Juridische vraag: met mijn e-mail is gefraudeerd, wat nu?
woensdag 16 juli 2014, 12:38 door Arnoud Engelfriet, 22 reacties
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Een aantal weken geleden heb ik mijn werkcomputer aan laten staan, met mijn e-mail ingelogd. Vanaf mijn e-mail heeft iemand in mijn afwezigheid op internet een aankoop gedaan, en ik krijg daar nu een aanmaning van. Het afleveradres is mij onbekend en daar weten ze van geen pakketje. Wat kan ik nu het beste doen?
Antwoord: Het is buitengewoon eenvoudig een bestelling op andermans naam te plaatsen. Als je dan ook nog de factuur naar die ander kunt laten sturen en het pakketje naar iemand bij wie je het makkelijk kunt ophalen, dan is fraude wel heel makkelijk.
Sinds kort is identiteitsfraude strafbaar. Art. 231b Strafrecht bepaalt dat het opzettelijk en wederrechtelijk identificerende persoonsgegevens van een ander gebruiken strafbaar is als je daarmee je eigen identiteit 'verheelt' (oftewel verbergt) en die ander nadeel bezorgt. Daar lijkt me wel sprake van bij een bestelling op andermans naam. Je kunt dus aangifte doen.
Ook is hier sprake van oplichting. Er is sprake van wederrechtelijk bevoordelen met gebruikmaking van een valse naam, Art. 326 Strafrecht. Echter, daar zit één lastig punt aan: het is de webwinkel die opgelicht is en niet de eigenaar van de werkcomputer. De winkel is immers een product kwijt. Aangifte doen als computereigenaar is dan eigenlijk niet mogelijk.
Zonder te weten wie deze actie heeft uitgehaald, is het lastig zelf juridische actie te ondernemen. Je kunt de winkel aanschrijven en ontkennen de bestelling ooit geplaatst te hebben. De winkel moet dan bewijzen van wel, en een IP-adres of e-mailadres is een tikje mager daarvoor. Waarschijnlijk zal men het gooien op het feit dat het pakket is aangenomen, maar ook dat is formeel natuurlijk geen echt bewijs.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (22)
16-07-2014, 13:22 door
sjonniev
"Een aantal weken geleden heb ik mijn werkcomputer aan laten staan, met mijn e-mail ingelogd." Bewijs dat maar, of betaal. Dit heet gewoon "nalatigheid", en deze niet uitdagende vraag is in mijn optiek net zoiets als klagen dat je auto leeggeroofd is terwijl je hem niet op slot hebt gezet. Rekening man, zouden ze in mijn tijd in het leger zeggen.
Het is inderdaad niet handig om de werkcomputer aan te laten staan en mail open. Daar hoeven verder geen woorden aan te worden vuil gemaakt.
Maar dat wil niet zeggen dat iemand die langs komt dan ook maar gelijk gebruik van de gelegenheid moet maken. Als iemand een huis binnen loopt waarvan de deuren open staan heet dat niet voor niets altijd nog insluiping.
Voor een aankoop op naam van de gebruiker van het werkstation moet overigens wel de financiële gegevens van die gebruiker aanwezig zijn geweest . Ik heb in zo'n geval dan toch nog altijd wel kaart en pincode nodig. Dus er lijkt me wel wat meer te zijn gebeurd dan alleen gebruik maken van een openstaande computer.
Maar dat wil niet zeggen dat iemand die langs komt dan ook maar gelijk gebruik van de gelegenheid moet maken. Als iemand een huis binnen loopt waarvan de deuren open staan heet dat niet voor niets altijd nog insluiping.
Voor een aankoop op naam van de gebruiker van het werkstation moet overigens wel de financiële gegevens van die gebruiker aanwezig zijn geweest . Ik heb in zo'n geval dan toch nog altijd wel kaart en pincode nodig. Dus er lijkt me wel wat meer te zijn gebeurd dan alleen gebruik maken van een openstaande computer.
16-07-2014, 13:59 door
spatieman
helaas valt een email adres makelijk te vervalsen :/
Er zijn een paar zaken die je moet afvragen:
1. Is het wel een bonafide webwinkel?
Het zal niet de eerste keer zijn dat een "webwinkel, incassobureau, ..." valse facturen stuurt.
2. Is het pakket daadwerkelijk afgeleverd?
Met daadwerkelijk bedoel ik: heeft de bezorger aangebeld en kwam iemand via de voordeur naar buiten?
Het komt voor dat iemand een bestelling doet en deze op een bepaald tijdstip bezorgd wil hebben.
Op het moment dat de bezorger komt, staat de "klant" (lees: degene die besteld heeft; dus niet de bewoner van dat adres) net toevallig in de hal vlak naast de deurbellen (in het geval van een flat) en onderschept de bezorger.
De "klant" ontvangt het pakket en tekent daarvoor. Dus levering voltooid.
De factuur komt natuurlijk wel in de brievenbus terecht.
Probeer als bewoner dan maar uit te leggen dat je niets hebt besteld en er niets is geleverd.
Dit wordt helemaal lastig als de "klant" de achternaam van de bewoner heeft gebruikt.
Ik heb ooit eens een boek besteld en de optie gekozen om de factuur per acceptgiro to voldoen.
Deze acceptgiro werd met de bestelling meegeleverd.
Toegegeven, dit was 7 a 10 jaar geleden, maar toch.....
1. Is het wel een bonafide webwinkel?
Het zal niet de eerste keer zijn dat een "webwinkel, incassobureau, ..." valse facturen stuurt.
2. Is het pakket daadwerkelijk afgeleverd?
Met daadwerkelijk bedoel ik: heeft de bezorger aangebeld en kwam iemand via de voordeur naar buiten?
Het komt voor dat iemand een bestelling doet en deze op een bepaald tijdstip bezorgd wil hebben.
Op het moment dat de bezorger komt, staat de "klant" (lees: degene die besteld heeft; dus niet de bewoner van dat adres) net toevallig in de hal vlak naast de deurbellen (in het geval van een flat) en onderschept de bezorger.
De "klant" ontvangt het pakket en tekent daarvoor. Dus levering voltooid.
De factuur komt natuurlijk wel in de brievenbus terecht.
Probeer als bewoner dan maar uit te leggen dat je niets hebt besteld en er niets is geleverd.
Dit wordt helemaal lastig als de "klant" de achternaam van de bewoner heeft gebruikt.
Door anoniem 13:57
Voor een aankoop op naam van de gebruiker van het werkstation moet overigens wel de financiële gegevens van die gebruiker aanwezig zijn geweest . Ik heb in zo'n geval dan toch nog altijd wel kaart en pincode nodig. Dus er lijkt me wel wat meer te zijn gebeurd dan alleen gebruik maken van een openstaande computer.
Niet perse.Voor een aankoop op naam van de gebruiker van het werkstation moet overigens wel de financiële gegevens van die gebruiker aanwezig zijn geweest . Ik heb in zo'n geval dan toch nog altijd wel kaart en pincode nodig. Dus er lijkt me wel wat meer te zijn gebeurd dan alleen gebruik maken van een openstaande computer.
Ik heb ooit eens een boek besteld en de optie gekozen om de factuur per acceptgiro to voldoen.
Deze acceptgiro werd met de bestelling meegeleverd.
Toegegeven, dit was 7 a 10 jaar geleden, maar toch.....
Niet echt een antwoord op de vraag "er is van /mijn/ gegevens gebruikgemaakt, wat moet ik nu?"
Naast dat je het gemakshalve onder nalatigheid kan schuiven, kennelijk nauwlijks handvatten in de wet?
Naast dat je het gemakshalve onder nalatigheid kan schuiven, kennelijk nauwlijks handvatten in de wet?
Door sjonniev:
Rekening man, zouden ze in mijn tijd in het leger zeggen.
De vraag bevat voldoende diverse juridisch interessante aspecten.Rekening man, zouden ze in mijn tijd in het leger zeggen.
Als niet relevant afdoen is als de rekening vragen en doorschuiven.
Het leger?
Lichting '59 zeker.
Door sjonniev: "Een aantal weken geleden heb ik mijn werkcomputer aan laten staan, met mijn e-mail ingelogd." Bewijs dat maar, of betaal. Dit heet gewoon "nalatigheid", en deze niet uitdagende vraag is in mijn optiek net zoiets als klagen dat je auto leeggeroofd is terwijl je hem niet op slot hebt gezet. Rekening man, zouden ze in mijn tijd in het leger zeggen.
Altijd leuk om Arnoud een genuanceerd, goed afgewogen stuk te zien schrijven, om vervolgens in de reacties allemaal mensen te zien die menen in een twee zinnen het antwoord op de vraag al te kunnen geven.
16-07-2014, 18:28 door
Te4sheeh
Aangifte doen. De webwinkel moet bewijzen dat het pakje bij jou is aangekomen en aangezien die adres niet van jou is kan het lastig worden.
[iAltijd leuk om Arnoud een genuanceerd, goed afgewogen stuk te zien schrijven, om vervolgens in de reacties allemaal mensen te zien die menen in een twee zinnen het antwoord op de vraag al te kunnen geven.
Ja zeg dat wel. Nog even en dan komen al die nerds weer te voorschijn met hun supersterke wachtwoorden van 21
tekens die ze makkelijk kunnen onthouden, en de 2e groep die aangeeft waarom die wachtwoorden zwak zijn en zo
gekraakt kunnen worden.
Wat we nodig hebben is een deugdelijk ID systeem. Dan is dit gezeur voorbij. En hou maar op over de gezochte scenario's
waarin DAT dan weer niet gewenst is, want dat weten we nou wel. De voordelen zijn groter dan de nadelen, dat zie je
maar weer aan deze vraag. Een vraag uit de praktijk van alledag.
Door Anoniem: Wat we nodig hebben is een deugdelijk ID systeem. Dan is dit gezeur voorbij. En hou maar op over de gezochte scenario's
waarin DAT dan weer niet gewenst is, want dat weten we nou wel. De voordelen zijn groter dan de nadelen, dat zie je
maar weer aan deze vraag. Een vraag uit de praktijk van alledag.
Vertel eigenlijk eerst maar even hoe dat hier gaat helpen. Wat jij als evident aanwijst zie ik hiermee geenszins bewezen, dus leg uit.waarin DAT dan weer niet gewenst is, want dat weten we nou wel. De voordelen zijn groter dan de nadelen, dat zie je
maar weer aan deze vraag. Een vraag uit de praktijk van alledag.
Overigens vind ik het vooraf al wegwuiven van alle tegenspraak nou niet echt constructief. Je riskeert ermee dat het middel erger is dan de kwaal, maar dat dan toch doorzetten ondanks alle kritiek. Dat levert niet alleen een hele hoop terechte "ik zei het toch" op, maar ook een hoop ellende die je met een klein beetje nadenken had kunnen voorkomen.
Maargoed, jouw voorstel, dus leg uit hoe het gaat werken, hoe het gaat helpen, en hoe je voorkomt dat het andere, al dan niet in jouw ogen vergezochte, problemen gaat opleveren. Zeg het maar.
Een IP adres is in feite bewijs dat een bestelling vanaf een bepaalde computeraansluiting is gedaan. Niet door wie.
Een email adres op zich zegt helemaal niets, want die is makkelijk te vervalsen, tenzij het adres is bevestigd (in vaktermen "confirmed"). Sommige webshops doen dat goed, want daar krijg je een gegenereerd wachtwoord per email toegestuurd, daarmee moet je eerst inloggen. Doet een webshop dat niet, dan ligt de verantwoordelijkheid geheel bij de webshop. Dat betekent namelijk dat je elk willekeurig email adress zou kunnen gebruiken. De webshop kan er dan niet vanuit gaan de eigenaar van het email de bestelling heeft geplaatst.
Ik zou niet tegen deze computerwinkel vertellen dat je een PC onbeheerd hebt gelaten, want op grond van deze gegevens is er vooralsnog geen reden te veronderstellen dat dat gelegenheid gaf. Als je bij een baas werkt en de computer is van de baas, dan is in principe de baas als eerste aansprakelijk te stellen (ongeacht of dat zinvol is).
Een email adres op zich zegt helemaal niets, want die is makkelijk te vervalsen, tenzij het adres is bevestigd (in vaktermen "confirmed"). Sommige webshops doen dat goed, want daar krijg je een gegenereerd wachtwoord per email toegestuurd, daarmee moet je eerst inloggen. Doet een webshop dat niet, dan ligt de verantwoordelijkheid geheel bij de webshop. Dat betekent namelijk dat je elk willekeurig email adress zou kunnen gebruiken. De webshop kan er dan niet vanuit gaan de eigenaar van het email de bestelling heeft geplaatst.
Ik zou niet tegen deze computerwinkel vertellen dat je een PC onbeheerd hebt gelaten, want op grond van deze gegevens is er vooralsnog geen reden te veronderstellen dat dat gelegenheid gaf. Als je bij een baas werkt en de computer is van de baas, dan is in principe de baas als eerste aansprakelijk te stellen (ongeacht of dat zinvol is).
Zijn er wellicht camera beelden, overal hangt tegenwoordig een camera, ook bij bedrijven binnen.
17-07-2014, 11:28 door
[Account Verwijderd]
-
Bijgewerkt: 17-07-2014, 11:29
[Verwijderd]
Door Krakatau: Als je het hebt over het sturen van een e-mail met het e-mail adres van iemand anders, dan is dat leuk maar daarmee heb je de bestelling nog niet betaald. En normaliter zijn in de e-mail headers de sporen van een dergelijke actie zichtbaar en mag van de webshop worden verwacht dat ze dit controleren voordat ze 'op rekening' gaan leveren.
Die verwachting is wat mij betreft een beetje optimistisch, aangezien het de webshop veelal niet vooraf duidelijk zal zijn wat doorgaat voor normale headers vanaf het verzendende adres. Je moet dan nogal gauw aannames gaan doen waarvan je dan heel snel gaat doorkrijgen dat ze geen steek houden. Bijvoorbeeld doordat er nauwlijks nog een bestelling doorkomt.Buiten dat, je kan van de gemiddelde emailgebruiker blijkens niet eens veronderstellen dat ze uit moeten kijken met duidelijke obfuscatie in linkjes in de email, en zelfs het summum van welbekende wijsheid hier, "niet op klikken", is voor veel mensen al teveel gevraagd. Dus headers opvragen, laat staan inspecteren?
Dat gaat niet gebeuren voordat je het gros van de emailgebruikers op "hoe gebruik ik email?" cursus doet. (Doe er dan ook gelijk een cursus spellen, grammatica, effectief schrijven, en netiquette bij. Allemaal dingen die steeds maar weer teveel gevraagd blijken.)
17-07-2014, 12:36 door
xclude
Beetje vreemd verhaal, ik ken geen enkele webwinkel waar je d.m.v. een e-mail goederen kan bestellen. Je zal altijd moeten inloggen bij een webwinkel en dan pas in staat zijn een bestelling te plaatsen. Dit lijkt me dan ook een broodje aap verhaal, ga iets nuttigs doen, je rekeningen betalen bijvoorbeeld.
17-07-2014, 14:24 door
Overcome
Door Krakatau:
Dan heb je het over het gebruik van iemands naam bij je eigen e-mail adres (?) Dat is eigenlijk hetzelfde als een willekeurig e-mail adres nemen onder naam van iemand anders. Als de bestelling niet vooruit wordt betaald dan is het een fout van de webshop: op rekening leveren en niet de identiteit van de afzender verifiëren, da's niet zo slim.
Door spatieman: helaas valt een email adres makelijk te vervalsen :/
Dan heb je het over het gebruik van iemands naam bij je eigen e-mail adres (?) Dat is eigenlijk hetzelfde als een willekeurig e-mail adres nemen onder naam van iemand anders. Als de bestelling niet vooruit wordt betaald dan is het een fout van de webshop: op rekening leveren en niet de identiteit van de afzender verifiëren, da's niet zo slim.
Hoewel de vragensteller erg weinig informatie geeft, is het denk ik als volgt gegaan. Iemand maakt gebruik van een openstaand scherm om een bestelling te doen onder iemands naam. De bevestiging van de bestelling gaat naat het e-mailadres van de aanvrager. De bestelling kan eventueel gedaan zijn met een username en password dat in de mailbox van de opgelichte persoon staat. Het is ook nog mogelijk dat een bevestiging van de bestelling moest plaatsvinden via een toegezonden e-mail. Die bevestiging kon plaatsvinden door de open mailbox. Hierboven staat immers "met mijn e-mail ingelogd". Dan nog vind ik het een vreemd verhaal.
(1) De webshop moet aan kunnen geven waar het pakket is afgeleverd. Als dat niet overeenkomt met jouw adres of een adres dat op een of andere manier aan jou gelieerd kan worden, sta je in een rechtszaak vrij sterk lijkt me. Als het adres van je neef of je broer is, dan sta je m.i. minder sterk.
(2) Hoe heeft het aanvraagproces nou plaatsgevonden en wat is het nut van die open mailbox geweest? Moest er nog iets gebeuren met een ontvangen mail? Is de e-mailbevestiging van de aankoop verwijderd door de collega en moest daarom die mailbox open staan?
Hoe dan ook, het zal me een fijne boel zijn op die werkvloer, waarbij collega's elkaar naaien (als het verhaal tenminste klopt). Een keer heb ik meegemaakt dat een portemonnee was gejat op een afgesloten afdeling. De mensen op die afdeling zijn uiteindelijk allemaal overgeplaatst, want er kwam niets fatsoenlijks meer uit. Argwaan, vervelende opmerkingen, elkaar zwart maken. Echt bevorderlijk voor de werksfeer..
Door Anoniem:
Door Anoniem: Wat we nodig hebben is een deugdelijk ID systeem. Dan is dit gezeur voorbij. En hou maar op over de gezochte scenario's
waarin DAT dan weer niet gewenst is, want dat weten we nou wel. De voordelen zijn groter dan de nadelen, dat zie je
maar weer aan deze vraag. Een vraag uit de praktijk van alledag.
Vertel eigenlijk eerst maar even hoe dat hier gaat helpen. Wat jij als evident aanwijst zie ik hiermee geenszins bewezen, dus leg uit.waarin DAT dan weer niet gewenst is, want dat weten we nou wel. De voordelen zijn groter dan de nadelen, dat zie je
maar weer aan deze vraag. Een vraag uit de praktijk van alledag.
Als je bij bestellen een gestandaardiseerde en veilige wijze van identificatie gebruikt dan kan het dus niet meer voorkomen
dat iemand anders een bestelling plaatst en daarbij jouw identiteit faked. En dat is heel goed, want daarmee voorkom je
dit soort fraude en ook de andere kant van de zaak (mensen die niet betalen en ontkennen besteld te hebben maar in
werkelijkheid de goederen wel in handen hebben gekregen).
Een systeem daarvoor is heel nuttig, en maakt tevens een einde aan het hele gedoe rond identificeren met een
wachtwoord (digid) en vervolgens gevoelige info kunnen benaderen.
Door Anoniem:
dat iemand anders een bestelling plaatst en daarbij jouw identiteit faked.
Hoe kan dat "dus niet meer"? Preciezer, hoe garandeer je dat het inderdaad om een "veilige" wijze gaat en niet eentje die stiekem toch wel te neppen is? Hoe garandeer je dat dit gebeurt zonder nare bijeffecten en tegen niet al te grote kosten?Door Anoniem:
Als je bij bestellen een gestandaardiseerde en veilige wijze van identificatie gebruikt dan kan het dus niet meer voorkomenDoor Anoniem: Wat we nodig hebben is een deugdelijk ID systeem. Dan is dit gezeur voorbij. En hou maar op over de gezochte scenario's
waarin DAT dan weer niet gewenst is, want dat weten we nou wel. De voordelen zijn groter dan de nadelen, dat zie je
maar weer aan deze vraag. Een vraag uit de praktijk van alledag.
Vertel eigenlijk eerst maar even hoe dat hier gaat helpen. Wat jij als evident aanwijst zie ik hiermee geenszins bewezen, dus leg uit.waarin DAT dan weer niet gewenst is, want dat weten we nou wel. De voordelen zijn groter dan de nadelen, dat zie je
maar weer aan deze vraag. Een vraag uit de praktijk van alledag.
dat iemand anders een bestelling plaatst en daarbij jouw identiteit faked.
En dat is heel goed, want daarmee voorkom je dit soort fraude en ook de andere kant van de zaak (mensen die niet betalen en ontkennen besteld te hebben maar in werkelijkheid de goederen wel in handen hebben gekregen).
Dat is helaas niet waar. Het enige wat het doet is een zondebok aanwijzen als er problemen zijn. Je garandeert met het vaststellen van identiteit minder dan je denkt. Vergelijk het fenomeen geldezel, en het ook het mechanisme dat het gebruik van geldezels aantrekkelijk maakt.Een systeem daarvoor is heel nuttig, en maakt tevens een einde aan het hele gedoe rond identificeren met een
wachtwoord (digid) en vervolgens gevoelige info kunnen benaderen.
Ik zie eigenlijk alleen maar dat je (een "beter" soort van) digid verplicht wil stellen voor winkelen. En door het uitbreiden van de plicht altijd maar geidentificeerd te zijn, zullen er in de praktijk mensen zijn die zich daarmee ingelogd hebben en "even" weglopen, waarna er iemand anders misbruik van kan maken. En dan is het circeltje rond, alleen met meer ellende voor het slachtoffer. Je hebt "rekening, man!" tot standaard verheven.wachtwoord (digid) en vervolgens gevoelige info kunnen benaderen.
Lijkt me een beetje slechtdoordacht wensdenken. Figuren als opa ivo o., fredje t., en zelfs ome roon p. lusten er wel pap van. Maar beter worden we er met z'n allen niet van.
De impliciete gedachte is dat "identificatie is gelijk aan betaling garanderen", en dat is geenszins het geval. Een betere aanpak zou zijn om niet op krediet te leveren maar tegen contante betaling. Als je fysiek aanwezig bent kun je contant geld overhandigen, zonder daar ook je naam bij te moeten geven.
Als je dat electronisch zou kunnen heb je ook heel het probleem van impersonatie niet meer. Aangezien de wet bescherming persoonsgegevens eist dat als het zonder gevoelige gegevens kan dat het dan ook zonder moet, zou alleen op die grond al zo'n "electronisch contant geld" methode geimplementeerd en uitgerold moeten worden.
Ondertussen blijkt zo'n methode best te kunnen. Bijvoorbeeld, je stuurt een bestelling naar een webshop, ondertekent die met (de geheime sleutel behorende bij) een bitcoin adres, en stuurt vanaf datzelfde adres de bijbehorende betaling naar de webshop. Jij hebt nog steeds de bijbehorende geheime sleutel dus kan je altijd bewijzen die betaling gedaan te hebben, via ondertekening met dat adres.
Geen persoonsidentificatie nodig, dus geen risico op impersonatie, wel veilige betaling, en wel een sterke wiskundige relatie tussen betaling, bestelling, en maker van die bestelling.
Er zit nog wel risico aan, namelijk dat als iemand met jouw bitcoinadressleutels aan de haal gaat je je bitcoins kwijt bent, maar dat risico ligt tenminste bij degene die er belang bij heeft om er iets aan te doen. Dat is keer op keer niet het geval bij kredietgebaseerde systemen, zoals bij kredietkaartenlekken, of andere gevallen waar er op grote hopen gevoelige persoonlijke informatie gepast moet worden, zoals kopietjes paspoort.
Samenvattend, ik zie je je stelling herhalen maar nalaten overtuigende argumenten aan te voeren. Dus dan maar een beter alternatief geschetst, dat zonder enige persoonsidentificatie wel het probleem kan oplossen.
Bij welke webshop kan ik dingen bestellen zonder eerst te moeten betalen met ideal/paypal/cc ?
Dan ga ik daar ook wat bestellen voor mijn neef uit Australie.
Webshop die #1 dingen levert via internet besteld zonder vooral betalen is duf, #2 webshop die op basis van alleen E-mail adres (ik heb al 2410 sites via google gezien die gratis E-mail adres geven) is nog duffer.
tenzij de webshop een taart-toko is, dan heb je geen recht van spreken en moet je gewoon betalen.
Dan ga ik daar ook wat bestellen voor mijn neef uit Australie.
Webshop die #1 dingen levert via internet besteld zonder vooral betalen is duf, #2 webshop die op basis van alleen E-mail adres (ik heb al 2410 sites via google gezien die gratis E-mail adres geven) is nog duffer.
tenzij de webshop een taart-toko is, dan heb je geen recht van spreken en moet je gewoon betalen.
Leuke collega's heb je dan.... Als je niet eens je werk pc open kan laten staan.
20-07-2014, 13:53 door
[Account Verwijderd]
-
Bijgewerkt: 20-07-2014, 13:55
[Verwijderd]
Door Anoniem:
Lijkt me een beetje slechtdoordacht wensdenken. Figuren als opa ivo o., fredje t., en zelfs ome roon p. lusten er wel pap van. Maar beter worden we er met z'n allen niet van.
De impliciete gedachte is dat "identificatie is gelijk aan betaling garanderen", en dat is geenszins het geval. Een betere aanpak zou zijn om niet op krediet te leveren maar tegen contante betaling. Als je fysiek aanwezig bent kun je contant geld overhandigen, zonder daar ook je naam bij te moeten geven.
Als je dat electronisch zou kunnen heb je ook heel het probleem van impersonatie niet meer. Aangezien de wet bescherming persoonsgegevens eist dat als het zonder gevoelige gegevens kan dat het dan ook zonder moet, zou alleen op die grond al zo'n "electronisch contant geld" methode geimplementeerd en uitgerold moeten worden.
Ondertussen blijkt zo'n methode best te kunnen. Bijvoorbeeld, je stuurt een bestelling naar een webshop, ondertekent die met (de geheime sleutel behorende bij) een bitcoin adres, en stuurt vanaf datzelfde adres de bijbehorende betaling naar de webshop. Jij hebt nog steeds de bijbehorende geheime sleutel dus kan je altijd bewijzen die betaling gedaan te hebben, via ondertekening met dat adres.
Geen persoonsidentificatie nodig, dus geen risico op impersonatie, wel veilige betaling, en wel een sterke wiskundige relatie tussen betaling, bestelling, en maker van die bestelling.
Er zit nog wel risico aan, namelijk dat als iemand met jouw bitcoinadressleutels aan de haal gaat je je bitcoins kwijt bent, maar dat risico ligt tenminste bij degene die er belang bij heeft om er iets aan te doen. Dat is keer op keer niet het geval bij kredietgebaseerde systemen, zoals bij kredietkaartenlekken, of andere gevallen waar er op grote hopen gevoelige persoonlijke informatie gepast moet worden, zoals kopietjes paspoort.
Samenvattend, ik zie je je stelling herhalen maar nalaten overtuigende argumenten aan te voeren. Dus dan maar een beter alternatief geschetst, dat zonder enige persoonsidentificatie wel het probleem kan oplossen.
Door Anoniem:
dat iemand anders een bestelling plaatst en daarbij jouw identiteit faked.
Hoe kan dat "dus niet meer"? Preciezer, hoe garandeer je dat het inderdaad om een "veilige" wijze gaat en niet eentje die stiekem toch wel te neppen is? Hoe garandeer je dat dit gebeurt zonder nare bijeffecten en tegen niet al te grote kosten?Door Anoniem:
Als je bij bestellen een gestandaardiseerde en veilige wijze van identificatie gebruikt dan kan het dus niet meer voorkomenDoor Anoniem: Wat we nodig hebben is een deugdelijk ID systeem. Dan is dit gezeur voorbij. En hou maar op over de gezochte scenario's
waarin DAT dan weer niet gewenst is, want dat weten we nou wel. De voordelen zijn groter dan de nadelen, dat zie je
maar weer aan deze vraag. Een vraag uit de praktijk van alledag.
Vertel eigenlijk eerst maar even hoe dat hier gaat helpen. Wat jij als evident aanwijst zie ik hiermee geenszins bewezen, dus leg uit.waarin DAT dan weer niet gewenst is, want dat weten we nou wel. De voordelen zijn groter dan de nadelen, dat zie je
maar weer aan deze vraag. Een vraag uit de praktijk van alledag.
dat iemand anders een bestelling plaatst en daarbij jouw identiteit faked.
En dat is heel goed, want daarmee voorkom je dit soort fraude en ook de andere kant van de zaak (mensen die niet betalen en ontkennen besteld te hebben maar in werkelijkheid de goederen wel in handen hebben gekregen).
Dat is helaas niet waar. Het enige wat het doet is een zondebok aanwijzen als er problemen zijn. Je garandeert met het vaststellen van identiteit minder dan je denkt. Vergelijk het fenomeen geldezel, en het ook het mechanisme dat het gebruik van geldezels aantrekkelijk maakt.Een systeem daarvoor is heel nuttig, en maakt tevens een einde aan het hele gedoe rond identificeren met een
wachtwoord (digid) en vervolgens gevoelige info kunnen benaderen.
Ik zie eigenlijk alleen maar dat je (een "beter" soort van) digid verplicht wil stellen voor winkelen. En door het uitbreiden van de plicht altijd maar geidentificeerd te zijn, zullen er in de praktijk mensen zijn die zich daarmee ingelogd hebben en "even" weglopen, waarna er iemand anders misbruik van kan maken. En dan is het circeltje rond, alleen met meer ellende voor het slachtoffer. Je hebt "rekening, man!" tot standaard verheven.wachtwoord (digid) en vervolgens gevoelige info kunnen benaderen.
Lijkt me een beetje slechtdoordacht wensdenken. Figuren als opa ivo o., fredje t., en zelfs ome roon p. lusten er wel pap van. Maar beter worden we er met z'n allen niet van.
De impliciete gedachte is dat "identificatie is gelijk aan betaling garanderen", en dat is geenszins het geval. Een betere aanpak zou zijn om niet op krediet te leveren maar tegen contante betaling. Als je fysiek aanwezig bent kun je contant geld overhandigen, zonder daar ook je naam bij te moeten geven.
Als je dat electronisch zou kunnen heb je ook heel het probleem van impersonatie niet meer. Aangezien de wet bescherming persoonsgegevens eist dat als het zonder gevoelige gegevens kan dat het dan ook zonder moet, zou alleen op die grond al zo'n "electronisch contant geld" methode geimplementeerd en uitgerold moeten worden.
Ondertussen blijkt zo'n methode best te kunnen. Bijvoorbeeld, je stuurt een bestelling naar een webshop, ondertekent die met (de geheime sleutel behorende bij) een bitcoin adres, en stuurt vanaf datzelfde adres de bijbehorende betaling naar de webshop. Jij hebt nog steeds de bijbehorende geheime sleutel dus kan je altijd bewijzen die betaling gedaan te hebben, via ondertekening met dat adres.
Geen persoonsidentificatie nodig, dus geen risico op impersonatie, wel veilige betaling, en wel een sterke wiskundige relatie tussen betaling, bestelling, en maker van die bestelling.
Er zit nog wel risico aan, namelijk dat als iemand met jouw bitcoinadressleutels aan de haal gaat je je bitcoins kwijt bent, maar dat risico ligt tenminste bij degene die er belang bij heeft om er iets aan te doen. Dat is keer op keer niet het geval bij kredietgebaseerde systemen, zoals bij kredietkaartenlekken, of andere gevallen waar er op grote hopen gevoelige persoonlijke informatie gepast moet worden, zoals kopietjes paspoort.
Samenvattend, ik zie je je stelling herhalen maar nalaten overtuigende argumenten aan te voeren. Dus dan maar een beter alternatief geschetst, dat zonder enige persoonsidentificatie wel het probleem kan oplossen.
Volgens mij heb je al een heel stuk van het probleem opgelost als je gewoon niet kunt betalen via een acceptgiro. Of contant aan de deur betalen, of via een Ideal of iets dergelijks betalen, waardoor je iets fysieks nodig hebt (pasje + eventueel reader)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.