Je zou zeggen dat identiteitsfraude een echt privacyprobleem is. Opvallend dat de AP daarbij geen thuis geeft.
Ze hebben meer met de eenvoudigere opzet van bescherming van de misdadigers.

Ze willen toch graag een digitale samenleving
en alles in de cloud,wij van de europese unie willen dat.

EUNL2022

Wat de burger moet leren is dat je rekeningen voor niet gedane bestellingen gewoon kunt weggooien. En dat je daarnaast wel gedane bestellingen pas betaalt als je tevreden bent. Anders had men maar niet op krediet moeten leveren. Een factuur is geen aanslag.

Daarnaast moet de burger beter worden geinformeerd dat als hij niet helemaal tevreden was, een kleine betaling al voldoende is om de goede wil te tonen. En de rest voorlopig te laten zitten, waarna nog een klein beetje weer de goede wil toont.

Wie levert op krediet hoort zich deze risicos bewust te zijn. Of anders boter bij de vis te vragen. Alleen meteenvonnismageriemand zomaar in je zakken zitten. Wordt er met extra kosten gedreigd, ook dat zijn geen absolute rechten.

In een deel van de gevallen niet. Bijvoorbeeld in https://www.dentons.com/en/footer/fraud-alert/domains somt Dentons (naar eigen zeggen "the world's largest law firm") domeinnamen op die door identiteitsfraudeurs zijn gebruikt om zich voor te doen als medewerker van Dentons.

Maar ook Microsoft moest het weer flink ontgelden (zie de lijsten met domeinnamen onderin https://abnormalsecurity.com/blog/cobalt-terrapin-invoice-fraud).

In https://www.security.nl/posting/770175/KNLTB+teleurgesteld+in+tussenuitspraak+rechter+over+AVG-boete+AP kun je daarentegen lezen dat de KNLTB (haar in goed vertrouwen verstrekte) persoonsgegevens van haar leden verkoopt aan partijen waarbij niemand garandeert dat die gegevens niet verder gaan "zwerven", d.w.z. niet in handen kunnen vallen van misbruikers zoals identiteitsfraudeurs (waaronder WhatsApp-fraude, zie https://www.maxmeldpunt.nl/oplichting/whatsapp-fraude-blijft-toenemen-politie-waarschuwt-opnieuw/).

Terecht dat de AP daar een boete voor heeft uitgedeeld.

Overigens is het aantal meldingen dat het CMI ontvangt vermoedelijk een klein topje van een erg grote ijsberg. Whatsapp-fraude, BEC (niet alleen "Business" Email Compromise), bellende fake Microsoft of bankmedewerkers, pinfraudeurs, phishing-websites en ga zo maar door zijn m.i. ook vormen van identiteitsfraude, waarvan -schat ik- hooguit een fractie aan het CMI wordt gemeld.

De afgelopen maanden heeft bijvoorbeeld de Russische trollenfabriek hard haar beste gedaan door zich voor te doen als bekende Britse, Duitse, Franse, Letse en Italiaanse nieuwssites. Alleen al voor de website van de Duitse "Der Spiegel" (spiegel.de) werd fake news gepost op sterk op de echte lijkende websites met de volgende domeinnamen (via https "dankzij" DV-certificaten):
- spiegel.agency
- spiegel.cab
- spiegel.fun (www-spiegel-de.spiegel.fun)
- spiegel.ink
- spiegel.ltd
- spiegel.pro
- spiegel.quest
- spiegel.today
- spiegel.work
- spiegeli.life
- spiegeli.live
- spiegeli.today
- spiegelr.live
- spiegelr.today

Meer info:
https://medium.com/dfrlab/russia-based-facebook-operation-targeted-europe-with-anti-ukraine-messaging-389e32324d4b

https://about.fb.com/news/2022/09/removing-coordinated-inauthentic-behavior-from-china-and-russia/
of direct het rapport als PDF: https://about.fb.com/wp-content/uploads/2022/10/CIB-Report_-China-Russia_Sept-2022-1-1.pdf

Bron: https://www.bleepingcomputer.com/news/security/meta-dismantles-massive-russian-network-spoofing-western-news-sites/

Als er al een relatie is tussen identiteitsfraude en privacywetgeving, dan is het waarschijnlijk eerder dat de privacywetgeving
een deugdelijke verificatie van de identiteit (en attributen) bemoeilijkt, en daarmee identiteitsfraude mogelijk maakt.

Dat vind ik wel erg ver gezocht!
Als er een callcenter random nummers belt en zegt van Microsoft te zijn, dan is dat alleen fraude tov van de identiteit
van Microsoft, niet van het slachtoffer. En dat soort vormen van fraude wordt in veel gevallen juist vergemakkelijkt
door allerlei privacywetgeving die tegenhoudt dat je zaken zelf even natrekt.
Bijvoorbeeld als je een appje binnen krijgt van "het nieuwe nummer van je dochter" kun je niet even in een reverse nummer
register de houder van dat nummer natrekken "want privacy". Zelfs als nummerweergave waterdicht zou zijn heb je
nog dat probleem.

Identiteitsfraude zal ook getriggerd worden door eisen van (plaatselijke) overheid met betrekking tot digitaal aanleveren van persoonlijke documenten en hier of daar toch onvoldoende aandacht voor de instandhouding van privacygevoelige informatie die ten nadele kunnen vallen voor de burger bij communicatie met de overheid.

Een persoonlijk ervaren voorbeeld:

Zo'n maand terug heb ik energietoeslag aangevraagd.
Ik moest ook ten bewijze van een op mijn naam gesteld bankrekeningnummer een scan van mijn bankpas aanleveren.
Suf als ik was vergat ik het serienummer van de bankpas zwart te maken.
Meteen heb ik maatregelen genomen, maar hoeveel mensen zijn er misschien wel die niet weten dat het zéér belangrijk is dat een vreemd persoon naast - uiteraard - de PIN-code, niet het serienummer van een bankpas te weten komt?

En daarmee kom ik terug op mijn opmerking hierboven.
De gemeente waar ik woon kan deze ernstige fout grotendeels voorkomen door te vermelden dat het bankpas serienummer onzichtbaar gemaakt moet worden.

OK, waarschijnlijk zou ik nog de fout hebben gemaakt want ik was er op dat moment niet goed bij met mijn hoofd, maar neemt niet weg: een gewaarschuwd mens telt voor twee! Het zou een kleine moeite zijn geweest als de waarschuwing wel was vermeld bij de lijst van aan te leveren documenten en specifiek dáár waar het de bankpas betrof.

Ik denk dat de meeste mensen wel weten dat dat niet boeit. Het serienummer is totaal onbelangrijk om wel of niet
te weten. Je kunt daar verder niks mee, behalve misschien geloofwaardig overkomen als je telefonisch probeert
de pas te blokkeren.

Ja en? Alsof uit de definitie van identiteitsfraude zou volgen dat degene wiens identiteit onterecht wordt aangenomen, altijd het grootste slachtoffer zou moeten zijn?

Dat is vaak niet het geval, ook niet bij Whatsapp-fraude (kijk de laatste aflevering van Max Meldpunt nog maar eens na).

Privacywetgeving kan dit bemoeilijken, maar in heel veel gevallen was, voordat privacywetgeving versterkt werd, identificerende informatie simpelweg onbetrouwbaar (toen whois nog niet was dichtgetimmerd, stond daar ook al zinloze of ordinair gelogen informatie in).

Het stokoude probleem is niet dat eerlijke mensen niet liegen, maar dat criminelen dat wel doen. Ja duh zul je zeggen, maar indien je met een crimineel te maken hebt schiet je er meestal niks mee op als 99% van de gegevens in een systeem met identificerende informatie is aangedragen door eerlijke mensen.

Wat een flutargument: omdat er Whatsapp-fraude bestaat zou er een waterdicht systeem moeten bestaan waarin je kunt opvragen "van wie is dit telefoonnummer op dit exacte moment"?

Immers, als jouw zoon of dochter zojuist een ander nummer heeft gekregen (wat bijna niemand wil) moet dat wel meteen geregistreerd staan (en mag je hopen dat daarbij geen identiteitsfraude heeft plaatsgevonden). En bij verlies of diefstal moet je (zonder dat identiteitsfraude al te eenvoudig is) jouw naam bij jouw oude nummer kunnen schrappen (en dat ook echt meteen doen). En nooit je telefoon uitlenen.


De verkoop van anonieme pre-paid SIM-kaarten zou je dan waarschijnlijk ook moeten verbieden.

Los van dat zo'n waterdicht systeem nooit bestaan heeft voor het brede publiek en m.i. onwenselijk is voor die groep juist vanwege privacyrisico's waaronder phishing: denk je echt dat iedereen die via Whatsapp belazerd wordt met "telefoon verloren, geleend toestel van collega, geld nodig" dan niet het oude nummer belt maar wel bedenkt dat je zo'n reverse lookup kunt doen, waar dat ook al weer was en dat daadwerkelijk doet? En dat je dan ook weet of die persoon daadwerkelijk een collega van jouw zoon of dochter is? Of een studiegenoot? Of een aardig iemand in de trein?

Het probleem hier is teveel vertrouwen in mensen en techniek (te vaak niet precies weten of je het niet realiseren wat de technische -maar ook social engineering- mogelijkheden zijn voor identiteitsfraudeurs waardoor dit potentiële slachtoffers kwetsbaar maakt). Dat probleem los je niet op door privacy af te schaffen.

Dank je dat is de achtergrond van mijn opmerking

Dat lijkt me toch een privacy probleem. Bij de slachtoffers, Denton en betreffende medewerker.

Wil je aub kiezen Er staat namelijk "Social engineering methods like those commonly used in business email compromise attacks are growing more sophisticated because it’s becoming more challenging to fool security-aware workforces and bypass security software. " De telco whatsapp dan wel opens source schuldig verklaring omdat daar een naam van misbruikt is, is niet professioneel. Je zou zal security specialist er voor moeten zijn om look alikes te bannen, zwarte lijst of liever een bevoorrechte witte lijst. Daarnaast gedegen authenticatie dat oplichters hun gang kunnen gaan komt door het makkelijk kunnen verbergen van de juisten identiteit.

Nou nee, zeer onterecht. De AP lijkt aan privacy activisme te doen niet aan privacybescherming.

Zoals je zou moeten weten vindt de AP registratie van oplichtingspogingen een inbreuk van privacy.
De fraudehelpdesk is daarom gestopt, Het melden aan CMI zal bij escalatie ook wel verboden worden door de AP.

Interessant hier kan ik je volgen. Alleen het uitbannen van die praktijken zal lastig zijn met Rusland/Poetin propagandisten in het de kamer en in bepaalde media. Die gaan steigeren als er iets tegen gedaan zou worden.

Ja zeg... ga de ernstige denkfout die je maakt ook nog publiceren hier!

Als ik telefonisch contact zoek met mijn bank (ING) om zaken te regelen die betrekking hebben op mijn bankrekening, stel: bijvoorbeeld een wijziging van mijn adres, vraagt de helpdeskmedewerker ter verificatie dat ik werkelijk ben wie ik zeg te zijn, onder andere het serienummer van mijn bankpas. en jij vertelt hier dat het serienummer van de bankpas "totaal onbelangrijk om wel of niet te weten" is?!?

"Alsjeblieft zeg!"

Stel: jij bent een medewerker van de gemeente waar ik woon die misbruik wil gaan maken van de gegevens op mijn bankpas waarvan ik een scan heb gezonden voor aanvraag van de energietoeslag en de ING bank belt:
"Goedemiddag met de heer Quink, serienummer bankpas 123X456, ik ga verhuizen, etc. "
Daarop geef jij mijn geboortedatum door - daarom vraagt de ING altijd - die te lezen is in de verdere informatie die ik heb gestuurd.... Wil jij mij wijsmaken dat jij géén succesvolle poging tot identiteitsfraude in gang zet, en ik "de pisang ben?"

Voordat je iets post hier denk dan de volgende keer dieper door dan slechts over dat wat aan de oppervlakte drijft!