image

Criminelen namen WhatsApp-accounts Bossche ambtenaren over

maandag 2 november 2020, 16:45 door Redactie, 14 reacties
Laatst bijgewerkt: 02-11-2020, 17:07

WhatsApp-accounts van meerdere ambtenaren van de gemeente Den Bosch zijn door criminelen overgenomen, die zo met berichten konden meelezen. Onder andere het hoofd communicatie van de gemeente werd slachtoffer, zo meldt Omroep Brabant vandaag.

In een intern document dat in handen van de omroep kwam waarschuwen politie en het Openbaar Ministerie dat meerdere accounts van burgemeesters, wethouders, gemeenteraadsleden en mensen van de Veiligheidsregio Brabant-Noord zijn overgenomen. Criminelen weten dit te doen door de verificatiecode voor de accounts te ontfutselen.

Om een account te bevestigen verstuurt WhatsApp via sms een zescijferige verificatiecode. Criminelen vragen in naam van het slachtoffer deze verificatiecode op, waarna die de code op zijn telefoon ontvangt. Vervolgens wordt het slachtoffer door de criminelen via WhatsApp of telefonisch benaderd dat hij per ongeluk een code heeft ontvangen die eigenlijk voor iemand anders was bedoeld.

De crimineel vraagt dan of het slachtoffer de ontvangen code kan doorsturen. Met de doorgestuurde verificatiecode kunnen de criminelen het WhatsApp-account overnemen. Zodra het account is overgenomen hebben de criminelen toegang tot de contactenlijst. In het geval van de overgenomen WhatsApp-accounts werden die voor de bekende WhatsApp-fraude gebruikt.

Contacten van de getroffen ambtenaren ontvingen berichtjes waarin de criminelen zich voordoen als het slachtoffer en vragen om geld. Eind oktober waren er volgens het OM en de politie landelijk twintig slachtoffers, waaronder wethouders, een burgemeester, journalisten en medewerkers van brandweer, gemeenten en ministeries. De gemeente Den Bosch heeft ambtenaren opgeroepen om hun accounts via tweefactorauthenticatie te beveiligen.

Reacties (14)
02-11-2020, 17:05 door Anoniem
Niet alleen in Den Bosch hoor maar in veel meer gemeenten en niet alleen ambtenaren maar ook wethouders en wellicht burgemeesters. Het lijkt hier om financieel gewin te gaan maar belangrijk is dat de ontvangers van berichten van zogenaamde bekenden, met daarin links naar bestanden of websites, goed moeten nagaan of ze deze wellicht geactiveerd hebben. Zo ja, dat ze hun telefoon laten onderzoeken op zaken die daar niet op horen te staan.
Je weet tenslotte nooit of er achter deze actie toch iets meer zit dan alleen financieel gewin.
02-11-2020, 17:12 door Anoniem
Dat zou geen enkel probleem mogen zijn.
Maar iets zegt me dat ambtenaren watshap voor vanalles gebruiken waar het helemaal niet voor geschikt is. Maar ja, het is zo makkelijk he...
02-11-2020, 17:15 door Anoniem
Meteen ontslaan
02-11-2020, 17:16 door Anoniem
In het ene nieuwsartikel (https://www.security.nl/posting/676289/Rekenkamer%3A+beveiligingsrisico%27s+door+thuiswerken+bij+overheid) wordt Whatsapp onveilig genoemd. In de andere worden deze vrolijk gebruikt zonder enige schaamte...

Whatsapp is van Facebook. Facebook zit in de VS. Data is daar niet veilig (iig niet voor persoonsgegevens, dus ook voor besluiten). Op Whatsapp horen geen vertrouwelijke zaken ...
02-11-2020, 17:39 door Anoniem
Hm, dus toch minder spectaculair dan de titel doet vermoeden. Deze mensen zijn gewoon slachtoffer van Whats-app fraude zoals iedereen. Dat het ambtenaren zijn, is bijzaak voor de crimineel, die dat waarschijnlijk niet eens weet.

Want het gaat gewoon om geld overmaken. Er wordt geen melding gemaakt van datalekken.

Social engineering gaat nog heel groot worden... https://en.wikipedia.org/wiki/The_Art_of_Deception

TheYOSH
02-11-2020, 19:35 door Anoniem
Zelf heb ik daar nooit mee te maken gekregen (ik ken WhatsApp ook niet en heb het nooit gebruikt), maar uit de verschillende websites maak ik het volgende op:

WhatsApp is niet gekoppeld aan je phone, maar aan je telefoonnummer. Als de crimineel dit van een bepaald persoon (of een VIP) weet te achterhalen, dan zet hij een account op met dat telefoonnummer. De verificatiecode gaat nu naar het slachtoffer die niet begrijpt waarom hij een verificatiecode krijgt. Daarna krijgt het slachtoffer een sms-bericht dat 'zijn' code 'per ongeluk' naar dit nummer is gevoerd en vraagt het slachtoffer om deze code aan hem door te geven. Als het slachtoffer dit doet, dan kan het account van het slachtoffer worden overgenomen. De berichten en de contactenlijst zijn dan voor de crimineel of aanvaller volledig openbaar (ondanks E2E encryptie!).

De fout zit niet alleen in het ontbreken van tweestapsverificatie, maar ook dat WhatsApp in feite slecht ontworpen is qua veiligheid. Hierdoor is het mogelijk dat iemand slachtoffer kan worden van hacking.
02-11-2020, 21:03 door Anoniem
Door Anoniem: Meteen ontslaan
Hoe ontsla je criminelen? Zou ons land een stuk veiliger maken.
02-11-2020, 21:36 door Anoniem
Door Anoniem: Hm, dus toch minder spectaculair dan de titel doet vermoeden. Deze mensen zijn gewoon slachtoffer van Whats-app fraude zoals iedereen. Dat het ambtenaren zijn, is bijzaak voor de crimineel, die dat waarschijnlijk niet eens weet.

Want het gaat gewoon om geld overmaken. Er wordt geen melding gemaakt van datalekken.

Social engineering gaat nog heel groot worden... https://en.wikipedia.org/wiki/The_Art_of_Deception

TheYOSH
Nee, deze is net ff anders want met deze methode wordt de gebruiker tijdelijk uit zijn account gelocked dmv een sms activatie of een ingesproken code via een onbeveiligde voicemail, zodat de crimineel via dat account de contacten kan benaderen om geld over te maken (of wellicht anders te stemmen of informatie prijs te geven). Bij de andere WA fraude methode worden slachtoffers benaderd door gespoofte bekenden om geld over te maken waarbij criminelen zich voordoen als die bekenden. De namen halen ze meestal via Facebook of andere social media en die mensen worden zelfs gebeld waarbij hun stem wordt opgenomen en waarna er met de woorden die iemand gesproken heeft een bericht wordt geknipt en geplakt. Dat bericht wordt aan het slachtoffer gestuurd zodat het net lijkt alsof het spoofbericht echt van degene afkomt die het slachtoffer denkt waar het bericht van afkomt.
Er zijn dus meerdere vormen van fraude in omloop voor WA
03-11-2020, 07:52 door Anoniem
Door Anoniem: De fout zit niet alleen in het ontbreken van tweestapsverificatie, maar ook dat WhatsApp in feite slecht ontworpen is qua veiligheid. Hierdoor is het mogelijk dat iemand slachtoffer kan worden van hacking.

DE fout zit niet in het ontbreken van tweestapsverificatie, maar in de naïviteit van de gebruikers. Wanneer je een code krijgt en iemand vraagt daarom (want verkeerd verzonden), dan moet je reactie zijn dat hij het maar opnieuw moet doen. Tweestapsverificatie werkt ook niet, wanneer je iets wat naar jou gestuurd wordt als controle, maar gewoon aan een onbekende geeft.
03-11-2020, 09:16 door Ron625
Door Anoniem:
Door Anoniem: Meteen ontslaan
Hoe ontsla je criminelen? Zou ons land een stuk veiliger maken.
Nee, die ambtenaren ontslaan, zonder recht op wachtgeld.
Hoe dom kan je zijn, om een verificatie code, die aan je telefoonnummer is gekoppeld, door te sturen.
Dat is net zo dom als je pincode doorgeven.
03-11-2020, 09:53 door Anoniem
Hoe dom kan je zijn, om een verificatie code, die aan je telefoonnummer is gekoppeld, door te sturen.
Moet je gewoon eens aan de gemiddelde whatsapp gebruiker vragen of hij weet wat een verificatiecode is.
Ik denk dat de meeste met weet het niet antwoorden, is het niet zo dat de software zo veilig moet zij dat dat
niet mogelijk is.

Maar ja geef de burger die helemaal niets met ict te maken heeft en die apps in vertrouwen gebruikt
maar de schuld, want betrouwbare apps maken is toch te moeilijk. Je moet dat niet zien zoals jij het ziet maar meer
naar de gebruiker gericht, jij weet hoe het werkt maar de meeste gebruikers niet.

Vroeger zat niet de meeste tijd in een programma maken maar in wat de gebruiker allemaal verkeerd kon doen.
03-11-2020, 10:55 door Anoniem
Door Anoniem:
Door Anoniem: De fout zit niet alleen in het ontbreken van tweestapsverificatie, maar ook dat WhatsApp in feite slecht ontworpen is qua veiligheid. Hierdoor is het mogelijk dat iemand slachtoffer kan worden van hacking.

DE fout zit niet in het ontbreken van tweestapsverificatie, maar in de naïviteit van de gebruikers. Wanneer je een code krijgt en iemand vraagt daarom (want verkeerd verzonden), dan moet je reactie zijn dat hij het maar opnieuw moet doen. Tweestapsverificatie werkt ook niet, wanneer je iets wat naar jou gestuurd wordt als controle, maar gewoon aan een onbekende geeft.
De fout zit juist wél in het niet-gebruiken van tweestapsverificatie. De bouwers van software moeten juist rekening houden met naïviteit. En wie beweert dat tweestapsverificatie niet werkt, begrijpt totaal niet waar het over gaat.
03-11-2020, 11:54 door [Account Verwijderd] - Bijgewerkt: 03-11-2020, 11:56
Door Ron625:
Door Anoniem:
Door Anoniem: Meteen ontslaan
Hoe ontsla je criminelen? Zou ons land een stuk veiliger maken.
Nee, die ambtenaren ontslaan, zonder recht op wachtgeld.
Hoe dom kan je zijn, om een verificatie code, die aan je telefoonnummer is gekoppeld, door te sturen.
Dat is net zo dom als je pincode doorgeven.

Neen, hoe dom kun je zijn om te gaan schreeuwen: "meteen ontslaan", of fouten maken niet iedereen kan overkomen.

Fijne HR-functionaris zou jij zijn.
Tjonge jonge wat een kortzichtigheid wordt er vandaag toch weer geëtaleerd. De sarcastische opmerking: "Hoe onsla je criminelen" ontgaat je al.
In een ander draadje is er weer een die helemaal van de wap raakt door een aanstaand vuurwerkverbod en hier is er weer een die nog niet verder kan kijken dan de vlieg die voorop zijn neus zit, daardoor blind voor de splinter in andermans oog en onbewust van de balk in het zijne.

Als het je lukt .... laat dan tot je doordringen dat er zeker mensen zijn die geen fouten maken. Oh ja, onbetwistbaar. Kerkhoven vol.
03-11-2020, 14:27 door Briolet
Door Anoniem: DE fout zit niet in het ontbreken van tweestapsverificatie, maar in de naïviteit van de gebruikers. ……
Tweestapsverificatie werkt ook niet, wanneer je iets wat naar jou gestuurd wordt als controle, maar gewoon aan een onbekende geeft.

Hoezo werkt Tweestapsverificatie niet? Zelfs als je zo dom bent om die code door te geven dan nog kan de ander niets omdat hij jouw 6 cijferige PIN niet kent.

Alleen irritant dat WhatsApp je om de paar dagen om die PIN vraagt om te voorkomen dat jij die vergeet. Ik onthoud hem echt wel en zo niet staat hij wel in mijn wachtwoord manager.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.