'Criminelen lezen mee met WhatsApp-accounts Nederlandse ambtenaren'

Criminelen lezen mee met WhatsApp-accounts van een burgemeester, wethouders en gemeenteraadsleden, meldt Omroep Brabant. De accounts zijn overgenomen via bekende fraudetrucs met verificatiecodes. Dat is te voorkomen met tweetrapsauthenticatie.

Volgens Omroep Brabant waarschuwen de politie en het Openbaar Ministerie voor de fraude in een intern document, dat in handen is van de omroep. In de afgelopen weken zouden meerdere accounts van 'burgemeesters, wethouders en gemeenteraadsleden' zijn overgenomen.

Landelijk zou het eind oktober gaan om twintig slachtoffers, waaronder één burgemeester, twee wethouders, twee journalisten en medewerkers van brandweer, gemeenten en ministeries. De gemeente Den Bosch bevestigt tegenover de omroep dat een aantal medewerkers op het gemeentehuis slachtoffer zijn, waaronder het hoofd communicatie.

De criminelen konden alle chats meelezen en probeerden mensen in de contactenlijst van de slachtoffers geld afhandig te maken, zegt Omroep Brabant. Of de inbrekers ook andere bedoelingen hadden met de WhatsApp-accounts van ambtenaren, is niet bekend.

De inbrekers zouden zijn binnengedrongen met een bekende fraudetruc met verificatiecodes, waar bijvoorbeeld Fraudehelpdesk begin dit jaar al voor waarschuwde. De aanvaller downloadt WhatsApp en geeft het telefoonnummer van het slachtoffer op. Het slachtoffer krijgt vervolgens een sms met een verificatiecode. Als de aanvaller die code kan achterhalen, krijgt deze volledige toegang tot het WhatsApp-account. Hoe de criminelen de sms-codes van de ambtenaren hebben achterhaald, is niet bekend. Fraudeurs doen dat veelal door het slachtoffer te verzoeken deze door te sturen. Dat doen ze bijvoorbeeld met een ander overgenomen account, zodat het slachtoffer geen argwaan heeft. Een andere methode is om de code te laten inspreken in een voicemailbericht, en die voicemail van een afstand te benaderen. Ook daar zetten veel gebruikers geen wachtwoord op.

WhatsApp-gebruikers kunnen deze vorm van fraude eenvoudig voorkomen door verificatie in twee stappen in te schakelen. De gemeente Den Bosch adviseert dat nu ook aan werknemers. Getroffen gebruikers dienen de app te verwijderen en opnieuw te installeren, om zo een nieuwe verificatiecode te verkrijgen.

Reacties (103)

sandervd00 2 november 2020 17:33

Het is toch überhaupt onbegrijpelijk dat de overheid Facebook producten gebruikt. Onbegrijpelijk. Wordt er daar niks aan educatie of voorlichting gedaan?

sam_vde @sandervd00 • 2 november 2020 18:34

Vind je dan ook dat smartphones moeten gebannen worden uit een overheid? Of denk je echt dat het daarmee zoveel beter gesteld is?

Er is trouwens amper een kritische noot over Facebook te vinden ondanks Cambridge Analytica en Snowden. Zoek er Tweakers maar eens op na. Wat zegt dat dan?

GeoBeo @sam_vde • 3 november 2020 19:23

Vind je dan ook dat smartphones moeten gebannen worden uit een overheid? Of denk je echt dat het daarmee zoveel beter gesteld is?

Ik denk dat het oneindig schaamtevol (en voor politiek en veiligheid heel gevaarlijk) is dat Europa als geheel geen enkel antwoord heeft op Android en iOS.

Europese politici zouden Europese hardware en software moeten gebruiken. Punt. Alles dat Amerikaans is, is per definitie, verplicht, expres en volgens de Amerikaanse wetgeving zo lek als een mandje. Zie Snowden.

Het is werkelijk helemaal idioot dat in feite alle Europese communicatie tussen alle politici van belang afgeluisterd kan worden door Amerika (als Amerika dat belangrijk genoeg acht). Door Android of iOS te gebruiken geef je als Europese politiek (en academici en bedrijven trouwens ook) in feite al je geheimen vrijwillig weg. Tot overmaat van ramp: er wordt niet eens geprobeerd smartphones (bomvol met lekke bloatware en spyware van Aziatische en Amerikaanse makelij) een beetje veilig in te richten.

Dit extreem laagdrempelig afluisteren van relatief lage ambtenaren is een piepklein topje van de ijsberg van mogelijkheden voor vijandige en vriendelijke mogendheden.

klakkie.57th @sam_vde • 3 november 2020 01:08

Waarom meteen bannen
Gewoon goen beheren. Ambtenaren horen niet te communiceren via whatsapp maar via een beveiligde app onder het beheer van de staat.

Verwijderd @klakkie.57th • 3 november 2020 10:18

Ah ja, en welke app is dat dan? En werkt die een beetje gebruiksvriendelijk? Stel dat de MDM policy je dwingt iedere 3 weken een ander wachtwoord in te stellen wat in niets mag lijken op het vorige, zodat je iedere keer een dermate cryptisch wachtwoord moet gebruiken wat niet te onthouden is zodat je het wel gaat opschrijven. En stel dat op willekeurige momenten de policy vindt dat je je hele telefoon weer opnieuw moet instellen. En stel dat je dit toch iedere keer braaf doet, dan mag je met zo'n telefoon alleen vertrouwelijke gegevens delen door de ander te bellen, SMS en direct-messenger apps zijn niet toegestaan, handig hé?

Overigens blijkt uit het artikel niet dat slachtoffers whatsapp gebruikten voor zakelijke communicatie. Dat is een suggestie waar iedereen blind vanuit lijkt te gaan. Dat zal bij een aantal personen wellicht het geval zijn geweest, maar het hoeft dus niet.

klakkie.57th @Verwijderd • 3 november 2020 10:25

Overdrijven is ook een kunst

Paswoord policies, hebben niets maar dan ook niets te maken met het gebruik van een mdm, dat zijn gewoon afspraken. De mdm dwingt deze gewoon af.

Ik sta ervan versteld hoe mensen die vaak hogere studies hebben gedaan, staan te zeuren over een paswoord. Hoe heb je in hemelsbaam ooit een diploma kunnen halen als je nog geen paswoord kan onthouden.

Een app met de functionaliteit van whatsapp lijkt me nu niet bepaald moeilijk om zelf te schrijven als overheid, steeker nog andere landen doen dit al

[Reactie gewijzigd door klakkie.57th op 23 juli 2024 00:24]

janbaarda @sam_vde • 3 november 2020 00:32

De overheid moet zorgen dat haar medewerkers op een veilige en gemakkelijke kunnen communiceren. Voorbeelden zijn Frankrijk en Duitsland, waar voor gevoelige communicatie het matrix protocol wordt gebruikt.

Angelevo @sam_vde • 2 november 2020 21:35

Is dit sarcasme? Een korte search op tweakers gaat je niet de info geven die je nodig hebt om hier een geïnformeerd standpunt over aan te nemen.

Facebook weet dat hun algoritmes mentale problemen veroorzaken, mensen hersenspoelt naar conspiracy theorieën en radicaliseert. Doen ze niks aan, want dit levert meer geld op.

Tristran is een van de meest bekende klokkenluiders van dit probleem, maar een beetje research bij de juiste bronnen leert dat veel wetenschappers met het probleem bezig zijn en dat men probeert om de wetgeving bij te laten stellen. Wordt wel lastig door de macht van deze grote bedrijven.

Ik gebruik whatsapp ook, maar steek niet mijn kop in het zand voor het potentiële gevaar. Gevoelige info verstuur ik alleen via P2P encrypted kanalen, alles van whatsapp gaat sowieso langs de FB servers, waar ze beweren niks op te slaan, en wij kunnen geloven of niet, maar niet weten of het waar is.

We moeten de wereld weer een beetje de andere kant op proberen te sturen met z'n allen. Let's see if we can pull it off.

sam_vde @Angelevo • 2 november 2020 22:29

Nee, ik probeer duidelijk te maken dat die reactie de bal compleet misslaat.

Verder ben ik het volledig met je eens, maar weinig hoopvol (zie ook de reacties op de censuurgolf die momenteel die platformen teistert).

P. vd Loo @Angelevo • 2 november 2020 22:49

Moeten? We? Het is jouw visie.
Andere kant? Welke andere kant? Waar we Engels spreken?

jmmk @sam_vde • 2 november 2020 23:55

Precies, je zou denken dat het hele gedoe rond Cambridge Analytica meer dan voldoende reden zou zijn om WA te mijden als de pest. Maar nee, gemak is kennelijk veel belangrijker dan het principe dat die tent de democratie ondermijnt. Ik heb de nodige Amerikaanse vrienden, allen democraten, die hier heel verbaasd op reageren: tja, nu je het zegt, nooit zo over nagedacht. Alsof je eigen dagelijkse handelen niks met het overkoepelende geheel te maken heeft. Of ze antwoorden met de dooddoener: of ik het nu wel of niet gebruik, maakt voor het geheel niks uit. Dat klopt individueel natuurlijk wel, maar als principes wat zwaarder zouden doorwegen in de dagelijkse keuzes van velen, zou dat behoorlijk uitmaken.

YopY @sandervd00 • 2 november 2020 17:39

Oh vast wel, maar dat lappen ze aan hun laars, want whatsapp is zo makkelijk en de anderen gebruiken het ook.

Het gebruik wordt ook toegestaan, mits het maar voldoet aan de Wet Openbaarheid Bestuur (kwam ik achter bij wat googelen: https://www.raadvanstate.nl/@114477/201800258-1-a3/

segil @YopY • 3 november 2020 08:16

Ja, heel gek... het zijn net mensen, die ambtenaren

noppus @YopY • 3 november 2020 10:03

Dat is wel een heel creatieve manier van lezen van die uitspraak. De RvS heeft geconstateerd dat er communicatie heeft plaatsgevonden over bestuurlijke aangelegenheden en dat betekent dat het vastgelegd moet worden. (En dus WOB-baar)

Dat zegt niks over de vraag of WA gebruikt MAG worden. Als men had gecommuniceerd op andere plaatsen die tegen de wet zijn (via een holocaustontkennersforum of een kinderporno-app of verzin maar iets verbodens) dan zou dit ook WOB-baar zijn.

jpsch @sandervd00 • 2 november 2020 18:11

Als Grapperhaus en Halsema via WA communiceren over demonstraties op de Dam en eventuele ontruimingen, gaat de rest echt niet WA mijden.

FrostyPeet @sandervd00 • 2 november 2020 19:44

Het "probleem" is dat Whatsapp goed werkt en alles doet wat nodig is - gratis! Dat er vaak gegevens van derden overheen gaan, is niet hun zorg. Het gaat 999 van de 1000 keer goed. En die ene keer sorry roepen en "commissie", en "hacker, is ons overkomen".

WA zal waarschijnlijk verboden worden als er iets genants lekt van een heel hoog persoon in de regering.

boolean @sandervd00 • 2 november 2020 21:42

Eigenlijk is hieronder al het nodige al gezegd. Als het hoofd communicatie hier intrapt, zegt dat meer over de (dis)kwalificatie van deze persoon dan de kundigheid van de hackers of de beveiliging van WhatsApp. Toen ik nog jong en onbezonnen was heb ik ontzettend veel plezier beleefd aan zelf geschreven exploits die voornamelijk afhankelijk waren van de domheid/onwetendheid van mensen. Het gemiddelde effectiviteitspercentage was >70% wat ik nog steeds schrikbarend hoog vind. Als mensen zich meer in de materie zouden verdiepen, waren mijn exploits lang niet zo effectief geweest.

Datzelfde zie je nu overigens ook ontstaan bij de hele coronamaatregelen discussie. Of mensen nou voor of tegen zijn, veelal worden niet de juiste argumenten aangedragen omdat ze zich onvoldoende in de materie hebben verdiept.

Blijkbaar laten mensen zich liever bij de neus nemen dan dat ze de moeite nemen de wereld om zich heen beter te begrijpen.

caipirinha @sandervd00 • 3 november 2020 10:37

Jawel hoor, gebruik van Whatsap en een aantal ander progs is bij ons niet toegestaan.
Wat mij betreft zou alles van google en microsoft ook op die lijst mogen staan maar dat is uiteraard mijn persoonlijke mening.
Medewerkers moeten zich er dan wel aan houden en vooral politici hebben geen boodschap aan dat soort beperkingen. Het verbod geldt helaas niet bij alle overheidsorganisaties.

Smartphonetips @sandervd00 • 2 november 2020 20:59

Het probleem is hier niet Facebook, maar personeel. Je zou ervan verschieten hoeveel ambtenaren argeloos in phishing pogingen trappen.

andreetje @Smartphonetips • 2 november 2020 21:30

Het zijn net gewone mensen.

Smartphonetips @andreetje • 4 november 2020 19:44

Inderdaad, vreselijk gewoon 😂

tonkie_67 @sandervd00 • 2 november 2020 19:35

Dat de afdeling communicatie FB gebruikt om FB msgs te posten en evt chatter mbt de gemeente te volgen snap ik nog wel. Maar zorg ervoor dat zijn phoon en app goed beveiligd zijn (oa 2trap maar ook checken op andere installed apps)
Maar dat andere ambtenaren FB gebruiken voor zakelijke berichten snap ik echt niet...

nullbyte @sandervd00 • 3 november 2020 16:01

Niet gerubriceerde informatie mag gewoon over reguliere media verlopen. Dit is niet onbegrijpelijk, onbegrijpelijk is wel dat jij een ongezouten mening hebt gevormd op basis van een 50 regels tellend artikel op Tweakers waarin nogal wat feiten en regels ontbreken.

Faloude @sandervd00 • 2 november 2020 17:39

Vanaf het moment dat ik officiele straatborden zag met "WhatsApp buurtpreventie" had ik al door dat we de verkeerde kant op gingen. Nu is buurtpreventie nog een knusse peer-to-peer gelegenheid, maar ik zag het al aankomen dat dit soort closed source applicaties in handen van bedrijven die geen moer geven om privacy, door ambtenaren gebruikt zal worden. Jammer.

hostname 2 november 2020 17:26

Ik vraag me wel af hoe dit in zijn werk gegaan is. Voor zover ik weet is WhatsApp maar op één apparaat tegelijk te activeren. Zodra de criminelen het account overgenomen hadden, zou deze dus gedeactiveerd zijn bij de ambtenaar. Dan kunnen ze zich wel voordoen als de ambtenaar, maar meelezen lukt niet. Bovendien zou de ambtenaar dat vrij snel (de eerstvolgende keer dat hij WhatsApp wil gebruiken) door moeten hebben.

[Reactie gewijzigd door hostname op 23 juli 2024 00:24]

guillaume @hostname • 2 november 2020 17:35

Nee inderdaad, de ambtenaar is gewoon locked out, totdat WhatsApp het weer toelaat het account opnieuw op 't oorspronkelijke apparaat te registreren. "Meelezen" is dus niet het goede woord, maar berichten aan het slachtoffer en alles wat in de WhatsApp-groepen gebeurt (inclusief de telefoonnummers van de groepsleden) worden dus wel allemaal onderschept.

[Reactie gewijzigd door guillaume op 23 juli 2024 00:24]

Luc45 @hostname • 2 november 2020 17:42

Gesprekken meelezen gaat inderdaad niet, want de ambtenaar heeft geen toegang meer tot WhatsApp. Echter worden er natuurlijk nog wel berichten ontvangen, dus als iemand (vertrouwelijke) informatie naar de ambtenaar verstuurt, komt deze bij de kwaadwillende binnen. Tot de ambtenaar door heeft dat het account op een ander toestel geactiveerd is en hem weer heractiveert op het eigen toestel. Overigens heeft de kwaadwillende dan al vaak zijn slag geslagen, door het verder verspreiden van berichten naar de contacten / groepen.

Cerebrus @Luc45 • 2 november 2020 18:31

Of zou dit misschien kunnen door de ambtenaar zover te krijgen dat ze een QR code scannen waarmee de webversie geactiveerd wordt?

Luc45 @Cerebrus • 2 november 2020 18:41

Dan zou er meegelezen kunnen worden. Dit artikel gaat echter over de verificatiecode fraude, die het gehele WhatsApp account overneemt naar een eigen device.

frickY @Luc45 • 2 november 2020 21:05

Dat kan ook een aanname zijn van de redacteur of bron.

Technisch is dat vrij onwaarschijnlijk.

Luc45 @frickY • 2 november 2020 21:59

Waarom is dat zeer omwaarschijnlijk? Er staat zelfs een bron bij van de fraudehelpdesk waar deze phishing methode uitgelegd wordt.

frickY @Luc45 • 3 november 2020 15:31

De verificatie SMS luidt:

Jouw WhatsApp-code: ******

Je kunt ook op deze link tikken om je nummer te bevestigen: https://v.whatsapp.com/xxxxxx

Deel dece code niet met anderen.

Ik vind het waarschijnlijker dat er een andere methode is, dan dat een ambtenaar deze code doorgeeft of op de link klikt.

[Reactie gewijzigd door frickY op 23 juli 2024 00:24]

SacredRose @Cerebrus • 3 november 2020 01:31

Werkt de webversie van whatsapp niet alleen als je op het zelfde netwerk zit of is dat veranderd?

Bear312 @SacredRose • 3 november 2020 13:41

Zojuist even gecheckt. Mijn laptop (aangesloten op wifi), kan WhatsApp Web gebruiken terwijl m'n telefoon over 4g gaat.
Hoeft dus niet (meer) op hetzelfde netwerk.

Suncatcher @hostname • 2 november 2020 17:31

Ik dacht eerst aan een bepaalde vorm van spoofing, maar daar heb je toch echt de sim van je doelwit nodig.

Christoxz @Suncatcher • 2 november 2020 17:35

Zou alsnog niet kunnen, want dan heb je alsnog twee Whatsapp instanties, want dus niet mogelijk is op 1 nummer, heeft niks te maken met een gespoofde simkaart.
Het activeren op een nieuw toestsel (Wat de criminelen dus doen) resulteert dat de al geactiveerde whatsapp gedeactiveerd word.

PhanToM__ @hostname • 2 november 2020 19:36

Enigste wat ik me bij kan voorstellen is dat de "hacker" de laatst back-upte chat heeft ingeladen.

Gunneh @hostname • 3 november 2020 16:31

mobile whatsapp en web whatsapp is tegelijk te gebruiken

B0MBACI 2 november 2020 19:29

Bron artikel is wel zeer speculatief en sensatiezoekend geschreven. Als ik het goed begrijp wordt er een whatsapp client aangemeld met de telefoon nr van een ambtenaar en dmv phishing oid de whatsapp verificatie code verkegen. Dus het aanzetten van tweetrapsauthenticatie wat wordt gesuggereerd gaat niet helpen want deze is er bij het aanmelden. Het is vooral deze ambtenaren bewust maken over phising wat wellicht zal helpen.

Verder als ik het goed begrijp gaat het om dmv een “bekende” whatsapp accounts bekenden van deze account geld af handig te maken. Dus verder niet zozeer gericht op ambtenarij of gemeente maar wel bekende oplichting.

[Reactie gewijzigd door B0MBACI op 23 juli 2024 00:24]

kodak

Networking en security
Fraude
Nederland

@B0MBACI • 2 november 2020 23:42

Het artikel is geschreven op basis van waarschuwing van politie en het openbaar ministerie. Daar is weinig speculatief of sensatiezoekend aan. Dit soort berichten komen niet tot stand op basis van maar wat aannemen, zoals jij kennelijk meerdere keren doet, maar door feiten te benoemen. Misschien bevalt de manier van schrijven je niet, maar dat maakt het nog niet zomaar speculatie of sensatie.

Je kritiek op het advies van de gemeente lijkt daarbij niet helemaal terecht. Whatsapp heeft een optionele 2 stap verificatie naast de registratiecode. Als een crimineel zich succesvol wil registreren met het nummer van iemand anders dan is die registratiecode phishen niet genoeg. Want zelfs al lukt het de crimineel om die te krijgen dan heeft die nog die door de gebruiker zelf als beveiliging bedachte geheime code nodig. Natuurlijk kan de crimineel die dan ook proberen te krijgen, maar het is wel wat anders om een geheime pincode die alleen de gebruiker weet te krijgen dan een code die automatisch is toegezonden.

B0MBACI @kodak • 3 november 2020 08:54

Zoals ik aangeef gaat het om de toon van de artikel die sensatie zoekend geschreven is, die combineerd namelijk 2 totaal verschillende interne documenten en maakt daar 1 verhaal van en ja in mijn ogen is dat speculatief en sensatie zoekend, dat bepaal ik nog steeds zelf.

Wat betreft MFA wie de eerste doorgeeft zal ook de tweede doorgeven zolang je de bron van het probleem niet oppakt en dat is bewustwording.

lmartinl @B0MBACI • 3 november 2020 11:08

Wat betreft MFA wie de eerste doorgeeft zal ook de tweede doorgeven zolang je de bron van het probleem niet oppakt en dat is bewustwording.

Juist het enige punt waar ik een probleem met het artikel heb wat imo speculatief is, neem je aan als waarheid en ga je zelf op door speculeren. Ik heb het over dit stuk:

Hoe de criminelen de sms-codes van de ambtenaren hebben achterhaald, is niet bekend. Fraudeurs doen dat veelal door het slachtoffer te verzoeken deze door te sturen.

Ik zit er zelf niet in, maar ik hoor vaker dat SMS als 2-factor niet echt okay is agz het ge-spoofed kan worden. Zie bijv https://blog.sucuri.net/2...fa-sms-is-a-bad-idea.html

wie de eerste doorgeeft zal ook de tweede doorgeven

Die rationale gaat dus niet op. Ten eerste weet je niet of daadwerkelijk de 2fa codes doorgegeven zijn, ze kunnen ook gespoofed zijn. Ten tweede is niet elke 2fa hetzelfde.

Een andere 2fa (tijdsgebonden client-side gegenereerde codes, ubikey, 2fa app met 'okay' knop) zijn allemaal 2fa methodes die je niet zomaar kan 'doorgeven'. Alhoewel je sommige hiervan natuurlijk wel onterecht kunt accepteren.
In het geval van spoofing: betere 2fa methodes zijn moeilijker te omzeilen

Dus je argument vind ik gewoon kwalijk. Betere / meerdere manieren van authenticatie helpt wel degelijk.

In sommige gevallen is het de balans tussen gebruiksvriendelijkheid/veiligheid niet waard, maar in het geval van ambteneren mag dit imo wel als policy afgedwongen worden hoor.

Slogans in de hoek van 'defeatism' dragen daar imo niet aan bij.

Dus het aanzetten van tweetrapsauthenticatie wat wordt gesuggereerd gaat niet helpen want deze is er bij het aanmelden. Het is vooral deze ambtenaren bewust maken over phising wat wellicht zal helpen.

Bewustwording is zeker belangrijk/essentieel; maar een eenduidige security policy is minstens zo belangrijk. Ook met meer bewustwording gaat een niet-veiligheidsexpert echt niet kunnen inschatten hoeveel/welke MFA 'genoeg' is.

[Reactie gewijzigd door lmartinl op 23 juli 2024 00:24]

B0MBACI @lmartinl • 3 november 2020 11:13

Verificatiecode
De criminelen slaan hun slag door het slachtoffer te vragen om een speciale verificatiecode van WhatsApp. Het slachtoffer ontvangt een bericht dat per ongeluk een verificatiecode naar hem of haar verstuurd is, met het verzoek deze terug te sturen. Als dit gebeurt kan het WhatsApp-account overgenomen worden door kwaadwillenden. Alle chatgesprekken zijn dan te lezen voor de criminelen.

Staat letterlijk in het artikel, maar nogmaals ik vind het een slechte artikel en heb mijn redenen hiervoor uiteengezet.

lmartinl @B0MBACI • 3 november 2020 11:27

Ah excuses, ik zie nu dat je op het bron artikel reageerde, niet op het artikel van tweakers.
Het mag dan imo idd wel duidelijker worden wat de basis van hun uitspraken is. En wat betreft eens dat het geen sterk artikel is.

Ik haakte voornamelijk in op je statement dat 2fa niet genoeg is en vooral 'bewustwording' belangrijk is. Ik zou zeggen: allebei helpen en zijn nodig.

_Eend_ @B0MBACI • 2 november 2020 20:47

Die 2FA voorkomt wel langdurig misbruik.. Ik heb 2FA al vrij snel nadat het beschikbaar kwam op WA aangezet, en ik moet nu 1 of 2x p/week mijn code invoeren. Soms bijna dagelijks, ik heb er nog niet echt een lijn in kunnen ontdekken.

WPN @_Eend_ • 2 november 2020 23:12

En dat is dan ook weer precies waarom veel mensen het niet aanzetten..... "Code invoeren is vervelend. Code invoeren is lastig" (Dat zijn excuses die ik regelmatig hoor van gebruikers om codes/wachtwoorden maar niet te willen gebruiken, of vragen waarom het nou nodig is en vervolgens de uitleg wegwimpellen omdat ze niets te verbergen hebben. Want ja, die 2 seconden om je beter te beveiligen stagneren natuurlijk je hele productifiteit)

vrow @WPN • 2 november 2020 23:34

Nouja, WhatsApp laat je die code zo vaak invoeren, enkel en alleen zodat je hem niet vergeet. Als je die namelijk wel zou vergeten, kun je nooit meer WhatsApp activeren op dat telefoonnummer.

('nooit' is relatief, ik geloof dat er iets van 6 maanden geen gebruik van moet zijn gemaakt op je nummer voordat de code automatisch vervalt. Anders zou iemand die jouw nummer legitiem/echt krijgt op een sim-kaart omdat jij het hebt opgezegd, nooit meer WhatsApp kunnen gebruiken)

Yggdrasil

@vrow • 3 november 2020 09:19

Je kunt bij de 2FA ook nog een recovery e-mailadres invoeren. Tenzij je dat overslaat kun je je toegangscode dus nog resetten.

McBacon @Yggdrasil • 3 november 2020 15:06

Er is mij anders nooit gevraagd naar een recovery email, alleen de pincode. Gaat dat alleen om de business variant of ook de algemene?

Yggdrasil

@McBacon • 3 november 2020 15:41

Ik heb het zojuist (naar aanleiding van dit artikel) ingeschakeld en toen kreeg ik die vraag nadat ik een pincode gekozen had. Bij mijn privé-account.

al__in__gebruik @WPN • 3 november 2020 09:07

Om onze werkmail op smartphone te kunnen opvragen wordt naast MFA ook een schermvergrendeling vereist.
Een gebruiker van ons vroeg "of dat probleem van de schermvergrendeling kon worden opgelost want dat is heel vervelend".
Zelfs schermvergrendeling is soms al te veel gevraagd

WPN @al__in__gebruik • 4 november 2020 23:50

Kan het me helemaal voorstellen.... Ik heb schermvergrendeling ook verplicht toen men mail op smartphones wilde gaan bekijken, en kort daarop werd het ook als beleid vastgelegd gelukkig, maar als het aan sommige (ook MT) medewerkers had gelegen had het niet gebeurt

teun2408 2 november 2020 17:28

Dat doen ze bijvoorbeeld met een ander overgenomen account, zodat het slachtoffer geen argwaan heeft.

Ik dacht dat je whatsapp account maar op 1 telefoon tegelijk te gebruiken is, dus zodra een account over is genomen zou de ambtenaar er zelf toch niet meer in kunnen? (en het daardoor dus vrij snel doorheeft / wel argwaan heeft zodra het is gebeurd)

geronimos23 @teun2408 • 2 november 2020 17:31

Het is naast de telefoon ook gelijktijdig op de pc te gebruiken als je dat bedoeld.

Christoxz @geronimos23 • 2 november 2020 17:34

Nee hij bedoeld dat een Whatsapp account maar op 1 toestel geactiveerd kan zijn.
Dus wanneer deze is overgenomen, zou de betreffende persoon dit snel door moeten kunnen hebben omdat hij/zij geen toegang tot zijn Whatsapp meer heeft.

MsG @Christoxz • 2 november 2020 17:57

Als je snachts bijvoorbeeld meekijkt via de Whatsapp web manier, als je eenmaal een sessie hebt kunnen overnemen, en daarna het tabblad gewoon weer sluit, heeft de rechtmatige eigenaar, zeker een minder tech savvy burgemeester, echt nergens weet van.

Polydeukes @MsG • 2 november 2020 17:59

Je ziet toch een melding op je telefoon zolang whatsapp web actief is?

Edit: een browser tabblad sluiten heeft (bij mij) geen effect op deze melding.

[Reactie gewijzigd door Polydeukes op 23 juli 2024 00:24]

PageFault @Polydeukes • 2 november 2020 18:19

Op Android in elk geval wel: een icoontje in de status bar. Daar kun je het ook afschieten, zodat iemand die nog met de browser zit mee te lezen, eraf wordt geknald.

Polydeukes @PageFault • 2 november 2020 18:26

Ja inderdaad, dat bedoel ik.

MsG @Polydeukes • 2 november 2020 19:10

Die ziet iemand die overdag z'n telefoon gekoppeld heeft ook. Alleen bij een enkele techneut wekt dat eventueel argwaan.

Polydeukes @MsG • 2 november 2020 19:11

Kun je dan op meerdere browsers tegelijk ingelogd zijn?

DoubleYouPee @Polydeukes • 2 november 2020 19:14

Nee, dan moet je "use here" doen en wordt de andere uitgelogd.

[Reactie gewijzigd door DoubleYouPee op 23 juli 2024 00:24]

MsG @Polydeukes • 2 november 2020 19:22

Nee, maar als je snachts iemand er uit gooit, valt dat lang niet zo op. Er schijnen zelfs plannen te zijn dat ze net als Messenger overal willen laten inloggen, zonder directe apparaatkoppeling.

Smartphonetips @Polydeukes • 2 november 2020 21:03

Je kan zowel op browser als op de desktop app ingelogd zijn, dus dat is al 3.

Christoxz @MsG • 2 november 2020 18:25

Klopt, maar dat volgens het artikel niet van spraken. Ze hebben het over het overnemen van de accounts.
Het meelezen, zoals het artikel aangeeft is dan ook onwaarschijnlijk.

Groningerkoek @Christoxz • 2 november 2020 17:51

Ik denk dat het artikel een fout maakt met "meelezen" de beschreven methode is inderdaad voor een volledige overname en geenszins om tegelijkertijd met 2 telefoons hetzelfde account te gebruiken.

geronimos23 @Christoxz • 2 november 2020 17:46

Ah duidelijk. Bedankt.

kodak

Networking en security
Fraude
Nederland

@teun2408 • 2 november 2020 18:12

Overnemen kan ook betekenen dat er bepaalde rechten zijn overgenomen of verkregen. Als het heel letterlijk gaat nemen alsof een heel account volledig is overgenomen dan gaat dat waarschijnlijk ook niet handig zijn om mee te lezen. Ten eerste omdat er dan een deelnemer minder is om van mee te lezen en ten tweede omdat het dan waarschijnlijk juist gaat opvallen bij de personen die dan zelf geen controle meer hebben over hun account.

tonkie_67 @teun2408 • 2 november 2020 19:46

Als het groepschats zijn waar gehackte ambtenaar wel lid van is maar zelden/nooit meer Wap gebruikt (maar niet verzocht heeft om m uit de groep te halen) kan het best lang duren vootdat de groep dat doorheeft.
Wij hebben met de directe collegas ook een Wap groep maar uitsluitend voor niet zakelijke chatter en ruilen dan ook vnl fotos van katten uit of melding van een deslaagde bbq avond. Groep gestart toen al onze kantoren in 3 landen dicht gingen agv covid en elkaar dus niet meer in persoon zagen en weinig niet zakelijk contact meer haddem

Centauriprime

2 november 2020 17:23

Ik dacht dat berichten end 2 end beveiligd waren en dat de berichten op het apparaat staan. Meelezen kan dat toch niet. Hooguit het account overnemen?

Mappy @Centauriprime • 2 november 2020 17:27

Als je backups aan hebt staan, wordt na een herinstallatie/activatie de laatste backup gedownload met alle berichten/foto's/filmpjes.

[edit]Maar die backup (zie hieronder) krijg je dus alleen binnen als je ook het google/apple-account hebt gehackt. Dan zal "meelezen" meer slaan op nieuwe berichten die binnen komen privé en in groepen.

[Reactie gewijzigd door Mappy op 23 juli 2024 00:24]

hostname @Mappy • 2 november 2020 17:29

Op Android zijn die backups gekoppeld aan je Google account. Als je dus op een telefoon die gelinkt is aan een ander Google-account WhatsApp activeert, wordt niet de backup gedownload en kan je dus ook niet bij de oude berichten. Ik vermoed (maar weet niet zeker) dat dit op iOS hetzelfde gaat met je iCloud account.

ro4sho @hostname • 2 november 2020 17:34

IOS HETZELFDE

"De accounts zijn overgenomen via bekende fraudetrucs met verificatiecodes."

Staat in header van het artikel

project.bobby @Centauriprime • 2 november 2020 17:29

Ik dacht dat berichten end 2 end beveiligd waren en dat de berichten op het apparaat staan. Meelezen kan dat toch niet. Hooguit het account overnemen?

Dat dacht ik dus net ook, en ik zie dat alleen werken via de webversie, ik ben bv. laatst nog van telefoon gewisseld en het duurt nog geen 2 seconde voordat je niets meer kan terugvinden op je oude toestel zodra je op een nieuwe telefoon de boel verifieert. Misschien heeft iemand anders een idee hoe dat kan?

Edit: het meelezen dus. Niet de overname.

[Reactie gewijzigd door project.bobby op 23 juli 2024 00:24]

frickY @project.bobby • 2 november 2020 21:03

Dat lijkt mij via web-whatsapp te moeten gebeuren.
Dan hoef je, volgens mij, je slachtoffer ook alleen op een link te laten klikken ipv een overduidelijke verificatiecode laten doorgeven

ArnoutV

@Centauriprime • 2 november 2020 17:26

Dat staat toch in de eerste alinea:

Criminelen lezen mee met WhatsApp-accounts van een burgemeester, wethouders en gemeenteraadsleden, meldt Omroep Brabant. De accounts zijn overgenomen via bekende fraudetrucs met verificatiecodes

hostname @ArnoutV • 2 november 2020 17:30

@Centauriprime vraagt zich af hoe het kan dat ze konden meelezen, niet hoe ze het account hebben overgenomen.

ArnoutV

@hostname • 2 november 2020 17:32

Als het allemaal groeps-apps zijn dan lees je automatisch mee.
Vind het vooral bijzonder als je merkt dat je WhatsApp account is overgenomen dat je niet op een andere manier je nummer uit alle groeps-apps laat verwijderen.
Of dat er meteen nieuwe groepen gemaakt worden.

DeDooieVent @ArnoutV • 3 november 2020 05:55

Vooral verbijsterend dat professionals gebruik maken van zoiets als Faceboek of Whatsapp.

Whats next, AIVD stukken op instagram, want dat deelt zo lekker?

Navo-overleg via twitter?

Kom toch op, Whatsapp en alles wat aan Faceboek gelieerd is zou totaal geen plaats mogen hebben in het zakelijke verkeer. Zeker niet op dit niveau.

Maar goed, social-incontinent is tegenwoordig mega-hip.

Totale krankzinnigheid, maar ach... we hebben toch niets te verbergen?

Valkyre @Centauriprime • 2 november 2020 17:26

Misschien even het artikel lezen

Sergelwd 2 november 2020 18:24

"Dat is te voorkomen met tweetrapsauthenticatie." Gezond verstand

"De aanvaller downloadt WhatsApp en geeft het telefoonnummer van het slachtoffer op. Het slachtoffer krijgt vervolgens een sms met een verificatiecode. Als de aanvaller die code kan achterhalen, krijgt deze volledige toegang tot het WhatsApp-account."

Dit is natuurlijk al een vorm van tweetrapsauthenticatie.. volgende maatregel dan maar drietrapsauthenticatie en dan viertrapsauthenticatie??

[Reactie gewijzigd door Sergelwd op 23 juli 2024 00:24]

Trommelrem @Sergelwd • 2 november 2020 19:28

Conditional Access policies.

Whatsapp weet dat ze een probleem hebben op de langere termijn. Het huidige model is niet houdbaar. Zij hebben dus eigenlijk geen andere keuze dan integratie met Endpoint Manager, zodat er compliancy checks kunnen worden gedaan op devices en de juiste conditional access policies worden toegepast.

Drietraps authenticatie is al redelijk gebruikelijk volgens deze methode.

Johnny D 2 november 2020 17:43

Wat zullen die lui zich kapot lachen

mooieboot 2 november 2020 17:43

Als je toegang hebt tot het locked toestel wat iemand naast zich neerlegt bij de bar of een smart accessoire is het heel eenvoudig, de meeste previews tonen de volledige inhoud van een sms bericht.

White Feather

2 november 2020 17:46

WhatsApp-gebruikers kunnen deze vorm van fraude eenvoudig voorkomen door verificatie in twee stappen in te schakelen. De gemeente Den Bosch adviseert dat nu ook aan werknemers.

Adviseert?

Verplichten als je ook maar iets voor je werk doet met WhatsApp!

Het lijkt Rutte wel met “ik wil niemand dwingen”.

Trommelrem @White Feather • 2 november 2020 19:23

Men kan het niet verplichten omdat je geen configuration policies in Endpoint Manager hebt voor Whatsapp.

Maar uberhaupt als iemand gevoelige bedrijfsgegevens verstuurt over Whatsapp, dan ben je toch echt de grootste retard fishfrog. Gevoelige data verstuur je over Teams, als het via een IM moet worden verstuurd.

[Reactie gewijzigd door Trommelrem op 23 juli 2024 00:24]

White Feather

@Trommelrem • 2 november 2020 20:55

Dan nog kun je het verplichten.

Misschien kun je het technisch niet afdwingen, maar je kunt in ieder geval zeggen dat ze het moeten doen, laten zien hoe ze het moeten doen en ze op hun falie geven als ze het niet doen.

Niemand_Anders @White Feather • 3 november 2020 09:52

Inderdaad MFA verplichten. Als een medewerker zich daaraan niet houd, zijn sancties mogelijk. Indien gevoelige informatie uitlekt, kan dat dan zelfs strafrechtelijke gevolgen krijgen..

Ook zou een 'night lock' op whatsapp nuttig kunnen zijn. Op het moment dat de night lock actief is, kun je alleen whatsapp gebruiken op het primaire toestel. Je kunt het account op dat moment niet activeren op een ander toestel of een web sessie starten..

@Trommelrem
Gevoelige informatie via Teams versturen is net zo fout als via WhatsApp. Teams, Slack, Zoom, Skype zijn allemaal alternatieven voor WhatsApp. Wel kan de administrator van het office365 domain betere policies instellen dan bij WhatsApp (deze kent geen organisatorische structuur)..

Echter er zullen weinig telefoons zijn waarop geen whatsapp staat. Het zal na SMS de meeste geinstalleerde messager applicatie zijn, maar ik denk dat WhatsApp de meest gebruikte messenger is. Ik ken Matrix niet, maar WhatsApp heeft een zeer goede uptime track record. Wij hebben vroeger Lync gebruikt, maar dat was so instabiel, dat men terug viel op communicatie via whatsapp..

JEV 2 november 2020 18:00

Meelezen is makkelijk. Instaleer WhatsApp op een telefoon. Installeer WhatsApp web op je pc of mac. Koppel de 2. De pc ziet ieder bericht dat op je telefoon binnenkomt.
Ik heb zelf eens met mijn vrouw ge-WhatsApp-ed terwijl ik in het buitenland zat en mijn telefoon thuis bij mijn vrouw. Ik was mijn telefoon vergeten mee te nemen. En zolang die internet verbinding heeft kon ik WhatsApp gebruiken. Kon alleen niet bellen(video of voice.)

woekele @JEV • 2 november 2020 18:38

Maar werkt whatsapp-web ook nog als je whatsapp op een andere telefoon activeert? Lijkt me niet. Je moet dan vast opnieuw koppelen.

[Reactie gewijzigd door woekele op 23 juli 2024 00:24]

FreshMaker

@woekele • 2 november 2020 23:54

En maar op één pc tegelijk, als je whatsapp-web elders installeert krijg je direct de vraag 'hier of daar'

GekkePrutser

@JEV • 2 november 2020 21:44

Dat is waar, maar je krijgt wel een constante popup "whatsapp web is actief". In elk geval op Android. En ook dat kan maar op 1 PC tegelijk dus als je het zelf ook gebruikt, merk je het meteen als iemand anders inlogt.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (103)

Sorteer op:

Weergave: