Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Fraudeurs maken geld buit door onderscheppen DigiD's

Door , 100 reacties

Eind vorig jaar hebben kwaadwillenden gefraudeerd met 150 tot 400 DigiD-accounts, zodat ze uitkeringen en toeslagen naar henzelf konden overmaken. Op dit moment is het frauderen met DigiD-accounts redelijk eenvoudig: het onderscheppen van post is voldoende.

Digid-logoOm hoeveel fraudegevallen het precies gaat, is onbekend: De Volkskrant schrijft in zijn papieren editie dat het om 150 gevallen gaat, maar de politie zou tegen gedupeerden hebben gezegd dat er al 400 fraudegevallen zijn binnengekomen. De fraude vond plaats in Amsterdam-Zuidoost, met name in het gebied met postcode 1102.

De aanvallers maakten geld buit door de DigiD-accounts van de slachtoffers aan te passen, zodat geld niet naar het rekeningnummer van de slachtoffers, maar naar die van henzelf ging. Hoeveel geld er precies is buitgemaakt, is volgens De Volkskrant onduidelijk. Uit voorzorg heeft Logius, de organisatie die DigiD beheert, een groot aantal DigiD-accounts in Amsterdam-Zuid geblokkeerd, waardoor veel mensen geen uitkering of toeslagen kregen gestort. Eerder vond al vergelijkbare fraude plaats, waaronder onlangs nog in Groningen.

De krant doet niet uit de doeken hoe de fraude precies plaatsvond, maar bij in ieder geval één slachtoffer gaat het waarschijnlijk om post die is onderschept. Door post vanuit DigiD te onderscheppen, bijvoorbeeld door de post uit de brievenbus te hengelen, kunnen aanpassingen worden doorgevoerd. De overheid wil DigiD vervangen door een veiliger systeem, met een smartcard en two-factor-authenticatie, maar dat zogeheten eID komt waarschijnlijk pas in 2017.

Joost Schellevis

Redacteur

Reacties (100)

Wijzig sortering
Zoals ook in het artikel wordt vermeld, is dit vorig jaar ook in Groningen gebeurd. Hieronder de brief die we hierover naar de Tweede Kamer hebben gestuurd. Naar aanleiding van deze brief zijn kamervragen gesteld: http://www.rijksoverheid....ienstverlening-digid.html


Groningen, 12 juni 2013

Betreft: grootschalige identiteitsfraude met DigiDs studenten

Geachte Leden van de Vaste Commissie voor Binnenlandse Zaken,

Gisteren zijn bewoners van de studentenflat Selwerd 3 in Groningen erachter gekomen dat er op grote schaal gefraudeerd wordt met DigiDs van bewoners. Nadat één persoon erachter kwam dat er namens haar huurtoeslag op een ander rekeningnummer was aangevraagd, bleek al snel dat er binnen dezelfde flat tientallen andere slachtoffers waren.

Op de een of andere manier hebben criminelen de bsn-nummers en geboortedata van nagenoeg alle bewoners kunnen achterhalen. Met deze gegevens is het mogelijk om online een nieuwe DigiD aan te vragen. Hiervoor wordt dan geen enkele bevestiging meer gevraagd van de persoon. Ook als er al een DigiD met sms-code is, wordt er geen bevestiging naar het betreffende mobiele nummer gestuurd. Vervolgens worden er activatiecodes verzonden per post. Met deze activatiecode kan de nieuwe DigiD worden geactiveerd, waarna de oude meteen wordt geblokkeerd. Deze brieven met activatiecodes zijn deels onderschept of uit brievenbussen verwijderd. Vervolgens zijn namens deze personen zaken als rekeningnummer en inkomen aangepast, en worden er zaken als huurtoeslag aangevraagd. Pas op het moment dat de bevestiging van de huurtoeslag per post verstuurd wordt, vaak weken later, krijgt de bewoner een signaal dat er iets niet in de haak is.

Toen duidelijk werd dat het om meer dan één geval ging heeft de bewonersvereniging (niet de verhuurder) meteen een onderzoek gestart in de flat. De flat telt ongeveer 300 bewoners, van de bewoners die gesproken zijn heeft een aanzienlijk deel op enig moment een brief met activatiecode ontvangen, zonder deze zelf aangevraagd te hebben. Deze brieven hebben allemaal dezelfde dagtekening. Een kleiner deel heeft deze brief nooit gezien en blijkt niet meer bij zijn of haar DigiD te kunnen.

Bij navraag bij de DigiD helpdesk komen bewoners geen steek verder. Zij kunnen geen informatie geven over recente aanvragen en activiteit op de DigiD accounts. Die is enkel voor de gebruikers zelf zichtbaar, als ze inloggen. Direct een DigiD blokkeren kan ook niet, een nieuwe DigiD aanvragen is de enige optie. Dat duurt wel een aantal dagen (gedurende die dagen kunnen kwaadwillenden dus nog steeds alles doen), en daar komt bovenop dat bij het in gebruik nemen van een nieuwe DigiD ook nog eens de historie wordt gewist. Er is dus geen enkele manier om erachter te komen wat er met de getroffen DigiDs is gedaan. De belastingdienst geeft iets meer duidelijkheid, maar alleen over wat er bij de belastingdienst zelf is gebeurd. Zij hebben geen inzicht in activiteit bij andere instanties.

Inmiddels zijn alle bewoners door de bewonersvereniging geïnformeerd over wat er gebeurd is en wat zij moeten doen om verder misbruik te voorkomen. Echter, het is duidelijk dat er ergens een enorme hoeveelheid bsn-nummers is uitgelekt. Ook al wordt dit lek gevonden en gedicht, voor deze mensen is het kwaad al geschied. De informatie ligt op straat en er kunnen op elk moment opnieuw malafide aanvragen met deze gegevens worden gedaan, met alle gevolgen van dien. Op de vraag hoe dit in de toekomst geblokkeerd kan worden geeft DigiD tot op heden geen enkele reactie.

Wij kunnen niet anders concluderen dan dat er ergens op grote schaal gegevens van de bewoners van deze flat zijn gelekt, en dat het systeem achter DigiD pertinent onveilig is. Het is veel te eenvoudig om namens iemand anders een aanvraag te doen, en zelfs als er eerder telefoonnummers en e-mailadressen zijn opgegeven wordt er om geen enkele bevestiging gevraagd. Er wordt niet eens een bericht ter informatie verstuurd. De enige communicatie is de activatiecode, die vrij simpel te onderscheppen is. Daarnaast valt het blijkbaar totaal niet op als er van tientallen, zo niet honderden adressen binnen dezelfde flat op dezelfde dag nieuwe DigiD-codes worden aangevraagd. Zelfs als er op een gegeven moment mensen bellen omdat ze onverwachts activatiecodes ontvangen gaat er geen belletje rinkelen. En als klap op de vuurpijl is er als het kwaad al geschied is geen enkele manier om in te zien wat er met een gekraakte DigiD is gebeurd, en is de DigiD niet met spoed te blokkeren.

Meerdere instanties hebben hier enorme steken laten vallen en honderden bewoners zijn hier nu, en misschien nog wel voor veel langere tijd, de dupe van. DigiD blijkt pertinent onveilig te zijn, slachtoffers van de fraude kunnen op geen enkele manier inzicht krijgen in wat er met hun DigiD is gedaan en er is voor deze mensen geen enkele manier om toekomstig misbruik tegen te gaan.

In afwachting van uw spoedige reactie, verblijf ik,

Met vriendelijke groet,
Ja, goede oplossing :? we maken één grote organisatie die dan wel alles goed kan doen omdat die zo groot is...
  • IT-ers komen verder van hun gebruikers af te zitten en er is dus meer kans dat op gebrekkige communicatie met opdrachtgevers/gebruikers
  • grote organisaties zijn heel goed in het duurder maken van projecten zonder dat er daadwerkelijk betere kwaliteit geleverd wordt.
  • hoe groter de projecten, hoe meer kans dat ze mislopen
Het zal best kunnen werken als er een centrale organisatie komt zodat kennis tussen ministeries gedeeld kan worden. Bijvoorbeeld een expertisecentrum voor security (was er niet al zoiets?), maar dat gaat echt niet al dit soort miskleunen oplossen.

Uiteindelijk is heel simpel: de politiek bepaalt wat er gebeurt en laat zich (vaak) niet leiden door technische/praktische argumenten. De politiek wil scoren of geld besparen (door te digitaliseren). Het moet natuurlijk wel altijd snel en we gaan niet van tevoren bedenken of het allemaal wel veilig is.

Daarnaast zijn er lobbyisten van grote IT-dienstverleners actief die als prioriteit hebben dat ze grote projecten kunnen doen. Hoorde een paar jaar terug zo'n pipo - een ex-VVD-er - bij een presentatie orakelen over "één pasje waar je alles mee doet", natuurlijk zonder enige opmerking over beveiliging. Dat soort jongens loopt alleen maar te pushen op innovatie om de innovatie.

De overheid moet in ieder geval zorgen dat ze een volwaardige gesprekspartner zijn voor de partijen die ze inhuren. Ik vraag mij af of dat nu altijd zo is.
Het probleem is dat het nu gefragmenteerd is. Elk ministerie, elke overheidslaag heeft zijn eigen ICT afdeling. Vaak met tegenstrijdige belangen want vergaarde macht geef je niet af.
Gevolg daarvan is dat er allemaal eilandjes ontstaan.
Door alles te gaan samenvoegen kan je gaan werken met een lange termijn visie.
Allemaal zelfde besturingssysteem, controle over de backbone en cruciale onderdelen van telecommunicatie (nu lopen staatgeheime gegevens waarschijnlijk via private lijnen zoals de KPN), databasesystemen die op gelijke techniek en software draaien, centrale authentificatie.
Zaken die je over een veel langere termijn moet aanpakken. Voorheen wordt er gewerkt naar wat er mogelijk was maar inmiddels is 'alles' mogelijk wat een overheid nodig heeft.
Voorbeeld is DigiD, op een gegeven moment was internet zo wijd verspreid dat het vanuit de overheid zinnig leek om de burger via 1 portaal zijn zaken te laten regelen.
Ik kan me voorstellen dat de lappendeken aan systemen op een gegeven moment aan elkaar moeten worden geknoopt. Dat zal een complexe klus zijn.

Het is dus nmi tijd om de oude meuk over te zetten naar een omgeving die er op ontworpen is dat:
  • veiligheid en integriteit voorop staan
  • overheden genomen over de tijd wisselende behoeftes hebben
  • privacy
  • dat systemen onderling gelijk zijn
  • geen software die onder de patroit act (of verwanten) valt
Dat er een database "illegaal gekopieerd" is niet eens nodig: In Amsterdam zuidoost en Selwerd 3 in Groningen zijn allemaal flats. Bij een flat zitten alle brievenbussen bij elkaar. Wanneer er brieven uit de brievenbus steken is het kinderlijk eenvoudig om deze mee te nemen. Veel "blauwe" of "rode" enveloppen (belstingdienst) bevatten een BSN, naam en adres. Deze brieven worden vaak tegelijk verstuurd dus je weet wanneer je langs kan gaan.

Het probleem is de 1e identificatiemethode (BSN, adres en geboortedatum) geen correcte identificatiemethode zijn. Bovendien blijkt de 2e identificatiemethode niet veilig genoeg blijkt te zijn omdat deze eenvoudig is mee te nemen uit de brievenbus. Door deze combinatie van factoren is het prijsschieten. Om vaak en snel te kunnen schieten worden vaak flats gefocust omdat het nu eenmaal sneller gaat met honderden brievenbussen bij elkaar en je er bovendien een stuk anoniemer langs rijen brievenbussen kan lopen. Over de macht van de postbode die alle brieven door de hand krijgt spreek ik dan niet eens!

[Reactie gewijzigd door addo2 op 8 januari 2014 10:00]

Het zou kunnen dat gegevens uit andere post komen, maar het is niet heel waarschijnlijk:

De flat Selwerd 3 bestaat uit 311 kamers. Daarnaast zijn er 4 bewoners in de zogeheten laagbouw. De laagbouw heeft een brievenbus in de voordeur, waarbij het in ieder geval veel moeilijker is om post te hengelen. Bij de laagbouw is op een gegeven moment gesignaleerd dat er DigiD-activatiecodes in de brievenbus kwamen die niet waren aangevraagd. Hoogstwaarschijnlijk zijn dus ook hun gegevens buitgemaakt door de fraudeurs.

Via de postbode is nog wel een mogelijkheid, maar dan zou je verwachten dat die activatiecodes ook nooit waren aangekomen.

Ik hou het voorlopig dus nog op een lek. Hetzij een beveiligigingslek dat is misbruikt, hetzij iemand met toegang tot gegevens die betrokken is bij de fraude.
Klopt ook, dat vermoeden is toen ook al richting de verhuurder geuit, maar die weigerde een onderzoek. De overheid zelf is natuurlijk ook een mogelijkheid.

Kabelboer en gas/water/electro lijken mij onwaarschijnlijk, die hebben een contract met de verhuurder, niet met individuele bewoners.

Dat het een groot aantal gevallen in twee complexen (Selwerd 3 en Hoendiep) betreft hoeft overigens niet per sé te betekenen dat het lek niet ergens ligt waar veel meer gegevens bekend zijn. Een studentenflat met zoveel brievenbussen bij elkaar is natuurlijk sowieso een gemakkelijk doelwit voor mensen die er misbruik van willen maken. Het kan best zijn dat bijvoorbeeld van alle Groningers gegevens op straat liggen, en de fraudeurs deze twee complexen uit die berg met gegevens hebben gekozen. Maar dat blijft gissen tot er serieus onderzoek naar gedaan wordt.
Ja, dat wordt inderdaad in de antwoorden gesteld. Het kan vast ook wel, alleen de DigiD helpdesk is niet van die mogelijkheid op de hoogte. Ik en meerdere andere bewoners hebben op dat moment verzocht om onze DigiD per direct te blokkeren, maar we kregen als antwoord dat we gewoon een nieuwe DigiD moesten aanvragen en de nieuwe activatiecode moesten afwachten. Pas nadat deze kamervragen zijn gesteld is overgegaan tot het massaal blokkeren van de getroffen DigiDs en het informeren van de betrokkenen, veel te laat dus.

Dat iets mogelijk is levert niet heel veel op als je eigen helpdesk er niet eens van op de hoogte is.

Wat betreft de onterecht uitbetaalde toeslagen, voor zover mij bekend wordt dat inderdaad niet op de slachtoffers verhaald (maar bij mijzelf waren er geen toeslagen aangevraagd, dus dat weet ik niet 100% zeker). Bovendien zijn er onlangs een aantal verdachten gearresteerd, dus met een beetje geluk kan de schade worden verhaald en kunnen de onterechte uitbetalingen worden teruggevorderd.

[Reactie gewijzigd door Chocochaos op 8 januari 2014 09:59]

Dat is two factor, maar dat werkt pas nadat je een geactiveerd account hebt. Ook is bevestiging via SMS voor zover ik weet niet verplicht bij alle partijen, bijv. niet bij de gemeente voor een afspraak maar wel bij DUO om studiefinanciering aan te passen.

Wat er hier kennelijk gebeurt is dat er iemand een nieuwe DigiD voor jou aanvraagt (zoals je zou doen als je je wachtwoord bent vergeten) en de brief met activatiecode onderschept. Hier is het proces nog maar een factor, zonder SMS/e-mail als notificatie. Voordat je zelf opmerkt dat er iemand met jouw DigiD vandoor is gegaan kan er al wel enige tijd zijn verstreken. Mede om fraude tegen te gaan maakt de Belastingdienst sinds 1 december nog maar naar één rekeningnummer alle uitbetalingen over.
we gaan nu erg offtopic, maar wat ik hoorde van mijn vaste pakjesbezorger werkt dit toch wel erg in de hand. een bezorger ( tegenwoordig zzp-er die met de eigen bus op eigen benzine rijdt en enkel per bezorgd pakje krijgt betaalt ) krijgt enkel betaald indien hij het pakje aflevert, een pakje waar je voor moet tekenen moet hij 2-3x aanbieden aan de deur, als je telkens niet thuis bent gaat het pakje naar het dichtsbijzijnde postNL servicecenter en kan je het daar ophalen, de bezorger heeft dan 2-3 keer bij je aan de deur gestaan en vervolgens krijgt hij geen geld omdat het pakje niet is afgeleverd maar opgehaald...

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*