Zembla uitzending slaat in als bom
Gisteravond kwam Zembla met een uitzending over creditcardfraude en hoe eenvoudig het is om die gegevens te misbruiken, tot grote schrik en verbazing van de politiek en het OM. Zo gaat D66 Tweede Kamerlid Alexander Pechtold vragen stellen en wil het OM dat er een meldplicht voor gehackte websites en bedrijven komt. De gestolen gegevens werden via besmette machines en gehackte websites bemachtigd en kwamen daarna in handen van Zembla. De informatie kan echter ook via skimming worden verkregen, zo waarschuwt fraudebestrijder Ultrascan. De prijzen per creditcard variëren van 50 Eurocent to 5 Euro, afhankelijk van de hoeveelheid geleverde data.
De handel in gestolen identiteitsgegevens wordt beheerst door zogenaamde Open Source Criminele Netwerken (OSCN). Open Source Criminele Netwerken hebben een aantal kenmerken. Ten eerste hebben OSCN vrije of zeer goedkope toegang tot alle benodigdheden om hun misdaden te plegen. De belangrijkste benodigdheid, het internet, is bijna overal ter wereld toegankelijk, voor weinig geld, zeker in verhouding tot de mogelijke criminele opbrengsten. Ten tweede, bevinden de criminelen en slachtoffers zich in verschillende jurisdicties. Dit bemoeilijkt het berechten. Ten derde, opereren deze criminelen anoniem. Dat bemoeilijkt het opsporen.
Onderschatting
Met name In Amerika en Groot-Brittannië komt identiteitsfraude veel voor, wat in het geval van de VS door het gebruik van het social security nummer wordt vergroot. Volgens de fraudebestrijder wordt internet gerelateerde criminaliteit en grote anonieme criminele netwerken nog steeds zwaar onderschat door de Nederlandse overheid en doet men dit vooral af als een persoonlijk probleem of een probleem van banken en creditcardmaatschappijen. "Er is geen sprake van enige urgentie bij de overheid, laat staan dat het als een nationaal risico wordt behandeld."
"Volgens de banken is het een probleem van creditcardmaatschappijen, wat vreemd is, omdat het dezelfde criminele netwerken zijn die internet bankieren en debit kaarten als doelwit hebben. Het resultaat is dat iedereen naar elkaar blijft wijzen. Sommigen dringen aan op internationale samenwerking bij opsporing, maar tegelijkertijd staat privacywetgeving een noodzakelijke gegevens uitwisseling in de weg. Er wordt dus niets aan onderzoek en bestrijding gedaan en identiteitsfraude en OSCN blijven explosief groeien."
Overheid
Ultrascan merkt op dat dat er nauwelijks budgetten voor onderzoek zijn, laat staan voor de bestrijding ervan. Het gevolg is dat de politie geen tijd en mankracht heeft om deze vormen van grensoverschrijdende criminaliteit aan te pakken. Ook de fraudebestrijder ziet graag dat er een meldingsplicht voor gehackte bedrijven komt. "De overheid moet het mogelijk maken (met terugwerkende kracht) inzicht te krijgen in alle data lekken, of dit nu de persoonsgegevens van 50 werknemers gaat of om verlies van miljoenen gegevens van een belastingdienst." Verder zou de overheid grootschalige onderzoeken naar grensoverschrijdende OSCN mogelijk moeten maken. Het is de vraag in hoeverre dit nog helpt. Experts zijn ervan overtuigd dat "we al te laat zijn."
Meldplicht
Het College Bescherming Persoonsgegevens wil dat er een meldingsplicht voor gehackte sites en bedrijven komt: “Ik vind dat er een meldingsplicht zou moeten komen. Waardoor bedrijven die zien, of weten of kunnen weten dat er uit hun databases spullen zijn ontvreemd, dat die dat centraal zullen moeten melden, en openbaar moeten melden.” Ook fraude-officier van Justitie mr. F. Speijers wil een meldingsplicht: “Het bedrijf waar dat gebeurt is, behoort al die klanten te informeren Dan voorkom je voor een belangrijk deel dat ik geweldig verrast word dat er met mijn identificerende gegevens misbruik wordt gemaakt. Vergelijk het met normale diefstal en nu zijn het elektronische gegevens. En daar word ik dan niet over geïnformeerd? Ik vind dat dat ook zou moeten.”
Mastercard secure code
Eigenaren van een Mastercard Secure Code werden ook tijdens de uitzending gewaarschuwt. Wie zich in Nederland voor de kaart aanmeldt "om zich beter te beveiligen bij internet transacties" accepteert een eigen risico van 150 euro. De kaart blijkt echter helemaal geen extra veiligheid te bieden. Iedereen kan de door gebruiker zelf bedachte code laten resetten naar een nieuwe code en de betaling laten goedkeuren. Mocht de gebruiker een geldig kaartnummer invoeren, gecombineerd met een verkeerde naam, dan geeft het Secure Code systeem de correcte naam weer. Als laatste controleert het systeem alleen op de geldigheid van de kaart. In de uitzending bevestigt een ING-fraude medewerker de kwetsbaarheid van de kaart.
Bedoelen jullie niet Open-Bron Criminele Netwerken?
http://www.ultrascan.nl/Satelliet_Notitie_Open_Bron_Criminele_Netwerken.pdf
Groet en slaap veilig
En deze lui moeten beslissingen nemen over bewaarplicht, EPD, enz.
Inderdaad, zo verander je in een zucht van eerlijke Linux gebruiker is een rasechte crimineel
veel wetten zijn aangenomen om TD-theft aan te pakken. Maar elders stijgen de cijfers: Nederlanders zijn
tegenwoordig simpelweg lager hangend fruit.
Batman
Maar er is hoop! Deze Open Bron is zichzelf langzaam aan het verwoesten. De Open Bron is bijna resistent voor antivirus injecties geworden.
- 1 van de kleinere oppositiepartijen gaat vragen stellen; het is tegenwoordig bijna meer bijzonder als er geen kamervragen gesteld worden. Het regent vandaag, morgen komt daar een spoeddebat over ;-)
- 1 van de partijen die meewerkt aan de uitzending wordt nogmaals aangehaald met wat wazige teksten over Open Source (of Open Bron) Criminele Netwerken. De PDF die in de comments hierboven aangehaald wordt, maakt het niet veel duidelijker...
- het CPB, ook al in de uitzending aanwezig, herhaalt de uitspraken uit de uitzending nog maar een keertje
- en de bevinding over de Secure Code wordt nog een keer herhaald
- oh ja, er keken ongeveer 1/6 van de mensen die naar Peter Errrr keken naar deze baanbrekende uitzending vol 'nieuws'
De kop had beter kunnen zijn: "Samenvatting van het toch al oude nieuws van Zembla, voor wie het gemist heeft"
Bedoelen jullie niet Open-Bron Criminele Netwerken?
http://www.ultrascan.nl/Satelliet_Notitie_Open_Bron_Criminele_Netwerken.pdf
Het wordt gewoon engels gehouden, want tsja in nederland is bijna niets meer van ons zelf :(
Maar er is hoop! Deze Open Bron is zichzelf langzaam aan het verwoesten. De Open Bron is bijna resistent voor antivirus injecties geworden.
Blaat blaat. Ja hoor daar zijn we weer: Linux vs Windows.... Hou toch eens op met die eeuwige discussie. Het gaat toch niet om het OS? Bovendien: als je de exploits bekijkt binnen bijvoorbeeld Metasploit dan snap ik al helemaal niet meer waar die discussie vandaan komt. Beide bevatten fouten en gevoeligheden. Daarnaast zijn het heel vaak slecht geschreven applicaties die op het platform draaien welke de boosdoener zijn. Zoals de hack van een webserver met een FTP pakket erop. Was wel makkelijk voor de upload van bestanden.... yeah right!
Maar om even bij het topic te blijven: ik heb de aflevering gezien en denk dat het een gigantische afgang is voor politiek, overheid maar ook voor de private sector. Tis toch een grof schandaal dat men zo verbaasd reageerde. Leven ze in een andere wereld of zo? Ik ben het met eerdere schrijvers eens: dan heeft men toch echt zitten slapen de afgelopen jaren!
Wat doen ze dan vraag ik me wel eens af? Ik zie dat meer en meer: als je het maar op papier allemaal aan kan tonen dat je procedures en dergelijke op orde zijn dan zit het allemaal wel goed. De ene ISO na de andere SOx en we auditen en loggen alles aan elkaar! De ene taskforce (ook zo'n hype) na de andere en het resultaat....
Iedereen weet al jaren dat credit cards nou niet echt heel veilig zijn. Dat was zo en dat is zo. Dat was zo omdat je jaren geleden ook al een doordrukvelletje had waar fraude mee mogelijk was en dat is zo omdat door Zembla maar weer eens het feit gepresenteerd is dat er slechte controle is op stamgegevens. Jaren geleden schreef iemand eens geld vanmijn rekening af, bleek dat een niet nader te noemen bank niet eens een controle uitvoerde op de handtekening en de stamgegevens.
ING is dan ook slechts een voorbeeld. Wat ik wel schrijnend vind, is dat ING dan het e.e.a. als veilig(er) aanprijst terwijl er gewoon weer een verkapte marketing achterzit. Wees dan eens innovatief! Dat kost geld maar geeft ook kansen om je te onderscheiden van de concurrentie. Volgens mij worstelen we gewoon met een opdrogende beveiliging van de huidige middelen. Er zal gewoon een nieuwe generatie middelen moeten komen en nog beter: een geheel herziene visie op beveiligsconcepten. Het kraakt in z'n voegen.
hoezo dat nu ? ik zou het CBP al niet meer vertrouwen sinds de laatste uitspraken of gaan ze deze informatie ook op de OV-chipkaart plaatsen ? vind het hele CBP één grote pure schijnvertoning
Geen enkele nationale overheid, en zeker niet een relatief kleine zoals de Nederlandse, kan dit en ze zullen het nooit met uitsluitend nationale bevoegdheden kunnen.
Maar er is hoop! Deze Open Bron is zichzelf langzaam aan het verwoesten. De Open Bron is bijna resistent voor antivirus injecties geworden.
Word toch eens wakker man,omdat linux voor jou alles is word windows de grond ingetrapt.
volg eens een goede cursus windows.
alleen maar boetes kan uit delen
1] De nadruk lag ook niet echt op een goed anti-virus pakket installeren, want ben je al een heel stuk veiliger.
Met zo'n beetje elke keylogger op je systeem ben je nooit veilig, hoeveel pinocodes je ook moet invullen.
Dus een goede av scanner op je systeem kan een hoop elende voorkomen.
2] Diegene die een boek besteld bij bijv. bol.com en op een ander adres laat bezorgen hebben ze zo te pakken
dus een slecht voorbeeld.
3] Het al dan al proberen om website's uit een ander land uit de lucht te halen, lukt toch nooit, en zou het lukken
dan gaat het verhandelen wel via e-mail, ftp, of nog anders.
4] Weer net hetzelfe verhaal als 3x kloppen.nl
Heb je eenmaal een trojan op je systeem dan helpt 3x kloppen ook niks meer.
Wil je goede raad geven, geef dan aan dat mensen een goed av programma moeten installeren, en hun software
up-to-date houden.
5] Naar mijn idee prutsen ze maar wat aan met hun voorlichting, of de verkeerde mensen op de verkeerde plek.
Met bijv. Kaspersky [ als av ], en secunia [ als software inspector ] kom je al een heel stuk in de juiste richting.
5] Bankzaken of online bestellingen zou je kunnen doen, met een linux live boot cd.
Tja onze overheid, heeft de klok wel horen luiden, maar weet niet waar de klepel hangt
1] De nadruk lag ook niet echt op een goed anti-virus pakket installeren, want ben je al een heel stuk veiliger.
Met zo'n beetje elke keylogger op je systeem ben je nooit veilig, hoeveel pinocodes je ook moet invullen.
Dus een goede av scanner op je systeem kan een hoop elende voorkomen.
2] Diegene die een boek besteld bij bijv. bol.com en op een ander adres laat bezorgen hebben ze zo te pakken
dus een slecht voorbeeld.
3] Het al dan al proberen om website's uit een ander land uit de lucht te halen, lukt toch nooit, en zou het lukken
dan gaat het verhandelen wel via e-mail, ftp, of nog anders.
4] Weer net hetzelfe verhaal als 3x kloppen.nl
Heb je eenmaal een trojan op je systeem dan helpt 3x kloppen ook niks meer.
Wil je goede raad geven, geef dan aan dat mensen een goed av programma moeten installeren, en hun software
up-to-date houden.
5] Naar mijn idee prutsen ze maar wat aan met hun voorlichting, of de verkeerde mensen op de verkeerde plek.
Met bijv. Kaspersky [ als av ], en secunia [ als software inspector ] kom je al een heel stuk in de juiste richting.
5] Bankzaken of online bestellingen zou je kunnen doen, met een linux live boot cd.
Tja onze overheid, heeft de klok wel horen luiden, maar weet niet waar de klepel hangt
1) Wat een gezwam. Een goede anti-virusscanner zegt tegenwoordig echt helemaal niets meer. De signatuur veranderen en hop, je bent er doorheen. Vaak een eitje. Meerdere voorbeelden gezien.
2) het gaat om de strekking van het verhaal.
3) ja, het gaat er echter om meer internationale afspraken te maken zodat je als crimineel in ieder geval niet veilig bent als je in een wazig oord een servertje hebt neergezet van waaruit je dit soort zaken in de praktijk brengt. Volgens mij zal dit nog lange tijd een utopie blijken. Bij veel landen heeft dit geen prioriteit, ze hebben het veel te druk om de broek op te houden.
4) ook onzin. De maatregelen die hier genoemd worden zijn volstrekt ontoereikend en bieden schijnveiligheid. Ik noem zero-day exploits en zelfs SSL verbindingen en de certificaten die kunnen fake zijn. Dat zegt toch een doorsnee gebruiker ook helemaal niets!
Kaspersky labs heeft zelfs aangegeven dat er op dit moment maar een manier is die nog enig vertrouwen kan krijgen: een aparte VM in een andere OS-smaak dan het host-systeem (met firewall etc etc) en van waaruit de verbinding tot stand komt en waarna alle historie wegvalt als de VM afgesloten is. Verder zijn er geen verbindingen toegelaten van buitenaf tot de VM. Dit staat overigens ook al weer ter discussie. Kijk eens naar de kwetsbaarheden in VM's.
5) nou, zie mijn voorgaande opmerkingen. Ontoereikend.
6) Dat komt al een heel eind in de richting! Kijk maar eens naar:
http://www.security.nl/artikel/23454/1/USB-stick_voor_veilig_internetbankieren.html
Het probleem is in het algemeen dat een bank geen vat heeft op de werkplek of omgeving van de eindgebruiker. Je kunt lastig daar zaken afdwingen. Dan kun je nog 100x zeggen dat er maatregelen genomen moeten worden. Een eindgebruiker wil dit niet weten en HOEFT dit ook niet te weten. Hij wil een functionaliteit veilig ingevuld zien.
Vanuit de IT techniek denken we veel te gemakkelijk over het besef bij eindgebruikers. Veel mensen weten niet eens wat een virus, worm of laat staan een SSL verbinding is. Dat moet je weghalen. Waarom dan moeilijk doen en dus gewoon iets verplichten zodat end-to-end veiligheid kan worden gegarandeerd en je wel vat hebt op datgene wat op afstand gebeurt? Wil je internet bankieren. Prima maar daar zijn voorwaarden aan verbonden om jezelf, anderen en de bank te beschermen.
Ik betaal in de parkeergarage altijd met mijn Visa kaart. Lekker makkelijk, maar dit geeft me toch wel een ongemakkelijk gevoel.
Advies is welkom.
Maria
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.