image

MijnOverheid-phishingsite maakte ook 2-factorauthenticatie buit

zaterdag 30 juni 2018, 09:37 door Redactie, 25 reacties

De MijnOverheid-phishingsite die vorige week actief was heeft ook gegevens voor 2-factorauthenticatie weten te stelen, zo meldt staatssecretaris Knops van Binnenlandse Zaken aan de Tweede Kamer. Woensdag meldde Security.NL al dat de phishingsite zo'n 200 slachtoffers had gemaakt.

In de phishingmail werd gesteld dat de ontvanger een bericht van de Belastingdienst op zijn of haar Berichtenbox op MijnOverheid had. De e-mail bevatte een link die zogenaamd naar de MijnOverheid-website wees. In werkelijkheid ging het om een phishingsite. "Deze website legde de hand op authenticatiegegevens, inclusief SMS van de getroffen burgers. Vervolgens werd direct en geautomatiseerd ingelogd bij MijnOverheid op de persoonlijke pagina van de ingelogde persoon, en werd deze doorzocht. Aannemelijk is dat er persoonsgegevens zijn verzameld", aldus Knops (pdf).

In totaal wisten de aanvallers op 203 accounts in te loggen. In drie gevallen werd met succes 2-factorauthenticatie toegepast. De 203 getroffen accounts zijn verwijderd en de betreffende personen zijn hier via een brief over ingelicht. In totaal hebben 1040 burgers het afgelopen weekend gemeld dat ze verdachte e-mails hadden ontvangen.

Knops stelt dat dit soort aanvallen nooit honderd procent zijn uit te sluiten. "Ik laat samen met de Minister van Justitie en Veiligheid onderzoeken welke aanvullende acties nog meer mogelijk zijn om phishing verder te bemoeilijken, de veiligheid van gegevens te garanderen en tegelijkertijd de beschikbaarheid van digitale overheidsdienstverlening te waarborgen." Het onderzoek naar de phishingaanval loopt nog door.

Reacties (25)
30-06-2018, 10:18 door Anoniem
Biometrie is de oplossing voor alles! Gewoon inloggen met je gezichtsscan en je vingerafdruk. Of misschien met wat wangslijm als dat mogelijk is in de toekomst. Helemaal veilig! Geen phishing meer mogelijk!
30-06-2018, 10:42 door Anoniem
Ik hoor het excuus al weer van de minister "ja, we hadden een vacature uit staan voor security engineer, maar we konden niemand vinden die en niet ouder was dan 21, een IT master heeft gehaald in Silicon Valey, 25 jaar werkervaring had, CISSP, CISA, CEH en ook nog MSCE NT 3.51 had."

Zal nog wel een eeuw duren voordat de overheid erachter komt dat het prehistorische opleidingsmodel geen toegevoegde waarde heeft in de digitale wereld.
Skills... daar gaat het om... Of je nu dik, dun, brildragend of burka dragend bent, ali of kees heet maakt niet uit. En het maakt al zeker niet uit of je VMBO niet hebt kunnen halen of dat je cum laude afgestudeerd bent op de migratiepatronen van Agrostis Capillaris.
30-06-2018, 10:42 door Briolet
Volgens mij werd er helemaal geen 2FA 'buitgemaakt'.

Wanneer de betreffende burgers inlogden op de valse websites, werden de ingevoerde gegevens direct middels een script gebruikt om via DigiD in te loggen bij MijnOverheid. Na inloggen via een malafide script werd MijnOverheid doorzocht. In drie gevallen werd met succes 2-factor authenticatie toegepast.

Omdat er parallel ook ingelogd werd op de echte site, zal deze echte site de SMS verstuurd hebben naar het slachtoffer, die de inlog dan toegestaan heeft. Er is dus niets 'buitgemaakt', maar het slachtoffer is alleen misleid om de inhoud van de SMS ook op de phishingsite in te vullen.

Dit is een situatie waar 2FA via een code ook niet werkt. Iemand die op een valse pagina zijn wachtwoord invult, zal ook daar zijn code invullen. 2FA werkt als anderen proberen in te loggen terwijl je zelf helemaal niet aan het inloggen bent.
30-06-2018, 10:52 door Anoniem
De 203 getroffen accounts zijn verwijderd en de betreffende personen zijn hier via een brief over ingelicht.
Mooi, mocht je d'r ingestonken zijn, ofwel , het werd je ergens in het verleden verplicht om zo'n diginotid te activeren, dan is dit de manier om er weer van af te komen!
30-06-2018, 10:54 door Anoniem
Het beste kan men de Berichtenbox leegmaken na het inloggen,kan er ook niks gestolen worden als men ooit gehackt zou worden.
30-06-2018, 11:03 door Bitwiper
Tip voor de heer Knops: zet vandaag nog een EV-certificaat op digid.nl [*].

En start daarna ASAP een campagne om alle burgers erop te wijzen dat digid.nl een EV certificaat heeft, toon plaatjes van alle bekende webbrowsers hoe dat eruit hoort te zien, hoe men nepsites kan herkennen (nee niet aan spelfouten, maar aan het feit dat de domeinnaam in de URL balk van de browser exact met https://digid.nl/ moeten beginnen, en beschrijf ook uitzonderingen daarop zoals binnenkort waarschijnlijk Google Chrome).

Beschrijf daarin tevens wat de procedure is als je een phishing mail ontvangt of misbruik van jouw gegevens vermoedt.

Daarnaast horen alle websites die je via DigiD laten inloggen, hun beveiliging perfect op orde te hebben, en dat is nu absoluut niet het geval (zie https://www.security.nl/posting/566101/NL%3A+veel+brakke+https+sites).

[*] Als bezoekers weten dat een EV certificaat vereist is (en hoe zij dat kunnen herkennen) bestaan er voor cybercriminelen de volgende aanvalscenario's:
1) Een lijkt-op-naam registreren (zoals securedigid.nl of digid.ni) en daar een EV certificaat voor aanschaffen. Niet onmogelijk, maar knap lastig. Want een EV certificaat krijg je niet zomaar: ze zult overtuigend bewijs van eigenaarschap moeten overleggen (en dat kan nauwelijks zonder gegevens over jezelf prijs te geven) en het kost tijd. Aan beide aspecten hebben cybercriminelen een hekel;

2) Middels DNS aanvallen en/of BGP hijacks zowel een EV-certificaat verstrekker (naast het vervullen van andere eisen) als vervolgens bezoekers ervan overtuigen dat jouw site de echte digid.nl is;

3) De private key van digid.nl stelen, rekenkundig herleiden uit de public key in het certificaat, of een backdoor installeren op de digid.nl server en meekijken;

4) Toegang verkrijgen tot PC's/portable devices van burgers.

Scenario's 2 en 3 zijn, denk en hoop ik, kansloos. Scenario 4 is realistisch maar onoplosbaar voor de NL overheid. Zij moet hier echter wel serieus rekening mee houden; twee- of multifactor authenticatie lost ook hierbij niets op (dat helpt hooguit tegen burgers die zwakke wachtwoorden gebruiken). Scenario 1 is m.i. het gevaarlijkst, vandaar dat mensen goed op de domeinnaam in de URL moeten letten voordat ze beginnen met het invoeren van hun naam en wachtwoord.
30-06-2018, 11:07 door Bitwiper - Bijgewerkt: 30-06-2018, 11:11
@Briolet: als je met de gestolen 2FA data op digid inlogt en het telefoonnummer wijzigt, heb je wel degelijk buitgemaakt.
30-06-2018, 12:56 door Briolet
@Bitwiper: Blijkbaar weet je niet hoe dit werkt. Als je een nieuw telefoonnummer wil gebruiken, moet je eerst de code op het oude toestel ontvangen. Zonder een SMs via het oude toestel, gaat de aanpassing van het nummer via een brief op het geregistreerde huisadres.

Met zo'n phshing pagina kunnen ze natuurlijk wel proberen om de slachtoffers, met een fantasie reden, een tweede SMS code vanaf hun geregistreerd toestel op de site te laten invullen. Mensen die zo dom zijn om via een link uit een mail naar de DigiD te gaan, zul je wel meer domme dingen kunnen laten doen. Die zullen zich niet afvragen waarom ze nu twee maal een SMS code in moeten vullen.

En start daarna ASAP een campagne om alle burgers erop te wijzen dat digid.nl een EV certificaat heeft, …
Ik denk niet dat dit gaat helpen. Dat deel van de bevolking dat via een link in een mail inlogt op DigiD, zal echt geen certificaten en andere url's controleren.
30-06-2018, 14:10 door Anoniem
Door Briolet: @Bitwiper: Blijkbaar weet je niet hoe dit werkt. Als je een nieuw telefoonnummer wil gebruiken, moet
En start daarna ASAP een campagne om alle burgers erop te wijzen dat digid.nl een EV certificaat heeft, …
Ik denk niet dat dit gaat helpen. Dat deel van de bevolking dat via een link in een mail inlogt op DigiD, zal echt geen certificaten en andere url's controleren.
Die mensen zouden sowieso niet op internet mogen.

Eigenlijk zou je eerst een internetexamen moeten doen voordat je op internet mag.
Maar dan krijg je ook ruzie want dan beroof je mensen van hun vrijheid.

Ik stel voor: een inlog scanner (mobiel en apparaat) met de nieuwe WebAuthn API
30-06-2018, 16:00 door Anoniem
Door Anoniem: Biometrie is de oplossing voor alles! Gewoon inloggen met je gezichtsscan en je vingerafdruk. Of misschien met wat wangslijm als dat mogelijk is in de toekomst. Helemaal veilig! Geen phishing meer mogelijk!

Lik jij graag de voeten van google?

Met ik heb niets te verbergen,dus we gaan lekker maar algoritme,gezichts-scannen-bio-vingerafdruk,
chipsets onder de huid en wat nog meer niet om ons te volgen.

Laat ons met rust als burger zijnde,met al die toenemende smart devices en verplichte ellende in deze
panopticum maatschappij zoals het aan het worden is.
30-06-2018, 17:45 door karma4
Hoezo multifactor weten te stelen? https://en.wikipedia.org/wiki/Multi-factor_authentication
1. iets wat je weet (eg (password)
2. iets wat je bezit (eg smartphone)
3. iets wat je bent (biometrie)
Wat is hier gebeurd.. De smartpone is niet gehackt de persoon is verleid op een soort "man in the midlle" manier nij het inloggen.
= Iets wat je de persoon weet user/password op de verkeerde site.. = omgevallen.
= De persoon krijgt een SMS voor een extra passwoordcode Digid weet wel dat de ontvanger ofwel misleide persoon de juiste persoon is maar ziet niet dat er een man tussen zit. De ontvanger weet nu de additionele code en vult dat in.
Het is gewoon een single factor bij dat invullen van die extra code GEEN 2FA. Het ontwerp faalt in het gedegen scheiden van wie weet wat er in bezit is. Een technisch trucje 2fa noemen maakt het niet 2fa.
01-07-2018, 00:25 door Bitwiper
Door Briolet: @Bitwiper: Blijkbaar weet je niet hoe dit werkt. Als je een nieuw telefoonnummer wil gebruiken, moet je eerst de code op het oude toestel ontvangen. Zonder een SMs via het oude toestel, gaat de aanpassing van het nummer via een brief op het geregistreerde huisadres.

In https://www.digid.nl/nl/vraag-en-antwoord/hoe-kan-ik-mijn-telefoonnummer-wijzigen/ lees ik:
1. Ga op www.digid.nl naar ‘Inloggen Mijn DigiD’
2. Log in met uw gebruikersnaam en wachtwoord.
3. Ziet u nu een scherm waarop u een sms-code moet invullen? Klik dan op de link ’Extra controle via sms (opnieuw) aanvragen’. Ziet u dit scherm niet? Ga dan door naar de volgende stap.
4. Kies rechts op het scherm voor ‘Telefoonnummer wijzigen’.
Heeft u uw oude telefoon nog? Kies dan voor de bovenste optie. U kunt nu uw oude nummer vervangen door uw nieuwe nummer door de stappen te volgen. Heeft u uw oude telefoon niet meer, kies dan voor: ‘Ik kan geen sms meer ontvangen op mijn oude telefoonnummer’ en volg de volgende stappen: [...]
Van die brief lijkt alleen sprake als je geen SMS meer kunt ontvangen op jouw oude telefoonnummer, maar dat kan juist wel.

De cybercriminelen laten je, aanvankelijk uitsluitend met gebruikersnaam en wachtwoord, inloggen op hun nepsite. Met die gegevens logt het script van de cybercriminelen in op de echte DigiD site en checkt of jij SMS-authenticatie hebt geactiveerd. Als dat zo is, gaat het script naar bovengenoemde pagina (van de echte digid.nl) en laat een SMS naar jouw telefoon sturen (van de nietsvermoedende burger dus). Ondertussen toont de nepsite jou een pagina met een lulverhaal ("U heeft SMS-verificatie ingeschakeld, voer de code in uit het SMS-bericht in dat u zometeen ontvangt") dus met het verzoek om jouw (eerste!) SMS code in te vullen, hetgeen elke burger ongetwijfeld braaf doet. Op de nepsite natuurlijk, waarna het script die code op de "nieuw telefoonnummer" pagina van de echte DigiD site onder "oude nummer" invoert.

Vermoedelijk zal er, ter bevestiging van het nieuwe telefoonnummer, een tweede SMS naar dat nieuwe nummer worden gestuurd, maar dat is natuurlijk in het bezit van de cybercriminelen (waarbij het hoogstwaarschijnlijk om een wegwerp SIM en/of gestolen telefoon gaat, of een doorgeschakeld nummer van een gehackte VOIP centrale of iets dergelijks).

Overigens, mocht het nodig zijn (hier niet volgens mij), is het een koud kunstje om iemand 2x een code te laten intikken, door na de eerste code terug te melden dat een onjuiste code is ingevoerd (terwijl die wel goed was). Nette mensen zeggen dan iets als "Hèh? Ik weet toch zeker..." en voeren de nieuw ontvangen code braaf in. Desgewenst vermelden de criminelen dat er, door een bug in het systeem, helaas soms foutieve SMS codes worden verzonden. En er dus niets anders opzit dan het opnieuw te proberen...

Nb. nu ik dit weet heb ik er helemaal geen spijt van dat ik SMS-authenticatie nooit geactiveerd heb, want "met" is duidelijk minder veilig dan "zonder" - in elk geval zolang dit soort MITM aanvallen realiteit zijn.

Immers, als je nog geen gebruik maakt van SMS 2FA en dat wilt inschakelen (of als een cybercrimineel dat wil met willekeurig welk telefoonnummer), zal er eerst een brief naar je huisadres worden gestuurd. Die brief onderscheppen is mogelijk, maar het kost tijd voordat die brief arriveert, en cybercriminelen hebben meestal haast en houden er bovendien niet van om ergens fysiek aanwezig te moeten zijn (alhoewel zij er zelden voor terugdeinzen om lokale ezels voor hun karretje te spannen).

Daar komt bij dat SMS authenticatie ondeugdelijk is omdat de communicatie ervan onvoldoende beveiligd is en criminelen, o.a. met social engineering, jouw telefoonnummer naar hun telefoon kunnen overzetten (soms blijken tijdelijke doorschakelingen ook mogelijk).

En dat nog los van het feit dat ik een bloedhekel aan (o.a. 2FA) systemen heb die veel minder veilig met mijn authenticatiegegevens omspringen dan de betrouwbaarheid van mijn authenticatiegegevens rechtvaardigt (zie mijn reactie onder https://www.security.nl/posting/567572/Kamervragen+over+inloggen+met+rijbewijs+via+DigiD).

Door Briolet:
En start daarna ASAP een campagne om alle burgers erop te wijzen dat digid.nl een EV certificaat heeft, …
Ik denk niet dat dit gaat helpen. Dat deel van de bevolking dat via een link in een mail inlogt op DigiD, zal echt geen certificaten en andere url's controleren.
Ik denk dus wel dat dit gaat helpen (en ik onderbouw dat, maar 100% haal je natuurlijk nooit).

De meeste browsers maken duidelijk zichtbaar onderscheid tussen enerzijds EV-certificaten, en anderzijds niet-EV-certificaten (dus DV- en OV-). Waarschuw mensen om geen browsers te gebruiken die zelfs dit onderscheid niet maken.

Kunnen intikken en controleren van domeinnamen is sowieso een voorwaarde om veilig te kunnen surfen. Typfouten in telefoonnummers worden ook genadeloos afgestraft (met "verkeerd verbonden"), en als je geld overmaakt naar een bankrekeningnummer van een geldezel i.p.v. naar de bedoelde persoon of instantie, heb ik geen medelijden met je als je dat geld definitief kwijt bent. Ik ken geen alternatief, leer wat domeinnamen zijn, waar ze beginnen en waar ze eindigen!

Als je, als overheid, een digitale overheid nastreeft, vind ik het de plicht van diezelfde overheid:
A) Dat zij alle burgers fatsoenlijk uitlegt hoe zij daar zo veilig mogelijk mee om kunnen gaan;

B) Qua veiligheid ook de hand in eigen boezem steekt. Dat gebeurt absoluut onvoldoende: bijna nergens EV certificaten (soms slechts ten dele https en dat kan echt niet meer) en zelfs in veel gevallen geheel niet of onvoldoende naleven van de "pas toe of leg uit" eisen (zoals jij bijv. in https://www.security.nl/posting/567236/Overheid+waarschuwt+voor+phishingmails+die+om+DigiD+vragen#posting567254 beschreef, en ik in https://www.security.nl/posting/566101/NL%3A+veel+brakke+https+sites optekende);

C) En door een fatsoenlijk vangnet te creëren voor als het fout gaat (zonder dat daar bij elk incident kamervragen of TV programma's als Radar, Kassa en Opgelicht voor nodig zijn). Want misbruik zal altijd blijven plaatsvinden; de kunst is om het misbruikpercentage (zowel door derden als door burgers die zelf de boel belazeren, bijv. door onterecht te claimen dat zij het slachtoffer zijn van identeitsfraude en zij een subsidie zelf nooit ontvangen hebben) zo laag mogelijk te krijgen - en te houden.

Terzijde, iedereen die denkt (of marketingcrap gelooft) dat digitaliseren hetzelfde is als bezuinigen, gaat -vroeger of later- lelijk op z'n bek.
01-07-2018, 09:38 door Anoniem
Door karma4: Digid weet wel dat de ontvanger ofwel misleide persoon de juiste persoon is maar ziet niet dat er een man tussen zit. De ontvanger weet nu de additionele code en vult dat in.
Het is gewoon een single factor bij dat invullen van die extra code GEEN 2FA. Het ontwerp faalt in het gedegen scheiden van wie weet wat er in bezit is. Een technisch trucje 2fa noemen maakt het niet 2fa.
2FA voorkomt geen MITM-aanvallen, met hardwaretokens van banken kan het ook misgaan. Dat DigID niet ziet dat er een boef tussen de legitieme gebruiker en hun inzit wil niet zeggen dat het daarom geen 2FA meer is.

Het is overigens wel mogelijk om MITM-bestendige 2FA te maken, U2F doet dat. Maar dat vereist wel dat ondersteuning van het 2FA-stysteem in de webbrowser zelf is ingebouwd. Die moet de domeinnaam waar de interactie mee plaatsvindt aan het 2FA-apparaat doorgeven. Maar, hoe waardevol ook, dat is geen vereiste om iets 2FA te noemen.
01-07-2018, 10:00 door Anoniem
Door Bitwiper: De cybercriminelen laten je, aanvankelijk uitsluitend met gebruikersnaam en wachtwoord, inloggen op hun nepsite. Met die gegevens logt het script van de cybercriminelen in op de echte DigiD site en checkt of jij SMS-authenticatie hebt geactiveerd. Als dat zo is, gaat het script naar bovengenoemde pagina (van de echte digid.nl) en laat een SMS naar jouw telefoon sturen (van de nietsvermoedende burger dus). Ondertussen toont de nepsite jou een pagina met een lulverhaal ("U heeft SMS-verificatie ingeschakeld, voer de code in uit het SMS-bericht in dat u zometeen ontvangt") dus met het verzoek om jouw (eerste!) SMS code in te vullen, hetgeen elke burger ongetwijfeld braaf doet. Op de nepsite natuurlijk, waarna het script die code op de "nieuw telefoonnummer" pagina van de echte DigiD site onder "oude nummer" invoert.
Nee, er is 203 keer ingelogd en in 3 gevallen is daarbij succesvol gebruik gemaakt van 2FA. Er staat in de kamerbrief wél dat de persoonlijke pagina van de ingelogde persoon is doorzocht en dat het aannemelijk is dat er persoonsgegevens zijn gestolen, er staat níet dat telefoonnummers zijn veranderd.
Vermoedelijk zal er, ter bevestiging van het nieuwe telefoonnummer, een tweede SMS naar dat nieuwe nummer worden gestuurd, maar dat is natuurlijk in het bezit van de cybercriminelen (waarbij het hoogstwaarschijnlijk om een wegwerp SIM en/of gestolen telefoon gaat, of een doorgeschakeld nummer van een gehackte VOIP centrale of iets dergelijks).
Die SMS wordt inderdaad gestuurd om te verifiëren dat het ingevoerde telefoonnummer geen fouten bevat. Vervolgens wordt er een brief met een activeringscode gestuurd en pas als die is ingevoerd wordt het nieuwe telefoonnummer actief. Die brief wordt naar het adres in de Basisregistratie Personen gestuurd, en dat adres kan je alleen via de gemeente wijzigen, niet rechtstreeks bij DigID.
01-07-2018, 10:16 door Briolet
@Bitwiper: Pas tijdens het schrijven van mijn vorige reactie realiseerde ik me dat je het telefoonnummer kunt omzetten door het slachtoffer 2x een SMS-je te laten ontvangen. En je kunt mensen idd laten denken dat ze de eerste keer een tikfout gemaakt hebben bij het invullen.

UIt het artikel blijkt echter nergens dat bij deze drie slachtoffers ook het nummer omgezet is.

Wat mij ook opvalt is dat er maar 3 van de 203 slachtoffers 2FA gebruikt hebben. Dan is 1,5%
Na even zoeken vind ik een rapport van de rekenkamer uit 2016 dat 90% van de mensen zonder 2FA inlogt. Dus 10% gebruikt het wel. En de gebruikers van 2FA zullen begin 2018 eerder meer dan minder zijn.

https://tweakers.net/nieuws/124835/90-procent-van-digid-gebruikers-gebruikt-dienst-zonder-sms-authenticatie.html

Dat kan twee dingen betekenen:
A) De slachtoffers zijn geen gemiddelde burgers. Het zijn mensen die minder met veiligheid bezig zijn dan de gemiddelde inlogger.

B) Een deel van de beoogde slachtoffers met 2FA heeft de inlog afgebroken omdat ze daarbij iets ongebruikelijks ervoeren.

Hoe kom je erbij dat het met 2FA minder veilig is? De schachtoffers waren met name de mensen die géén 2FA gebruiken
01-07-2018, 13:22 door karma4
Door Bitwiper: [
C) En door een fatsoenlijk vangnet te creëren voor als het fout gaat (zonder dat daar bij elk incident kamervragen of TV programma's als Radar, Kassa en Opgelicht voor nodig zijn). Want misbruik zal altijd blijven plaatsvinden; de kunst is om het misbruikpercentage (zowel door derden als door burgers die zelf de boel belazeren, bijv. door onterecht te claimen dat zij het slachtoffer zijn van identeitsfraude en zij een subsidie zelf nooit ontvangen hebben) zo laag mogelijk te krijgen - en te houden.

Terzijde, iedereen die denkt (of marketingcrap gelooft) dat digitaliseren hetzelfde is als bezuinigen, gaat -vroeger of later- lelijk op z'n bek.
Wat die laatste twee betreft eens. Nu nog graag de risicoanalyse.

Ik heb niets met toeslagen of andersoortige uitkeringen die je zelf moet zien te regelen.
Wat resteert is controle of openbare gegevens wel kloppen (rdw kadaster) inkomensopgave van overheidsinstanties en de pensioen overzichten. De voorspelbare nota's om te betalen met de aanslagen.

Om geldezels te herkennen en niet afhankelijk te zijn van een nummer hebben de nl banken voor nl overschijvingen de naamcontrole ingevoerd. https://opgelicht.avrotros.nl/dossiers/update/7925/update/12615/ terugdringen met 70% waar de klanten voorheen zeff konden opdraaien voor de schade.


De fraude met toeslagen zit in de manier van het zelfstandig aanvragen waarbij de wekelijke cijfers niet hoeven te kloppen.
De verhalen over fouten met schadevergoedingen als gewoon inkomen te zien zijn ook niet goed.
Je kunt beter dat systeem aan de basis in het ontwerp aanpassen dan wel veel minder rigide willen zijn wat verder weinig opleverd. Dat inkomensgedoe voor scheefwoners is niet zoiets als dividend weggeven aan het grootkapitaal.

Je komt in aanmerking voor een toeslag of niet dan kun je het beter met de bekende cijfers als uitkering doen. Ja dan komt het geld later dus je moet de gewone man ook een buffer gunnen. Als elke maand op het randje moet leven of het uitkomt of niet dan is dat niet goed. Als ik lees dat meer dan de helft van nederland iets met een toeslag van doen heeft dan rammelt het politieke idee in de basis.
01-07-2018, 13:29 door karma4
Door Briolet: ...
B) Een deel van de beoogde slachtoffers met 2FA heeft de inlog afgebroken omdat ze daarbij iets ongebruikelijks ervoeren.
Hoe kom je erbij dat het met 2FA minder veilig is? De schachtoffers waren met name de mensen die géén 2FA gebruiken
Er is hier geen sprake van een 2fa.
Als je de vraag stelt is er een extra controle op een mitm waar een gebruiker alles wat hij weet (1fa) kan intikken.
Het enige wat 2fa gedaan is of de persoon die wat intikt de bedoelde persoon voor berichten komend uit mijnoverheid is.
Of de berichten die binnenkomen bij mijnoverheid van de juiste persoon is, is niet 2fa ingezet.
Het gaat niet om een technisch foefje maar om de juiste invulling van de processtappen.
01-07-2018, 18:11 door Bitwiper
@Briolet: zelden ben ik het eens met Karma4, maar deze keer wel. Er is alleen sprake van 2FA als van volstrekt gescheiden kanalen gebruik gemaakt wordt, zowel op de heenweg (hier wel) als op de terugweg (hier niet [*]).

Deze DigiD SMS "2FA" is uitsluitend bedoeld als lapmiddel voor mensen die crappy wachtwoorden gebruiken. Met een random gegenereerd wachtwoord van redelijke lengte voegt die halfbakken SMS 2FA niets toe qua beveiliging voor mij - integendeel.

Deze 2FA is net zo betrouwbaar als je pinpas in een pinpaslezer stoppen (vooral bij draadloze appraraten op terras, markt en bij collectanten aan de deur) en met "2FA" (niet dus) betalen: je zult de persoon die zo'n pinapparaat onder je neus duwt moeten vertrouwen, en hopen dat hij dat ding zodanig heeft beveiligd dat deze niet gehacked blijkt (google eens naar pinpaslezer en zie hoeveel advertenties voor goedkope junk Google toont). Maar daarbij staat mijn bank nog garant en kan ik storneren als er een groter bedrag is afgeboekt dan waar ik mee akkoord ging; bij DigiD fraude zijn er kennelijk kamervragen nodig.

Het risico van brakke 2FA wordt door jou perfect aangedragen: het is voor een slachtoffer van identiteitsfraude veel lastiger om te ontkennen "dat zij het geweest moet zijn"; immers 2 factoren "bewijzen" dat zij het geweest moet zijn!

@Karma4: de definitie van multi-factor-authentication is waardeloos doordat deze (vermoedelijk door extraverte marketingmannetjes) hopeloos is versimpeld. Deze zou moeten luiden:
- iets wat je weet, dat niet eenvoudig gekopieerd kan worden (bijv. omdat anderen het van je weten);
- iets dat je hebt, dat niet eenvoudig gekopieerd kan worden (zoals een magneetstrip op een pinpas);
- iets dat je bent, dat niet eenvoudig gekopieerd kan worden (zoals een vingerafdruk).

[*] Als SMS een via een end-to-end geauthenticeerd en versleuteld protocol zou plaatsvinden, beide gebruikmakend van fatsoenlijke cryptografie, zou het beantwoorden van het SMS-je door er bijv. een 4-cijferige pincode bij op te tellen (en op 4 cijfers af te kappen) met redelijke zekerheid aantonen dat de "bezitter" van het telefoonummer op dat moment die geheime code geweten moet hebben. Maar SMS is totaal niet veilig en dat soort opteltrucs worden veel te ingewikkeld gevonden. Met een app op een smartphone, die van fatsoenlijke wederzijdse authenticatie en encryptie gebruik maakt, kom je al een stuk verder (onder voorwaarde dat die smartphone geen achterdeurtjes heeft).

Maar als alle veilige communicatie ertoe leidt dat digid.nl een 1FA token afgeeft aan een waardeloos beveiligde of lookalike website van ofwel een rijksoverheidsdients, een gemeente, zorg- of pensioenverzekeraar, of parkeervergunning/garage eigenaar, wat heb je dan aan die 2FA? Jijzelf in elk geval niets, want de kans is groot dat "het bewijs" dat jij het geweest moet zijn, tegen jou gebruikt wordt - zie daar als leek bij een digibete rechter dan nog maar eens een vinger tussen te krijgen. Ik ben bijna blij met dit soort aanvallen!
01-07-2018, 21:00 door karma4
Door Bitwiper:... @Karma4: de definitie van multi-factor-authentication is waardeloos doordat deze (vermoedelijk door extraverte marketingmannetjes) hopeloos is versimpeld. Deze zou moeten luiden:
- iets wat je weet, dat niet eenvoudig gekopieerd kan worden (bijv. omdat anderen het van je weten);
- iets dat je hebt, dat niet eenvoudig gekopieerd kan worden (zoals een magneetstrip op een pinpas);
- iets dat je bent, dat niet eenvoudig gekopieerd kan worden (zoals een vingerafdruk).
...
Eens Bitwiper,de marketingmannetjes in de boardroom.
Nu nog de processtappen met hun waarde helder in de markt zien te krijgen tegen die marketingmannetjes.
In dit geval de SMS code is zeer waarschijnlijk wel door de juiste persoon ontvangen. De vraag had moeten zijn geeft de juiste persoon ook de response en zit er niets tussen. Ik zou denken dat er een afwijken ip adres gebruikt moet zijn.
02-07-2018, 00:10 door Briolet
Door Bitwiper: @Briolet: zelden ben ik het eens met Karma4, maar deze keer wel. Er is alleen sprake van 2FA als van volstrekt gescheiden kanalen gebruik gemaakt wordt, zowel op de heenweg (hier wel) als op de terugweg (hier niet [*]).

Jij gebruikt misschien een andere definitie voor 2FA, maar bij de meeste mensen is DigiD in combinatie met SMS code een 2FA. Of de code die de Google authenticator genereert Zoek maar eens op dit forum.

b.v. https://www.security.nl/posting/41057/Security+Tip+van+de+Week%3A+gebruik+2-factor+authenticatie[/url}
02-07-2018, 09:23 door Anoniem
@Briolet: Ik heb zo mijn twijfels over 2FA indien deze twee factoren op hetzelfde toestel staan.

Bijvoorbeeld als je de SMS voor DigiD ontvangt op hetzelfde toestel als die waarmee je inlogt. Een trojan kan dan zelf inloggen (keylogger) en daarna de bijbehorende SMS ontvangen (permissie).

Ik heb ook mijn twijfels over 2FA Apps omdat dit ook hetzelfde toestel is. Één infectie is genoeg om beide factoren te stelen.

Hoe het anders kan is bijvoorbeeld de Rabo Scanner van de Rabobank. Je bankpas verificatie code (smartcard) wordt dan los van de computer gegenereerd en wat je ondertekent is zichtbaar op het schermpje van de Rabo Scanner. En ook nog eens op het scherm van je computer. Als er op de Rabo Scanner iets anders staat als dat je verwacht, dan kan je de transactie afbreken. Twee keer op verschillende hardware dus. Een keer op je computer en een keer op je Rabo Scanner met je pas erin (wat je hebt). Omdat de Rabo Scanner een los apparaat is zonder internet toegang, is deze haast onmogelijk te hacken. Bij de ABN Amro zit er nog een optioneel kabeltje tussen de computer en de reader. En moet je er software voor installeren op Windows. Dat vind ik persoonlijk wat minder.
02-07-2018, 11:24 door Anoniem
Door Anoniem: Biometrie is de oplossing voor alles! Gewoon inloggen met je gezichtsscan en je vingerafdruk. Of misschien met wat wangslijm als dat mogelijk is in de toekomst. Helemaal veilig! Geen phishing meer mogelijk!


... Mischien moet je je even inlezen "biometrie" sensoren zijn momenteel nog relatief makkelijk voor de gek te houden.
02-07-2018, 13:58 door Anoniem
Door Anoniem:
Door Anoniem: Biometrie is de oplossing voor alles! Gewoon inloggen met je gezichtsscan en je vingerafdruk. Of misschien met wat wangslijm als dat mogelijk is in de toekomst. Helemaal veilig! Geen phishing meer mogelijk!


... Mischien moet je je even inlezen "biometrie" sensoren zijn momenteel nog relatief makkelijk voor de gek te houden.

Ik heb het idee dat sommigen wat moeite hebben om stijlvormen zoals sarcasme te herkennen.
03-07-2018, 18:49 door Anoniem
DigiD is hartstikke veilig. Mail is de pest. Met verzoeken via mail moet men deksels uitkijken.

(en do... eh... nietwetende mensen die niet door hebben wanneer ze er in worden geluisd,
maar dat zal je wel weer niet mogen zeggen)


Voor wat betreft telefoon kapen (Bitwiper 01-07-2018, 18:11) dacht ik dat je je oude telefoonnummer moest invullen.
Dus om dat te kunnen moeten de boosaardigen je ook je telefoonnummer waarop je de SMS ontvangt laten invullen.

Let ook eens op stap 10: "u krijgt een brief met code".
Dus ze zullen ook nog in je brievenbus moeten gaan hengelen.
(hoewel ik dacht dat je die brief alleen krijgt wanneer je je oude nummer niet meer weet)
04-07-2018, 10:34 door Bitwiper - Bijgewerkt: 04-07-2018, 10:39
Door Anoniem: Voor wat betreft telefoon kapen (Bitwiper 01-07-2018, 18:11) dacht ik dat je je oude telefoonnummer moest invullen.
Dus om dat te kunnen moeten de boosaardigen je ook je telefoonnummer waarop je de SMS ontvangt laten invullen.
Dat zou goed kunnen, ik heb het niet getest.

Mensen die een nieuw nummer hebben (en nog toegang tot het oude hebben) zullen het echter lastig vinden dat ze hun oude nummer moeten invoeren - immers, DigiD weet dat toch al?

En helpen tegen deze MITM aanval doet het ook niet (net zoals je oude wachtwoord moeten invoeren om je wachtwoord te kunnen wijzigen), want de cybercriminelen kunnen om dit nummer vragen op hun nepsite onder vermelding van iets als:
"Voor uw eigen veiligheid: ter verificatie dat u bent wie u zegt dat u bent, dient u het telefoonnummer in te voeren waarop u DigiD SMS-verificatieberichten ontvangt (een cybercrimineel die zich als u voordoet, kent dit nummer immers niet)"
om het vervolgens door hun script op de echte DigiD site te laten invullen.

Ontwikkelaars, maar ook veel beveiligers, denken veel te weinig als aanvallers. Als je dat doet zul je inzien dat beveiligen nagenoeg onmogelijk is bij een geslaagde MITM aanval. Zaak is dus alles op alles te zetten om MITM aanvallen op z'n minst extreem lastig te maken (en tooling op de DigiD site te installeren die dit soort aanvallen detecteert). De crappy "2FA" die hier gebruikt is, weet dit type aanval duidelijk niet te voorkomen en geeft dus een vals gevoel van veiligheid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.