Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 86 reacties

Het OM waarschuwt tegen het omwisselen van simkaarten nadat de politie in Rotterdam een aantal criminelen heeft opgepakt die bankrekeningen van slachtoffers plunderden via internetbankieren. De dieven wisten slachtoffers ertoe over te halen hun bankpassen en simkaarten te overhandigen.

Volgens het Openbaar Ministerie wisten de criminelen toegang te krijgen tot de computers van slachtoffers door middel van een phishing mail. Daarna stuurden de criminelen nagemaakte brieven en deden ze zich via de telefoon voor als een medewerker van de bank. De dieven wisten de slachtoffers, meestal ouderen, zover te krijgen dat ze hun bankpassen en simkaarten afgaven aan een van de criminelen, deze had zich verkleed als een medewerker van een koeriersdienst.

De simkaarten waren in sommige gevallen nodig voor het internetbankieren, zo konden de dieven speciale codes bemachtigen die sommige banken ter verificatie naar een mobiele telefoon sturen. De criminelen waren in minimaal zes gevallen succesvol en wisten tienduizenden euro's buit te maken. In juni werden vier verdachten aangehouden, ze zijn afkomstig uit Rotterdam en Veenendaal, en tussen de 20 en 26 jaar oud. Op 9 september worden de verdachten voorgeleid.

Moderatie-faq Wijzig weergave

Reacties (86)

Zo zie je maar weer, tweetrapsauthenticatie helpt ook niet. Om het even wat voor soort extra authenticatie ze nodig hebben, er zijn altijd manieren om eraan te komen.

Trieste figuren, ik hoop dat ze flink worden afgestraft. Sowieso kwalijke zaak, maar al helemaal om misbruik te maken van de naïviteit van de (digibete) ouderen.
Zo zie je maar weer, tweetrapsauthenticatie helpt ook niet.
Zo'n uitspraak van iemand met een karmabadge voor beveiliging snap ik niet, want dit bewijst dat het juist wél helpt, want ze kraken de authenticatie niet maar ze omzeilen ze.

Zo kan je ook beweren dat een pincode aan een automaat ingeven nutteloos is, want je kan gewoon een pistool in iemand z'n rug duwen en hem zijn code laten ingeven |:(
[...]
Zo'n uitspraak van iemand met een karmabadge voor beveiliging snap ik niet, want dit bewijst dat het juist wél helpt, want ze kraken de authenticatie niet maar ze omzeilen ze.
Zo kan je ook beweren dat een pincode aan een automaat ingeven nutteloos is, want je kan gewoon een pistool in iemand z'n rug duwen en hem zijn code laten ingeven |:(
Citaat artikel: "De dieven wisten de slachtoffers, meestal ouderen, zover te krijgen dat ze hun bankpassen en simkaarten afgaven aan een van de criminelen. ..."

Dus mensen geven net zo gemakkelijk beide af. Wat voegt twee traps dan nog toe?
Een (bij voorkeur zelfgekozen, gezien de "uitgedeelde," inlog, en een goed wachtwoord, zijn ruimschoots voldoende als beveiliging. Goed wachtwoord is minstens 12 karakters en bevat bij voorkeur minimaal twee verbasterde woorden met b.v. @#$%&*( tekens, Hoofdletters en cijfers.
Als je dit verprutst, kun je ook twee traps authenticatie verprutsen, zie het artikel.
Als je werkelijk te weinig van het internet begrijpt, blijf bepaalde zaken (je bankrekening) dan gewoon op papier doen. Dat is goedkoper dan een "geleegde" bankrekening.

Na schier eindelijk gezeur bij je webmail (en andere zaken) om je gsm nummer (je andere email adressen en nog weel meer), lijkt twee traps authenticatie de meest succesvolle manier geworden om iemand zijn gsm nummer af te troggelen. Bedenk zelf of je het nodig vind of niet.

Toevoeging @dasiro: hoeveel hebben één van beide afgegeven?
Een "goed" password van minstens 12 karakters is amper te bruteforcen: 49 karakters (26+10+13=49) tot de macht 12 = 1,9 "met 20 nullen" aan mogelijke wachtwoorden.

[Reactie gewijzigd door Xubby op 19 augustus 2015 13:04]

"net zo gemakkelijk" ??? het is amper bij 6 slachtoffers gelukt, dat zou ik net een heel krachtig signaal noemen om het zo veel mogelijk te gebruiken. Een paswoord is te bruteforcen daarom dat er juist EXTRA beveiliging wordt overgegooid.
Maar een wachtwoord kan je wel gewoon bruteforcen, ongeacht hoe lang je over moet doen, het kan wel (en kan dus ongemerkt gebeuren). Dit kan niet met tweetrapsauthenticatie, er is dan echt iets fysieks nodig, zoals een simkaart. Wat het geheel uiteraard een stuk lastiger maakt. Dat er nog mensen zijn die zo goedgelovig zijn en meewerken met de criminelen, tsja, daar helpt geen een beveiliging tegen.
Hoe ik aan die badge kom is mij ook een raadsel ;) Anyway, ik pleit er niet voor om alle beveiligng af te schaffen. Ik probeer meer aan te geven dat de mens altijd de zwakste schakel blijft. Omzeilen komt in veel gevallen overeen met misbruik maken van de onwetendheid van mensen. Op dezelfde manier dat phishing-mailtjes dat doen. Of zogenaamde telefoongesprekken van Microsoft in het Engels die uiteindelijk je rekening geplunderd blijken te hebben.

2FA gooit een extra horde op, die ook genomen kan worden als je er toch al mee bezig bent als crimineel. Het is niet onkraakbaar, en wmb in de meeste gevallen ook geen beter alternatief dan een veilig wachtwoord (zoals ik hierboven al betoogd heb).

[Reactie gewijzigd door MadEgg op 18 augustus 2015 17:11]

Toont dit niet juist aan dat het wel werkt? De technische tekortkomingen zijn nu zo ingedamd dat de 'hackers' naar social engineering moeten grijpen, en aan de bewustwording hiervan wordt hard gewerkt.

Verder ben ik het volledig met je eens. Hard aanpakken zulk tuig.
Tweetrapsauthenticatie werkt wel maar de zwakste schakel blijft altijd de mens, en als dat een digibeet is die niet het principe achter de authenticatie snapt, tjah...
Tsja, onwetendheid is altijd de oorzaak. Beveiliging met één lang, random, uniek wachtwoord is hartstikke veilig, zolang de gebruiker zijn wachtwoord niet opschrijft, afgeeft of op wat voor andere manier dan ook niet goed beveiligd. Dat gaat vaak fout door falen van de gebruiker. Zo ook hier.
Beetje offtopic, maar het probleem zit 'm vaak ook in de eisen die er gesteld worden. Zoals je waarschijnlijk ook weet heb je meer aan een lang wachtwoord van 4 random woorden dan aan:
* Minimaal één hoofdletter
* Minimaal één cijfer
* Minimaal 8 tekens lang
* Er mogen niet meer dan 3 tekens van je loginnaam erin zitten
* Je mag het wachtwoord de afgelopen 12 maanden niet gebruikt hebben.
* etc.

Hierdoor kan mijn vriendin haar wachtwoord van internetbankieren maar niet onthouden en elke keer als ze haar wachtwoord moet resetten, dan heeft ze weer een optie minder omdat ze geen wachtwoorden van de afgelopen 12 maanden mag gebruiken. Ik denk dat dit soort 'veiligheidseisen' de veiligheid ook tegen kunnen werken. De beste veiligheid is niet het moeilijkste wachtwoord, maar een combinatie tussen iets wat goed te doen is voor een gebruiker in verhouding tot hoe moeilijk het te kraken is. Een pincode van 10 cijfers is ook vast veiliger, maar niet te onthouden en daarmee onveiliger als mensen het gaan opschrijven. Je kan dat als falen van de gebruiker zien inderdaad, maar ik denk wel dat het twee kanten op werkt.
Nou ja, ik ben het wel eens dat de eisen soms contraproductief zijn ja. Maar ik ben nu zwaar voorstander van password managers, ik doe alles via KeePassX. Werkt perfect, en gebruik hierdoor onmogelijk te onthouden willekeurige wachtwoorden van 64 tekens (al zit er helaas regelmatig een maximum van 16 of 20 tekens aan de lengte 8)7 ), met leestekens, letters en cijfers. Tsja, soms is een gegenereerd woord niet geschikt volgens de regels van de website, die bijvoorbeeld vind dat een sequence "1234" niet in je wachtwoord mag zitten, zelfs niet als dit tussen "mowyH)";ae" en "K8;\,Uhy4" in staat. Dan schieten die regels hun doel volledig voorbij. Bovendien worden ook regelmatig wachtwoorden geweigerd waarin dingen als aanhalingstekens voorkomen.

Sinds ik een password manager gebruik ben ik nooit meer een wachtwoord kwijtgeraakt. Bovendien weet ik direct welke gebruikersnaam erbij hoort en wanneer ik het wachtwoord voor het laatst heb aangepast.

Een "lang wachtwoord van 4 woorden" doet me denken aan "correct horse battery staple" uit de XKCD-comic. Hier ben ik het ook niet helemaal mee eens. Ten eerste is het niet zo makkelijk te onthouden als zij zeggen, aangezien je met deze "random" woorden meer moeite hebt om de volgorde te onthouden dan van een willekeurige string van 8 karakters die niets betekent. Aangezien deze woorden wel betekenis hebben ben je automatisch geneigd om ze in een bepaalde volgorde te zetten waarop ze het meeste sense maken, terwijl als je dat daadwerkelijk op die volgorde zou gebruiken het wel weer makkelijker te kraken wordt omdat dat de logische volgorde is. Bovendien heb je met deze techniek geen wachtwoord van 25 karakters maar een wachtwoord van 4 woorden, wat het aanmerkelijk makkelijker maakt om te kraken. Lastiger dan een volledig random wachtwoord van 8 karakters, maar eenvoudiger dan een volledig random wachtwoor van 10-12 karakters. Er zit een kern van waarheid in de comic, maar er wordt hier op Tweakers iets te vaak mee gegooid als de "holy grail" op wachtwoord-gebied.
Je hebt zeker geen ongelijk, maar goed, je KeePassX heeft ook één wachtwoord waarmee je daarna toegang hebt tot al jouw wachtwoorden. De vraag is dan weer: hoe veilig is een password manager? En is dat dat de 'holy grail' van beveiliging?

En als je onderweg bent of ergens anders bent? Kan je dan bij je wachtwoorden? En KeePassX werkt niet op een telefoon of tablet, dus dan moet je je PC altijd bij de hand hebben?

Disclaimer: ik ken KeePassX verder niet, dus ik doe ook een beetje een aanname ;)

[Reactie gewijzigd door Luuk1983 op 18 augustus 2015 16:59]

En als je onderweg bent of ergens anders bent? Kan je dan bij je wachtwoorden? En KeePassX werkt niet op een telefoon of tablet, dus dan moet je je PC altijd bij de hand hebben?
Vreemd dat je een dergelijke opmerking maakt terwijl je zegt dat je Keepass niet kent. 8)7

Keepass werkt perfect op Android telefoons en tablets. Database in de cloud dus je kan altijd bij je wachtwoorden. Geen idee of er ook apps voor iOS en WP zijn.
Maar er zijn meer wachtwoordmanagers zoals Lastpass die in de cloud werken. Dus als het moet kom je onderweg wel bij je wachtwoorden.

[Reactie gewijzigd door Rivanni op 18 augustus 2015 17:04]

Maar er zijn meer wachtwoordmanagers zoals Lastpass die in de cloud werken. Dus als het moet kom je onderweg wel bij je wachtwoorden.
Maar die zijn grotendeels niet te vertrouwen, want ze zijn en niet open source en ze sturen dingen naar hun eigen server. Je weet dus niet of je wachtwoorden 1 goed versleuteld worden en 2 voor hun niet te lezen zijn. Keepass met sync via je eigen cloud server en de open source offline Keepass App voor je telefoon is eingelijk de enige echt veilige oplossing. Maar goed, genoeg mensen die wel techneuten zijn nemen het niet zo nauw. Van een leek kan je dat natuurlijk helemaal niet verwachten, en blijven we dus met z'n allen onveilig (althans degene die het nu allemaal wel goed genoeg vinden). Treurig maar waar.

Maar om even terug ontopic te komen: De mens blijft altijd de zwakste schakel. Daarom zijn dingen als plausible deniability voor versleutelde schijven ook zo belangrijk. Want het is altijd mogelijk de informatie uit een mens te krijgen met genoeg geweld.

Toch is tweetrapsauthenticatie een stuk veiliger voor het gros van de mensen. Je schiet er natuurlijk niets meer op als ze de tweede trap willens en wetens uit handen geven terwijl er toch al een miljoen keer tegen je wordt gezegd, dat de bank nooit om inloggegevens van jouw zal vraag in wat voor situatie dan ook.

[Reactie gewijzigd door Darkstriker op 18 augustus 2015 17:29]

Tsja, we willen nu eenmaal gemak en vertrouwen. Daarom gebruik ik geen password manager maar een makkelijk te onthouden, sterk genoeg, wachtwoord. Op deze manier kan er niemand via de cloud bij en kan ik het altijd en overal gebruiken.
Ook zie ik zo vaak mensen iedere keer een pincode op hun telefoon invoeren...
Als ze je apparaat afpakken komen ze er toch wel via een omweg in.
Van mij hoeft dat dus niet (enkel een sim pin en geen wachtwoord op tablet en pc). Ik gebruik dan geen bank apps maar een reader apparaatje van de bank zelf.
Totdat jij op een gegeven moment je wachtwoord naar een niet zo goed beveiligde dienst verstuurd, en deze gelekt wordt. Al je accounts op straat.
Tja, tot ze een site hacken waar je het wachtwoord in hebt staan. Kan je alles gaan aanpassen. Of erger, een beheerder met kwade bedoelingen. Juist door een goede wachtwoordmanager zoals KeePass beperk je de risico's tot slechts 1 punt. Namelijk Keepass en wanneer daar stront aan de knikker is dan is het wereldnieuws. Het is inmiddels erg populair.
Ik heb mijn hele familie en kennissenkring aan KeePass geholpen.

Door een slim systeem van vertrouwde mensen, zoals ouders en kinderen relatie is er een systeem opgezet waardoor na overlijden toch aan belangrijke gegevens kan worden gekomen. Ouders of goede vrienden hebben de masterwachtwoord en sleutel.

Door in het begin als ervaren gebruiker mee te helpen met opzetten en te leren wat er met het programma kan is er al heel wat ongemak voorkomen of snel opgelost. Wat te denken van gegevens van BSN, erzekeringen, bankrekeningen, belastingen, abonnementen, softwarelicenties enz. enz. Alles wat maar enigzins belangrijk is kan je er veilig in opslaan. En dat is erg handig wanneer je gegevens voor belastingdienst of bij calamiteiten moet invullen of oproepen.

[Reactie gewijzigd door Floor op 18 augustus 2015 22:41]

KeePassX vereist per password database ofwel een wachtwoord ofwel een sleutelbestand, ofwel beide. Ik heb wachtwoorden verspreid over 3 databases, met verschillende wachtwoorden en bijbehorend sleutelbestand, opgeslagen op een encrypted schijf met nog weer een extra wachtwoord. Alles kan gekraakt worden natuurlijk, maar je hebt er wel een zware dobber aan.

Holy grail van beveiliging, nee vast niet. Maar op dit moment is het in mijn ogen wel de best beschikbare oplossing om zowel veilig als relatief eenvoudig gebruik te maken van online accounts.
KeePassX vereist per password database ofwel een wachtwoord ofwel een sleutelbestand, ofwel beide. Ik heb wachtwoorden verspreid over 3 databases, met verschillende wachtwoorden en bijbehorend sleutelbestand, opgeslagen op een encrypted schijf met nog weer een extra wachtwoord. Alles kan gekraakt worden natuurlijk, maar je hebt er wel een zware dobber aan.
Het idee van een sleutelbestand is met name dat als een kwaadwillende dan toch je .kdbx bestand bemachtigd hij niet ook gelijk je sleutelbestand te pakken heeft. Daar ga je een beetje aan voorbij als je dat bestand samen met je .kdbx file op 1 lokatie backupped... dan kun je net zo goed geen sleutelbestand gebruiken.
Ik heb het natuurlijk niet zo staan:

MadEggsPasswords_Part1.kdbx
MadEggsPasswords_Part1.key

8)7

Op OwnCloud heb ik vele bestanden, waaronder ook op een paar locaties meerdere .key bestanden. De juiste staat nergens vermeld, maar weet ik wel te vinden. Het is niet waterdicht, en in zekere zin is het "security through obscurity" maar het is toch weer een extra horde om de password database te kraken. Zeker aangezien je bij een fout bij het openen van de password database niet weet of je de verkeerde toegangscode hebt ingevoerd of het verkeerde sleutelbestand hebt geselecteerd.
Totdat je hdd/ssd crasht waardoor je geen *.kbdx bestand meer hebt en het te lang is geleden dat je een backup hebt gemaakt waardoor je de helft van toegangscodes kwijt bent...
Dat is hetzelfde scenario als dat je de wachtwoorden gewoon vergeten bent (wat erg aannemelijk wordt als je voor 100+ websites een uniek wachtwoord gebruikt):

Je gebruikt de "Ik ben mijn wachtwoord vergeten" optie op de betreffende website, zodat je een mailtje krijgt met een link om je password te resetten (en hopelijk dus niet het wacthwoord zelf).

Als je dan ook niet meer bij je email kan, heb je inderdaad een probleem. Maar ik zie daarin geen verschil met het moeten onthouden van veilige en unieke wachtwoorden.
En daarom heb ik het dus in een encrypted container op OwnCloud staat, waardoor het automatisch gesynchroniseerd wordt met mijn desktop en mijn laptop en eventueel ook via de browser bereikbaar is, terwijl de owncloud bestanden 4 maal daags gebackupped worden in het datacentrum. Vrij onwaarschijnlijk scenario dus.
Het is niet makkelijker te kraken. Je maakt de denkfout dat de aanvaller weet welk type wachtwoord(zin) je gebruikt er daar de kraakmethode op aanpast. Die weet dat als het goed is echter helemaal niet, moet dus brute force toepassen en in dát scenario is een lange zin van onzinwoorden veiliger dan een kort wachtwoord met ingewikkelde tekens.

Enfin, het is altijd een afweging tussen gemak en een bepaald risico.
Ik zie niet zo goed hoe je bedoelt dat MadEgg een denkfout maakt. Maar hackers denken wel degelijk na over de opbouw en structuur van wachtwoorden.. Leesvoer: Arstechnica: Why passwords have never been weaker and crackers have never been stronger (2012).. (linkje kopiëren werkt even niet op WP10, but google is your friend ;) )
die complexiteit is nodig om de karakterset zo uitgebreid mogelijk te houden.
Simpel gezegd als je 1 cijfer nodig hebt, zijn er maar 10 mogelijkheden, als je 1 karakter nodig hebt, dan zijn er plots 255 mogelijkheden. Verhef dat tot de macht met het minimaal aantal karakters en je hebt plots véél meer tijd nodig om een paswoord te kraken. Dat zinnen goede paswoorden zijn weten we allemaal, dat mensen niet creatief genoeg zijn om er telkens een te onthouden dat is hun probleem.
Random voorbeelden:
Ik ben 16 jaar
Jan heeft 1 broer
Ma eet 2 appels
...
Ik ben zelf ook niet een ster in het onthouden van wachtwoorden. Ik gebruik nu al een jaartje of 2 de volgende methode:
- ik pak (bijvoorbeeld) de tweede en vierde letter uit de website\instantie waar ik in wil loggen (met hoofdletters)
- gebruik een leesteken
- gebruik een simpel te onthouden wachtwoord (naam van hond, kat, ect)
- gebruik weer een leesteken
- eindig met een 4 cijferig getal (postcode, jaartal), deze pas ik eens in het jaar aan.

100% veilig is het niet. Het is echter makkelijk te onthouden en zorgt ervoor dat je wachtwoord niet overal exact hetzelfde is.

Voor tweakers zou dit kunnen zijn:
WA%lassie%1337
Bij de abn zou dit bij
BA%lassie%1337
etc.etc..

Bijkomend voordeel is dat mijn vriendin de truck kent en en ook gebruikt. We hoeven nooit eerst bij elkaar te gaan vragen wat het wachtwoord ook al weer was voor (bijvoorbeeld) ziggo.
Dat zal best werken. Nadeel is wel dat niet alle sites hun Security goed op orde hebben. Toch jammer als je wachtwoord methode zo zichtbaar kan worden. Een goede password manager is volgens mij toch echt het veiligst.
Ik gebruikt een wachtwoordmanager en erger me meer aan sites die als eis stellen dat een wachtwoord maximaal 8 tekens mag zijn (Online.nl) of bijvoorbeeld geen speciale tekens mag bevatten...
Beetje offtopic, maar het probleem zit 'm vaak ook in de eisen die er gesteld worden. [...]
Hierdoor kan mijn vriendin haar wachtwoord van internetbankieren maar niet onthouden [...]
Die eisen aan het wachtwoord zijn goed.
Het probleem is het "onthouden." Dat werkt niet meer bij, zoals ik, meer dan 60 (verschillende dus) wachtwoorden privé en voor het werk.
Dus gebruik je een wachtwoorden manager. Er zijn er vele. Password Safe is ook goed. Allemaal hebben ze hun eigen voor- en nadelen.
Maar aan de andere kant, een digibeet mag toch ook weten dat je je bankpas niet afgeeft? Je gaf vroeg je chequeboekje toch ook niet zomaar aan iemand?
Als men echt wil komen ze overal in. 2FA is vooral goed voor iedereen die niet aan je Phone (of ander apparaat datje gebruikt) kan komen. (= zeer goed voor Online dus).

Ik vind het een must voor emailaccounts. Daarmee kan je vaak namelijk in andere accounts komen.

[Reactie gewijzigd door SmokingCrop op 18 augustus 2015 16:44]

Ik gebruik self-hosted e-mail op een eigen server zonder password recovery, met een sterk wachtwoord. Werkt prima. Geen 2FA voor nodig. Zou het ook lastig maken om te gebruiken in mail-software natuurlijk, bij mijn weten ondersteund Thunderbird geen 2FA.

Daarbij heb ik regelmatig mijn telefoon niet bij me, terwijl ik altijd bij mijn password database kan. Heb dus overal 2FA uitgeschakeld waar dat mogelijk is, veel te veel gehannes en voor mij absoluut 0 toegevoegde waarde / veiligheid. Met uitzondering van internetbankieren, ik ben blij dat ik daar zowel mijn pinpas als mijn pincode voor nodig heb.
Nja, ik had vergeten zeggen dat ik het over webmail had à la gmail/outlook. :)
Bij gmail/outlook kan je dan ook een "app-code" laten genereren om een programma zoals Thunderbird te laten werken.

Persoonlijk heb ik net overal waar mogelijk 2FA ingeschakeld. Gewoon bv thuis aanklikken dat het een vertrouwde computer is (dan is slechts eenmaal de code nodig). Onderweg heb ik sowieso m'n smartphone bij voor de offline 2FA app.

[Reactie gewijzigd door SmokingCrop op 18 augustus 2015 17:31]

misbruik te maken van de naïviteit van de (digibete) ouderen.
ik ben het met je eens dat het schandalig is wat die lui doen.

Vergis je echter niet het is niet altijd naïviteit. Mijn overgrootmoeder is overvallen 94 kranige tante die nog zelfstandig woont. Die gasten lopen gewoon direct naar binnen gaan zitten op een stoel en beginnen een babbel.

Zegt ze nee, blijf af van m'n portemonnee man negeert het. En is voor ze het wist het huis uit.

Leven gaat langzamer, ze heeft geleerd vreemden te vertrouwen (thuiszorg, tafeltje dekje etc). Als een vriendelijke jonge gast aanbiedt uitleg te geven hoe de telefoon werkt (envelopje openen etc) zijn ze vaak blij, ze vergeten dat steeds herhaling helpt leren, en bovendien is aandacht, even niet alleen fijn.

Als zo'n gast zegt: hij doet het niet, dan moet dit dingetje er uit, kijk mevrouw nu doet hij het weer goed, geloven ze dat. Logisch, zou ik ook doen als ik zo oud ben en nieuwe techniek voor me kiezen krijg.

Alleen waar haal je de brutaliteit vandaan om mensen zo te behandelen. Tuig, naar de heropvoeding met die gasten. En bij de slachtoffers schoonmaken en koken een hele week. Met controle van kwaliteit: alles moet blinken.

[Reactie gewijzigd door djwice op 18 augustus 2015 21:12]

Hoe loop je zo naar binnen bij een zelfstandige woning? Ik kan mij mijn grootouders echt niet zo naar binnen lopen hoor.. Bij mijn ouders overigens ook niet.

[Reactie gewijzigd door EraYaN op 19 augustus 2015 00:57]

Heel simpel, simpatieke man belt aan, vrouw doet open, man duwt duur verder en duwt vrouw opzij.
2 factor authentication werkt wel.
Dit is het enige wat een hacker tegenhoudt als een van de volgende dingen gebeurt:
  • Een random site waar je ooit eens een account hebt gemaakt gehacked wordt. Database belandt op straat, zwakke encryptie van de wachtwoorden,... Altijd zelfde verhaaltje. Lang leve password-reuse (op meerdere sites hetzelfde wachtwoord gebruiken), en je facebook schijt binnen de korste keren spam, je emails worden gedownload (altijd leuk als je ooit eens een kopie van je ID hebt doorgestuurd naar iemand, maakt de situatie nog slechter)
  • MITM attack (op vakantie bij de "gratis wifi")
  • Iemand die over je schouder meekijkt naar het wachtwoord dat je intikt
  • ...
Kom niet af met 1Password of dergelijke, want als je daar het hoofdwachtwoord van weet, dan is het prachtig. Elke site waar je een account op hebt met bijhorende login-gegevens.
2 factor-authentication kan dus echt wel een life-saver zijn.
Het grappige van de zaak is dat facebook en gmail al wel 2 factor authentication hebben, maar PayPal nog altijd niet.
/end of rage
Edit: goede argumenten onder mij, over 1Password kom ik dus terug.

[Reactie gewijzigd door lampstoelkast op 18 augustus 2015 17:14]

Hoofdwachtwoord van 1Password (of mijn mijn geval, de drie hoofdwachtwoorden van KeePassX) moet je natuurlijk niet kwijtraken, net zo min als het sleutelbestand. Dat moet zéker niet overeenkomen met het wachtwoord op een of andere random site die gehackt wordt. Het idee is nu juist dat je voor elke site een ander wachtwoord gebruikt om dat soort issues te voorkomen.

MITM is in álle scenario's een groot risico. Daar helpt 2FA weinig tegen; als je de MITM kan zijn kun je ook de aan de gebruiker gepresenteerde gegevens modificeren om zo onwelkome handelingen uit te voeren. Daarom gebruik ik dan ook altijd een VPN-verbinding naar mijn server om dat risico te ondervangen.

Iemand die over je schouder meekijkt heb je ook geen last van met een password manager, die copy-paste je dan namelijk vanuit je password manager, die hem ook na 5 seconden weer uit het geheugen wist. Nooit zichtbaar op het scherm, wel veilig ingelogd. En natuurlijk moet je dat nooit op untrusted devices doen, want dan heb je ook weer een vorm van MITM te pakken.
Hoe bevalt jou KeePassX? Ik gebruik nog gewoon KeePass 2. Is X fijner?
Vind ik wel. De reden dat ik KeePass niet gebruik is dat dat gebouwd is met .net / mono. Dat werkt wel op Linux en Mac OS X maar de UI ziet er (IMO) niet uit op een OS anders dan Windows. Het matcht gewoon niet met de rest van de UI. KeePassX is gebouwd met Qt als UI toolkit, welke er wel "native" uitziet op zowel Linux, Mac OS X als Windows. Vandaar. Bevalt me in ieder geval prima, feature complete, stabiel en snel.
Zo zie je maar weer, tweetrapsauthenticatie helpt ook niet.
Het helpt wel degelijk, het maakt het een stuk moeilijker voor criminelen, en dat is exact de bedoeling. Geen enkele beveiliging is 100% veilig.
Ik zie een crimineel nog geen moeite doen om mijn e-mail account te lezen. Volgens mij gebruikt alleen ING authenticatie via een sms. Ik heb een kleurenscanner. Hier is misbruik gemaakt van goedgelovigheid van ouderen die nog een blind vertrouwen in papieren communicatie hebben.
Als ik hier mijn username en passwords dump... dan werkt de beveiliging toch ook niet meer door mijn toedoen?
Zonder deze SIM-kaarten konden deze criminelen niet internetbankieren ;-)
Hoe wil je tegen iets beveiligen als de eigenaar van de bankrekening in principe volledig meewerkt aan zon actie? Je kunt alles blokkeren maar dat lijkt me ook niet zon succes.
Uiteraard is er altijd een manier om bij je data te komen, anders kan je ze net zo goed weggooien.
Je SIM kaart afgeven aan een bankbediende, die snap ik niet helemaal. Bankpas kan ik nog begrijpen. Maar dit doe ik toch echt alleen bij de bank zelf. :o
Bankpas kan ik nog begrijpen. Maar dit doe ik toch echt alleen bij de bank zelf. :o
Hoewel de bankpas vaak formeel nog steeds van de bank is, zou ik zelfs dat niet doen. Geen uitzonderingen: ik geef mijn bankpas niet af.
Als de bank mijn bankpas wil, blokkeren ze de huidige maar...
Meestal hebben ze je pas nodig als je in het kantoor staat en je wat wilt laten uitzoeken.
Of als je een nieuwe rekening wilt open.

Geef je dan je pas ook niet af als je er naast staat?
Dan hoef je em toch nooit af te geven? Bij de ING in Utrecht hoeven ze hem soms alleen in een lezer te hebben, aan de klant kant van de balie. (Sure, ze kunnen in dat bankgebouw de lezer vervangen om je PIN af te vangen maar dan is er veel meer mis)
Bij de ABN vragen ze er altijd om als je wat wilt regelen.
Vandaag mijn opmerking. Ik weet niet hoe ze dat bij andere banken doen
inderdaad, willen ze mijn kaart terug, dan zal dat met een paar leuk geplaatste gaatjes zijn, is die ouwe perforator toch nog ergens nuttig voor :+
Ja jij en ik wel, maar vergeet niet dat een heleboel mensen dat niet doorhebben, en het dus gewoon zullen afgeven/opsturen als erom gevraagd wordt., zeker als het heel erg officieel klinkt of er er zo uit ziet.
Vraag me vooral af hoeveel pogingen ze hebben moeten doen om zes maal succesvol te zijn? Het is op deze manier ook plunderen in verschillende trappen, na het hacken van de computer moet je ook nog is de bankpas en simkaart bemachtigen

Met wat voor smoes geven mensen zowel hun simkaart als bankpas af?
Ik heb geen idee.. maar zelfs als digibeet kun je hier toch bijna niet intrappen. Ik bedoel, er moet toch ergens een lampje gaan branden op het moment dat je je bankpas overhandigd; dat is niet meer digibeet, dat is gewoon stom. en dan ook nog is je simkaart erbij, ik snap het niet hoor.

[Reactie gewijzigd door garriej op 18 augustus 2015 16:42]

Nog erger, ze moeten ook hun inloggegevens / PIN code hebben afgegeven. Anders hebben die criminelen nog niks aan de pas en simkaart.. 8)7
Die hadden ze al met Phising mails gekregen.
De telefoon + pas ophalen is 'stap 2'.
Ze gaan ook niet voor niets achter een zwakke doelgroep aan. Bejaarden zijn vaak al afhankelijk van anderen voor het regelen van financiën, kunnen al die veranderingen nauwelijks bijbenen, etc. en wanneer er dan iemand aan de deur komt met een vlotte babbel, dan zal dat wel waar zijn.
Hoe kan je nou zo enorm naief zijn om en je SIM en je bankpas af te geven? En dan zeker ook nog incl PIN van beide? Zelfs mijn (extreem digibete) oudtante van 80 zou dat nog niet doen. En dat is toch de meest naieve persoon die ik ken.
Heeft met naïviteit niet zoveel te maken, meer met onwetendheid. Niet iedereen is techneut, en heeft verstand van dat soort zaken. En echt niet alleen ouderen. Zeker als het officieel van de bank lijkt te komen, zal een aanzienlijk deel van de mensen echt niet doorhebben dat het *niet* legitiem is, en gewoon doen wat er gevraagd wordt.
Dat is dan waarschijnlijk ook het soort mensen wat onder een steen leeft? Want volgens mij is er de afgelopen jaren ruimschoots middels Postbus 51 spotjes e.d. gecommuniceerd dat banken nooit dit soort dingen zullen doen.
Niet iedereen ziet die spotjes, en niet bij iedereen blijft dat hangen. Termen als 'onder een steen liggen' zijn bijzonder denigrerend.

Nogmaals: niet iedereen is techneut, en als het er maar legitiem genoeg uitziet (alsof het écht van de bank, of een andere officiele instantie, af komt) heeft een flink deel van de mensen gewoon niet in de gaten dat het niet legitiem is.
Het zal ongetwijfeld te maken hebben met mijn referentiekader :)

Gelukkig heb ik de ouderen in mijn familie goed 'opgevoed' op dit vlak. Als iedere Tweaker dit zou doen dan scheelt het vast ook een stukje.
Ik heb pas geleden op een beveiligingssite allemaal vragen over phishing mails moeten beantwoorden;.
Er werden 20 screenshots getoond en ik had 18 ervan goed geraden.
m.a.w. iedereen kan erin trappen.
Ken de test verder niet, maar aan de hand van een screenshot zou ik ook niet alles kunnen herkennen. Maar als er vervolgens een link in zit die niet daar de goede site gaat heb ik dat echt wel door.
"zo konden de dieven speciale codes bemachtigen die sommige banken ter verificatie naar een mobiele telefoon sturen."

Kortom, smsjes / tancodes van de ING ontvangen?

Tja, tweetrapsauthenticatie werkt dus prima, zolang het maar een aparte app is die zichzelf onbruikbaar maakt bij wijzigingen aan de telefoon, niet een SMS die via het onveilige GSM netwerk verzonden wordt (en dus ook op andere manieren te achterhalen is!).

Het nieuwsbericht klinkt als heel wat, maar het blijft beperkt bij 'normale' phishing en een sim-kaart diefstal. Ben benieuwd of de slachtoffers alleen gevallen zijn onder ING klanten.
Sowieso krijg je een blokkade voor TAN codes via SMS van 12 uur wanneer je een andere SIM krijgt of je SIM in een ander toestel plaatst. Dus ook daar is aan gedacht; moet het in die tijd wel gemeld of duidelijk worden. Dat is blijkbaar ook niet gebeurd.

https://www.ing.nl/partic...tijdelijk-geen-tan-codes/
De dieven wisten slachtoffers ertoe over te halen hun bankpassen en simkaarten te overhandigen.
De zwakste schakel is wederom de mens. Blijkbaar is nog steeds niet duidelijk waar je op moet letten en dat je niet alles kunt vertrouwen. Lastig dat ouderen hier moeilijk mee om kunnen gaan. En toch is het eerste wat ik mijn grootouders zou vertellen dat ze hun wachtwoorden, pasjes en telefoons nooit moeten afgeven. Verder zou je kunnen voorstellen om voor ouderen (of iedereen) een regeling te treffen waarbij ze naar de bank moeten in persoon om voor een hoog bedrag te tekenen. Maar ik vrees dat dat ook weer lastig gaat zijn voor die mensen. Het is een moeilijke kwestie, maar ik denk dat educatie de enige oplossing is.
En toch is het eerste wat ik mijn grootouders zou vertellen dat ze hun wachtwoorden, pasjes en telefoons nooit moeten afgeven.
Da zet ik de oudjes voor het blok in mijn oplichtingsverhaal. Als ik niet de sim of het pasje mag meenemen moet het hoofdkantoor zaken regelen en dan kunt U minstens drie weken niet bij uw rekening en bij uw geld en stagneren ook alle betalingen. Aan U de keus, mevrouw.
Als ik nu een koerier langs mag sturen is het vandaag nog geregeld.
De zwakste schakel blijft altijd de mens, hoe veel technische maatregelen je er ook tegenaan gooit. Daarom is het belangrijk dat er aandacht wordt besteed aan het verbeteren van het beveiligingsbewustzijn bij mensen.
Precies. Iedereen vindt het normaal om naast een voordeurslot ook nog een paar extra beveiligingen op de deur te hebben, en gebruikt die ook. Dat is ook ooit ingevoerd. Hetzelfde met digitale beveiligingen. Het probleem is alleen dat techneuten het altijd in technische oplossingen zoeken. En in de ICT zijn (te)veel techneuten en te weinig mensen met mensenkennis en kennis van gedrag.
Uiteindelijk is de bepalende factor voor veiligheid de gebruiker zelf. Ouderen zijn meestal niet heel technisch aangelegd, maar ik denk dat ze intussen wel weten dat je geen pincode moet afgeven. Het gevolg is dus dat criminelen andere dingen gaan proberen om zo toch mensen dingen te laten doen zonder meteen TE overduidelijk te zijn in hun intentie.
Dus login via phising en daarna bankpasje of simkaart via post afhankelijk van welke bank
Hoe komen ze in hun internet bankieren dan? Dat is geen bank loket waar je even heen loopt.
Dus ook login gegevens afhandig gemaakt?

Ben ook wel benieuwd hoeveel mensen nu eens in deze troep trappen, gewoon uit interesse. Want als het een enkeling is, nja. Maar straks hebben deze pikkies het bij vele duizenden mensen geflikt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True