authenticerende persoonsgegevens op te sturen of op andere wijze te delen, ook niet door delen van die kopie onleesbaar te maken.

Oplossing: asymmetrische cryptografie!
Techsolutionisten (dat was ik ook, maar ben ik minder) buitelen momenteel over elkaar heen, roepend dat het "de oplossing is" om jouw kopietje ID (of losse persoonsgegevens daaruit: IRMA/Yivi) digitaal te signeren - om manipulatie te voorkómen!

Maar daarbij vergeten zij:

1) Wie is de ontvanger?
Je weet nog steeds niet eerst of de ontvanger is wie hij/zij zegt te zijn (laat staan of hij/zij betrouwbaar is), noch wat hij/zij met jouw gegevens gaat doen, ook niet hoe goed zijn/haar systemen beveiligd zijn noch hoe lang jouw gegevens zullen worden bewaard (het advies is om jouw identiteitsbewijs zo min mogelijk uit handen te geven, maar hier wil de commerciële lobby niet jouw gegevens even inzien, doch er een 100% identieke digitale kopie van bezitten). Als microsoftonline.com van Microsoft is, waarom is
microsoft-online.com dat dan niet? En waarom is [3], met Google certificaat, niet van Google, en hoe weet je zeker van wie de getoonde informatie wél is - laat staan of je die informatie kunt vertrouwen? Het internet krioelt van onduidelijkheden en van de cybercriminelen die daar handig misbruik van maken.

[3] https://sites.google.com/a/trustinpeople.com/trust-in-people---the-information-protection-company/security-plaza

2) Welke garanties heb je dat ontvangers zich niet voor kunnen doen als jou?
Stel je wilt een PGO (digitale Persoonlijke GezondheidsOmgeving) zoals bij https://mijnpgo.org en je ontvangt een mailtje van jouw huisarts waarin zij per ongeluk https://mijnpgo.nl of https://mijnpgo.com in heeft gezet (of je ontvangt een overtuigend phishing-mailtje met zo'n soort link) - en stel dat het domein waar dat linkje naar wijst ondertussen door cybercriminelen is gekocht en zij daarop een identieke kopie van https://mijnpgo.org (o.i.d.) hebben gemaakt. Kunnen zij dan, met de gegevens uit jouw "ID-wallet" of IRMA-app, namens jou bijvoorbeeld een lening afsluiten? Ik weet niet of en welke maatregelen daartegen genomen zijn, maar hoe goed zijn die - oftewel, kunnen criminelen die omzeilen? In elk geval weet ik dat het knap lastig is om "Evil proxy" [4] -achtige aanvallen betrouwbaar te pareren.

[4] https://security.nl/posting/773644

3) Niet alleen identiteitsfraudeurs willen jouw persoonsgegevens
Welliswaar is niet iedereen op internet een identiteitsfraudeur, maar het stikt wel van de persoonsgegevensverzamelaars om andere redenen in jouw nadeel (van statistici via marketingmonsters naar ordinaire beïnvloeders). Zij vinden het heel fijn dat jij niet meer kunt liegen over jouw geboortedatum of andere persoonsgegevens. Natuurlijk is het een nobel streven dat je met IRMA precies kunt delen wat jij wilt en wat niet, maar als je vandaag (zonder IRMA) op een webshop etc. niet alle verplichte velden invult, krijg je gewoon niet wat jij wilt. Waarom zou dat verbeteren met IRMA? Sterker, omdat de andere kant weet dat je, met zo'n app of "ID-wallet", niet kunt liegen over jouw geboortedatum (tenzij je identiteitsfraude pleegt, bijv. door de smartphone van een ander te gebruiken, maar daar gaan we nog even niet vanuit), is het voor de andere kant aantrekkelijker om juist méér persoonsgegevens verplicht te maken. De AVG verbiedt dit, maar daar wordt ook al nauwelijks of niet op gecontroleerd laat staan op gehandhaafd.

4) Digitale handtekening kun je verwijderen (wellicht nieuw laten zetten)
Fraudeurs kunnen een digitale handtekening eenvoudig verwijderen en daarna "ongestraft" gegevens manipuleren (waaronder plaatjes photoshoppen). Als het goed is (er zijn vast uitzonderingen!) kunnen zij daarna die data niet opnieuw digitaal laten signeren, maar zolang er minstens één malloot is die waarde hecht aan unsigned identificerende gegevens, heb jij een probleem. Het lukt criminelen nu soms ook al om bijvoorbeeld malware van een geldige digitale handtekening te voorzien - waarom zou dat hier niet ook bij lukken?

5) Malware op jouw smartphone
Met malware (met voldoende rechten) op jouw smartphone kunnen cybercriminelen jou laten zien wat zij willen dat jij ziet, en namens jou andere "toetsen indrukken". Jij kunt dan denken dat je op site X authenticeert met gegevens A en B, terwijl de malware dat (onzichtbaar voor jou) wijzigt in site Y met gegevens A t/m E. Dit soort malware bestaat al jaren voor internetbankieren (vooral voor grotere banken in landen met meer inwoners en door meer aardbewoners gesproken talen). Voor een voorbeeld zie Figure 7 in [5] en de tekst daaronder.

[5] https://www.group-ib.com/blog/godfather-trojan/

6) In wiens belang is authenticeren?
We willen voorkómen dat minderjarigen porno kunnen kijken, kunnen gokken, alcohol kunnen kopen etc. De methode om dat te doen is NIET dat mensen van 18+ kunnen bewijzen dat zij 18+ zijn, maar dat mensen van 17- NIET kunnen bewijzen dat zij 18+ zijn. En dat garanderen is onmogelijk, want als een jongere de smartphone van een ouder iemand leent, dan ziet de controlerende kant dat NIET. En omdat lenen van smartphones soms lastig kan zijn, zullen er (betaalde) "proxy-apps" op de markt komen die verbinding maken met smartphones van identiteitsezels en/of van gehackte smartphones - zodat het eenvoudig wordt om te bewijzen dat je iemand anders bent. En dat niet alleen voor mensen jonger dan 18.

Hoogstwaarschijnlijk ontstaan er meer problemen (o.a. hoe is revocation geregeld, kun je mensen DoS'en door te melden dat er met hun identiteit wordt gefraudeerd en wie betaalt het als iemand anders namens jou met geld heeft gesmeten), maar ben ik niet creatief genoeg om alle scenario's te bedenken en uit te werken.

Stel je voor dat supermarkten bemenste kassa's zouden vervangen door zelfscankassa's om er vervolgens achter te komen dat er veel meer gestolen wordt... naief zijn we toch niet met z'n allen?

Okay, point taken, hoe dan wel online absoluut authenticeren?
De vraag die ik hierna altijd krijg, luidt: "maar hoe kun je dan wél betrouwbaar online absoluut (met jouw NAW gegevens etc.) authenticeren?"

Antwoord: DAT KAN NIET.

Ook al wil je het nog zo graag, is het véél goedkoper (voor de controleur) en hoef je alleen maar je smartphone mee te nemen: je kúnt niet alle problemen met een app (of andere technische maatregelen) oplossen - en niet de controleur maar jij loopt de risico's - en betaalt de rekening als het fout gaat.

Okay, point taken, hoe dan wel absoluut authenticeren?
Je kunt alleen in levenden lijve redelijk betrouwbaar authenticeren, mits bij een betrouwbare controleur van jouw identiteitsbewijs die dat ID-bewijs checkt op aanwijzingen voor vervalsingen (zoals te zien in [6] - iets dat nauwelijks of niet mogelijk is bij een scan of fotokopie) maar ook dat jij sterk lijkt op de foto op dat identiteitsbewijs en dat de rest van de beschrijving klopt (geslacht, leeftijd, lengte, kleur ogen). En zelfs dat is niet 100% betrouwbaar, want soms worden paspoorten onterecht uitgegeven ([7]) of komen identiteitsfraudeurs weg met vervalsingen.

[6] https://spectator.clingendael.org/sites/spectator/files/inline-images/Een%20Duitse%20douanebeambte%20controleert%20een%20paspoort%20in%202004.%20Reuters.jpg

[7] https://static.standaard.be/Assets/Images_Upload/2015/09/16/b5bfdae8-5c83-11e5-8c16-41efac056b90_original.jpg

Online of "op afstand"-authenticatie is veel minder betrouwbaar, onder meer omdat de betreffende persoon en de controleur elkaar niet kunnen zien. Je kunt dat proberen "te repareren" met foto's of video's maar die kunnen -zonder dat je dat weet- van een ander zijn. Vooral de opkomst van AI/ML zullen het fraudeurs steeds makkelijker maken. Ook stemgeluid kunnen worden vervalst: [8].

[8] https://security.nl/posting/787196

Conclusie
Authenticatie vindt altijd plaats via een keten van schakels - die zelden allemaal even sterk zijn. Bij online (op afstand) "absoluut" authenticeren wordt er een heel stel schakels (soms zeer zwak, zoals een kopietje-ID) tussengevoegd en bovendien verliezen partijen elkaar letterlijk uit het oog. Helemaal stom is online een paspoort of rijbewijs kunnen verkrijgen (oeps: [9]). Indien authenticatie als betrouwbaarder wordt ingeschat dan het is, leidt dat onherroepelijk tot meer identiteitsfraude en grotere schade voor slachtoffers.

Waarom mis ik kopietje-ID (ook zwartlakken met privacy-app), IRMA, Yivi, digitale rijbewijzen en "ID-wallets" nog in [10]?

[9] https://security.nl/posting/787939

[10] https://www.maakhetzeniettemakkelijk.nl/
05-03-2023, 10:39 door Anoniem
Kortom, na alle gepraat en een hoop werk om een tekst op te stellen komen we weer terug op: het is niet mogelijk om iets 100.000000% betrouwbaar en goed te maken, en dus nemen we met zijn allen genoegen met ietsje minder. Zowel bij klassieke oplossingen als bij digitale oplossingen. Ik weet, het is moeilijk te accepteren als ICT'er die alleen maar denkt in termen van perfect en waardeloos, maar het is niet anders.
05-03-2023, 12:24 door Anoniem
Door Erik van Straten: Stel je voor dat supermarkten bemenste kassa's zouden vervangen door zelfscankassa's

Criminoloog: De opmars van zelfscankassa’s gaat hand in hand met een stijging van winkeldiefstallen.

https://www.security.nl/posting/761553#posting786761
05-03-2023, 14:27 door Anoniem
Door Anoniem:
Door Erik van Straten: Stel je voor dat supermarkten bemenste kassa's zouden vervangen door zelfscankassa's

Criminoloog: De opmars van zelfscankassa’s gaat hand in hand met een stijging van winkeldiefstallen.

https://www.security.nl/posting/761553#posting786761

Het fijne van de zelfscankassas is dat deze in te stellen zijn diverse talen. Het Pools en Oekrains is toegevoegd dit is zeer vriendelijk naar de vluchtingelingen. Het voorkomt ook miscommunicatie die je bij een kassamedewerker hebt.
05-03-2023, 14:34 door Erik van Straten
Door Anoniem: [...] het is niet mogelijk om iets 100.000000% betrouwbaar en goed te maken, en dus nemen we met zijn allen genoegen met ietsje minder. Zowel bij klassieke oplossingen als bij digitale oplossingen.
Je WILT het niet begrijpen. Elk weldenkend mens weet dat je 100% veiligheid nooit haalt. De vraag hier is met hoeveel minder we kunnen leven - in het belang van de één en met ellende voor een ander.

Wat jij doet is vergelijkbaar met stellen dat de maximum snelheid in de bebouwde kom best naar 100 km/u kan, want "100.000000% veiligheid haal je nooit".

Of jij (anoniem natuurlijk) een azijnpissende trol, een cybercrimineel, een verkoper van online meuk (SIDN?) of Bart Jacobs himself bent, weet alleen jij. Onbegrijpelijk vind ik dat de moderatoren van security.nl het geen lor schijnt te interesseren dat elke discussie wordt doodgeslagen door morons die, zonder ook maar één steekhoudend argument te geven, serieuze lezers en reageerders wegpesten. En dus ook bezoekers van (= inkomsten voor) deze site.

Voor de paar nog wel serieuze lezers: waar het mij om gaat is hoeveel slachtoffers van identiteitsfraude "wij" (de meerderheid van de NL bevolking, waarbij de overheid de rechten van minderheden niet uit het oog mag verliezen) acceptabel vinden, hoe groot de impact is voor die slachtoffers (wat de financiële schade, maar ook andere schade - waaronder angst, depressie, verlies van baan en/of partner, (tijdelijk) in de gevangenis belanden, uithuisplaatsing van kinderen, geen hypotheek of bankrekening kunnen krijgen etc. - betekent) en welke -geld kostende- mitigerende maatregelen wij bereid zijn te nemen om die slachtoffers te helpen (bij bankhelpdeskfraude zien we dat die bereidheid erg laag lijkt te zijn - heel soms woorden, maar geen daden).

Mijn overtuiging is dat online "absolute" authenticatie tot veel meer slachtoffers van identiteitsfraude zal leiden, met (in welk deel van de gevallen weet ik niet) een stijging van de totale schade doordat, zeker aanvankelijk, het vertrouwen in "ID-wallets" en apps als IRMA véél hoger zal zijn dan gerechtvaardigd.

Feitelijk stel ik de volgende vragen n.a.v. de stijgende vraag naar een "kopietje-ID", het op straat belanden van steeds meer persoonsgegevens waaronder die "kopietjes-ID" - en, binnenkort, de grootschalige invoering van "ID-wallets" en digitale rijbewijzen:

1) Welke stijging van het aantal slachtoffers van identiteitsfraude, maal de impact daarvan, zijn wij bereid te accepteren?

2) Wie moet opdraaien voor de schade doordat meer geld in de zakken van cybercriminelen zal verdwijnen?

3) Hoe voorkomen we dat veel te veel mensen vertrouwen op de "reclamefolder" (zoals https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/veilige-kopie-identiteitsbewijs) en we de betrouwbaarheid van online authenticeren overschatten en/of de risico's daarvan niet (willen) inzien of begrijpen?

4) Willen we zo'n ikke ikke Russisch roulette maatschappij?
05-03-2023, 16:01 door Anoniem
Op afstand kan niet, dat is nu wel duidelijk. Identificatie moet gewoon in persoon, zoals het altijd was.
Kom maar langs met je paspoort. Of ID kaart.
Kopietjes en Apps zijn voor dit doel compleet waardeloos.
05-03-2023, 17:07 door Anoniem
Door Anoniem:
Door Anoniem:
Door Erik van Straten: Stel je voor dat supermarkten bemenste kassa's zouden vervangen door zelfscankassa's

Criminoloog: De opmars van zelfscankassa’s gaat hand in hand met een stijging van winkeldiefstallen.

https://www.security.nl/posting/761553#posting786761

Het fijne van de zelfscankassas is dat deze in te stellen zijn diverse talen. Het Pools en Oekrains is toegevoegd dit is zeer vriendelijk naar de vluchtingelingen. Het voorkomt ook miscommunicatie die je bij een kassamedewerker hebt.

Zelfscankassa's zien het verschil tussen afgewogen knollen en citroenen niet. Met als gevolg dat de supermarkten zich genoodzaakt zien om de kassa's uit te rusten met een kunstmatige intelligentie, tegen proletarisch winkelen.
05-03-2023, 17:45 door Anoniem
Daarom zal en moet alles digitaal dichtgetimmerd worden, met als pretext het dan en dan alleen maar kunnen beëindigen van cybercrime. Sigaretje gerookt of wijntje genomen, gelijk verhoging van uw gezondheidsverzekeringsbedrag, met een aanbeveling iets meer krekelmeel te consumeren. Alles bevordert nu de digitale unipolaire wereld m.a.w. een hel op aarde voor de gewone burgers.
06-03-2023, 07:29 door Anoniem
Handige KopieID-app.. het is wel beschikbaar in het Engels, maar niet in het Turks, Arabisch, Marokkaans, etc. (Fries) ?
En hoe werkt dit voor mensen met een beperking, die slecht kunnen zien (kleurenblindheid) of het watermerk wel goed staat ?

Het zou daarbij veel logischer zijn als niet ik als burger het ID-bewijs kopieer met die App, maar de overheid zelf opdracht geef om dat te doen, net zoals de bank geld overmaakt bij een PIN-opdracht.
Het ID-bewijs is tevens juridisch eigendom van de overheid zelf en niet van de burger, en de overheid kan veel beter controleren welke instanties bevoegd zijn tot welk soort ID-gegevens. Dan hoef ik als burger alleen maar aan te geven welke (semi-) overheidsinstantie bij mijn gegevens mag. Dan sta ik als individu niet alleen tegenover criminelen, maar dan word ik beschermd door een legertje security-specialisten van de overheid, die voorkomen dat hun ID-document wordt misbruikt.

Het lijkt mij op het eerste gezicht een veel betere oplossing, net zoals dat ik een land leef waarin ik als burger word beschermd door een leger. Waarom zou dat niet kunnen?
06-03-2023, 10:15 door Anoniem
Door Erik van Straten:
Door Anoniem: De fraude met een legitimatiebewijs kan worden tegengegaan door met de app "KopieID" alleen een (digitale) copie van dat legitimatiebewijs af te geven, waarbij het BSN-nummer en bijvoorbeeld de foto zwart zijn weggelakt.
NEE!
Als in "ik wil een bankrekening, maar ik wil niet zeggen wie ik ben".
Dus inderdaad, nee.
06-03-2023, 10:52 door Anoniem
Zolang ik bij niemand anders dan mijn bank een kopie van mijn ID heb laten maken op een bankkantoor,
en mijn ID zou later uitlekken, dan is behoorlijk duidelijk dat de bank hier verantwoordelijk voor is.

Incorrect. Immers kan het ook uitlekken bij de overheid waar je je ID van ontvangt. Of op een ander moment, waarvan jij je niet bewust bent, heeft iemand een keer je ID gepakt en gekopieerd. Er zal tal van scenario's mogelijk naast uitlekken via de bank.
06-03-2023, 12:38 door Anoniem
Dank aan Erik van Straten 04-03-2023, 23:47 voor de uitgebreide reactie !
Ik heb nu helaas alleen tijd voor deze hele korte reactie, maar kom er later op terug. Interessante materie.

Ondertussen vraag ik mij af hoe een gemeente een persoon die een rijbewijs of paspoort voor het eerst komt aanvragen authenticeert. Door te vragen naar NAW gegevens en geboortedatum en -plaats uiteraard, en in het bewoners-bestand te checken of degene inderdaad op het aangegeven adres is ingeschreven, maar hoe "bewijst" de aanvrager op dat moment dat hij/zij werkelijk is wie hij/zij is? De fysieke kenmerken (lengte, vingerafdruk, kleur ogen) worden aan de "eerste aanvraag" gekoppeld, dus dit is wel een cruciaal moment. Als het fundament niet deugt, deugt het hele identiteits-gebouw niet.

Als het "product" gereed is wordt een kennisgeving gestuurd maar het adres waar de aanvrager is ingeschreven, dus dat is ook wel te onderscheppen door de kwaadwillende MITM fraudeur, maar niet heel makkelijk.

Het product (paspoort in mijn geval) is ooit per speciale koerier bezorgd op mijn woonadres, en voor ontvangst moest ik tekenen. Mogelijk dat de koerier dan ook let op lengte, geslacht, handtekening- en pasfoto-gelijkenis?

Mijn rijbewijs kon ik zelf op het gemeentehuis afhalen, dus dat geeft ook een controle mogelijkheid.

Anoniem van 04-03-2023, 15:25
06-03-2023, 15:52 door Erik van Straten - Bijgewerkt: 06-03-2023, 16:10
06-03-2023, 12:38 door Anoniem: Interessante materie.
Zeker! De kern is dat als jij "bewijst" wie jij bent, jij de controlerende partij erop moet kunnen vertrouwen dat het "bewijs" dat jij "overhandigt", niet door iemand anders zal worden misbruikt om te bewijzen dat hij/zij jij is (waarbij "iemand anders" niet de controlerende partij zelf hoeft te zijn, maar dat dergelijk "bewijs" ook kan worden gelekt - zoals vandaag weer gemeld, zo te zien gelukkig hierbij geen ID-scans: https://security.nl/posting/788126).

06-03-2023, 12:38 door Anoniem: Ondertussen vraag ik mij af hoe een gemeente een persoon die een rijbewijs of paspoort voor het eerst komt aanvragen authenticeert.
Authenticatie is een keten (ketting) met veel schakels - die niet allemaal even sterk zijn.

Ik heb me nog nauwelijks in fysieke/offline authenticatieketens verdiept, maar het volgende ziet er op het eerste gezicht niet onbetrouwbaar uit (met uitzondering van authenticatie via DigiD), uit https://www.rijksoverheid.nl/wetten-en-regelingen/productbeschrijvingen/paspoort-aanvragen-of-verlengen:
Meenemen bij paspoort aanvragen of verlengen in Nederland
• Een kleurenpasfoto die aan de pasfoto-eisen voldoet;
• Alle reisdocumenten die in uw bezit zijn. (U kunt tegelijk een paspoort en een identiteitskaart hebben).

Paspoort voor kinderen tot 18 jaar
• Bij de aanvraag moet uw kind aanwezig zijn;
• Als ouders / gezaghouders moet u allebei toestemming geven voor de aanvraag van het paspoort. Hiervoor moet u een formulier invullen en meenemen naar uw aanvraag. In een aantal gemeenten kunt u digitaal toestemming geven via DigID;
• Een kleurenpasfoto van uw kind die aan de pasfoto-eisen voldoet;
• Alle paspoorten en identiteitsbewijzen van uw kind. Ook als die verlopen zijn;
• Een geldig identiteitsbewijs van alle ouders / gezaghouders.

Maar een keten begint bij de eerste schakel. Uit https://www.rijksoverheid.nl/onderwerpen/aangifte-geboorte-en-naamskeuze-kind/vraag-en-antwoord/aangifte-geboorte:
[...]
U hoeft de baby niet mee te nemen wanneer u geboorteaangifte doet.
[...]
Online geboorteaangifte
In sommige gemeenten kunt u online geboorteaangifte doen. Gemeenten mogen zelf bepalen of zij die mogelijkheid bieden. Daarom is het niet in elke gemeente mogelijk.

Uit https://www.rotterdam.nl/geboorteaangifte-doen:
Veelgestelde vragen
^ Hoe werkt de online geboorteaangifte?

• Log in met uw DigiD.
• Vul de gegevens in, zoals de naam van uw kind, het tijdstip van de geboorte etc.
• Voeg de geboorteverklaring van het ziekenhuis of van de verloskundige toe.
Dus kun je, letterlijk ongezien, met een valse geboorteverklaring en een gekaapte DigiD (of niet gekaapt, en t.z.t. bij mogelijk onderzoek liegen dat deze, minstens 14 jaar geleden, gekaapt moet zijn geweest), een valse nieuwe identiteit "op de wereld zetten". Daar heb je niet meteen wat aan, maar niemand weet iets van die virtuele identiteit. En die kun je later wellicht aan een ander koppelen - die al (minstens) een identiteit heeft. Het zou mij verbazen als zware criminelen hier nog geen misbruik van maken.

06-03-2023, 12:38 door Anoniem: Het product (paspoort in mijn geval) is ooit per speciale koerier bezorgd op mijn woonadres, en voor ontvangst moest ik tekenen. Mogelijk dat de koerier dan ook let op lengte, geslacht, handtekening- en pasfoto-gelijkenis?
Als jij niet wilt dat zo'n koerier jouw paspoort aan een ander geeft (of t.z.t. inleest op zijn eigen smartphone voor hij het aan jou geeft), mag je hopen dat het om een betrouwbare en ter zake kundige koerier gaat die niet minder verdient als authenticatie faalt.

Over de "betrouwbaarheid" van koeriers na online bestellen:
2016 https://www.nhnieuws.nl/nieuws/187972/winkels-in-de-fout-minderjarige-krijgt-alcohol-en-sigaretten

2018 https://www.rtlnieuws.nl/nieuws/nederland/artikel/4488446/online-alcohol-kopen-blijft-voor-minderjarigen-makkelijk-door

2019 https://nos.nl/artikel/2277904-kabinet-strenger-op-online-drankverkoop-minderjarigen

2022 https://www.parool.nl/amsterdam/halsema-nvwa-moet-flitsbezorgers-strenger-controleren-op-verkoop-alcohol-aan-minderjarigen~b3fc997b/

2023 https://radar.avrotros.nl/uitzendingen/gemist/item/flitsbezorger-getir-gorillas-en-flink-bezorgen-sigaretten-aan-minderjarigen/

Dat gaat de goede kant op! (not). Pay peanuts get gorillas...

Tip voor minderjarigen als bezorgers niks meer hoeven te controleren zodra jij, tijdens het bestellen, met een "ID-Wallet" (of IRMA app o.i.d.) hebt aangetoond 18+ te zijn: vraag aan je opa of oma (of aan een van hun ouders, hoe ouder hoe beter) - die geen smartphone heeft - of je diens paspoort even mag bekijken (met een smoes over de foto of zo) en laad dat op jouw smartphone (vergeet de pincode niet die je daarop zet!). Daarmee kun je straks probleemloos online alcohol en sigaretten bestellen, maar ook porno kijken, gokken en wie weet wat nog meer waar een minimale leeftijd voor vereist is.
06-03-2023, 17:47 door Anoniem
Door Erik van Straten: Dus kun je [...] een valse nieuwe identiteit "op de wereld zetten".

In de wereld van John le Carré wordt zo’n dekmantel ook wel een legend genoemd:

Dekmantels van illegals zijn doorgaans zeer complex en voor buitenstaanders lastig, zo niet onmogelijk, om te controleren. Het is een combinatie van feitelijke informatie en eigen (al dan niet verzonnen) indrukken.

https://www.aivd.nl/actueel/nieuws/2022/06/16/aivd-verstoort-activiteiten-russische-inlichtingenofficier-richting-internationaal-strafhof
07-03-2023, 00:37 door Anoniem
Door Anoniem:
Door Erik van Straten: Dus kun je [...] een valse nieuwe identiteit "op de wereld zetten".

In de wereld van John le Carré wordt zo’n dekmantel ook wel een legend genoemd:

Dekmantels van illegals zijn doorgaans zeer complex en voor buitenstaanders lastig, zo niet onmogelijk, om te controleren. Het is een combinatie van feitelijke informatie en eigen (al dan niet verzonnen) indrukken.

https://www.aivd.nl/actueel/nieuws/2022/06/16/aivd-verstoort-activiteiten-russische-inlichtingenofficier-richting-internationaal-strafhof

Neem je ook Carre boeken mee op reis, altijd?
07-03-2023, 06:12 door Anoniem
Door Erik van Straten: [Dus kun je, letterlijk ongezien, met een valse geboorteverklaring en een gekaapte DigiD (of niet gekaapt, en t.z.t. bij mogelijk onderzoek liegen dat deze, minstens 14 jaar geleden, gekaapt moet zijn geweest), een valse nieuwe identiteit "op de wereld zetten". Daar heb je niet meteen wat aan, maar niemand weet iets van die virtuele identiteit. En die kun je later wellicht aan een ander koppelen - die al (minstens) een identiteit heeft. Het zou mij verbazen als zware criminelen hier nog geen misbruik van maken.
Dat lijkt me lastig vol te houden. We kennen bijvoorbeeld leerplicht. Je krijgt ongetwijfeld gezeik als je virtuele kind helemaal nergens naar school gaat. En dat gezeik kan erop uitlopen dat je in een justitieel onderzoek mag gaan uitleggen waar je kind is gebleven en waarom je nooit aangifte van dood of vermissing hebt gedaan. Voor je het weet word je verdacht van dingen die ernstiger zijn dan wat je ermee probeert voor elkaar te krijgen.

Er zullen vast wel manieren te bedenken zijn om het toch voor elkaar te krijgen, maar er zijn vast wel snellere en minder omslachtige manieren om een valse identiteit te regelen.
07-03-2023, 14:52 door Anoniem
Door Anoniem:

[..]
Zolang ik bij niemand anders dan mijn bank een kopie van mijn ID heb laten maken op een bankkantoor,
en mijn ID zou later uitlekken, dan is behoorlijk duidelijk dat de bank hier verantwoordelijk voor is.

Dat is misschien voor jou behoorlijk duidelijk - maar als jij dat verhaal vertelt, zijn het - voor mij - alleen maar jouw blauwe (?) ogen waar ik het van moet hebben dat het werkelijk alleen maar bij de bank is dat je een kopie ID hebt laten maken , en alle lekkage opties uitgesloten zijn.

Misschien sta je gewoon te liegen en geef je de bank de schuld.
Misschien ben je een onhandig en laat je je ID overal liggen.

Misschien zeg je "alleen maar bij de bank" maar denk je er gewoon totaal niet aan dat je ID thuis ligt waar je moeder/vriendin/schoonmaker/mattie er ook bij kan .

Misschien ga je regelmatig op reis en heb je het ook aan een berg airlines en hotels moeten laten zien .
Misschien flap je het drie keer in de week in de kroeg/club (in het zicht van de security cam) om te bewijzen dat je net meerderjarig bent. Of in het zicht van de AH miep om je kratje te kopen.


Als ik mijn ID echter via een app naar de bank heb opgestuurd, zou er ook sprake kunnen zijn van bijvoorbeeld malware op mijn smartfoon die stiekem mijn ID (ook) naar iemand anders heeft opgestuurd.

Als je alleen een hamer hebt, lijkt alles op een spijker.
Als je alleen een technerd bent, zie je alleen technische aanvallen als groot risico.


Een bank zou zich achter dit argument kunnen verschuilen om hiermee zichzelf enigszins vrij te pleiten.
(Kifid is daar namelijk erg goed in...)

De meeste klagende klanten hebben ook gewoon ongelijk . Gratis proberen leidt tot een vloed van kansloze klachten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.