Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 48 reacties
Bron: Times Online, submitter: quincy2you

Met de opkomst van de WiFi-hotspots hebben ook fraudeurs hun aandacht op dit verschijnsel gericht. Steeds vaker duiken namelijk 'evil twin'-netwerken op. Het gaat hierbij om draadloze netwerken met een naam die heel sterk lijkt op die van een betrouwbare hotspot in de nabije omgeving. Onwetende gebruikers maken verbinding met het valse netwerk en spelen op die manier onbewust heel wat vertrouwelijke gegevens door aan de fraudeurs. Alle data die over de verbinding gestuurd wordt, wordt door de criminelen namelijk gelogd om wachtwoorden en nummers van kredietkaarten te achterhalen. Vaak krijgen gebruikers bij het inloggen op het netwerk ook een valse inlogpagina voorgeschoteld die hen doet geloven dat ze inloggen op hun online bankprogramma of webmail.

Hotspot
Moderatie-faq Wijzig weergave

Reacties (48)

Is dit eigenlijk wel onwettelijk?
Ik bedoel, de mensen loggen uiteindelijk zelf zonder toestemming in op een netwerk van een ander. Uiteraard is het een beetje "twijfelachtig" wanneer dat netwerk moeite doet op een ander netwerk te lijken maar stel nou dat bijvoorbeeld iemand op mijn WiFi netwerk in zou loggen (wat enkel kan door MAC-spoofing én omzeilen van de beveiliing), zou ik dan zijn traffic mogen loggen?
Natuurlijk is dit onwettig: er is namenlijk sprake van bedrog. Overtreding nummer 1.

Komt er nog eens bij dat alles geregistreerd wordt. Dat is al een inbreuk op de privacy. Bij het inloggen op het netwerk/systeem moet gemeld worden dat alles geregistreerd wordt. Dit is hier dus ook niet het geval. Overtreding nummer 2.

Overtreding nummer 3: Als deze gegevens vervolgens gebruikt worden voor het plegen van illegale zaken (wat natuurlijk het doel is van dit netwerkje :P)
Hmmmm. Ten eerste is het je eigen netwerk, dus als ik daarop alles wil loggen dat voorbij komt, is dat mijn keuze. Als jij op mijn netwerk aanlogt, zonder mijn toestemming, hoef ik jou dus echt niet te melden dat ik alles log.

Als jij dan allerlei gevoelige info over mjin netwerk naar het internet stuurt, en ik log dat alleen maar, is er geen sprake van bedrog lijkt me. Pas als je immitatie-inlogpagina's gaat maken, dan is er wel sprake van bedrog.

Het gebruiker van de verkregen info is inderdaad (waarschijnlijk) wel weer strafbaar.

@ketjap: dat ligt toch anders... het netwerk van je baas wordt gebruikt door meerdere mensen. Zij moeten inderdaad op de hoogte gesteld worden van het feit dat je alles aan het loggen bent. Mjin eigen netwerk is voor mij alleen, dus ik hoef mezelf niet te vertellen dat ik alles ga loggen.

@resink: het is geen oog om oog, tand om tand. Ik log gewoon zowiezo alles wat op mijn netwerk gebeurt. Maar als zo'n zaak voor moet komen, geef ik de evil-twin ook weinig kans. En ik stelde al dat het namaken van nep-inlogpagina's (ala Rabo) wel bedrog is.
Zo simpel ligt dat niet hoor. Hier op mijn werk mag ik ook niet zomaar dingen gaan loggen. En toch is het het netwerk van mijn werkgever. Je moet het duidelijk aangeven en misschien moet de gebruiker zelfs een verklaring ondertekenen waar hij mee akkoord gaat.
Je werkgever mag na kennisgeving (en een akkoord als je al in dienst bent) alles loggen... Echter in dit geval betreft het een "open" netwerk, en geen gesloten (lees: prive) netwerk.

Je maakt dus simpelweg alleen een verbinding (niks aanloggen en aanmelden) met een netwerk waarbij jij ervan uitgaat dat het kan/mag vanwege de term hotspot of het feit dat het wagenwijd openstaat.
Je zou redelijker wijs mogen verwachten dat er een waarschuwing gegeven wordt als het een prive netwerk betreft, dit is echter niet het geval.

Jij bent niet strafbaar bezig om dat je simpelweg niet kan weten dat je strafbaar bent, en je redelijker wijs kan aannemen dat je gewoon mag verbinden (Service)

Wat de 'service-provider'* in dit geval doet, is strafbaar.. misleiding, ten behoeve van diefstal: Door het uitlokken van aanmeldingen door een bekende naam te misbruiken, en het vervolgens aanbieden van eigen versies van vertrouwelijke pagina's met als doel het vergaren van vertrouwelijke informatie.


resink
Namaken?? pagina getten (wget / save as ;)) en beetje aanpassen, invoer opslaan in db .. en klaar ;)
Als jij op mijn netwerk aanlogt, zonder mijn toestemming, hoef ik jou dus echt niet te melden dat ik alles log.
Het nou niet bepaald zo dat hij/zij die inlogt op de evil twin aan het inbreken is. Vanwege de bewust gelijkende vermomming mag dit als een uitnodiging worden beschouwd.
Bovendien geldt in het rechtsysteem niet 'oog om oog, tand om tand': dus om reden van inloggen alles loggen houdt geen stand.
Het lijkt me persoonlijk dat (mocht er ooit nog een 'zaak' van komen) een rechter vrij makkelijk is te overtuigen van de kwade opzet van de 'evil twin'-makers. De site van de Rabobank maak je echt niet voor je lol na ;).
Ik weet wel zeker dat het onwettig is je voor te doen als 'iemand' anders.
Maar omdat de naam niet exact gelijk is aan de 'good twin', komt het eigenlijk weer gewoon op oplettendheid aan. Net zoals je weet dat je attachments aan e-mails van vreemden (of vreemde attachments aan e-mails van bekenden) niet moet openen. Soms is het internet net de echte wereld: pas gewoon een beetje op, wees niet al te naief, dan overleef je het wel...
Een valse inlogpagina met als doel inloggegevens van mensen te stelen lijkt me wel onwettig ja.
En hoeveel mensen die in een hotel zitten met een laptop hebben onder W2K of WinXP 'bestanden en printers delen' aan staan? En hoeveel van die mensen hebben hun creditcard gegevens in een Word document staan? Het is een bekend verschijnsel dat mensen de namen van hun kinderen of hond als wachtwoord gebruiken, en je pincodes staan gewoon in je agenda onder de naam kroonprins Willem-Alexander en ga zo maar door, het afluisteren van een SSL verbinding zal in veel gevallen niet nodig zijn, je hoeft vaak alleen maar bestanden te doorzoeken of bevestigings emails van een webshop.

/edit

Was eigenlijk een reactie op Nico de Vries...
Maar dan blijft het nog steeds onwettig.

Als ik mijn voordeur open zet, wil at toch ook niet zeggen dat je maar een kijkje moet nemen???
@Gover: Als je iets op zet met bedachte raden, je neemt daar de eerste stappen in om het te realiseren en het alles heeft als doel om gegevens te stelen dan ben je schuldig.
ja, dat mag dus wel... als jij je deur open laat staan mag iedereen binnenlopen. tenzij je bordjes plaatst dat het niet mag of je ze vraagt weg te gaan.
ik denk dat dat in dit geval eigenlijk ook zo geld. als iemand het zonder opzet doet, gewoon denkt, goh een bekend netwerk, waarom zou dat niet mogen?
Nee Als mijn deur openstaat en jij komt ongenodigd binnen dan is dat insluipen

Wat een vreemde discusie hier .
Het doel is mensen ilegaal geld te ontvreemden .
dat is verboden dus strafbaar .
Anders zou pfishing ook gewoon mogen PUNT
Spoofing op MAC, IP of SSID, blijft spoofing. En je uitmaken voor iemand anders, dit maal een 'vertrouwde' organisatie is ontwettig.

Interessanter is als de SSID gelijkt staat aan de 'correcte Twin'. Dan is er een kans om de verkeerde te pakken ivm het native gebruik van roaming... Daar wordt je blij van.
alle isp in Nederland moeten toch de gegevens van hun gebruikers loggen?? :+
In België moet dit ook, maar ze mogen daar natuurlijk niet vanalles meedoen.

Alleen op vraag van een rechter moeten de isp's deze gegevens verstrekken aan justitie.

Alleen daarvoor en niet voor iets anders mogen deze gegevens gebruikt worden.

Zou wel mooi zijn:
ISP: Meneer, u hebt nog een paar duizend euro op uw bankrekening staan en u verdient toch wel redelijk veel. We zijn dus zo vriendelijk geweest om uw abonnement aan te passen van basic naar ultra.
Ook hebben we het geld van uw rekening gehaald.
Toch een prachtige service hé meneer? }>
Omdat hij niet exact dezelfde naam opgeeft als het origineel twijfel ik aan je overtreding 1.

ISP's zijn wettelijk verplicht en melden dit bij het inloggen van hun netwerk ook niet, daarbij mag je best dataverkeer loggen dat over jouw verbinding komt (het is immers jouw verbinding en je hebt nooit expliciet toestemming gegeven om in te loggen) Overtreding 2 is dus pure onzin.

Overtreding 3 is hier nog niet van toepassing, dit komt pas aan bod als er daadwerkelijk illegale dingen met de opgeslagen gegevens gedaan word. Dat zal een ander strafbaar feit opleveren.
Ze moeten de gegevens van de overdracht loggen, niet de overdracht zelf. (Zou ook niet mogelijk zijn om al het verkeer zelf te loggen, kost redelijk wat HD space :))
tja kwestie van afwachten tot dat een keertje gestolen cq gehacked word en een hoop gegevens voor criminelen beschikbaar worden....

hmm, die heeft dat op die datum met deze credit card gegevens gekocht... :*)
Het lijkt me dat ze creditcard gegevens alleen kunnen afluisteren als je als gebruiker niet goed oplet (je creditcard nummer invult op een site die niet met SSL beveiligd is).

Hetzelfde geldt voor inloggen op een site. Een fishers (faker) kan met DNS (het is immers zijn eigen netwerk) welliswaar net doen alsof deze een bank is, maar je kunt niet een SSL certificaat vervalsen voor het domein van die bank.

De risico's zijn dus niet wezelijk anders dan e-mails met nep sites die fishers (fakers) de wereld rond sturen. Zolang je goed op blijft letten (en banken mensen goede instructies geven e.d.) loop je weinig risico.
Let jij er dan altijd op of je verbinding encrypted is? Op een gegeven moment raak je gewend aan het zien van altijd dezelfde website en sta je er niet meer bij stil of het wel encrypted is.
Goed punt.

En daarom vind ik het wel prettig dat firefox (of het aan de skin ligt weet ik niet) in de adres balk een ander kleurtje laat zien als ik naar een https ga (en schreef lettertype).
Alleen gebruiken de meeste mensen nog IE en ook al zal die een melding geven over wel/niet beveiligde website ik denk dat de meeste mensen dat niet eens lezen en gewoon weg klikken en verder gaan. En al lezen ze het wel, of niet in het geval van een opeens niet geencrypte website ze zullen waarschijnlijk er niet eens wat bij denken.
Toevallig wel, ja. Elke keer als ik mijn cc-nummer in moet voeren, kijk ik of het encrypted is, en laatst heb ik van een aankoop afgezien, omdat het niet encrypted was.

Kom op, zeg. Het is een hele kleine moeite om te kijken of dat hangslotje rechtsonder te zien is, of dat er https:// staat. Je bent zelf ook wel verantwoordelijk voor de bescherming van je eigen gegevens.

Ik vind het zwak om die verantwoordelijkheid maar af te schuiven. Je weet zelf ook wel welke risico's aan het bekend maken van je cc-nummer zit, dus neem je verantwoordelijkheid.
In FireFox kun je het helemaal makkelijk zien, omdat je adres balk groen wordt als je op een HTTPS:// site zit.

En ja ik controleer ook echt altijd of mijn data encrypted over het net gaat, als het om gevoelige gegevens gaat.

Edit:
Ik moet beter lezen..... Boin was me al voor... :(
Als het om een financiele transactie gaat, doe ik dat wel. Ik vind het eigenlijk raar als je dit NIET doet, gezien het verleden. Het is een kleine moeite even te kijken of het secure is en om het certificaat te bekijken.
Een woord: AirSnort (samengesteld, maar goed).

Die vertrouwelijke gegevens kan je toch wel krijgen als ze plaintext over 'de lijn' gaan. Dat is het mooie van WiFi, zonder moeite aftappen. (WEP is in dit geval ook geen probleem hoor).

Nee, zodra ik op een HotSpot kom, SSL tunnel naar een prive server, en van daaruit verder.

Tip voor WiFi gebruikers, controleer de herkomst van pagina's (is de server waar ik nu op zit ook echt verbonden aan de domeinnaam) en controleer het SSL certificaat.
Maar belangrijker nog, doe je bankzaken, je bestellingen en weet ik wat nog meer waarbij je gevoelige gegevens gebruikt op een netwerk wat je vertrouwt. HotSpots zijn leuk voor het laatste nieuws en om te chatten, maar niet voor dat soort zaken.

-R-
En voor het betalen van je kopje koffie via PayPal en het kopen van die nieuwe broek bij Massimo, omdat je zo een afspraak hebt en er tóch even net wat beter uit wilt zien (of in je broek hebt gepoept, natuurlijk). :+
Dát is de commerciële kant van HotSpots; je hamburger met een PDA kunnen betalen. Die laptop of PDA sleep je toch altijd met je mee..
Precies ga nou niet zitten huilen als er ineens 400 euro van je rekening geschreven wordt doordat je er niks aan doet om je gegevens te beschermen. Zie het maar als een overtrokken boete.. ;) Volgende keer denk je wel 2 keer na.
ik ruik Airsnarf ... }>

edit -
Ook de "Hot Spot Defense Kit for Windows XP" op dezelfde pagina is zéér interessant
Ik doe zowiezo nooit bankzaken via eem hotspot, maar regel die dingen gewoon lekker thuis, of ga gewoon op de 'oldshool' manier bij de bank zelf langs :)

just keep it real
Stel je nou eens voor dat ze een zelfde bank gebouw naast het echte bank gebouw hebben neergezet. Ben je alsnog de lul.. :P
Dat is nog niet zo heel vreemd gedacht hoor, er zijn al zaken bekend van mensen die bij een bank een eigen kluisje op de bestaande nachtkluis monteerden. Onwetende geldlopers deponeerden hier hun geld in, wat ze dus mooi kwijt waren.
Stik! Dát zou pas fraude zijn..
Moet je wel in België zijn, volgens mij. Hier kun je nog 'lukraak' bouwen, mits je de juiste ambtenaar in zijn jasje weet te helpen. }>
Alle data die over de verbinding gestuurd wordt, wordt door de criminelen namelijk gelogd om wachtwoorden en nummers van kredietkaarten te achterhalen.
Tja, helaas is veilige encryptie nog steeds niet standaard. Teveel protocollen/servers accepteren nog steeds wachtwoorden over non-SSL connecties.
Eigenlijk zouden wachtwoorden helemaal niet meer (zo vaak) gebruikt moeten worden, maar zou public key authentication gebruikt moeten worden.
Soms is een wachtwoord puur bedoeld om nieuwschierige buitensaanders buiten je site te houden, en is er niet eens de hoop een hacker tegen te houden:
Bijvoorbeeld met de website van een vereniging met een "alleen voor leden" deel.
Dat kan prima achter een simpel login/passwoordje :)
Dat kan prima achter een simpel login/passwoordje
Niet dus. Veel mensen gebruiken dat password namelijk ook voor andere dingen, zelfs als ze onbelangrijk zijn.
Het is dus niet handig hier een simpel plaintext login voor te gebruiken.
Tjha die mensen zijn gewoon dom, en weten niks van veiligheid. gevoelige informatie zo ik niet eens achter mijn eigen pc zonder ssl willen versturen. laat staan via wifi.

viruses, troians en addware zijn ook vaak op domheid van de gebruiker gebaseerd.
Als je zonder wep of wpa kan inloggen op een wifi hotspot dan zou ik me niet zulke zorgen maken om een evil twin netwerk. Want iedereen kan op dat netwerk komen dus dan ga je standaard al van haxers uit. Als je dan op een Evil twin of een gewoon openbaar accespoint zit maakt helemaal geen bal uit, bijde keren kan je gehaxt worden. dus vind dit nieuws bericht beetje overbodig |:(
Op dit soort criminele acties kun je wachten. Het is ook niet wijs om via een openbaar netwerk te betalen met je creditcardnummer. Het is alsof je daarmee aan wil geven,:'maak misbruik van mij". Misschien gaat de vergelijking niet helemaal op, maar bij het pinnen wordt ook gesteld dat je de pincode afgeschermd intoets.
Heel internet is een openbaar netwerk...
Dat is niet waar, steeds meer dient het internet voor VPN verbindingen waarbij het de bedoeling is dat er een gescheiden en beveiligde communicatie opgezet wordt. Moedwillig hierop inbreken om gegevens te verzamelen (in dit geval secure sites) heeft niets met een vrije vergaring van informatie te maken.
@Memphis:
Ik moet de eerste site waar ik met creditcard kan betalen nog tegenkomen die gebruikt maakt van VPN.

Je hebt wel gelijk dat internet steeds meer voor VPN gebruikt wordt, maar dat heeft hier imho niets mee te malen.
ik maak op me studente kamertje ook gebruik van een wifi internet connectie van de buren...gratis en goed genoeg :D
Mss weten je buren ervan, en is hun doel jouw tweakers.net inloggegvens te bemachtigen ... :P

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True