image

Nigeriaan krijgt 3 jaar cel wegens DigiD-phishing

dinsdag 19 mei 2015, 11:51 door Redactie, 7 reacties

Een 38-jarige Nigeriaan is door de rechtbank in Den Haag tot een gevangenisstraf van 3 jaar veroordeeld wegens DigiD-phishing. De zaak kwam aan het rollen na aangifte door Logius vorig jaar mei. Logius is de overheidsdienst die verantwoordelijk voor het beheer van onder andere DigiD is.

Begin 2014 werden Nederlanders het doelwit van phishingaanvallen, waarbij geprobeerd werd DigiD-wachtwoorden te stelen. Dit werd gedaan door een e-mail met het onderwerp "Betreft: Digitale Aangifte Inkomstenbelasting!!". Het berichte bevatte een link naar een nagemaakte DigiD-inlogpagina. De ingevulde gegevens werden vervolgens naar een "internetadres" gestuurd.

PHP

De rechtbank stelt in de uitspraak dat de broncode een instructie bevatte om de verzonden gegevens te versturen naar een internetadres. "Wat er daarna met de ingestuurde gegevens gebeurde was niet zichtbaar omdat het bestand in de programmeertaal PHP was geschreven. Door middel van website directory indexering werd wel het archiefbestand DigiD.zip zichtbaar." Toch bleek uit de analyse van de phishingsite en code dat de inloggegevens naar een e-mailadres werden gestuurd.

Op dit e-mailadres werd ingelogd van het IP-adres van de verdachte. De politie begon dan ook met het aftappen van het internetverkeer van de verdachte. Eind januari van dit jaar werd een woning doorzocht waar de verdachte zich bevond. Toen de politie het pand binnenkwam zagen agenten dat de man vermoedelijk een Excel-bestand open had staan. De verdachte, nadat hij de agenten zag, zette zijn laptop snel uit waardoor het scherm zwart werd.

Op de laptop werden bestanden met grote aantallen e-mailadressen en het archiefbestand digid.zip aangetroffen. Ook werden andere phishingmails aangetroffen die de verdachte uit naam van de SNS Bank en Rabobank had verstuurd. Bij een slachtoffer dat op deze phishingmails reageerde werd een kleine 18.000 euro afgeschreven. In totaal zouden van zeker zes mensen de DigiD-gegevens zijn gestolen, waarmee later relatief grote bedragen werden overgemaakt.

Rechter

De advocaat van de man verzocht de rechter rekening te houden met de persoonlijke omstandigheden van zijn cliënt en dan vooral de slechte economische situatie in Nigeria die hij ontvluchtte en de moeilijke situatie waarin de verdachte zich als illegale vreemdeling bevindt. De rechter stelde dat vanwege de ernst van de feiten alleen een forse onvoorwaardelijke gevangenisstraf op zijn plaats is.

Burgers zijn namelijk sterk afhankelijk van DigiD om overheidszaken te regelen en van internetbankieren, dat een essentieel onderdeel uitmaakt van het dagelijks economisch verkeer. "Dit alles moet geheel veilig kunnen geschieden en mensen moeten er ook op kunnen vertrouwen dat dit veilig gebeurt. Door het stelen van de vertrouwelijke informatie door verdachte kan het vertrouwen in dienstverlening via internet in brede lagen van de maatschappij in ernstige mate worden ondermijnd", aldus de rechter.

Reacties (7)
19-05-2015, 12:50 door Anoniem
Dus "een internetadres" is gelijk "een emailadres"? Er is echt helemaal niemand in de rechtspraak die nog wat zinnigs weet te zeggen zodra er "cyber" of "digitaal" in het spel is, of wel soms?

Overigens is het een taak van de overheid om niet de burgers in zulke sterke afhankelijkheidsrelaties te dwingen.
19-05-2015, 13:25 door Erik van Straten
DigiD was toch veilig?

Of moet ik, als ik dat schrijf, nuanceren en zeggen dat de site https://digid.nl/ welliswaar veilig is (alhoewel daar ook het e.e.a. op valt aan te merken) en dat we hierbij negeren dat:

- Een normaal mens met geen mogelijkheid kan vaststellen wie de afzender is van een e-mail?

- Slechts weinigen begrijpen hoe je een echte van een vervalste site onderscheidt?

- En voor diegenen die https "wel snappen": het achterliggende systeem van certificaten op veel manieren te omzeilen valt?

- Doorsnee PC's wellicht onvoldoende veilig zijn c.q. te beveiligen zijn voor handelingen die tot grote financiële transacties kunnen leiden?
19-05-2015, 14:02 door Anoniem
In totaal zouden van zeker zes mensen de DigiD-gegevens zijn gestolen, waarmee later relatief grote bedragen werden overgemaakt.
iK wist niet dat je met DigiD geld Kan over maken.
Is dit belasting terug gaven of betalen.
19-05-2015, 15:04 door Anoniem
Doorsnee PC's wellicht onvoldoende veilig zijn

Hier zit de kern. De pc's (windows, linux, os/x, android) zijn niet in staat om de gebruiker te beveiligen. De gebruiker wordt geheel aan zijn lot overgelaten.

c.q. te beveiligen zijn voor handelingen die tot grote financiële transacties kunnen leiden?

Het kan echter wel. Dat vereist dan een user agent die de beveiligingstaken voor de gebruiker uitvoert. Via de link een manier om phishing bij banken tegen te gaan.

http://eccentric-authentication.org/blog/2014/11/30/spot-the-differences.html
19-05-2015, 15:11 door Anoniem
Oh, dus meneer de advocaat; De verdachte is dus een beetje zielig. Dus dan is het niet zo erg.

'T zijn niet de oorlogsjaren waar in een hongerige een brood gapt!

Ga nou gauw buiten spelen.

Hij heeft sociale voorzieningen en steelt gewoon door, want hij wil meer.

Hij wil toch gewoon zichzelf verrijken. Zo heet dit toch?
19-05-2015, 18:17 door EKTB - Bijgewerkt: 19-05-2015, 18:20
Waarom wordt die Nigeriaan het land niet uit getrapt en tot persona non grata verklaard?

Nu mag de belastingbetaler weer 3 jaar voor zijn Bed, Brood en Bad betalen. Alsof ie nog niet geld genoeg cadeau heeft gekregen.

Na 3 jaar gaat deze Nigeriaan vrolijk door, of richt zich op een andere illegale manier om geld te verdienen.
19-05-2015, 18:19 door Erik van Straten
Door Anoniem: iK wist niet dat je met DigiD geld Kan over maken.
Ergens vóór http://www.opgelicht.nl/nieuws/detail/7725/10/ heb ik een aflevering van het TV programma "Opgelicht?!" gezien (kan ook Radar geweest zijn) waarbij sprake was van een jongen wiens DigiD was misbruikt: toen hij 15 jaar oud was, heeft een derde in zijn naam kinderbijslag aangevraagd voor 3 kinderen. Of hij maar even (als ik me goed herinner) 9000 Euro wilde terugbetalen aan het Rijk, want dit bedrag was onterecht uitgekeerd (kennelijk keert het Rijk dit soort bedragen blindelings uit als de DigiD "klopt"). Dat die jongen die 9000 Euro nooit heeft gezien is helaas pindakaas voor hem (en zijn ouders).

Bij een ander geval was sprake van uitgekeerde huursubsidie aan een derde dat moest worden "terugbetaald" (na het nooit zelf te hebben ontvangen).

Ik weet niet hoe je PGB moet aanvragen, maar ook daarvan kan ik me voorstellen dat een derde het op de rekening van een geldezel laat bijschrijven als hij jouw DigiD credentials te pakken krijgt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.