Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Fraudeurs maken geld buit door onderscheppen DigiD's

Door , 100 reacties

Eind vorig jaar hebben kwaadwillenden gefraudeerd met 150 tot 400 DigiD-accounts, zodat ze uitkeringen en toeslagen naar henzelf konden overmaken. Op dit moment is het frauderen met DigiD-accounts redelijk eenvoudig: het onderscheppen van post is voldoende.

Digid-logoOm hoeveel fraudegevallen het precies gaat, is onbekend: De Volkskrant schrijft in zijn papieren editie dat het om 150 gevallen gaat, maar de politie zou tegen gedupeerden hebben gezegd dat er al 400 fraudegevallen zijn binnengekomen. De fraude vond plaats in Amsterdam-Zuidoost, met name in het gebied met postcode 1102.

De aanvallers maakten geld buit door de DigiD-accounts van de slachtoffers aan te passen, zodat geld niet naar het rekeningnummer van de slachtoffers, maar naar die van henzelf ging. Hoeveel geld er precies is buitgemaakt, is volgens De Volkskrant onduidelijk. Uit voorzorg heeft Logius, de organisatie die DigiD beheert, een groot aantal DigiD-accounts in Amsterdam-Zuid geblokkeerd, waardoor veel mensen geen uitkering of toeslagen kregen gestort. Eerder vond al vergelijkbare fraude plaats, waaronder onlangs nog in Groningen.

De krant doet niet uit de doeken hoe de fraude precies plaatsvond, maar bij in ieder geval één slachtoffer gaat het waarschijnlijk om post die is onderschept. Door post vanuit DigiD te onderscheppen, bijvoorbeeld door de post uit de brievenbus te hengelen, kunnen aanpassingen worden doorgevoerd. De overheid wil DigiD vervangen door een veiliger systeem, met een smartcard en two-factor-authenticatie, maar dat zogeheten eID komt waarschijnlijk pas in 2017.

Door Joost Schellevis

Redacteur

08-01-2014 • 07:53

100 Linkedin Google+

Reacties (100)

Wijzig sortering
Zoals ook in het artikel wordt vermeld, is dit vorig jaar ook in Groningen gebeurd. Hieronder de brief die we hierover naar de Tweede Kamer hebben gestuurd. Naar aanleiding van deze brief zijn kamervragen gesteld: http://www.rijksoverheid....ienstverlening-digid.html


Groningen, 12 juni 2013

Betreft: grootschalige identiteitsfraude met DigiDs studenten

Geachte Leden van de Vaste Commissie voor Binnenlandse Zaken,

Gisteren zijn bewoners van de studentenflat Selwerd 3 in Groningen erachter gekomen dat er op grote schaal gefraudeerd wordt met DigiDs van bewoners. Nadat één persoon erachter kwam dat er namens haar huurtoeslag op een ander rekeningnummer was aangevraagd, bleek al snel dat er binnen dezelfde flat tientallen andere slachtoffers waren.

Op de een of andere manier hebben criminelen de bsn-nummers en geboortedata van nagenoeg alle bewoners kunnen achterhalen. Met deze gegevens is het mogelijk om online een nieuwe DigiD aan te vragen. Hiervoor wordt dan geen enkele bevestiging meer gevraagd van de persoon. Ook als er al een DigiD met sms-code is, wordt er geen bevestiging naar het betreffende mobiele nummer gestuurd. Vervolgens worden er activatiecodes verzonden per post. Met deze activatiecode kan de nieuwe DigiD worden geactiveerd, waarna de oude meteen wordt geblokkeerd. Deze brieven met activatiecodes zijn deels onderschept of uit brievenbussen verwijderd. Vervolgens zijn namens deze personen zaken als rekeningnummer en inkomen aangepast, en worden er zaken als huurtoeslag aangevraagd. Pas op het moment dat de bevestiging van de huurtoeslag per post verstuurd wordt, vaak weken later, krijgt de bewoner een signaal dat er iets niet in de haak is.

Toen duidelijk werd dat het om meer dan één geval ging heeft de bewonersvereniging (niet de verhuurder) meteen een onderzoek gestart in de flat. De flat telt ongeveer 300 bewoners, van de bewoners die gesproken zijn heeft een aanzienlijk deel op enig moment een brief met activatiecode ontvangen, zonder deze zelf aangevraagd te hebben. Deze brieven hebben allemaal dezelfde dagtekening. Een kleiner deel heeft deze brief nooit gezien en blijkt niet meer bij zijn of haar DigiD te kunnen.

Bij navraag bij de DigiD helpdesk komen bewoners geen steek verder. Zij kunnen geen informatie geven over recente aanvragen en activiteit op de DigiD accounts. Die is enkel voor de gebruikers zelf zichtbaar, als ze inloggen. Direct een DigiD blokkeren kan ook niet, een nieuwe DigiD aanvragen is de enige optie. Dat duurt wel een aantal dagen (gedurende die dagen kunnen kwaadwillenden dus nog steeds alles doen), en daar komt bovenop dat bij het in gebruik nemen van een nieuwe DigiD ook nog eens de historie wordt gewist. Er is dus geen enkele manier om erachter te komen wat er met de getroffen DigiDs is gedaan. De belastingdienst geeft iets meer duidelijkheid, maar alleen over wat er bij de belastingdienst zelf is gebeurd. Zij hebben geen inzicht in activiteit bij andere instanties.

Inmiddels zijn alle bewoners door de bewonersvereniging geïnformeerd over wat er gebeurd is en wat zij moeten doen om verder misbruik te voorkomen. Echter, het is duidelijk dat er ergens een enorme hoeveelheid bsn-nummers is uitgelekt. Ook al wordt dit lek gevonden en gedicht, voor deze mensen is het kwaad al geschied. De informatie ligt op straat en er kunnen op elk moment opnieuw malafide aanvragen met deze gegevens worden gedaan, met alle gevolgen van dien. Op de vraag hoe dit in de toekomst geblokkeerd kan worden geeft DigiD tot op heden geen enkele reactie.

Wij kunnen niet anders concluderen dan dat er ergens op grote schaal gegevens van de bewoners van deze flat zijn gelekt, en dat het systeem achter DigiD pertinent onveilig is. Het is veel te eenvoudig om namens iemand anders een aanvraag te doen, en zelfs als er eerder telefoonnummers en e-mailadressen zijn opgegeven wordt er om geen enkele bevestiging gevraagd. Er wordt niet eens een bericht ter informatie verstuurd. De enige communicatie is de activatiecode, die vrij simpel te onderscheppen is. Daarnaast valt het blijkbaar totaal niet op als er van tientallen, zo niet honderden adressen binnen dezelfde flat op dezelfde dag nieuwe DigiD-codes worden aangevraagd. Zelfs als er op een gegeven moment mensen bellen omdat ze onverwachts activatiecodes ontvangen gaat er geen belletje rinkelen. En als klap op de vuurpijl is er als het kwaad al geschied is geen enkele manier om in te zien wat er met een gekraakte DigiD is gebeurd, en is de DigiD niet met spoed te blokkeren.

Meerdere instanties hebben hier enorme steken laten vallen en honderden bewoners zijn hier nu, en misschien nog wel voor veel langere tijd, de dupe van. DigiD blijkt pertinent onveilig te zijn, slachtoffers van de fraude kunnen op geen enkele manier inzicht krijgen in wat er met hun DigiD is gedaan en er is voor deze mensen geen enkele manier om toekomstig misbruik tegen te gaan.

In afwachting van uw spoedige reactie, verblijf ik,

Met vriendelijke groet,

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*