Steeds minder mensen kennen telefoonnummers uit hun hoofd, en als een nummer van bijvoorbeeld hun bank al in hun lijst met contacten in hun telefoon staat: "afzender"-telefoonnummers kunnen doodsimpel worden vervalst (gespoofd).

In de praktijk is het zelden een probleem (tenzij je een verdachte bent, of contact hebt met een verdachte) dat telefonie kan worden afgeluisterd of onderschept (door overheidsdiensten of criminelen). Wel: hoe kwetsbaarder je bent (zoals een hogere leeftijd, iets gedronken/gerookt/geslikt/gespoten of met "een afstand tot de arbeidsmarkt"), en hoe meer gegevens er van jou zijn gelekt (vooral als jou dat niet verteld is), hoe groter de kans dat je via de telefoon volledig op het verkeerde been wordt gezet, en ingepalmd, door een oplichter - zoals een bankhelpdeskfraudeur.

Vooral het interactieve karakter van een telefoongesprek vergroot de kansen van een oplichter enorm, zeker indien het gaat om iemand die zich goed heeft voorbereid op mogelijke vragen van slachtoffers. Sowieso misbruiken zij vaak de naam van een echte bankmedewerker, en regelmatig verwijzen zij naar een LinkedIn profiel van zo iemand (en laten het slachtoffer daarnaar kijken - mensen zijn dan al snel overdonderd en realiseren zich niet dat dit geheel niets zegt).

Nog veel effectiever is het als de oplichter vragen van het slachtoffer correct kan beantwoorden (of dat lijkt te doen, of pareert met andere informatie die de oplichter wél weet van het slachtoffer - zoals "ik zie dat u volgende week jarig bent, nl. dat u op 9 februari 1951 geboren bent, klopt dat?").

Zie ook Banken + Kifid vermorzelen klanten in https://security.nl/posting/874477 (en, verderop in die pagina: https://security.nl/posting/874622).

Een enorm onderschat risico, ook bij telefonie, zijn AitM (Attacker in the Middle) aanvallen. De aanvaller doet zich dan richting de bank voor als het slachtoffer, en richting het slachtoffer als echte bankmedewerker (vaak is er dan niet één aanvaller, maar twee).

Zie bijvoorbeeld de "plaatjes" onder "The Chase Case" in https://www.security.nl/posting/842742.

Online oplichting begint ermee dat de aanvaller zich voordoet als iemand anders, zoals een bankhelpdeskmedewerker. Andere vormen van oplichting komen echter ook steeds vaker voor, zoals zich voordoen als een Deurwaarder of medewerker van een Cryptovaluta-verwerker.

Vaak volgt een tweede stap, waarbij een nepwebsite een echte imiteert. Zoals bijv. te lezen valt in (door Redactie) Bunq hoeft slachtoffer phishing geen 25.000 euro te vergoeden in https://security.nl/posting/853864.

Authenticatie op afstand is ongeloofelijk ingewikkeld - met één uitzondering: voor mensen bruikbare authenticatie van websites. Maar omdat het Big Tech méér geld oplevert, heeft zij juist die vorm van authenticatie bij het vuil gezet; zie o.a.
• https://infosec.exchange/@ErikvanStraten/113930686068837650,
• https://infosec.exchange/@ErikvanStraten/113928256871048495,
• https://infosec.exchange/@ErikvanStraten/113885974169223139,
• https://infosec.exchange/@ErikvanStraten/113837934294209517 en
• https://infosec.exchange/@ErikvanStraten/113925419871238557.

Recente nepwebsites zie je bijv. hier: https://www.virustotal.com/gui/ip-address/193.143.1.14/relations. Onderstaande domeinnamen daaruit, die op de Nederlandstalige "markt" gericht lijken, verwezen vandaag (2025-02-02) allemaal naar één IPv4-adres: 193.143.1.14 (een server in Rusland).

In de tabel hieronder is het getal links het aantal (van 94) virusscanners (en andere "checkers") dat de betreffende website kwaadaardig vond - tijdens de laatste check (dat kan eerder dan vandaag zijn geweest).

Nb. ik heb elke ".com" vervangen door "·com" (met een "hoge" punt) om onbedoeld openen te voorkómen.


Voor zover ik heb gezien, is elke website voorzien van een (nog geldig) Let's Encrypt certificaat. An sich is dat geen probleem, ware het niet dat webbrowsers opzettelijk het verschil tussen websites met enerzijds anonieme eigenaren en anderzijds niet-anonieme eigenaren, verbergen. Waardoor u niet in één oogopslag kunt zien dat niemand de identiteit van de eigenaar heeft vastgesteld.

Van mij mag iedereen een "Domain-Validated" speelgoedcertificaat voor diens website gebruiken, als ik maar in mijn browser(s) kan zien dat dit het geval is. Want dan is het enige authenticatie-houvast dat ik heb, de domeinnaam. En als u nog nooit iets met GGN te maken heeft gehad, hoe weet u dan wat de correcte domeinnaam van hun website is? En hoe weet u dat zij nooit een domeinnaam zoals ggn-diensten·com zouden gebruiken, terwijl u op login.microsoftonline.com moet inloggen - in plaats van op bijvoorbeeld login.microsoft.com of login365.microsoft.com?

Bovenstaande tabel, met een slechts kleine selectie van domeinnamen op slechts één van de absurd vele servers met nepwebsites, laat er m.i. geen twijfel over bestaan dat cybercriminelen er alles aan doen om u op te lichten, en dat HELEMAAL NIEMAND, zeker Big Tech niet, hen een strobreed in de weg legt.

Ongetwijfeld zullen hieronder "security-experts" claimen dat het allemaal fantastisch geregeld is op internet, en dat mensen "gewoon" beter op zouden moeten letten - zonder daarbij te vertellen waarop dan (zoals spelfouten) en hoe dat in alle gevallen zou garanderen dat u géén slachtoffer wordt van online oplichting.

Ik daag hen hierbij uit om, helder uiteengezet, aan te geven hoe het internet structureel en significant veiliger gemaakt zou kunnen worden.

En nee, een modern servercertificaat heeft niets te maken met het versleutelen van de verbinding! Bij TLS v1.3 wordt het certificaat zelfs pas verzonden nádat de versleutelde verbinding tot stand is gekomen. De naam "Let's Encrypt" is pure misleiding.

Het doel van het website-certificaat, en de bijpassende private key, is uitsluitend authenticatie, van de website. Daarmee kan de browser vaststellen dat er met de website, waarvan de domeinnaam getoond wordt in de adresbalk, gecommuniceerd wordt. Maar dat biedt simpelweg onvoldoende informatie voor de gebruiker van de browser. Bij "lijkt-op" domeinnamen heeft die gebruiker er volstrekt niets aan dat de verbinding met zo'n nepsite versleuteld is.