Security Professionals
- ipfw add deny all from eindgebruikers to any
Voorbereiding op GGD scams
De Singaporese regering waarschuwt al enige tijd voor telefoontjes zogenaamd van medewerkers van het Singaporese MOH (Ministry of Health), die je allerlei gegevens proberen te ontfutselen, wellicht door te liegen dat je (mogelijk) besmet bent geraakt met Corona. Uit https://www.moh.gov.sg/covid-19:
Ik heb wat gegoogled (misschien niet goed genoeg) maar kon in Nederland geen informatie vinden hoe je het beste kunt vaststellen dat je door een echte GGD-medewerker of andere medicus wordt benaderd.
Wel verwijst Google naar een waarschuwing voor een nep-SMS op ggdhollandsnoorden.nl maar die pagina is alweer verwijderd (404). Dat deze wel bestaan heeft blijkt mede uit https://www.ggdflevoland.nl/Nieuws/let-op-nep-sms-bericht-in-omloop (die pagina bestaat momenteel nog wel). Daarin staat onder meer:
Ik kan nergens informatie vinden die beschrijft of en op welke wijze (SMS, e-mail, telefoon met getoond/anoniem nummer, onaangekondigd voor je deur staan) GGD-medewerkers contact met je kunnen opnemen en hoe je vervolgens kunt (m.i. zou moeten) vaststellen dat het om een authentieke en daartoe geautoriseerde GGD-medewerker gaat.
Mocht er iets als een Corona-tracking/tracing app komen, dan kan het zijn dat je verzocht wordt contact op te nemen met de GGD: in dat geval moet het klip en klaar zijn dat zo'n melding uit die app komt (en niet bijvoorbeeld uit een webbrowser die toevallig open staat). Indien zo'n app zelf aan de GGD meldt dat jij mogelijk besmet bent, kan het wellicht helpen als zo'n app een random code genereert die jij kunt inzien en die de GGD-er, ter authenticatie, moet noemen zodra hij/zij contact met jou opneemt.
Conclusie
1) M.i. moet snel duidelijk worden en uitgebreid worden gecommuniceerd of en hoe er met burgers contact wordt opgenomen om criminaliteit bij voorbaat zo lastig mogelijk te maken;
2) Met name zodra zo'n app er is zullen er meer scams plaatsvinden die zo'n app wellicht kan bemoeilijken (dat aspect moet m.i. worden meegenomen bij de ontwikkeling).
Beware of Scam Calls!
We are aware of scammers using automated voice calls or impersonating as MOH staff or contact tracing team, asking users to provide personal information including financial details, or collect documents from the Ministry. When in doubt, please verify the authenticity of phone calls by calling MOH hotline at 1800-333-9999. It is a good practice to always verify the authenticity of instructions before offering any personal information.
We are aware of scammers using automated voice calls or impersonating as MOH staff or contact tracing team, asking users to provide personal information including financial details, or collect documents from the Ministry. When in doubt, please verify the authenticity of phone calls by calling MOH hotline at 1800-333-9999. It is a good practice to always verify the authenticity of instructions before offering any personal information.
Ik heb wat gegoogled (misschien niet goed genoeg) maar kon in Nederland geen informatie vinden hoe je het beste kunt vaststellen dat je door een echte GGD-medewerker of andere medicus wordt benaderd.
Wel verwijst Google naar een waarschuwing voor een nep-SMS op ggdhollandsnoorden.nl maar die pagina is alweer verwijderd (404). Dat deze wel bestaan heeft blijkt mede uit https://www.ggdflevoland.nl/Nieuws/let-op-nep-sms-bericht-in-omloop (die pagina bestaat momenteel nog wel). Daarin staat onder meer:
Dit bericht is niet verstuurd door de GGD dus hierbij de waarschuwing om niet te reageren.
Ik kan nergens informatie vinden die beschrijft of en op welke wijze (SMS, e-mail, telefoon met getoond/anoniem nummer, onaangekondigd voor je deur staan) GGD-medewerkers contact met je kunnen opnemen en hoe je vervolgens kunt (m.i. zou moeten) vaststellen dat het om een authentieke en daartoe geautoriseerde GGD-medewerker gaat.
Mocht er iets als een Corona-tracking/tracing app komen, dan kan het zijn dat je verzocht wordt contact op te nemen met de GGD: in dat geval moet het klip en klaar zijn dat zo'n melding uit die app komt (en niet bijvoorbeeld uit een webbrowser die toevallig open staat). Indien zo'n app zelf aan de GGD meldt dat jij mogelijk besmet bent, kan het wellicht helpen als zo'n app een random code genereert die jij kunt inzien en die de GGD-er, ter authenticatie, moet noemen zodra hij/zij contact met jou opneemt.
Conclusie
1) M.i. moet snel duidelijk worden en uitgebreid worden gecommuniceerd of en hoe er met burgers contact wordt opgenomen om criminaliteit bij voorbaat zo lastig mogelijk te maken;
2) Met name zodra zo'n app er is zullen er meer scams plaatsvinden die zo'n app wellicht kan bemoeilijken (dat aspect moet m.i. worden meegenomen bij de ontwikkeling).
Reacties (6)
Kreeg ik toch van iemand deze link: https://www.health.gov.au/sites/default/files/documents/2020/04/covidsafe-application-privacy-impact-assessment-covidsafe-application-privacy-impact-assessment.pdf
Staat het hele verhaal van autoriseren bekend maken in meerdere stappen als mfa uitgewerkt.
Voor nederland is ggd opgedeeld in regio's https://www.ggd.nl/ Elke regio werkt zelfstandig.
Nog erger het lijk in elke regio nog opgesplitst te zijn in veiligheid en gezondheid
Utrecht https://www.ggdru.nl/inwoners.html en https://www.vru.nl/
Nijmegen echter https://www.vrgz.nl/ (let op het doorschakelen van de link via de ggd.nl)
Je leest de de regionale ggd's het contactonderzoek doen. Dat doen ze niet zo vaak, eens in de vele jaren. Herkenbaarheid dat het om de GGD gaat is nooit aan de orde geweest. Ik neem dat het via de gekoppelde huisarts gaat, wie je huisarts is, is na te gaan.
Staat het hele verhaal van autoriseren bekend maken in meerdere stappen als mfa uitgewerkt.
Voor nederland is ggd opgedeeld in regio's https://www.ggd.nl/ Elke regio werkt zelfstandig.
Nog erger het lijk in elke regio nog opgesplitst te zijn in veiligheid en gezondheid
Utrecht https://www.ggdru.nl/inwoners.html en https://www.vru.nl/
Nijmegen echter https://www.vrgz.nl/ (let op het doorschakelen van de link via de ggd.nl)
Je leest de de regionale ggd's het contactonderzoek doen. Dat doen ze niet zo vaak, eens in de vele jaren. Herkenbaarheid dat het om de GGD gaat is nooit aan de orde geweest. Ik neem dat het via de gekoppelde huisarts gaat, wie je huisarts is, is na te gaan.
Door karma4: Kreeg ik toch van iemand deze link: https://www.health.gov.au/sites/default/files/documents/2020/04/covidsafe-application-privacy-impact-assessment-covidsafe-application-privacy-impact-assessment.pdf
Staat het hele verhaal van autoriseren bekend maken in meerdere stappen als mfa uitgewerkt.
Wellicht dat de Nederlandse GGD's, medici en overheid hun voordeel kunnen doen met die PDF, maar zoals ik schreef, kon ik hierover in Nederland nog geen aanwijzingen of waarschuwingen (andere dan genoemde nep-SMS-waarschuwing) vinden.Staat het hele verhaal van autoriseren bekend maken in meerdere stappen als mfa uitgewerkt.
M.b.t. die waarschuwing voor nep-SMSjes: daar blijkt niet uit dat de GGD nooit SMSjes zal versturen, noch dat telefoonnummers van afzenders kunnen worden vervalst, noch wat je moet doen om de authenticiteit van een contactverzoek vast te stellen.
Door karma4: Herkenbaarheid dat het om de GGD gaat is nooit aan de orde geweest.
Dat is irrelevant. Scammers zullen claimen dat ze GGD-er zijn (dat is al gebeurd, zie de nep-SMS). Ik vind dat je burgers daar zoveel mogelijk tegen moet beschermen.Dus moet de Nederlandse overheid, iedereen die het maar horen wil, vertellen of ze contactverzoeken (SMS, e-mail, telefoon, whatsapp, voor de deur staan evt. na een niet te authenticeren aankondiging) kunnen verwachten. En indien ze deze kunnen verwachten, hoe ze die contactverzoeken op echtheid kunnen controleren.
27-04-2020, 15:19 door
karma4
Door Erik van Straten: Dus moet de Nederlandse overheid, iedereen die het maar horen wil, vertellen of ze contactverzoeken (SMS, e-mail, telefoon, whatsapp, voor de deur staan evt. na een niet te authenticeren aankondiging) kunnen verwachten. En indien ze deze kunnen verwachten, hoe ze die contactverzoeken op echtheid kunnen controleren.
Ben ik met je eens. Ik beschreef enkel dat het nog nooit aan de orde was de afgelopen jaren. Dan weet je vrij zeker dat er ook niets voor geregeld is. Het uitgangspunt is dat mensen verantwoordelijkheden genoeg vertonen om zelf naar de GGD te gaan.
27-04-2020, 15:19 door
Anoniem
Jezus, je kan tegenwoordig overal iets achter zoeken.
27-04-2020, 20:37 door
Anoniem
Door Anoniem: Jezus, je kan tegenwoordig overal iets achter zoeken.
Hmmm - dit is niet vergezocht. We zien dat phishers snel genoeg op actualiteit inspringen - WK of concert kaartjes , gelekte naaktfoto's van een celebrity , naast de "vaste" opties zoals afhalen van DHL/Bol.com pakket, 'valideren' van een nieuwe bankpas .
Een hoop van de phishing berust op het inspringen op wat mensen verwachten - of denken te kunnen verwachten.
Vandaar dat banken er zo op hameren dat medewerkers _niet_ om je pincode vragen , en dat je geen links uit een email moet klikken.
Als mensen terecht - of onterecht - denken dat "de GGD" contact op kan gaan nemen en van alles vraagt is dat ook een kans voor phishers .
En dan kan het geen kwaad om voorbereid te zijn en te weten hoe de 'echte' GGD te herkennen , en wat de echte GGD wel of niet kan vragen.
21-05-2020, 21:53 door
Erik van Straten
Uit https://www.nrc.nl/nieuws/2020/05/20/contactonderzoek-in-belgie-geven-coronapatienten-maar-weinig-namen-door-a4000365 (met dank voor die link aan Anoniem in https://security.nl/posting/658022):
Wat de overheid hieraan bijvoorbeeld zou kunnen doen, is het volgende:
1) Registreer en organiseer een landelijk telefoonnummer, vergelijkbaar met 112, bijvoorbeeld "123";
2) Als een legitieme GGD-er belt krijg je een getal waarna je gevraagd hoort te worden om het landelijke nummer te bellen;
3) Ongeacht wat de GGD-er zei, kun je bellen naar dat landelijke nummer "123" en het eerder gegeven getal invoeren om door te worden verbonden met dezelfde GGD-afdeling (of plaatsvervangende dienst);
4) BELANGRIJK: deze aanpak zal met uitgebreide publiekscampagnes bekend gemaakt moeten worden, waarbij benadrukt moet worden dat mensen zich niet moeten laten foppen met "in verband met een storing moet u een ander nummer bellen" of andere flauwekul.
Ook stuiten de speurders op mensen die terughoudend zijn om telefonisch informatie te delen, zeker toen bleek dat fraudeurs zich voordeden als speurders en zo onder andere bankgegevens aan mensen probeerden te ontfutselen.
Dat is precies waar ik bovenaan deze pagina voor waarschuwde.Wat de overheid hieraan bijvoorbeeld zou kunnen doen, is het volgende:
1) Registreer en organiseer een landelijk telefoonnummer, vergelijkbaar met 112, bijvoorbeeld "123";
2) Als een legitieme GGD-er belt krijg je een getal waarna je gevraagd hoort te worden om het landelijke nummer te bellen;
3) Ongeacht wat de GGD-er zei, kun je bellen naar dat landelijke nummer "123" en het eerder gegeven getal invoeren om door te worden verbonden met dezelfde GGD-afdeling (of plaatsvervangende dienst);
4) BELANGRIJK: deze aanpak zal met uitgebreide publiekscampagnes bekend gemaakt moeten worden, waarbij benadrukt moet worden dat mensen zich niet moeten laten foppen met "in verband met een storing moet u een ander nummer bellen" of andere flauwekul.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security analist
De Universiteit Utrecht is op zoek naar een Security Analist. Je bent verantwoordelijk voor het uitvoeren van analyses met de tools van het security- operationsteam van de universiteit. Je werkt met Splunk Enterprise, voor securitymonitoring. En met InsightVM, voor netwerkscanning. Ook komt er nog een nieuwe tool, voor applicatiescanning. Je werkt bij de afdeling Identity & Security Services (ISS).
