Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 18 reacties
Bron: InfoWorld, submitter: Falcon

Twee leden van het Amerikaanse Congres hebben een wetsvoorstel ingediend waardoor de FTC de mogelijkheid krijgt om pretexters op te sporen en te beboeten. Dit voorstel vormt een uitbreiding op een wet over dit onderwerp die in januari door president Bush is ondertekend.

Spyware / Spion / Agent (klein)De enkele weken geleden in werking getreden wet heeft pretexting illegaal gemaakt en zij die zich er toch schuldig aan maken, kunnen een celstraf van maximaal tien jaar of een geldboete tegemoet zien. Wanneer gegevens van meer dan vijftig telefonieklanten in het geding zijn, neemt de strafmaat toe. Pretexting is de naam van de praktijk waarbij door privédetectives gegevens over telefoongesprekken worden opgevraagd onder de naam van de persoon die door hen onderzocht wordt. De uitvoering van de huidige wet ligt bij de openbare aanklagers in de verschillende Amerikaanse staten.

Volgens een woordvoerder van de opstellers van het nieuwe wetsontwerp hebben de openbare aanklagers echter te weinig kennis van en ervaring met identiteitsdiefstal en is de FTC daartoe beter uitgerust. Om die organisatie officieel de taak te geven het gebruik van pretexting op te sporen en te beboeten, is het eerder genoemde wetsvoorstel ingediend. Het Congres is begin 2006 naar aanleiding van mediarapportages en klachten van het Electronic Privacy Information Center een onderzoek gestart naar de verkoop van telefoongegevens door telelecombedrijven. In september 2006 maakte HP bekend dat privédetectives van pretexting gebruik hadden gemaakt in hun zoektocht naar lekken binnen de raad van commissarissen.

Moderatie-faq Wijzig weergave

Reacties (18)

Pretexting is alleen een middel dat je kunt gebruiken als je een informele organisatie onderzoek.

Het algemene voorbeeld door opbellen met "Ik ben X, mag ik die gegevens" werkt al in veel gevallen. Als je daarbij nog eens gebeld wordt met een binnenlijn (of doorverbonden zonder aankondiging) is de drempel om gegevens te krijgen soms erg laag.

Soms moet je wat meer moeite doen, om eerst vertrouwen te winnen voordat je info krijgt. Vaker bellen, gebruik maken van standaard procedures binnen de organisatie, etc..

Kern van het probleem is natuurlijk dat informatie die je eigenlijk alleen in persoon zou mogen doorgeven aan bekenden via de telefoon wordt doorgegeven, zonder eerst de ontvanger te verifieren. Pretexten in real life is altijd lastiger omdat je naast stem ook nog kleding en houding moet faken. En je kunt meestal een ID vragen in real life.

Andere optie zou zijn de 'slachtoffers' schuldig te verklaren dat ze onzorgvuldig met vertrouwelijke info omgaan. Waarom vragen ze bijvoorbeeld niet terug te bellen en trekken ze niet het nummer na. Of het aloude "vraag maar aan schriftelijk in drievoud, 3 maand van tevoren".

De vraag is natuurlijk of de FTC een partij is die te vertrouwen is voor dergelijke verantwoordelijkheid. Wie controleert het opsporingsapparaat?
In dat licht zou in plaats van een verkeerd vertrouwen in een instantie het aanpakken van de 'slachtoffers' misschien uiteindelijk beter uitpakken voor de maatschappij.
Hmm in hoeverre is dit pretexting te vergelijken met inloggen op een account met de gegevens van een ander?
Kortom, heeft dit wetsvoorstel mogelijk wat meer gevolgen dan alleen de private-detectives en de social-hackers hun werk lastiger maken?
Als een wetsvoorstel wordt ingediend om pretexting aan te pakken waarbij gelijk phishing en identitytheft strafbaar wordt gesteld, wordt het tijd het voorstel na te pluizen.

Phishing en identitytheft zijn beide duidelijk te omschrijven en bieden een goede kans op een goedgekeurd wetsvoorstel. Als men via een omweg beide strafbaar wil stellen zit er waarschijnlijk een flinke adder onder het gras.
Als men via een omweg beide strafbaar wil stellen zit er waarschijnlijk een flinke adder onder het gras.
Ik zie de adder niet zo.

Dat iemand informatie over een ander vergaart door zich voor te doen als die ander, is inderdaad geen zuivere koffie. Goed dat dat verboden wordt.

Ik geloof niet dat de intentie van deze wetgeving is om via een omweg phishing en identitytheft strafbaar te stellen. Maar phishing en identitytheft zijn natuurlijk ook verwerpelijk, dus als ze onder de definitie van deze wetgeving zouden vallen, zou dat alleen maar mooi meegenomen zijn. Toch ?
De adder lijkt in dit geval met name andere belangen.
http://www.techdirt.com/articles/20061201/082425.shtml

Identity theft en phishing zijn minder omstreden om wetten in het leven te roepen als pretexting. Gevaarlijke van pretexting is natuurlijk dat het in de betekenis van social hacking moeilijk te bewijzen is. Tenzij je echt alle telefoongesprekken gaat opnemen. Dat vraagt bijna om willekeur.

Bovenstaande artikel verwijst naar pretexting in de meest asociale vorm. Pretexting vanuit bedrijven om personen te dwingen mee te werken. Dat riekt naar afpersing. Afpersing zou in mijn ogen strafbaar moeten zijn. Helemaal als groot bedrijf vs particulier.

De straffen voor pretexting lijken meer te wijzen op het beschermen van bedrijven. Het vragen naar gegevens onder voorwendselen zou daarmee verboden worden. Hier lijkt mij het aanpakken van de slachtoffers meer op z'n plaats. Hoewel dat weer leidt tot het zoeken naar een zwart schaap.
Identity theft is in de V.S. al strafbaar gesteld in de U.S. Code, chapter 18, §1028. Deze bepaling volgt hieronder. Vervolging en veroordeling voor phishing vindt in de regel ook plaats via deze bepaling. Daarnaast maakt men gebruik van de strafbaarstelling van Spam en de strafbaarstelling van bepaalde vormen van fraude.

U.S. Code, ch. 18, §1028:

(a) Whoever, in a circumstance described in subsection (c) of this section—
(1) knowingly and without lawful authority produces an identification document, authentication feature, or a false identification document;
(2) knowingly transfers an identification document, authentication feature, or a false identification document knowing that such document or feature was stolen or produced without lawful authority;
(3) knowingly possesses with intent to use unlawfully or transfer unlawfully five or more identification documents (other than those issued lawfully for the use of the possessor), authentication features, or false identification documents;
(4) knowingly possesses an identification document (other than one issued lawfully for the use of the possessor), authentication feature, or a false identification document, with the intent such document or feature be used to defraud the United States;
(5) knowingly produces, transfers, or possesses a document-making implement or authentication feature with the intent such document-making implement or authentication feature will be used in the production of a false identification document or another document-making implement or authentication feature which will be so used;
(6) knowingly possesses an identification document or authentication feature that is or appears to be an identification document or authentication feature of the United States which is stolen or produced without lawful authority knowing that such document or feature was stolen or produced without such authority;
(7) knowingly transfers, possesses, or uses, without lawful authority, a means of identification of another person with the intent to commit, or to aid or abet, or in connection with, any unlawful activity that constitutes a violation of Federal law, or that constitutes a felony under any applicable State or local law; or
(8 ) knowingly traffics in false authentication features for use in false identification documents, document-making implements, or means of identification;
shall be punished as provided in subsection (b) of this section.
(b) The punishment for an offense under subsection (a) of this section is—
(1) except as provided in paragraphs (3) and (4), a fine under this title or imprisonment for not more than 15 years, or both, if the offense is—
(A) the production or transfer of an identification document, authentication feature, or false identification document that is or appears to be—
(i) an identification document or authentication feature issued by or under the authority of the United States; or
(ii) a birth certificate, or a driver’s license or personal identification card;
(B ) the production or transfer of more than five identification documents, authentication features, or false identification documents;
(C) an offense under paragraph (5) of such subsection; or
(D) an offense under paragraph (7) of such subsection that involves the transfer, possession, or use of 1 or more means of identification if, as a result of the offense, any individual committing the offense obtains anything of value aggregating $1,000 or more during any 1-year period;
(2) except as provided in paragraphs (3) and (4), a fine under this title or imprisonment for not more than 5 years, or both, if the offense is—
(A) any other production, transfer, or use of a means of identification, an identification document,,[1] authentication feature, or a false identification document; or
(B ) an offense under paragraph (3) or (7) of such subsection;
(3) a fine under this title or imprisonment for not more than 20 years, or both, if the offense is committed—
(A) to facilitate a drug trafficking crime (as defined in section 929 (a)(2));
(B ) in connection with a crime of violence (as defined in section 924 (c)(3)); or
(C) after a prior conviction under this section becomes final;
(4) a fine under this title or imprisonment for not more than 30 years, or both, if the offense is committed to facilitate an act of domestic terrorism (as defined under section 2331 (5) of this title) or an act of international terrorism (as defined in section 2331 (1) of this title);
(5) in the case of any offense under subsection (a), forfeiture to the United States of any personal property used or intended to be used to commit the offense; and
(6) a fine under this title or imprisonment for not more than one year, or both, in any other case.
(c) The circumstance referred to in subsection (a) of this section is that—
(1) the identification document, authentication feature, or false identification document is or appears to be issued by or under the authority of the United States or the document-making implement is designed or suited for making such an identification document, authentication feature, or false identification document;
(2) the offense is an offense under subsection (a)(4) of this section; or
(3) either—
(A) the production, transfer, possession, or use prohibited by this section is in or affects interstate or foreign commerce, including the transfer of a document by electronic means; or
(B ) the means of identification, identification document, false identification document, or document-making implement is transported in the mail in the course of the production, transfer, possession, or use prohibited by this section.
(d) In this section and section 1028A—
(1) the term “authentication feature” means any hologram, watermark, certification, symbol, code, image, sequence of numbers or letters, or other feature that either individually or in combination with another feature is used by the issuing authority on an identification document, document-making implement, or means of identification to determine if the document is counterfeit, altered, or otherwise falsified;
(2) the term “document-making implement” means any implement, impression, template, computer file, computer disc, electronic device, or computer hardware or software, that is specifically configured or primarily used for making an identification document, a false identification document, or another document-making implement;
(3) the term “identification document” means a document made or issued by or under the authority of the United States Government, a State, political subdivision of a State, a foreign government, political subdivision of a foreign government, an international governmental or an international quasi-governmental organization which, when completed with information concerning a particular individual, is of a type intended or commonly accepted for the purpose of identification of individuals;
(4) the term “false identification document” means a document of a type intended or commonly accepted for the purposes of identification of individuals that—
(A) is not issued by or under the authority of a governmental entity or was issued under the authority of a governmental entity but was subsequently altered for purposes of deceit; and
(B ) appears to be issued by or under the authority of the United States Government, a State, a political subdivision of a State, a foreign government, a political subdivision of a foreign government, or an international governmental or quasi-governmental organization;
(5) the term “false authentication feature” means an authentication feature that—
(A) is genuine in origin, but, without the authorization of the issuing authority, has been tampered with or altered for purposes of deceit;
(B ) is genuine, but has been distributed, or is intended for distribution, without the authorization of the issuing authority and not in connection with a lawfully made identification document, document-making implement, or means of identification to which such authentication feature is intended to be affixed or embedded by the respective issuing authority; or
(C) appears to be genuine, but is not;
(6) the term “issuing authority”—
(A) means any governmental entity or agency that is authorized to issue identification documents, means of identification, or authentication features; and
(B ) includes the United States Government, a State, a political subdivision of a State, a foreign government, a political subdivision of a foreign government, or an international government or quasi-governmental organization;
(7) the term “means of identification” means any name or number that may be used, alone or in conjunction with any other information, to identify a specific individual, including any—
(A) name, social security number, date of birth, official State or government issued driver’s license or identification number, alien registration number, government passport number, employer or taxpayer identification number;
(B ) unique biometric data, such as fingerprint, voice print, retina or iris image, or other unique physical representation;
(C) unique electronic identification number, address, or routing code; or
(D) telecommunication identifying information or access device (as defined in section 1029 (e));
(8 ) the term “personal identification card” means an identification document issued by a State or local government solely for the purpose of identification;
(9) the term “produce” includes alter, authenticate, or assemble;
(10) the term “transfer” includes selecting an identification document, false identification document, or document-making implement and placing or directing the placement of such identification document, false identification document, or document-making implement on an online location where it is available to others;
(11) the term “State” includes any State of the United States, the District of Columbia, the Commonwealth of Puerto Rico, and any other commonwealth, possession, or territory of the United States; and
(12) the term “traffic” means—
(A) to transport, transfer, or otherwise dispose of, to another, as consideration for anything of value; or
(B ) to make or obtain control of with intent to so transport, transfer, or otherwise dispose of.
(e) This section does not prohibit any lawfully authorized investigative, protective, or intelligence activity of a law enforcement agency of the United States, a State, or a political subdivision of a State, or of an intelligence agency of the United States, or any activity authorized under chapter 224 of this title.
(f) Attempt and Conspiracy.— Any person who attempts or conspires to commit any offense under this section shall be subject to the same penalties as those prescribed for the offense, the commission of which was the object of the attempt or conspiracy.
Ik vind eigenlijk de bedrijven die hier aan mee doen de schuldige! Zij moeten toch zorg dragen dat onze info veilig bewaard wordt? Als ik naar mn internet provider bel dat ik mn wachtwoord kwijt ben, dan krijg ik dat netjes twee dagen later via de tntpost op mn eigen adres afgeleverd. Als iemand anders dat dus opvraagd schieten ze er niks mee op. Zelfde met pincode van je bankpasje ofzo, zo hoort het gewoon :)

Ik kan ook wel bellen naar de fabrikant van de cijferkluis van de buurman: "goedemiddag met (kuch) Polleke van Hebscheuten, wat was de combinatie van mn kluis ook alweer?"

is dat ook pretexting? :+
Maar dan duurt het wel enkele dagen, terwijl je over sommige info graag direct beschikt... lijkt me toch een moeilijke kwestie om dit te vermijden voor sommige bedrijven.

Daarom is het wel een positief punt dat er nu een wet voor komt...
Er bestaat ook nog zoiets als fax, vraag het op via telefoon en krijg een wachtwoord, (pin/puk)code o.i.d. via de fax (die vantevoren bij de instantie bekend is) terug gestuurd.
Is sneller dan via de post en net zo veilig.
Pretexting is het door privé-detectives opvragen van gegevens over telefoongesprekken onder de naam van de persoon die door hen onderzocht wordt.

Tamelijk onbegrijpelijk bericht. WTF betekent pretexting en waarom zou dit een kwaadaardige manier van onderzoek zijn? En waarom is dit interessant voor Nederlandse lezertjes, het lijkt me een Amerikaanse lokale folklore. Prove me wrong.
Zelf vooral geen moeite doen...

Pretexting

Het gaat hier dus om een vorm van identiteitsdiefstal. Iets waar iedere internetgebruiker zich bewust van dient te zijn.
Het gaat hier dus om een vorm van identiteitsdiefstal. Iets waar iedere internetgebruiker zich bewust van dient te zijn.
Lees je eigen wiki link eens, het is helemaal geen identiteitsdiefstal en heeft weinig tot niets met internet te maken. Het is bijvoorbeeld iemand die je opbelt namens de bank en vraagt om je pin code. Om vertrouwen te wekken je bankrekeningnummer en de naam van je hond noemt, waar ie gemakkelijk op andere manieren aan kan komen.
het enige wat ik bij pretexting zou kunnen bedenken is het opvragen van info over iemand door je voor te doen als diegene, en dus in feite doen alsof je info over jezelf opvraagt.

zie verder hier: http://en.wikipedia.org/wiki/Pretexting

het komt er op neer dat je dus de bellijsten/telefoonrekeningen opvraagt van mensen waar jij geen toegang tot hoort te hebben
Wat pretexting betekend staat daar toch gewoon mooi uitgelegd? Je als iemand anders voordoen om zo vertrouwelijke informatie over die persoon los te krijgen.

Ik vind het nogal logisch dat dit wordt bestraft, en wel omdat dit een schending is van privacy. Als een officieel agent dit zou doen dan heb ik er uit persoonlijk oogpunt veel minder problemen met hebben dan als een privé detective of een alledaagse persoon dit doet.

Omdat van een politieagent weet je dat hij het zal gebruiken voor een criminele zaak op te lossen en ook zal een agent zich waarschijnlijk niet als iemand anders moeten voordoen om deze informatie los te krijgen. Andere personen zullen dit vooral uit eigenbelang doen.
Juist als een agent het doet heb ik er bezwaar tegen. Hij heeft welliswaar de mogelijkheid om via een dwangbevel toegang tot die gegevens te krijgen, maar dan moet 'ie naar een rechter en laten zien dat er concrete verdenkingen zijn.

Dit is het soort truuk wat ze gebruiken om te kunnen onttrekken aan controle door het gerechtelijk apparaat.

Een agent die dit doet mag wel een week aan de schandpaal en honderd stokslagen bovenop z'n lange gevangenisstraf, oneervol ontslag, verspelen van pensioenrechten en uitsluiting van ooit nog voor de overheid werken.
Vrij normaal Engels woord. Vrij eenvoudig: pretext is de bewoording voor het opzettelijk voordoen als een ander om dat te misbruiken.

Waarom dat kwaadaardig is? Als je je voordoet als een ander en daardoor de persoonlijke mogelijkheden van die persoon krijgt en gebruikt dan is dat op zijn minst nogal een schending van iemands persoonlijke sfeer. Persoonsgebonden zaken als inzien van je telefoongegevens zijn zeer persoonlijk en dus niet bedoeld voor anderen.

Waarom het voor Nederland nieuws is? Het gaat hier behalve om nieuws rond communicatie ook om het schenden van informatieprivacy. Dit komt overigens ook in Nederland voor. Behoorlijk wat detectives houden zich ook hier niet echt netjes aan de wet om voor de klant speurwerk te verrichten. Niet dat ze zich dan direct voordoen als een ander persoon, maar social engineering mag onder detectives in het algemeen wel als wereldwijde gewoonte beschouwd worden. Het verschil is echter dat privacy hier bij wet al een stuk beter beschermd is.
Natuurlijk is dit belangrijk, wat denk je wel niet !!!

Met de huidige globalisering komt Amerika steeds dichterbij en worden er steeds meer amerikaanse wetten overgenomen. De volgende stap is dat tweakers.net volledig in het Engels wordt gepubliceerd.... gelukkig spreek jij die taal ook :)

:+

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True