Ik vermoed dat ze niet gek zijn geworden maar dat er de nodige dingen die invloed hebben op hoe keuzes uitvallen in de VS anders werken dan bij ons.

Ze doen het kennelijk omdat het nu al vaak misgaat. Het is inderdaad niet waterdicht, maar ik sluit niet uit dat deze opzet minder vaak misgaat dan wat er al gaande is. Als dat zo uitpakt dan is het weliswaar niet perfect maar wel een verbetering ten opzichte van hoe het nu gaat.

En zoiets simpels als met de post een activerings- of pincode sturen, zoals in Nederland gebeurt? Afgaande op wat ik erover tegengekomen ben heeft de VS een probleem met diefstal van post, met buurten waar het een enorm probleem is. Men heeft daar vanouds een systeem van brievenbussen die geen gleuf in de voordeur zijn maar van die kastjes op paaltjes langs de kast van de weg, waarin niet alleen de inkomende post wordt gedeponeerd door de postbode maar waarin je als bewoner je ook je uitgaande post plaatst. Daarom hebben die dingen zo'n vlaggetje dat je omhoog kan zetten, daarmee geef je aan dat er iets te versturen in zit. Die dingen zijn extreem diefstalgevoelig. Er zijn moderne varianten die beter beveiligd zijn en gescheiden zend- en ontvang-compartimenten hebben, maar ik ben tegengekomen dat er dan bijvoorbeeld een heel blok van die dingen voor een aantal huizen aan de straat is geplaatst, die vernield zijn zodat er toch post gestolen kan worden, en dat de verantwoordelijke partij uitermate traag is met het herstellen/vervangen van die (natuurlijk dure) dingen.

Ik kan me daarom voorstellen dat een activeringscode met de post versturen in de VS een heel wat minder betrouwbare methode is dan wij ervan gewend zijn. En dan worden werkelijk robuuste verzendmethoden ongetwijfeld erg duur, rond de 200 miljoen mensen iets per certified bulk mail versturen kost als ik het goed zie zo'n 800 miljoen dollar. Dan vallen afwegingen tussen verschillende mogelijkheden anders uit dan ze bij ons uit zouden vallen.

Word je daar blij van? Natuurlijk niet. Maar ik kan me wel goed voorstellen dat ze hun keuze niet gemaakt hebben omdat ze gek zijn geworden maar omdat ze mogelijkheden af hebben gewogen en dat dit de minst slechte was die ze wisten te bedenken.

En natuurlijk leest niet iedereen Bleeping Computer, maar de eerste link in dat artikel is naar het bericht erover van IRS zelf, en wie weet worden mensen ook nog wel via andere kanalen voorgelicht.

Ja, daar doe je gewoon op papier aangifte, als je een SSN (Social Security Number) hebt is het al genoeg. SSN is een beetje het Amerikaanse variant van de BSN. In theorie zou je een dergelijke poging hier ook kunnen doen: een nep papieren aangifte doen op basis van iemands BSN met een gewijzigd rekeningnummer.
Gelukkig hebben we hier meerdere mechanismen om dergelijke fraude te voorkomen, zoals DigiD. Je weet wat; dat door iedereen zo verguisde systeem. Toch beter dan een 6 cijferige pincode.

Ben ik de enige die bedenkt dat de overheid (per staat, of federaal) gebruik zou kunnen maken van bijv. stadhuizen en/of postkantoren waar burgers naar toe moeten en met een tastbaar legitimatiebewijs moeten authenticeren, waarna zij (ter plaatse, in een soort stemhokje o.i.d.) een pincode of wachtwoord op hun account kunnen zetten?

Waarom willen we niet toegeven dat, vooral de eerste keer, betrouwbare online authenticatie een illusie is?

IRL Authenticatie
In de loop van de tijd ben ik mij steeds meer gaan verbazen over (aangeboren) eigenschappen van mensen, namelijk enerzijds de gigantische variatie aan gezichten (plus andere fysieke eigenschappen, waaronder stemgeluid), en anderzijds de vaardigheid om anderen te kunnen herkennen. Briljant!

Nb. ik ben benieuwd hoe dieren elkaar kunnen onderscheiden, zoals een zwanenpaar (zwanen zijn monogaam).

Herkennen op basis van "opnames"
Ook handig is dat mensen andere mensen, die zij nooit eerder in levenden lijve hebben gezien, aan de hand van één of meer foto's, video's en/of geluidsopnamen redelijk goed kunnen herkennen.

Daarbij doemt wel een een snel groeiend probleem op (o.a. door AI): hoe zeker weet je dat een opname(s) van de geclaimde persoon is?

Vergelijkbaar met: van wie is die public key?

Legitimatiebewijzen
Legitimatiebewijzen, voorzien van degelijke echtheidskenmerken, zijn niet perfect maar wel verreweg het beste wat we hebben. Hoe meer (digitale) elektronica in een authenticatieproces wordt opgenomen, hoe onbetrouwbaarder het wordt.

Risico: overschatte betrouwbaarheid
Het wellicht grootste risico van een authenticatieproces is het als de betrouwbaarheid van dat proces wordt overschat, wat zich steeds vaker voordoet doordat marketingmensen gouden bergen beloven en rechtpraten wat krom is, en beleidsmakers daar massaal intrappen - met Eurotekens in hun ogen.

Aanvullend leesvoor (voor geïnteresseerden)
Meer info vind je in eerder door mij geschreven artikelen:
• "Kopie-ID: kap ermee!" https://security.nl/posting/827137,

• "Ontstemd" (voice cloning) https://security.nl/posting/856518 en

• "Authenticatie en Impersonatie" (lang) https://security.nl/posting/792391.

Dat is voorzien. In https://www.irs.gov/newsroom/irs-encourages-all-taxpayers-to-sign-up-for-an-ip-pin-for-the-2025-tax-season: Echter wordt dit natuurlijk niet aangemoedigd en zet men zich in om voornamelijk onbetrouwbare online identificatie, met allerhande privacy issues, te promoten. Er wordt, net zoals in NL vermeld dat dit alleen is voor degenen die geen online account kunnen aanmaken, niet voor degenen die dit niet willen.

@majortom: dank voor het uitzoekwerk!

Erger, het gaat niet alleen om "niet willen". Ook als je wél wilt, is het een race tegen de klok (en goed uitkijken + security awareness, zie onder) om te voorkómen dat een ander er met jouw identiteit vandoor gaat.

Met waarschijnlijk een toenemende precedentwerking voor allerlei andere partijen (als de overheid, banken, de medische sector en energiebedrijven etc. het zo mogen aanpakken, dan mogen wij het ook).

M.i. een volslagen hersenloze aanpak, waarschijnlijk gedreven door economische motieven. Waarbij de risico's volledig op onwetende burgers, klanten of patiënten (denk aan PGO's) worden afgewenteld. Lang leve de digitalisering en een steeds crimineler internet (not).

AitM
Cybercriminelen hoeven overigens niets van je te weten (als zij willekeurige telefoonnummers proberen). Een recent voorbeeld (voor één van de landen die Trump wil annexeren), een AitM (Attacker in the Middle) phishingwebsite:

      canada-revenu[.]agency {1}.

Vermoedelijk ontvangen willekeurige potentiële Canadese slachtoffers een SMS met het verzoek om, zo snel als mogelijk, op zo'n site hun account "veilig" te stellen. Als zij hun SIN (https://en.wikipedia.org/wiki/Social_insurance_number, vergelijkbaar met ons BSN) en overige gegevens zélf invoeren, scheelt dat de cybercriminelen een boel uitzoekwerk.

{1} Draaiend bij steeds ander hosting partijen, eerst Russische, daarna Europese Google servers en ten slotte een Nederlandse club (https://www.virustotal.com/gui/domain/canada-revenu.agency/relations), niet verrassend voorzien van Let's Encrypt certificaten (https://crt.sh/?Identity=canada-revenu.agency).

Van dezelfde cybercrims trouwens ook authverif[.]com, revenu-canada[.]agency, revenuecan23hst[.]com, revenuecan24gv[.]com en DUIZENDEN andere phishing-domeinnamen -ditmaal gericht op Canadezen- geregistreerd in het afgelopen kwartaal, op minstens 118 verschillende Europese Google servers (daarover schrijf ik mogelijk een andere keer meer op deze site; eerder vond ik er 20, zie "Evil Google targets Canadians" in https://infosec.exchange/@ErikvanStraten/113737891651336874).

@Erik van Straten 12:10

Je onderbouwt hier toch niet de stelling dat de toekomstig president van de Verenigde Staten wellicht een wereldwijd crimineel netwerk beheerd, en er geen aanklager te vinden is die dit netwerk wil blootleggen, zoals na de verkiezingswinst in 2016, er wel een poging werd gedaan. Dan worden het weer impeachements bij elke misstap. Dhr Vance slijpt zijn messen.

Die Canadeze burgers zijn dan mooi in de aap gelogeerd met het intypen van social security number.

Nee, waar héb je het over?

Ik heb het over de ongeremde criminalisering van internet, waar Big Tech steeds meer aan meeverdient - over de ruggen van slachtoffers van internetcriminaliteit. En dat zijn niet alleen maar bejaarden.

Een van die landen die Trump wil annexeren, is Canada, dat noemde je zelf.

Ongeremde criminele activiteiten (dat is iets anders dan criminalisering) op het internet, daar verdiend Big Tech idd veel aan, maar kleinere bedrijven en landen, overheden en organisaties ook. Wel apart dat Musk zich aansloot bij Trump na dat Biden iets had gemeld iets tegen macht Big Tech te willen doen, Zuckerberg inmiddels ook fact checking heeft afgeschaft op FB en Bezos redactionele columns in zijn krant weigert. Google is inderdaad een beetje stil in het publieke debat. Maar: Evil Google Targets Canadians.


Om cybercriminaliteit aan te pakken heb je politie, een aanklager en rechters nodig, en in de US is het strafproces en procesrecht natuurlijk anders geregeld.

Cybercriminaliteit op internet is heel breed: hoort het opsturen van ING bankpassen met pincodes en al daar misschien ook bij, of is dit een vergissing, of gewoon even laten zien wat cybercriminelen allemaal wel niet kunnen? Een soort open sollicitatie.

Maar goed: site draaide eerst op Russische, daarna op Europese Google servers en een Nederland cluppie zat daar ook bij. Zou dat Biden, Trump of Schoof dan ook maar iets kunnen schelen,dat daar een Nederlandse club bij betrokken is? En vooral: komt het NL OM in actie...

Het is zinloos gebleken om elke keer achteraf sites "uit de lucht" te halen (één van de bendes die ik volg registreert meer dan 1 miljoen nieuwe domeinnamen per jaar, en voorziet elke site van een Let's Encrypt certificaat). En ook overheidsorganisaties zijn massaal slachtoffer van cybercrime, een aanval die meestal begint met phishing.

En het heeft er alle schijn van dat het in dit geval om Russische cybercriminelen gaat, dus waarschijnlijk met indirect geld waar Putin's oorlogmachine van profiteert, en waarom wij met z'n allen bakken geld naar Oekraïne sturen en onze defensieuitgaven moeten verhogen.

Het probleem is simpel: Big Tech wil niet dat internetters verschil kunnen zien tussen websites van anonieme eigenaren en van diegenen wiens identiteit eenvoudig te achterhalen valt. Dat is een keuze.

Big tech wil echter ook geen enkele verantwoordelijkheid nemen voor aan wie zij domeinnamen en servers verhuren, noch aan wie zij gratis certificaten uitgeven.

Dit businessmodel levert Big Tech (en "helaas" ook cybercriminelen - en landen als Rusland, China en Noord Korea) namelijk de meeste inkomsten op.