OM waarschuwt tegen criminelen die sim stelen voor tweetrapsauthenticatie

Het OM waarschuwt tegen het omwisselen van simkaarten nadat de politie in Rotterdam een aantal criminelen heeft opgepakt die bankrekeningen van slachtoffers plunderden via internetbankieren. De dieven wisten slachtoffers ertoe over te halen hun bankpassen en simkaarten te overhandigen.

Volgens het Openbaar Ministerie wisten de criminelen toegang te krijgen tot de computers van slachtoffers door middel van een phishing mail. Daarna stuurden de criminelen nagemaakte brieven en deden ze zich via de telefoon voor als een medewerker van de bank. De dieven wisten de slachtoffers, meestal ouderen, zover te krijgen dat ze hun bankpassen en simkaarten afgaven aan een van de criminelen, deze had zich verkleed als een medewerker van een koeriersdienst.

De simkaarten waren in sommige gevallen nodig voor het internetbankieren, zo konden de dieven speciale codes bemachtigen die sommige banken ter verificatie naar een mobiele telefoon sturen. De criminelen waren in minimaal zes gevallen succesvol en wisten tienduizenden euro's buit te maken. In juni werden vier verdachten aangehouden, ze zijn afkomstig uit Rotterdam en Veenendaal, en tussen de 20 en 26 jaar oud. Op 9 september worden de verdachten voorgeleid.

IT-banen

Reacties (86)

MadEgg 18 augustus 2015 16:28

Zo zie je maar weer, tweetrapsauthenticatie helpt ook niet. Om het even wat voor soort extra authenticatie ze nodig hebben, er zijn altijd manieren om eraan te komen.

Trieste figuren, ik hoop dat ze flink worden afgestraft. Sowieso kwalijke zaak, maar al helemaal om misbruik te maken van de naïviteit van de (digibete) ouderen.

dasiro @MadEgg • 18 augustus 2015 17:08

Zo zie je maar weer, tweetrapsauthenticatie helpt ook niet.

Zo'n uitspraak van iemand met een karmabadge voor beveiliging snap ik niet, want dit bewijst dat het juist wél helpt, want ze kraken de authenticatie niet maar ze omzeilen ze.

Zo kan je ook beweren dat een pincode aan een automaat ingeven nutteloos is, want je kan gewoon een pistool in iemand z'n rug duwen en hem zijn code laten ingeven

Xubby @dasiro • 19 augustus 2015 11:07

[...]
Zo'n uitspraak van iemand met een karmabadge voor beveiliging snap ik niet, want dit bewijst dat het juist wél helpt, want ze kraken de authenticatie niet maar ze omzeilen ze.
Zo kan je ook beweren dat een pincode aan een automaat ingeven nutteloos is, want je kan gewoon een pistool in iemand z'n rug duwen en hem zijn code laten ingeven

Citaat artikel: "De dieven wisten de slachtoffers, meestal ouderen, zover te krijgen dat ze hun bankpassen en simkaarten afgaven aan een van de criminelen. ..."

Dus mensen geven net zo gemakkelijk beide af. Wat voegt twee traps dan nog toe?
Een (bij voorkeur zelfgekozen, gezien de "uitgedeelde," inlog, en een goed wachtwoord, zijn ruimschoots voldoende als beveiliging. Goed wachtwoord is minstens 12 karakters en bevat bij voorkeur minimaal twee verbasterde woorden met b.v. @#$%&*( tekens, Hoofdletters en cijfers.
Als je dit verprutst, kun je ook twee traps authenticatie verprutsen, zie het artikel.
Als je werkelijk te weinig van het internet begrijpt, blijf bepaalde zaken (je bankrekening) dan gewoon op papier doen. Dat is goedkoper dan een "geleegde" bankrekening.

Na schier eindelijk gezeur bij je webmail (en andere zaken) om je gsm nummer (je andere email adressen en nog weel meer), lijkt twee traps authenticatie de meest succesvolle manier geworden om iemand zijn gsm nummer af te troggelen. Bedenk zelf of je het nodig vind of niet.

Toevoeging @dasiro: hoeveel hebben één van beide afgegeven?
Een "goed" password van minstens 12 karakters is amper te bruteforcen: 49 karakters (26+10+13=49) tot de macht 12 = 1,9 "met 20 nullen" aan mogelijke wachtwoorden.

[Reactie gewijzigd door Xubby op 24 juli 2024 05:08]

dasiro @Xubby • 19 augustus 2015 12:21

"net zo gemakkelijk" ??? het is amper bij 6 slachtoffers gelukt, dat zou ik net een heel krachtig signaal noemen om het zo veel mogelijk te gebruiken. Een paswoord is te bruteforcen daarom dat er juist EXTRA beveiliging wordt overgegooid.

Zoop @Xubby • 19 augustus 2015 13:23

Maar een wachtwoord kan je wel gewoon bruteforcen, ongeacht hoe lang je over moet doen, het kan wel (en kan dus ongemerkt gebeuren). Dit kan niet met tweetrapsauthenticatie, er is dan echt iets fysieks nodig, zoals een simkaart. Wat het geheel uiteraard een stuk lastiger maakt. Dat er nog mensen zijn die zo goedgelovig zijn en meewerken met de criminelen, tsja, daar helpt geen een beveiliging tegen.

MadEgg @dasiro • 18 augustus 2015 17:11

Hoe ik aan die badge kom is mij ook een raadsel

Anyway, ik pleit er niet voor om alle beveiligng af te schaffen. Ik probeer meer aan te geven dat de mens altijd de zwakste schakel blijft. Omzeilen komt in veel gevallen overeen met misbruik maken van de onwetendheid van mensen. Op dezelfde manier dat phishing-mailtjes dat doen. Of zogenaamde telefoongesprekken van Microsoft in het Engels die uiteindelijk je rekening geplunderd blijken te hebben.

2FA gooit een extra horde op, die ook genomen kan worden als je er toch al mee bezig bent als crimineel. Het is niet onkraakbaar, en wmb in de meeste gevallen ook geen beter alternatief dan een veilig wachtwoord (zoals ik hierboven al betoogd heb).

[Reactie gewijzigd door MadEgg op 24 juli 2024 05:08]

Pantera88

@MadEgg • 18 augustus 2015 16:55

Toont dit niet juist aan dat het wel werkt? De technische tekortkomingen zijn nu zo ingedamd dat de 'hackers' naar social engineering moeten grijpen, en aan de bewustwording hiervan wordt hard gewerkt.

Verder ben ik het volledig met je eens. Hard aanpakken zulk tuig.

MacorgaZ @MadEgg • 18 augustus 2015 16:30

Tweetrapsauthenticatie werkt wel maar de zwakste schakel blijft altijd de mens, en als dat een digibeet is die niet het principe achter de authenticatie snapt, tjah...

MadEgg @MacorgaZ • 18 augustus 2015 16:32

Tsja, onwetendheid is altijd de oorzaak. Beveiliging met één lang, random, uniek wachtwoord is hartstikke veilig, zolang de gebruiker zijn wachtwoord niet opschrijft, afgeeft of op wat voor andere manier dan ook niet goed beveiligd. Dat gaat vaak fout door falen van de gebruiker. Zo ook hier.

Luuk1983

@MadEgg • 18 augustus 2015 16:36

Beetje offtopic, maar het probleem zit 'm vaak ook in de eisen die er gesteld worden. Zoals je waarschijnlijk ook weet heb je meer aan een lang wachtwoord van 4 random woorden dan aan:
* Minimaal één hoofdletter
* Minimaal één cijfer
* Minimaal 8 tekens lang
* Er mogen niet meer dan 3 tekens van je loginnaam erin zitten
* Je mag het wachtwoord de afgelopen 12 maanden niet gebruikt hebben.
* etc.

Hierdoor kan mijn vriendin haar wachtwoord van internetbankieren maar niet onthouden en elke keer als ze haar wachtwoord moet resetten, dan heeft ze weer een optie minder omdat ze geen wachtwoorden van de afgelopen 12 maanden mag gebruiken. Ik denk dat dit soort 'veiligheidseisen' de veiligheid ook tegen kunnen werken. De beste veiligheid is niet het moeilijkste wachtwoord, maar een combinatie tussen iets wat goed te doen is voor een gebruiker in verhouding tot hoe moeilijk het te kraken is. Een pincode van 10 cijfers is ook vast veiliger, maar niet te onthouden en daarmee onveiliger als mensen het gaan opschrijven. Je kan dat als falen van de gebruiker zien inderdaad, maar ik denk wel dat het twee kanten op werkt.

MadEgg @Luuk1983 • 18 augustus 2015 16:52

Nou ja, ik ben het wel eens dat de eisen soms contraproductief zijn ja. Maar ik ben nu zwaar voorstander van password managers, ik doe alles via KeePassX. Werkt perfect, en gebruik hierdoor onmogelijk te onthouden willekeurige wachtwoorden van 64 tekens (al zit er helaas regelmatig een maximum van 16 of 20 tekens aan de lengte

), met leestekens, letters en cijfers. Tsja, soms is een gegenereerd woord niet geschikt volgens de regels van de website, die bijvoorbeeld vind dat een sequence "1234" niet in je wachtwoord mag zitten, zelfs niet als dit tussen "mowyH)";ae" en "K8;\,Uhy4" in staat. Dan schieten die regels hun doel volledig voorbij. Bovendien worden ook regelmatig wachtwoorden geweigerd waarin dingen als aanhalingstekens voorkomen.

Sinds ik een password manager gebruik ben ik nooit meer een wachtwoord kwijtgeraakt. Bovendien weet ik direct welke gebruikersnaam erbij hoort en wanneer ik het wachtwoord voor het laatst heb aangepast.

Een "lang wachtwoord van 4 woorden" doet me denken aan "correct horse battery staple" uit de XKCD-comic. Hier ben ik het ook niet helemaal mee eens. Ten eerste is het niet zo makkelijk te onthouden als zij zeggen, aangezien je met deze "random" woorden meer moeite hebt om de volgorde te onthouden dan van een willekeurige string van 8 karakters die niets betekent. Aangezien deze woorden wel betekenis hebben ben je automatisch geneigd om ze in een bepaalde volgorde te zetten waarop ze het meeste sense maken, terwijl als je dat daadwerkelijk op die volgorde zou gebruiken het wel weer makkelijker te kraken wordt omdat dat de logische volgorde is. Bovendien heb je met deze techniek geen wachtwoord van 25 karakters maar een wachtwoord van 4 woorden, wat het aanmerkelijk makkelijker maakt om te kraken. Lastiger dan een volledig random wachtwoord van 8 karakters, maar eenvoudiger dan een volledig random wachtwoor van 10-12 karakters. Er zit een kern van waarheid in de comic, maar er wordt hier op Tweakers iets te vaak mee gegooid als de "holy grail" op wachtwoord-gebied.

Luuk1983

@MadEgg • 18 augustus 2015 16:56

Je hebt zeker geen ongelijk, maar goed, je KeePassX heeft ook één wachtwoord waarmee je daarna toegang hebt tot al jouw wachtwoorden. De vraag is dan weer: hoe veilig is een password manager? En is dat dat de 'holy grail' van beveiliging?

En als je onderweg bent of ergens anders bent? Kan je dan bij je wachtwoorden? En KeePassX werkt niet op een telefoon of tablet, dus dan moet je je PC altijd bij de hand hebben?

Disclaimer: ik ken KeePassX verder niet, dus ik doe ook een beetje een aanname

[Reactie gewijzigd door Luuk1983 op 24 juli 2024 05:08]

Verwijderd @Luuk1983 • 18 augustus 2015 17:03

En als je onderweg bent of ergens anders bent? Kan je dan bij je wachtwoorden? En KeePassX werkt niet op een telefoon of tablet, dus dan moet je je PC altijd bij de hand hebben?

Vreemd dat je een dergelijke opmerking maakt terwijl je zegt dat je Keepass niet kent.

Keepass werkt perfect op Android telefoons en tablets. Database in de cloud dus je kan altijd bij je wachtwoorden. Geen idee of er ook apps voor iOS en WP zijn.
Maar er zijn meer wachtwoordmanagers zoals Lastpass die in de cloud werken. Dus als het moet kom je onderweg wel bij je wachtwoorden.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 05:08]

Darkstriker @Verwijderd • 18 augustus 2015 17:26

Maar er zijn meer wachtwoordmanagers zoals Lastpass die in de cloud werken. Dus als het moet kom je onderweg wel bij je wachtwoorden.

Maar die zijn grotendeels niet te vertrouwen, want ze zijn en niet open source en ze sturen dingen naar hun eigen server. Je weet dus niet of je wachtwoorden 1 goed versleuteld worden en 2 voor hun niet te lezen zijn. Keepass met sync via je eigen cloud server en de open source offline Keepass App voor je telefoon is eingelijk de enige echt veilige oplossing. Maar goed, genoeg mensen die wel techneuten zijn nemen het niet zo nauw. Van een leek kan je dat natuurlijk helemaal niet verwachten, en blijven we dus met z'n allen onveilig (althans degene die het nu allemaal wel goed genoeg vinden). Treurig maar waar.

Maar om even terug ontopic te komen: De mens blijft altijd de zwakste schakel. Daarom zijn dingen als plausible deniability voor versleutelde schijven ook zo belangrijk. Want het is altijd mogelijk de informatie uit een mens te krijgen met genoeg geweld.

Toch is tweetrapsauthenticatie een stuk veiliger voor het gros van de mensen. Je schiet er natuurlijk niets meer op als ze de tweede trap willens en wetens uit handen geven terwijl er toch al een miljoen keer tegen je wordt gezegd, dat de bank nooit om inloggegevens van jouw zal vraag in wat voor situatie dan ook.

[Reactie gewijzigd door Darkstriker op 24 juli 2024 05:08]

arjan1995 @Darkstriker • 18 augustus 2015 17:56

Tsja, we willen nu eenmaal gemak en vertrouwen. Daarom gebruik ik geen password manager maar een makkelijk te onthouden, sterk genoeg, wachtwoord. Op deze manier kan er niemand via de cloud bij en kan ik het altijd en overal gebruiken.
Ook zie ik zo vaak mensen iedere keer een pincode op hun telefoon invoeren...
Als ze je apparaat afpakken komen ze er toch wel via een omweg in.
Van mij hoeft dat dus niet (enkel een sim pin en geen wachtwoord op tablet en pc). Ik gebruik dan geen bank apps maar een reader apparaatje van de bank zelf.

Niekfct @arjan1995 • 18 augustus 2015 18:27

Totdat jij op een gegeven moment je wachtwoord naar een niet zo goed beveiligde dienst verstuurd, en deze gelekt wordt. Al je accounts op straat.

Floor @arjan1995 • 18 augustus 2015 22:40

Tja, tot ze een site hacken waar je het wachtwoord in hebt staan. Kan je alles gaan aanpassen. Of erger, een beheerder met kwade bedoelingen. Juist door een goede wachtwoordmanager zoals KeePass beperk je de risico's tot slechts 1 punt. Namelijk Keepass en wanneer daar stront aan de knikker is dan is het wereldnieuws. Het is inmiddels erg populair.
Ik heb mijn hele familie en kennissenkring aan KeePass geholpen.

Door een slim systeem van vertrouwde mensen, zoals ouders en kinderen relatie is er een systeem opgezet waardoor na overlijden toch aan belangrijke gegevens kan worden gekomen. Ouders of goede vrienden hebben de masterwachtwoord en sleutel.

Door in het begin als ervaren gebruiker mee te helpen met opzetten en te leren wat er met het programma kan is er al heel wat ongemak voorkomen of snel opgelost. Wat te denken van gegevens van BSN, erzekeringen, bankrekeningen, belastingen, abonnementen, softwarelicenties enz. enz. Alles wat maar enigzins belangrijk is kan je er veilig in opslaan. En dat is erg handig wanneer je gegevens voor belastingdienst of bij calamiteiten moet invullen of oproepen.

[Reactie gewijzigd door Floor op 24 juli 2024 05:08]

MadEgg @Luuk1983 • 18 augustus 2015 16:59

KeePassX vereist per password database ofwel een wachtwoord ofwel een sleutelbestand, ofwel beide. Ik heb wachtwoorden verspreid over 3 databases, met verschillende wachtwoorden en bijbehorend sleutelbestand, opgeslagen op een encrypted schijf met nog weer een extra wachtwoord. Alles kan gekraakt worden natuurlijk, maar je hebt er wel een zware dobber aan.

Holy grail van beveiliging, nee vast niet. Maar op dit moment is het in mijn ogen wel de best beschikbare oplossing om zowel veilig als relatief eenvoudig gebruik te maken van online accounts.

Velvus

@MadEgg • 18 augustus 2015 19:09

KeePassX vereist per password database ofwel een wachtwoord ofwel een sleutelbestand, ofwel beide. Ik heb wachtwoorden verspreid over 3 databases, met verschillende wachtwoorden en bijbehorend sleutelbestand, opgeslagen op een encrypted schijf met nog weer een extra wachtwoord. Alles kan gekraakt worden natuurlijk, maar je hebt er wel een zware dobber aan.

Het idee van een sleutelbestand is met name dat als een kwaadwillende dan toch je .kdbx bestand bemachtigd hij niet ook gelijk je sleutelbestand te pakken heeft. Daar ga je een beetje aan voorbij als je dat bestand samen met je .kdbx file op 1 lokatie backupped... dan kun je net zo goed geen sleutelbestand gebruiken.

MadEgg @Velvus • 19 augustus 2015 10:12

Ik heb het natuurlijk niet zo staan:

MadEggsPasswords_Part1.kdbx
MadEggsPasswords_Part1.key

Op OwnCloud heb ik vele bestanden, waaronder ook op een paar locaties meerdere .key bestanden. De juiste staat nergens vermeld, maar weet ik wel te vinden. Het is niet waterdicht, en in zekere zin is het "security through obscurity" maar het is toch weer een extra horde om de password database te kraken. Zeker aangezien je bij een fout bij het openen van de password database niet weet of je de verkeerde toegangscode hebt ingevoerd of het verkeerde sleutelbestand hebt geselecteerd.

Verwijderd @MadEgg • 18 augustus 2015 17:38

Totdat je hdd/ssd crasht waardoor je geen *.kbdx bestand meer hebt en het te lang is geleden dat je een backup hebt gemaakt waardoor je de helft van toegangscodes kwijt bent...

ErikvO

@Verwijderd • 18 augustus 2015 17:58

Dat is hetzelfde scenario als dat je de wachtwoorden gewoon vergeten bent (wat erg aannemelijk wordt als je voor 100+ websites een uniek wachtwoord gebruikt):

Je gebruikt de "Ik ben mijn wachtwoord vergeten" optie op de betreffende website, zodat je een mailtje krijgt met een link om je password te resetten (en hopelijk dus niet het wacthwoord zelf).

Als je dan ook niet meer bij je email kan, heb je inderdaad een probleem. Maar ik zie daarin geen verschil met het moeten onthouden van veilige en unieke wachtwoorden.

MadEgg @Verwijderd • 18 augustus 2015 20:23

En daarom heb ik het dus in een encrypted container op OwnCloud staat, waardoor het automatisch gesynchroniseerd wordt met mijn desktop en mijn laptop en eventueel ook via de browser bereikbaar is, terwijl de owncloud bestanden 4 maal daags gebackupped worden in het datacentrum. Vrij onwaarschijnlijk scenario dus.

Atomsk @MadEgg • 18 augustus 2015 19:40

Het is niet makkelijker te kraken. Je maakt de denkfout dat de aanvaller weet welk type wachtwoord(zin) je gebruikt er daar de kraakmethode op aanpast. Die weet dat als het goed is echter helemaal niet, moet dus brute force toepassen en in dát scenario is een lange zin van onzinwoorden veiliger dan een kort wachtwoord met ingewikkelde tekens.

Enfin, het is altijd een afweging tussen gemak en een bepaald risico.

analogworm @Atomsk • 18 augustus 2015 23:21

Ik zie niet zo goed hoe je bedoelt dat MadEgg een denkfout maakt. Maar hackers denken wel degelijk na over de opbouw en structuur van wachtwoorden.. Leesvoer: Arstechnica: Why passwords have never been weaker and crackers have never been stronger (2012).. (linkje kopiëren werkt even niet op WP10, but google is your friend

)

dasiro @Luuk1983 • 18 augustus 2015 17:04

die complexiteit is nodig om de karakterset zo uitgebreid mogelijk te houden.
Simpel gezegd als je 1 cijfer nodig hebt, zijn er maar 10 mogelijkheden, als je 1 karakter nodig hebt, dan zijn er plots 255 mogelijkheden. Verhef dat tot de macht met het minimaal aantal karakters en je hebt plots véél meer tijd nodig om een paswoord te kraken. Dat zinnen goede paswoorden zijn weten we allemaal, dat mensen niet creatief genoeg zijn om er telkens een te onthouden dat is hun probleem.
Random voorbeelden:
Ik ben 16 jaar
Jan heeft 1 broer
Ma eet 2 appels
...

Kriebelkous @Luuk1983 • 18 augustus 2015 17:56

Ik ben zelf ook niet een ster in het onthouden van wachtwoorden. Ik gebruik nu al een jaartje of 2 de volgende methode:
- ik pak (bijvoorbeeld) de tweede en vierde letter uit de website\instantie waar ik in wil loggen (met hoofdletters)
- gebruik een leesteken
- gebruik een simpel te onthouden wachtwoord (naam van hond, kat, ect)
- gebruik weer een leesteken
- eindig met een 4 cijferig getal (postcode, jaartal), deze pas ik eens in het jaar aan.

100% veilig is het niet. Het is echter makkelijk te onthouden en zorgt ervoor dat je wachtwoord niet overal exact hetzelfde is.

Voor tweakers zou dit kunnen zijn:
WA%lassie%1337
Bij de abn zou dit bij
BA%lassie%1337
etc.etc..

Bijkomend voordeel is dat mijn vriendin de truck kent en en ook gebruikt. We hoeven nooit eerst bij elkaar te gaan vragen wat het wachtwoord ook al weer was voor (bijvoorbeeld) ziggo.

Sandwalker

@Kriebelkous • 18 augustus 2015 22:19

Dat zal best werken. Nadeel is wel dat niet alle sites hun Security goed op orde hebben. Toch jammer als je wachtwoord methode zo zichtbaar kan worden. Een goede password manager is volgens mij toch echt het veiligst.

Repsaj_Nav @Luuk1983 • 18 augustus 2015 18:07

Ik gebruikt een wachtwoordmanager en erger me meer aan sites die als eis stellen dat een wachtwoord maximaal 8 tekens mag zijn (Online.nl) of bijvoorbeeld geen speciale tekens mag bevatten...

Xubby @Luuk1983 • 19 augustus 2015 11:11

Beetje offtopic, maar het probleem zit 'm vaak ook in de eisen die er gesteld worden. [...]
Hierdoor kan mijn vriendin haar wachtwoord van internetbankieren maar niet onthouden [...]

Die eisen aan het wachtwoord zijn goed.
Het probleem is het "onthouden." Dat werkt niet meer bij, zoals ik, meer dan 60 (verschillende dus) wachtwoorden privé en voor het werk.
Dus gebruik je een wachtwoorden manager. Er zijn er vele. Password Safe is ook goed. Allemaal hebben ze hun eigen voor- en nadelen.

EraYaN @MacorgaZ • 19 augustus 2015 00:51

Maar aan de andere kant, een digibeet mag toch ook weten dat je je bankpas niet afgeeft? Je gaf vroeg je chequeboekje toch ook niet zomaar aan iemand?

SmokingCrop @MadEgg • 18 augustus 2015 16:43

Als men echt wil komen ze overal in. 2FA is vooral goed voor iedereen die niet aan je Phone (of ander apparaat datje gebruikt) kan komen. (= zeer goed voor Online dus).

Ik vind het een must voor emailaccounts. Daarmee kan je vaak namelijk in andere accounts komen.

[Reactie gewijzigd door SmokingCrop op 24 juli 2024 05:08]

MadEgg @SmokingCrop • 18 augustus 2015 16:56

Ik gebruik self-hosted e-mail op een eigen server zonder password recovery, met een sterk wachtwoord. Werkt prima. Geen 2FA voor nodig. Zou het ook lastig maken om te gebruiken in mail-software natuurlijk, bij mijn weten ondersteund Thunderbird geen 2FA.

Daarbij heb ik regelmatig mijn telefoon niet bij me, terwijl ik altijd bij mijn password database kan. Heb dus overal 2FA uitgeschakeld waar dat mogelijk is, veel te veel gehannes en voor mij absoluut 0 toegevoegde waarde / veiligheid. Met uitzondering van internetbankieren, ik ben blij dat ik daar zowel mijn pinpas als mijn pincode voor nodig heb.

SmokingCrop @MadEgg • 18 augustus 2015 17:30

Nja, ik had vergeten zeggen dat ik het over webmail had à la gmail/outlook.

Bij gmail/outlook kan je dan ook een "app-code" laten genereren om een programma zoals Thunderbird te laten werken.

Persoonlijk heb ik net overal waar mogelijk 2FA ingeschakeld. Gewoon bv thuis aanklikken dat het een vertrouwde computer is (dan is slechts eenmaal de code nodig). Onderweg heb ik sowieso m'n smartphone bij voor de offline 2FA app.

[Reactie gewijzigd door SmokingCrop op 24 juli 2024 05:08]

djwice

@MadEgg • 18 augustus 2015 21:09

misbruik te maken van de naïviteit van de (digibete) ouderen.

ik ben het met je eens dat het schandalig is wat die lui doen.

Vergis je echter niet het is niet altijd naïviteit. Mijn overgrootmoeder is overvallen 94 kranige tante die nog zelfstandig woont. Die gasten lopen gewoon direct naar binnen gaan zitten op een stoel en beginnen een babbel.

Zegt ze nee, blijf af van m'n portemonnee man negeert het. En is voor ze het wist het huis uit.

Leven gaat langzamer, ze heeft geleerd vreemden te vertrouwen (thuiszorg, tafeltje dekje etc). Als een vriendelijke jonge gast aanbiedt uitleg te geven hoe de telefoon werkt (envelopje openen etc) zijn ze vaak blij, ze vergeten dat steeds herhaling helpt leren, en bovendien is aandacht, even niet alleen fijn.

Als zo'n gast zegt: hij doet het niet, dan moet dit dingetje er uit, kijk mevrouw nu doet hij het weer goed, geloven ze dat. Logisch, zou ik ook doen als ik zo oud ben en nieuwe techniek voor me kiezen krijg.

Alleen waar haal je de brutaliteit vandaan om mensen zo te behandelen. Tuig, naar de heropvoeding met die gasten. En bij de slachtoffers schoonmaken en koken een hele week. Met controle van kwaliteit: alles moet blinken.

[Reactie gewijzigd door djwice op 24 juli 2024 05:08]

EraYaN @djwice • 19 augustus 2015 00:56

Hoe loop je zo naar binnen bij een zelfstandige woning? Ik kan mij mijn grootouders echt niet zo naar binnen lopen hoor.. Bij mijn ouders overigens ook niet.

[Reactie gewijzigd door EraYaN op 24 juli 2024 05:08]

djwice

@EraYaN • 19 augustus 2015 19:23

Heel simpel, simpatieke man belt aan, vrouw doet open, man duwt duur verder en duwt vrouw opzij.

Verwijderd @MadEgg • 18 augustus 2015 17:03

2 factor authentication werkt wel.
Dit is het enige wat een hacker tegenhoudt als een van de volgende dingen gebeurt:

Een random site waar je ooit eens een account hebt gemaakt gehacked wordt. Database belandt op straat, zwakke encryptie van de wachtwoorden,... Altijd zelfde verhaaltje. Lang leve password-reuse (op meerdere sites hetzelfde wachtwoord gebruiken), en je facebook schijt binnen de korste keren spam, je emails worden gedownload (altijd leuk als je ooit eens een kopie van je ID hebt doorgestuurd naar iemand, maakt de situatie nog slechter)
MITM attack (op vakantie bij de "gratis wifi")
Iemand die over je schouder meekijkt naar het wachtwoord dat je intikt
...

Kom niet af met 1Password of dergelijke, want als je daar het hoofdwachtwoord van weet, dan is het prachtig. Elke site waar je een account op hebt met bijhorende login-gegevens.
2 factor-authentication kan dus echt wel een life-saver zijn.
Het grappige van de zaak is dat facebook en gmail al wel 2 factor authentication hebben, maar PayPal nog altijd niet.
/end of rage
Edit: goede argumenten onder mij, over 1Password kom ik dus terug.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 05:08]

MadEgg @Verwijderd • 18 augustus 2015 17:09

Hoofdwachtwoord van 1Password (of mijn mijn geval, de drie hoofdwachtwoorden van KeePassX) moet je natuurlijk niet kwijtraken, net zo min als het sleutelbestand. Dat moet zéker niet overeenkomen met het wachtwoord op een of andere random site die gehackt wordt. Het idee is nu juist dat je voor elke site een ander wachtwoord gebruikt om dat soort issues te voorkomen.

MITM is in álle scenario's een groot risico. Daar helpt 2FA weinig tegen; als je de MITM kan zijn kun je ook de aan de gebruiker gepresenteerde gegevens modificeren om zo onwelkome handelingen uit te voeren. Daarom gebruik ik dan ook altijd een VPN-verbinding naar mijn server om dat risico te ondervangen.

Iemand die over je schouder meekijkt heb je ook geen last van met een password manager, die copy-paste je dan namelijk vanuit je password manager, die hem ook na 5 seconden weer uit het geheugen wist. Nooit zichtbaar op het scherm, wel veilig ingelogd. En natuurlijk moet je dat nooit op untrusted devices doen, want dan heb je ook weer een vorm van MITM te pakken.

EraYaN @MadEgg • 19 augustus 2015 00:54

Hoe bevalt jou KeePassX? Ik gebruik nog gewoon KeePass 2. Is X fijner?

MadEgg @EraYaN • 19 augustus 2015 09:40

Vind ik wel. De reden dat ik KeePass niet gebruik is dat dat gebouwd is met .net / mono. Dat werkt wel op Linux en Mac OS X maar de UI ziet er (IMO) niet uit op een OS anders dan Windows. Het matcht gewoon niet met de rest van de UI. KeePassX is gebouwd met Qt als UI toolkit, welke er wel "native" uitziet op zowel Linux, Mac OS X als Windows. Vandaar. Bevalt me in ieder geval prima, feature complete, stabiel en snel.

Zer0 @MadEgg • 18 augustus 2015 16:31

Zo zie je maar weer, tweetrapsauthenticatie helpt ook niet.

Het helpt wel degelijk, het maakt het een stuk moeilijker voor criminelen, en dat is exact de bedoeling. Geen enkele beveiliging is 100% veilig.

Verwijderd @MadEgg • 18 augustus 2015 16:36

Ik zie een crimineel nog geen moeite doen om mijn e-mail account te lezen. Volgens mij gebruikt alleen ING authenticatie via een sms. Ik heb een kleurenscanner. Hier is misbruik gemaakt van goedgelovigheid van ouderen die nog een blind vertrouwen in papieren communicatie hebben.

Verwijderd @MadEgg • 18 augustus 2015 17:34

Als ik hier mijn username en passwords dump... dan werkt de beveiliging toch ook niet meer door mijn toedoen?
Zonder deze SIM-kaarten konden deze criminelen niet internetbankieren ;-)

Barsonax @MadEgg • 18 augustus 2015 18:26

Hoe wil je tegen iets beveiligen als de eigenaar van de bankrekening in principe volledig meewerkt aan zon actie? Je kunt alles blokkeren maar dat lijkt me ook niet zon succes.

Aikon @MadEgg • 18 augustus 2015 19:45

Uiteraard is er altijd een manier om bij je data te komen, anders kan je ze net zo goed weggooien.

eelco_weert 18 augustus 2015 16:29

Je SIM kaart afgeven aan een bankbediende, die snap ik niet helemaal. Bankpas kan ik nog begrijpen. Maar dit doe ik toch echt alleen bij de bank zelf.

menke @eelco_weert • 18 augustus 2015 17:04

Bankpas kan ik nog begrijpen. Maar dit doe ik toch echt alleen bij de bank zelf.

Hoewel de bankpas vaak formeel nog steeds van de bank is, zou ik zelfs dat niet doen. Geen uitzonderingen: ik geef mijn bankpas niet af.
Als de bank mijn bankpas wil, blokkeren ze de huidige maar...

Jelle_D @menke • 18 augustus 2015 17:36

Meestal hebben ze je pas nodig als je in het kantoor staat en je wat wilt laten uitzoeken.
Of als je een nieuwe rekening wilt open.

Geef je dan je pas ook niet af als je er naast staat?

EraYaN @Jelle_D • 19 augustus 2015 00:58

Dan hoef je em toch nooit af te geven? Bij de ING in Utrecht hoeven ze hem soms alleen in een lezer te hebben, aan de klant kant van de balie. (Sure, ze kunnen in dat bankgebouw de lezer vervangen om je PIN af te vangen maar dan is er veel meer mis)

Jelle_D @EraYaN • 19 augustus 2015 08:24

Bij de ABN vragen ze er altijd om als je wat wilt regelen.
Vandaag mijn opmerking. Ik weet niet hoe ze dat bij andere banken doen

dasiro @menke • 18 augustus 2015 17:15

inderdaad, willen ze mijn kaart terug, dan zal dat met een paar leuk geplaatste gaatjes zijn, is die ouwe perforator toch nog ergens nuttig voor

wildhagen

@eelco_weert • 18 augustus 2015 16:32

Ja jij en ik wel, maar vergeet niet dat een heleboel mensen dat niet doorhebben, en het dus gewoon zullen afgeven/opsturen als erom gevraagd wordt., zeker als het heel erg officieel klinkt of er er zo uit ziet.

nooberke 18 augustus 2015 16:30

Vraag me vooral af hoeveel pogingen ze hebben moeten doen om zes maal succesvol te zijn? Het is op deze manier ook plunderen in verschillende trappen, na het hacken van de computer moet je ook nog is de bankpas en simkaart bemachtigen

Met wat voor smoes geven mensen zowel hun simkaart als bankpas af?

garriej @nooberke • 18 augustus 2015 16:41

Ik heb geen idee.. maar zelfs als digibeet kun je hier toch bijna niet intrappen. Ik bedoel, er moet toch ergens een lampje gaan branden op het moment dat je je bankpas overhandigd; dat is niet meer digibeet, dat is gewoon stom. en dan ook nog is je simkaart erbij, ik snap het niet hoor.

[Reactie gewijzigd door garriej op 24 juli 2024 05:08]

-8- @garriej • 18 augustus 2015 17:06

Nog erger, ze moeten ook hun inloggegevens / PIN code hebben afgegeven. Anders hebben die criminelen nog niks aan de pas en simkaart..

SPee @-8- • 18 augustus 2015 17:39

Die hadden ze al met Phising mails gekregen.
De telefoon + pas ophalen is 'stap 2'.

Atomsk @garriej • 18 augustus 2015 19:48

Ze gaan ook niet voor niets achter een zwakke doelgroep aan. Bejaarden zijn vaak al afhankelijk van anderen voor het regelen van financiën, kunnen al die veranderingen nauwelijks bijbenen, etc. en wanneer er dan iemand aan de deur komt met een vlotte babbel, dan zal dat wel waar zijn.

FooLsKi 18 augustus 2015 16:36

Hoe kan je nou zo enorm naief zijn om en je SIM en je bankpas af te geven? En dan zeker ook nog incl PIN van beide? Zelfs mijn (extreem digibete) oudtante van 80 zou dat nog niet doen. En dat is toch de meest naieve persoon die ik ken.

wildhagen

@FooLsKi • 18 augustus 2015 16:38

Heeft met naïviteit niet zoveel te maken, meer met onwetendheid. Niet iedereen is techneut, en heeft verstand van dat soort zaken. En echt niet alleen ouderen. Zeker als het officieel van de bank lijkt te komen, zal een aanzienlijk deel van de mensen echt niet doorhebben dat het *niet* legitiem is, en gewoon doen wat er gevraagd wordt.

FooLsKi @wildhagen • 18 augustus 2015 16:42

Dat is dan waarschijnlijk ook het soort mensen wat onder een steen leeft? Want volgens mij is er de afgelopen jaren ruimschoots middels Postbus 51 spotjes e.d. gecommuniceerd dat banken nooit dit soort dingen zullen doen.

wildhagen

@FooLsKi • 18 augustus 2015 16:44

Niet iedereen ziet die spotjes, en niet bij iedereen blijft dat hangen. Termen als 'onder een steen liggen' zijn bijzonder denigrerend.

Nogmaals: niet iedereen is techneut, en als het er maar legitiem genoeg uitziet (alsof het écht van de bank, of een andere officiele instantie, af komt) heeft een flink deel van de mensen gewoon niet in de gaten dat het niet legitiem is.

FooLsKi @wildhagen • 18 augustus 2015 16:48

Het zal ongetwijfeld te maken hebben met mijn referentiekader

Gelukkig heb ik de ouderen in mijn familie goed 'opgevoed' op dit vlak. Als iedere Tweaker dit zou doen dan scheelt het vast ook een stukje.

Verwijderd @FooLsKi • 18 augustus 2015 17:40

Ik heb pas geleden op een beveiligingssite allemaal vragen over phishing mails moeten beantwoorden;.
Er werden 20 screenshots getoond en ik had 18 ervan goed geraden.
m.a.w. iedereen kan erin trappen.

Hielko @Verwijderd • 18 augustus 2015 20:20

Ken de test verder niet, maar aan de hand van een screenshot zou ik ook niet alles kunnen herkennen. Maar als er vervolgens een link in zit die niet daar de goede site gaat heb ik dat echt wel door.

MoiZie 18 augustus 2015 16:35

"zo konden de dieven speciale codes bemachtigen die sommige banken ter verificatie naar een mobiele telefoon sturen."

Kortom, smsjes / tancodes van de ING ontvangen?

Tja, tweetrapsauthenticatie werkt dus prima, zolang het maar een aparte app is die zichzelf onbruikbaar maakt bij wijzigingen aan de telefoon, niet een SMS die via het onveilige GSM netwerk verzonden wordt (en dus ook op andere manieren te achterhalen is!).

Het nieuwsbericht klinkt als heel wat, maar het blijft beperkt bij 'normale' phishing en een sim-kaart diefstal. Ben benieuwd of de slachtoffers alleen gevallen zijn onder ING klanten.

Arnout @MoiZie • 18 augustus 2015 16:55

Sowieso krijg je een blokkade voor TAN codes via SMS van 12 uur wanneer je een andere SIM krijgt of je SIM in een ander toestel plaatst. Dus ook daar is aan gedacht; moet het in die tijd wel gemeld of duidelijk worden. Dat is blijkbaar ook niet gebeurd.

https://www.ing.nl/partic...tijdelijk-geen-tan-codes/

Zenomyscus 18 augustus 2015 16:37

De dieven wisten slachtoffers ertoe over te halen hun bankpassen en simkaarten te overhandigen.

De zwakste schakel is wederom de mens. Blijkbaar is nog steeds niet duidelijk waar je op moet letten en dat je niet alles kunt vertrouwen. Lastig dat ouderen hier moeilijk mee om kunnen gaan. En toch is het eerste wat ik mijn grootouders zou vertellen dat ze hun wachtwoorden, pasjes en telefoons nooit moeten afgeven. Verder zou je kunnen voorstellen om voor ouderen (of iedereen) een regeling te treffen waarbij ze naar de bank moeten in persoon om voor een hoog bedrag te tekenen. Maar ik vrees dat dat ook weer lastig gaat zijn voor die mensen. Het is een moeilijke kwestie, maar ik denk dat educatie de enige oplossing is.

stresstak @Zenomyscus • 18 augustus 2015 21:53

En toch is het eerste wat ik mijn grootouders zou vertellen dat ze hun wachtwoorden, pasjes en telefoons nooit moeten afgeven.

Da zet ik de oudjes voor het blok in mijn oplichtingsverhaal. Als ik niet de sim of het pasje mag meenemen moet het hoofdkantoor zaken regelen en dan kunt U minstens drie weken niet bij uw rekening en bij uw geld en stagneren ook alle betalingen. Aan U de keus, mevrouw.
Als ik nu een koerier langs mag sturen is het vandaag nog geregeld.

Statera 18 augustus 2015 17:01

De zwakste schakel blijft altijd de mens, hoe veel technische maatregelen je er ook tegenaan gooit. Daarom is het belangrijk dat er aandacht wordt besteed aan het verbeteren van het beveiligingsbewustzijn bij mensen.

Verwijderd @Statera • 18 augustus 2015 19:44

Precies. Iedereen vindt het normaal om naast een voordeurslot ook nog een paar extra beveiligingen op de deur te hebben, en gebruikt die ook. Dat is ook ooit ingevoerd. Hetzelfde met digitale beveiligingen. Het probleem is alleen dat techneuten het altijd in technische oplossingen zoeken. En in de ICT zijn (te)veel techneuten en te weinig mensen met mensenkennis en kennis van gedrag.

Luuk1983

18 augustus 2015 16:32

Uiteindelijk is de bepalende factor voor veiligheid de gebruiker zelf. Ouderen zijn meestal niet heel technisch aangelegd, maar ik denk dat ze intussen wel weten dat je geen pincode moet afgeven. Het gevolg is dus dat criminelen andere dingen gaan proberen om zo toch mensen dingen te laten doen zonder meteen TE overduidelijk te zijn in hun intentie.

ocwil 18 augustus 2015 16:28

Dus login via phising en daarna bankpasje of simkaart via post afhankelijk van welke bank

batjes 18 augustus 2015 16:43

Hoe komen ze in hun internet bankieren dan? Dat is geen bank loket waar je even heen loopt.
Dus ook login gegevens afhandig gemaakt?

Ben ook wel benieuwd hoeveel mensen nu eens in deze troep trappen, gewoon uit interesse. Want als het een enkeling is, nja. Maar straks hebben deze pikkies het bij vele duizenden mensen geflikt.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (86)

Sorteer op:

Weergave: