Privacy - Wat niemand over je mag weten

Kopie-ID: kap ermee!

27-01-2024, 17:49 door Erik van Straten, 98 reacties
Laatst bijgewerkt: 27-01-2024, 18:25
Doel van authenticatie
Het belangrijkste doel van authenticatie is het voorkómen van (ongewenste) impersonatie, namelijk dat criminelen zich voordoen als jou in jouw nadeel.

Een origineel identiteitsbewijs
Een origineel "reisdocument" (zoals een paspoort) is zowel een:
• Identificatiemiddel
als een
• Authenticatiemiddel
Omdat het beide is, wordt het meestal een "identiteitsbewijs" genoemd. Een kopie daarvan is hooguit een identificatiemiddel, maar zeker géén authenticatiemiddel.

Ik speel overigens met de gedachte of het zou helpen als we onderscheid zouden gaan maken tussen (met het doel om een ander te benadelen):
• Identiteitsfraude:
Op zettelijk opgeven van valse of onterecht wijzigen van opgeslagen persoonsgegevens.
• Authentiteitsfraude:
Het, min of meer overtuigend, gebruik makend van een authenticatiemiddel, aantonen dat jij iemand anders bent dan jij bent.

Het verschil tussen een identificatiemiddel en een authenticatiemiddel licht ik hieronder verder toe.

Voorbeeld van authenticatiemiddel: wachtwoord
Een voorbeeld van een digitaal authenticatiemiddel is het wachtwoord van een DigiD-account (het user-ID is het identificatiemiddel). Omdat de DigiD server geen enkel verschil ziet tussen een wachtwoord ingevoerd door de account-eigenaar en een crimineel, moet dat wachtwoord strikt geheim gehouden worden - met één uitzondering: je moet het "delen" om in te kunnen loggen.

Om zo goed als mogelijk te voorkómen dat het wachtwoord tijdens of na inloggen gekopieerd en misbruikt kan worden, zal de DigiD-server, onmiddellijk nadat het wachtwoord is ingevoerd, daar een éénweg-afgeleide van berekenen - waarna de invoer wordt gewist. Vervolgens zal de server de berekende éénweg-afgeleide vergelijken met de eerder bij het DigiD-account opgeslagen éénweg-afgeleide; als deze overeenkomen is het juiste wachtwoord ingevoerd.

Het is de verantwoordelijkheid van de burger dat deze diens wachtwoord verder strikt geheim houdt (dat vereist ook het up-to-date en veilig houden van de door die burger gebruikte apparatuur) en dat die burger het wachtwoord nooit op een andere server dan met de exacte domeinnaam digid.nl invoert (https helpt je niets als de domeinnaam niet klopt; zie https://tweakers.net/nieuws/216878/#r_19450852 voor meer info over veilig inloggen).

Als je er toch intrapt om op een nep-DigiD server jouw user-ID en wachtwoord in te voeren, en eventueel een via SMS ontvangen code, dan kan de eigenaar van die nepserver met de door jou ingevoerde gegevens als zijnde jou inloggen op de échte DigiD-server. Dit wordt een AitM (Attacker in the Middle) of MitM (Man-) aanval genoemd.

Merk op dat je altijd de verifieerder van jouw authenticatiemiddel zult moeten vertrouwen, want deze kan zich sowieso voordoen als jou (ook een AitM dus). Ook zul je erop moeten vertrouwen dat die verifieerder diens servers en andere computers goed beveiligt, om te voorkómen dat zij (onbedoeld) deel gaan uitmaken van een AitM-aanval.

Kortom, deze vorm van authenticatie is alleen betrouwbaar als aan een flink aantal lastige voorwaarden wordt voldaan (het aanmaken van het account is nog niet eens besproken).

Voorbeeld van authenticatiemiddel: paspoort
Een paspoort is voorzien van allerlei technische snufjes waardoor het zo lastig mogelijk is gemaakt om daar een kopie van te maken die door geoefende ogen als origineel wordt gezien.

Dan nog is het onverstandig om kopiën van identiteitsbewijzen te (laten) maken, maar in de praktijk hou je dat nauwelijks of niet tegen. Essentieel is echter dat zo'n kopie of scan nooit als authenticatiebewijs wordt behandeld, en dit is precies wat we hebben laten verwateren.

Diefstal
Als een verifieerder (of een dief) jouw identiteitsbewijs steelt, bestaat er een kans op identiteitsfraude, onder meer indien:
• Iemand die sterk op jou lijkt dat identiteitsbewijs in handen krijgt en zich voor gaat doen als jou (bijv. op jouw naam leningen afsluit);

• Criminelen er online mee als jou kunnen "authenticeren", evt. in aanvulling met een selfie of een filmpje van jouw gezicht (AINmaakt dit steeds eenvoudiger), bijv. om een creditcard op jouw naam aan te vragen;

• De chip wordt uitgelezen en jouw digitale identiteit op de smartphone van een crimineel wordt gezet, waarna daarmee online authentiteitsfraude wordt gepleegd.

Een voordeel voor slachtoffers is dat zij vaak merken dat zij hun identiteitsbewijs kwijt zijn, terwijl de kans dat zij opmerken dat een kopie van een wachtwoord of identiteitsbewijs in verkeerde handen is gevallen, een stuk kleiner is. Het derde voorbeeld dat ik gaf is griezeliger, en is wellicht mogelijk als een foute verifieerder jouw paspoort met een smoes even mee "naar achteren" neemt (waarschijnlijk gaat dit risico alleen maar toenemen).

Scan of kopie
Indien een verifieerder een scan of kopie maakt van jouw identiteitsbewijs, of dat door jou toegezonden krijgt, kan die verifieerder zich, met gelijke betrouwbaarheid, naar een derde partij voordoen als jou (indien die derde zo'n "authenticatie"-methode accepteert, met alle risico's voor jou). Een watermerk kan hierbij helpen, maar met de toenemende kracht van AI kunnen zelfs leken een watermerk verwijderen of wijzigen. Ook hier zul je dus de verifieerder zelf moeten vertrouwen, én je zult erop moeten vertrouwen dat de systemen van die verifieerder goed beveiligd zijn (oeps van gisteren: "Akira ransomware gang says it stole passport scans from Lush in 110 GB data heist": https://theregister.com/2024/01/26/akira_lush_ransomware/).

Geen authenticatiemiddel: paspoortscan
Een kopie of een scan van een identiteitsbewijs ("ID-scan") is ongeschikt als authenticatiemiddel om in elk geval de volgende redenen:

1) ID-scans worden meestal "as is" opgeslagen (dus géén éénweg-afgeleiden daarvan zoals gebruikelijk is bij wachtwoorden). In de praktijk zijn dit soort scans meestal online toegankelijk en zijn ze zelden versleuteld (eventuele versleuteling is zinloos als de sleutel ernaast te vinden is, en aan "at-rest-encryption" heb je niets zolang het systeem online is);

2) In de praktijk beschikken meerdere, en soms vele, organisaties over een kopie van jouw identiteitsbewijs. Steeds meer organisaties worden gehacked waarbij data wordt gekopiejat en verhandeld of gepubliceerd;

3) Vaak worden er minder betrouwbare kanalen (zoals e-mail) gebruikt voor het verzenden van ID-scans;

4) De identiteit, en daarmee indirect de betrouwbaarheid, van de (uiteindelijke) verifieerder is vaak nóg lastiger vast te stellen dan als je een wachtwoord invoert;

5) Er wordt, ook door de overheid, ontkend én bevestigd dat een ID-scan bruikbaar is als authenticatiemiddel. Daardoor ontbreken heldere beveiligingseisen en doordat veel organisaties de risico's zelf niet inzien, rommelen ze maar wat aan.

Nb. Zelfs voor de AP zijn ID-scans geen taboe, uit https://www.autoriteitpersoonsgegevens.nl/themas/identificatie/paspoort-en-identiteitskaart/kopie-van-uw-id-bewijs-wat-kunt-u-doen:
Kopie van uw ID-bewijs: wat kunt u doen?
Soms moet of wil een organisatie uw identiteit vaststellen. Dat betekent: controleren of u echt bent wie u zegt dat u bent. Bijvoorbeeld om fraude te voorkomen.
Dit is ronduit absurd. Het gaat hier niet alleen om het voorkómen dat partijen meer privacygevoelige gegevens in handen krijgen dan strikt noodzakelijk, maar óók en m.i. vooral het voorkómen van authentiteitsfraude of impersonatie (in de volksmond identiteitsfraude genoemd, maar het vervalsen van persoonsgegevens vind ik minder vérstrekkend dan fraude middels een of een kopie/scan van een identiteitsbewijs, of het misbruiken van een gestolen of ontechtmatig uitgegeven exemplaar).

Kopie-ID-app: schijnveiligheid
De door de overheid (en vooral de RvIG) aanbevolen Kopie-ID app levert alleen maar schijnveiligheid op. Hoewel daarmee een deel van de informatie van een identiteitsbewijs kan worden afgedekt, is het uitgangspunt ervan hartstikke fout, namelijk dat een scan of kopie van een deel van de gegevens op een identiteitsbewijs wél bruikbaar zou zijn als authenticatiemiddel. Alleen al omdat een AitM zich met zo'n scan richting andere partijen kan voordoen als jou (evt. na het verwijderen of vervangen van een watermerk, en/of het vervangen van de pasfoto) belazert onze overheid ons waar wij bij staan. Voor meer info en leugens van de RvIG zie https://security.nl/posting/826969.

Misbruik BSN als authenticatiemiddel
De reden dat de TS in https://security.nl/posting/826904/#BSN-gestolen-in-buitenland haar of zijn BSN wil laten wijzigen, is omdat zij of hij bang is dat criminelen, met de kennis van dat BSN, authenticatiefraude (in de volksmond identiteitsfraude) kunnen plegen. Oftewel, dat criminelen, met de kennis van dat BurgerServiceNummer, zich zodanig overtuigend als die TS kunnen voordoen, dat dit van kleine privacy-inbreuken tot mogelijk grote (financiële en/of anderszins) schade leidt voor die TS en/of diens familie, vrienden etc. maar deels ook voor organisaties.

Niet geheim? Dan geen authenticatiemiddel!
Het feit dat de kennis van een BSN, of een andere niet geheime karakterreeks en/of reeks bytes, inclusief persoonsgegevens zoals een geboortedatum t/m een scan van een identiteitsbewijs, als authenticatiemiddel wordt ingezet voor overduidelijk risicovolle zaken, is ronduit krankzinnig. Want dit betekent een enorm groot risico voor totaal onschuldige personen, meestal als gevolg van bezuinigingsdrift van bedrijven en overheden.

Geen vangnetten
Voor een kopie-ID als authenticatiemiddel zou (heel misschien) nog wat te zeggen kunnen zijn, indien er voor alle slachtoffers van zo'n per definitie gevaarlijk systeem fatsoenlijke vangnetten zouden zijn opgetuigd die in de praktijk effectief zijn - maar die ontbreken (dit is ordinaire bezuiniging waarbij risico's op onschuldige individuen worden afgewenteld). Zie bijvoorbeeld https://www.rtlnieuws.nl/lifestyle/artikel/5411351/chantal-wil-nooit-meer-slachtoffer-zijn-van-identiteitsfraude-schulden (zie ook https://security.nl/posting/827019).

Deels off topic, maar ook voor andere slachtoffers van online identiteitsfraude ontbreken vangnetten of worden zelfs afgebouwd om bezuinigingsredenen (voorbeeld in https://tweakers.net/nieuws/217632/creditcardbedrijf-ics-krijgt-avg-boete-wegens-ontbreken-risicoanalyse-privacy.html#r_19517952). Denk ook aan criminelen die zich (o.a. telefonisch) voordoen als bankmedewerkers. En denk aan nepwebsites die steeds lastiger van de echte zijn te onderscheiden (terwijl er elke dag vele nieuwe bijkomen om virusscanners en blocklists te omzeilen, zonder dat iemand daar een stokje voor steekt, zie bijv. https://www.virustotal.com/gui/ip-address/213.226.123.41/relations voor één IP-adres van een door Russen beheerde server). Dit en andere vormen van phishing zijn steeds meer plausibel omdat alles tegenwoordig online plaatsvindt (bankfilialen zijn gesloten en ook de overheid is voor steeds meer zaken uitsluitend online bereikbaar).

Mede door deze deplorabele staat van het internet zijn digitale identiteitsapps (zoals EDIW en Yivi) een enorme uitnodiging tot het plegen van authentiteitsfraude: veel te veel mensen worden nu al slachtoffer van phishing. Via nepsites zijn AitM-aanvallen met als doel online authenticatiefraude een eitje. Ik begrijp er dan ook helemaal niets van dat dit risico niet eens wordt benoemd in een eind vorig jaar gepubliceerd onderzoek naar de risico's van Video-IDent (PDF, Engelstalig): https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/ANSSI-BSI-joint-releases/ANSSI-BSI_joint-release_2023.pdf?__blob=publicationFile&v=3.

En nu moet het afgelopen zijn!
M.i. moet deze (notabene toenemende, "het is okay want andere organisaties doen dit ook") kopietje-paspoort-praktijk met hand en tand worden bestreden. Ik vind dat op dit punt de overheid het voortouw moet nemen.


P.S. aan reageerders: quote s.v.p. niet hele postings maar beperk je tot die zinnen waar jouw reactie betrekking op heeft; dat komt de leesbaarheid van dit forum ten goede.
Reacties (98)
27-01-2024, 19:41 door Anoniem
kopietje-paspoort-praktijk met hand en tand worden bestreden.
Een kopie van een id of paspoort kan mijn inziens nooit een geldig identiteitsbewijs zijn, de andere kant
kan nooit zeker weten of deze kopie ook echt is van de houder. Als ik mij op straat moet identificeren dan
is een kopietje niet rechtsgeldig en via internet wel. Zelf ben ik een voorstander van belangrijke zaken gewoon
naar het loket.

https://www.autoriteitpersoonsgegevens.nl/themas/identificatie/paspoort-en-identiteitskaart/kopie-van-uw-id-bewijs-wat-kunt-u-doen
27-01-2024, 20:49 door Anoniem
Een kopie van een id of paspoort kan mijn inziens nooit een geldig identiteitsbewijs zijn, de andere kant
kan nooit zeker weten of deze kopie ook echt is van de houder
.
Of dat iemand het gestolen heeft en zich nu voordoet als de houder.
27-01-2024, 23:54 door Anoniem
Door Anoniem: Zelf ben ik een voorstander van belangrijke zaken gewoon naar het loket.

Ik denk dat niemand er op zit te wachten om even naar Maastricht of Leeuwarden af te moeten reizen om een ID te laten zien, omdat het loket van de desbetreffende dienst nu eenmaal daar zit. En dan laten we internationale diensten nog even buiten beschouwing.

Het hele "kopietje-paspoort-praktijk" bestaat enkel en alleen bij gratie van de reële behoefte om op een eenvoudige wijze (voor zowel gebruiker als verifieerder) met voldoende zekerheid op afstand te kunnen vaststellen dat een gebruiker is wie hij/zij beweert te zijn.

En aangezien je op afstand de gebruiker niet op zijn/haar blauwe ogen kunt vertrouwen, zul je dan gebruik moeten maken van een trusted third party – een betrouwbare autoriteit die de identiteit van de gebruiker al onafhankelijk heeft vastgesteld en deze kan verifiëren. Dan kom je bij oplossingen als DigiD, eID, de Europese Digitale Identiteit/eIDAS, Itsme (en er zijn er vast nog veel meer). Deze worden doorgaans weer met de nodige scepsis ontvangen omdat men bang is dat die third party gaat bijhouden met wie de gebruiker allemaal zaken doet.

Het is makkelijk om te roepen dat de praktijk van "kopietje-paspoort" niet okay is, en dat digitale identiteits-apps ook niet okay zijn, maar de oplossing "je meldt je gewoon ergens in persoon" is praktisch gezien ook niet acceptabel. Er moet ergens toch water bij de wijn.
28-01-2024, 10:27 door Briolet
Je kunt een kopie ID ook bij de gemeente of een notaris laten waarmerken. Maar ook dat geeft mijns inziens geen bescherming tegen echte criminelen. Ik heb het een paar keer moeten doen, maar schrok ervan hoe primitief de waarmerking was.

De gemeente zet er dan een gemeentestempel op, een paraaf van de ambtenaar en een datum. Als kind heb ik al mooie stempels gemaakt van aardappels, dus zo'n gemeentestempel kan iedereen namaken. En criminelen hoeven het maar voor één plaats te maken, want de eigenaar van een ID kan verhuist zijn. De gemeentestempel kan dus van een andere woonplaats zijn dan op het ID staat.

Bij een waarmerking van een kopie had ik eigenlijk verwacht dat ze er ook een uniek nummer op zouden zetten. En dat nummer vervolgens in een openbaar register zetten, zodat iedereen kan opvragen dat dit nummer op dag x aan persoon y gekoppeld is.
28-01-2024, 10:33 door Briolet - Bijgewerkt: 28-01-2024, 10:33
Door Anoniem:
Door Anoniem: Zelf ben ik een voorstander van belangrijke zaken gewoon naar het loket.

Ik denk dat niemand er op zit te wachten om even naar Maastricht of Leeuwarden af te moeten reizen om een ID te laten zien, omdat het loket van de desbetreffende dienst nu eenmaal daar zit.

Je kunt het loket ook naar de klant brengen. Er bestaan meerdere diensten die net als pakketbezorgers naar de klanten gaan en daar de identiteit van het paspoort vaststellen voor de opdrachtgever. Ik heb dit b.v. gedaan voor de aanvraag voor eHerkenning. (Ik had ook geen zin om naar een loket af te rijzen)
28-01-2024, 10:46 door Erik van Straten - Bijgewerkt: 28-01-2024, 11:18
Door Anoniem: Ik denk dat niemand er op zit te wachten om even naar Maastricht of Leeuwarden af te moeten reizen om een ID te laten zien, omdat het loket van de desbetreffende dienst nu eenmaal daar zit.
Briolet noemde gemeenten en Notarissen als TTP's (Trusted Third Parties) met gammele waarmerken. We hebben echter al heel lang "certificate chains" (en tijdstempels) gebaseerd op digitale handtekeningen, dus technisch kan dit goed worden dichtgetimmerd.

Ik herhaal wat ik hierover eerder schreef in https://tweakers.net/nieuws/217632/creditcardbedrijf-ics-krijgt-avg-boete-wegens-ontbreken-risicoanalyse-privacy.html#r_19517952:

Verbetering: offline auth indien belangrijk
M.i. hebben we in Nederland, vergelijkbaar met GeldMaat geldautomaten, authenticatiekantoren (of balies in bestaande bedrijven) nodig - offline TTP's zeg maar. Uitsluitend goed opgeleid en streng gescreend personeel zou daar identiteitsbewijzen op vervalsingen moeten checken en de pasfoto (en andere karakteristieken) op zo'n "legitimatiebewijs" met de melder moeten vergelijken, waarna de gewenste transactie kan worden uitgevoerd (en bekend is en gelogd wordt wie de verifieerder is).

Dit is niet alleen in het belang van individuen op wiens naam bijv. leningen worden afgesloten, maar helpt m.i. ook beter om witwaspraktijken te voorkómen.

Nb. 100% veilig is ook offline authenticatie niet, maar criminelen houden er niet van om fysiek aanwezig te zijn tijdens een zorgvuldig authenticatieproces - vooral niet als zij, tijdens dat proces, gefilmd worden en de beelden lang genoeg worden bewaard. Dergelijke beelden kunnen, mits niet manipuleerbaar, slachtoffers van eventuele identiteitsfraude ook helpen bewijzen dat "it wasn't me" - iets dat met online-auth extreem moeilijk kan zijn.

Door Briolet: Je kunt het loket ook naar de klant brengen. Er bestaan meerdere diensten die net als pakketbezorgers naar de klanten gaan en daar de identiteit van het paspoort vaststellen voor de opdrachtgever.
Helaas nodigt dat uit tot voordeur-fraude, vergelijkbaar met wat Chantal overkwam. Net als bij stemmen kunnen fysieke locaties die impliciet betrouwbaar zijn enorm helpen.

Tweede aanvulling: we vergeten te vaak dat je, tijdens authenticatie, de verifieerder moet kunnen vertrouwen. Veel te veel mensen laten zich aan hun voordeur voor de gek houden (gisteravond nog te zien op Max Meldpunt). Vertrouwen en beleefdheid zijn aangenaam menselijk gedrag, dat moeten we m.i. niet kapot willen maken. Niet alle problemen kun je met ICT oplossen, en er zullen altijd zakkenvullende-bedrijven zijn die liegen dat dit wel kan!
28-01-2024, 11:11 door Anoniem
Hoewel ik begrip heb voor stelling van topicstarter, vraag ik mij af hoe het in de praktijk moet gaan.
Stel je moet een machine huren bij verhuurbedrijf, dan kun je weinig anders dan een kopie id afgeven, of zonder machine vertrekken.
28-01-2024, 12:09 door Anoniem
Een geweldig statement!
Misschien wil een krant er aandacht aan besteden?
28-01-2024, 13:13 door Anoniem
Toen ik in militaire dienst wacht moest lopen, konden bezoekers (zonder militair paspoort) hun burger paspoort inleveren in ruil voor een toegangspas tot het complex. Als je je paspoort weer terug wilde hebben moest je die toegangspas weer inleveren.

Ik weet niet of van het burger paspoort kopieën werden gemaakt. We hadden in die tijd nog geen digitale fototoestellen of goede digitale scanners (wel fotokopieerapparaten). Ik neem aan het het documentnummer in een logboek werd opgeschreven samen met het nummer van de toegangspas.
28-01-2024, 13:15 door EKTB
Niks mis met de KopieID app, Topicstarter Erik van Straten moet 1) ophouden met zeiken en 2) leren duidelijke topics te schrijven zonder onnodige tekst.
28-01-2024, 13:49 door Erik van Straten - Bijgewerkt: 28-01-2024, 14:39
Door Anoniem: Een geweldig statement!
Misschien wil een krant er aandacht aan besteden?
Dat zou goed zijn, in elk geval voor alle slachtoffers die slachtoffer zijn geworden van kopie-ID-fraude.

(Mocht bijv. een journalist, buiten dit forum om, contact met mij willen: mijn e-mail adres is te vinden onderaan mijn foto in mijn profielpagina).

Door Anoniem: Hoewel ik begrip heb voor stelling van topicstarter, vraag ik mij af hoe het in de praktijk moet gaan.
Stel je moet een machine huren bij verhuurbedrijf, dan kun je weinig anders dan een kopie id afgeven, of zonder machine vertrekken.
Verhuurbedrijven willen -terecht- enige zekerheid dat zij eventuele schade op "de huurder" kunnen verhalen. Dus willen zij twee realistische dingen:

• Identificatie: de contactgegevens van de huurder, zodat zij weten bij wie eventuele schade verhaald kan worden;

• Authenticatie: bewijs dat degene die het artikel meekrijgt degene is van wie bovengenoemde identificerende gegevens zijn. In het belang van de verhuurder, doch -indien van toepassing- vooral in het belang van iemand met wiens identiteit wordt gefraudeerd, zou die verhuurder het aangeboden identiteitsbewijs grondig op vervalsingen moeten controleren.

De verhuurder kan ook iets willen dat niet realistisch is: ofwel het achterhouden van het identiteitsbewijs totdat het artikel in goede staat is gereourneerd (en zo niet, de schade is betaald), ofwel "bewijs" dat zij het identiteitsbewijs "hebben gezien".

De theorie is dat de verhuurder, door het maken van een fotokopie, scan of foto van het identiteitsbewijs, zulk "bewijs" in handen zou hebben - maar dat is onzin. Een voorbeeld waar je ongetwijfeld op kunt schieten (en ik weer terug): het gaat om het idee.

Voorbeeld
Stel de jij hebt daar een artikel gehuurd en zo'n kopie-ID laten maken, en later heb je het artikel netjes geretourneerd. Stel vervolgens dat, bij een andere klant, de verhuurder vergeet zo'n kopie te maken, de klant claimt z'n ID te zijn vergeten of achteraf blijkt het duidelijk om een kopie van een vervalsing te gaan. En die klant steelt het artikel. Dan kan die verhuurder middels de kopie van jouw identiteitsbewijs "aantonen" dat jij de huurder was, en de schade op jou proberen te verhalen.

En dat zou je lastiger kunnen maken met een watermerk op de kopie waarin artikel en exacte datum en tijd af te lezen zijn. Maar ook dat zijn uiteindelijk pixels die achteraf kunnen worden gewijzigd.

Kopie-ID: met welk doel?
Zoals ik bovenaan deze pagina al schreef: dat er kopieën van identiteitsbewijzen worden gemaakt (even los van de gegevens uit de chip) hou je waarschijnlijk niet tegen. Het is gemakzucht als je dat doet om een kopie te hebben van de identificerende gegevens van de huurder. Maar feitelijk overdreven, want die huurder moest die gegevens sowieso al invullen op het een of andere formulier. Dus die had de verhuurder kunnen vergelijken met de gegevens op het ID.

Wat ik onacceptabel vind is dat een kopie wordt misbruikt als ware het een origineel identiteitsbewijs. Vooral paspoorten hebben veel niet-kopieerbare kenmerken juist om een origineel van een kopie te kunnen onderscheiden; dat is niet voor niets!

De meest betrouwbare authenticatie vereist (naast een betrouwbare verifieerder) zowel een origineel identiteitsbewijs dat op vervalsingen wordt gecheckt als een persoon in levenden lijve die met o.a. de pasfoto op dat identiteitsbewijs wordt vergeleken. Als je hier ook maar iets van schrapt resteert schijnveiligheid en krijg je slachtoffers die zich nauwelijks tot niet kunnen verweren.
28-01-2024, 14:03 door Anoniem
Niks mis met de KopieID app, Topicstarter Erik van Straten moet 1) ophouden met zeiken en 2) leren duidelijke topics te schrijven zonder onnodige tekst.
Helaas is er veel mis met een ID kopie en deze kan nooit rechtsgeldig zijn hoewel dit niet zo wordt gezien en
omdat er blijkbaar geen andere oplossing voor is.

Erik van Straten moet hier zeker mee verder gaan want hij is een van de weinige die de gevaren via internet begrijpt,
maar criminele vinden natuurlijk niet leuk dat hij mensen hier voor waarschuwt.

https://www.vraaghetdepolitie.nl/misdaad-en-geweld/oplichting/de-verkoper-vraagt-een-foto-van-mij-id-of-bankpas.-wat-moet-ik-doen.html

https://www.veiligbankieren.nl/fraude/identiteitsfraude/
28-01-2024, 14:39 door Anoniem
Door EKTB: Niks mis met de KopieID app, Topicstarter Erik van Straten moet 1) ophouden met zeiken en 2) leren duidelijke topics te schrijven zonder onnodige tekst.

Kip zonder kop opmerking.
28-01-2024, 15:32 door majortom - Bijgewerkt: 28-01-2024, 15:34
Door Erik van Straten:
Door Briolet: Je kunt het loket ook naar de klant brengen. Er bestaan meerdere diensten die net als pakketbezorgers naar de klanten gaan en daar de identiteit van het paspoort vaststellen voor de opdrachtgever.
Helaas nodigt dat uit tot voordeur-fraude, vergelijkbaar met wat Chantal overkwam. Net als bij stemmen kunnen fysieke locaties die impliciet betrouwbaar zijn enorm helpen.
Vaak zijn hier nog wel wat waarborgen ingebouwd. In mijn geval wilde de verzekeraar dat ik me online (mbv biometrie) identificeerde wat ik weigerde. Ik heb toen aangeboden om naar hun kantoor te komen (150 km verderop) wat zij weer weigerden. Uiteindelijk (na het schrijven van een uitvoerige klachtenbrief) heeft men een bedrijf ingeschakeld die mijn identiteit aan de voordeur controleerde. Hiervoor moest degene aan de voordeur wel de code kennen die me door het bedrijf out-of-band was toegestuurd. Nog steeds niet 100% waterdicht, maar gaf mij voldoende vertrouwen dat degene die aan de deur kwam daadwerkelijk degene was die door het bedrijf was gestuurd.
28-01-2024, 17:55 door Erik van Straten - Bijgewerkt: 28-01-2024, 18:04
Door majortom: Hiervoor moest degene aan de voordeur wel de code kennen die me door het bedrijf out-of-band was toegestuurd. Nog steeds niet 100% waterdicht, maar gaf mij voldoende vertrouwen dat degene die aan de deur kwam daadwerkelijk degene was die door het bedrijf was gestuurd.
Dat helpt niet als jij al eerder in phishing bent getrapt, en een nepbedrijf jou een nummer heeft gestuurd en er vervolgens een nepcontoleur voor jouw deur staat.

Terzijde, zie https://www.virustotal.com/gui/ip-address/213.226.123.24/relations voor een aantal belastingdienst/mijnbelastingdienst nepsites van vandaag die stellen dat je vandaag nog moeten betalen via/naar een bunq.me pagina (gehost bij Amazon) waarin je jouw bank kunt kiezen.

Deze prima op de echte site lijkende pagina's zouden ook zomaar voor een verbastering van bijv. icscards.nl gemaakt kunnen worden, waar je via een SMS, WhatsAppje of e-mail naartoe verwezen wordt, waarin staat dat je aan de deur moet legitimeren en dat je een afspraak kunt maken voor wanneer die controleur langskomt. Zodra je de afspraak gemaakt hebt, krijg je de controlecode die je aan de controleur moet vragen (bankhelpdesfraudeurs halen ook deze truc uit als een "koerier" de doorgeknipte pas komt ophalen).

Het helpt ook niet bij alle minder sterk in in hun schoenen staande mensen waar de verifieerder meteen zegt dat t.g.v. een storing in hun systeem de nummercontrole momenteel niet werkt. Of als de bewoner om dat getal vraagt, liegt dat hij geen getal gekregen heeft, wellicht omdat dit systeem gisteren geïntroduceerd is.

Net zoals er geen regel bestaat dat je alle niet digitaal ondertekende mail onmiddelijk weg moet gooien (vooral van mensen die meestal wel hun mail digitaal ondertekenen), bestaat er geen wet of regel dat een controleur aan de deur zo'n code moet kennen (nog los van mijn aanname dat de meeste mensen het bestaan daarvan niet zouden kennen).

Authenticiteit bewijzen is veel eenvoudiger dan het omgekeerde, d.w.z. van nep inzien dat het nep is. Phishing is simpelweg zeer effectief bij dat deel van de mensen die geen ICT-specialisten zijn. Vandaar dat ik ben gaan hameren op hoe moeilijk is impersonatie bij authenticatie.

Onderschat niet de kracht van een betrouwbare locatie; dat is niet de mat voor jouw voordeur.

Edit 18:04: de bunq.me website lijkt niet nep te zijn (zucht), de geldezel heet zo te zien "M. Castillo" en het rekeningnummer begint en eindigt met NL08BUNQxxxxxxx888 waar je € 239,00 naar zou moeten overmaken.
28-01-2024, 22:11 door Briolet - Bijgewerkt: 28-01-2024, 22:14
Door majortom: Hiervoor moest degene aan de voordeur wel de code kennen die me door het bedrijf out-of-band was toegestuurd. Nog steeds niet 100% waterdicht, maar gaf mij voldoende vertrouwen dat degene die aan de deur kwam daadwerkelijk degene was die door het bedrijf was gestuurd.

Het bedrijf dat bij mij de controle aan de voordeur deed, stuurde me een foto van degene die de controle zou doen, plus een vrij exact tijdstip van aankomst. En dit alles stond natuurlijk in een geverifieerde email van de opdrachtgever.
28-01-2024, 23:05 door Anoniem
Door Briolet:
Door majortom: Hiervoor moest degene aan de voordeur wel de code kennen die me door het bedrijf out-of-band was toegestuurd. Nog steeds niet 100% waterdicht, maar gaf mij voldoende vertrouwen dat degene die aan de deur kwam daadwerkelijk degene was die door het bedrijf was gestuurd.

Het bedrijf dat bij mij de controle aan de voordeur deed, stuurde me een foto van degene die de controle zou doen, plus een vrij exact tijdstip van aankomst. En dit alles stond natuurlijk in een geverifieerde email van de opdrachtgever.
Bij mij idem ditto.

Hoewel het op zich dus (waarschijnlijk!) wel goed zat,
vond ik het een heel dubieuze manier van doen,
waardoor ik nu beter begrijp dat mensen slachtoffer worden van phishing
ondanks alle waarschuwingen daarvoor.
29-01-2024, 00:38 door Anoniem
Standaard als ik ergens naartoe bel voor informatie, vragen ze mijn geboortedatum "om te controleren of u wel echt bent wie u zegt dat u bent". Dit wordt dan gevraagd door "Piet" of "Janneke" die zelf niet eens hun achternamen willen geven. Als ik dan zeg dat er al duizenden mensen zijn die mijn geboortedatum hebben kunnen noteren, en dat die dus allerminst bewijst dat ik ben wie ik zeg dat ik ben, dan zeggen die medewerkers: "Ja, maar het moet nu eenmaal."

Daarna vragen ze nog mijn postcode en mijn adres. Ook niet heel erg geheim. En bijvoorbeeld een rekeningnummer of een lidmaatschapsnummer. Ook niet erg geheim. Als ik dat allemaal gegeven heb, gaan ze antwoorden op mijn vragen. Ook als die over heel persoonlijke zaken gaan. Zo hoor ik heel veel persoonlijke dingen over mezelf. Omdat ik gelukkig geen AitM ben, geeft dat niet.

Het is één groot toneelstuk dat hier al jaren wordt opgevoerd. Dit toneelstuk wordt opgevoerd om ons wijs te maken dat allerlei persoonlijk en gelocaliseerd contact (bv. bij een bankfiliaal, in een winkel of aan de balie van een uitkeringsinstantie) wegbezuinigd kan worden zonder dat dit risico's voor ons met zich zou meebrengen. Dat is puur bedrog, dag in dag uit, door de overheid en commerciële bedrijven. Door betaalde medewerkers die dat in opdracht van hun baas doen, terwijl ze zelf ook weten dat het bedrog is, maar ja, er moet brood op de plank. Sommige mensen gaan in de prostitutie, anderen bij de helpdesk van een grote organisatie. Dan vind ik prostitutie nog eerlijker.

Maar ja, dat zeg ik maar even niet tegen zo'n helpdeskmedewerker want dan verbreekt die meteen de verbinding.

Het risico van AitM (MitM) is inherent aan het afhandelen van transacties door personen die op grote fysieke afstand van elkaar zijn. Maar dat willen de overheid en bedrijven niet onder ogen zien, want dat past niet bij hun verdienmodel. Zo gaan ze verder, net zolang tot het vertrouwen van mensen tot de grond toe afgebroken is. Zo jagen ze de hele maatschappij de afgrond in.
29-01-2024, 08:22 door majortom
Door Erik van Straten:
Door majortom: Hiervoor moest degene aan de voordeur wel de code kennen die me door het bedrijf out-of-band was toegestuurd. Nog steeds niet 100% waterdicht, maar gaf mij voldoende vertrouwen dat degene die aan de deur kwam daadwerkelijk degene was die door het bedrijf was gestuurd.
Dat helpt niet als jij al eerder in phishing bent getrapt, en een nepbedrijf jou een nummer heeft gestuurd en er vervolgens een nepcontoleur voor jouw deur staat.
Klopt, daarom zorg ik er ook voor dat ik dit alleen doe wanneer ik zeker weet dat ik met het echte bedrijf contact heb gehad. In mijn geval was dat zo: het was niet zo dat ik op een link in een mailtje klikte oid, maar ik had zelf contact gezocht met het bedrijf (telefonisch en daarna gericht per email)

Overigens maak ik me hier wel zorgen over. We hebben eerst mensen opgevoed om niet op URLs in mails te klikken, maar ik krijg nu van allerhande (legitieme) bedrijven mails met verzoeken om op URLs te klikken (of QR codes te scannen) om bijv. meterstanden door te geven. Als ik dan de URLs bekijk (incl. de email headers) dan lopen deze via tussen-tracking-bedrijven die blijkbaar zijn ingehuurd door het bedrijf dat de mail wil versturen (incl. allerhande IDs om te tracken wie op welk linkje klikt).

Ik doe dat niet (en neem dan telefonisch contact op en vraag dan of de mail echt afkomstig is van het bedrijf, dien een klacht in en geef de informatie dan maar telefonisch door), maar had beter van de bedrijven verwacht. Hoe kun je op deze manier van mensen verwachten dat ze nog begrijpen welke mails/URLs legitiem zijn en welke niet?
29-01-2024, 09:13 door Anoniem
Kopietje paspoort is sowieso nooit een authenticatiemiddel. En bij mijn weten mag een 3e partij ook eigenlijk helemaal geen kopie maken en bewaren (er zijn uitzonderingen geloof ik, zoals banken), maar moeten ze een notitie maken dat ze het paspoort hebben gecontroleerd, eventueel het nummer opschrijven.
M.i. moet er hard opgetreden worden tegen bedrijven die een kopie vragen (ok, eerst beginnen met bewustwording). Hoe je dit in het buitenland doet, geen idee. Hoewel ik in het buitenland al veel eerder (>20jr) dan in Nederland mensen een kopie zag maskeren. Misschien zegt dat iets over het algemene gevoel van vertrouwen dat mensen hebben (naïef of niet).

Maar een digitale versie van kopietje paspoort die internationaal werkt zou de oplossing moeten zijn? Een internationale DigiD, iDin, of een open-source variant (volgens mij zijn er kleinschalige initiatieven). Je zult daar wel 1x jezelf moeten identificeren natuurlijk. En hoe te zorgen dat die ID authoriteit te vertrouwen is? En als het fout gaat, dan gaat het meteen goed fout, als je ene ID gecompromitteerd raakt.
29-01-2024, 09:19 door Anoniem
Door majortom:
Ik doe dat niet (en neem dan telefonisch contact op en vraag dan of de mail echt afkomstig is van het bedrijf, dien een klacht in en geef de informatie dan maar telefonisch door), maar had beter van de bedrijven verwacht. Hoe kun je op deze manier van mensen verwachten dat ze nog begrijpen welke mails/URLs legitiem zijn en welke niet?

Helemaal mee eens. Waar ik werk is dat vechten tegen de bierkaai. Iedereen uitleggen om niet op linkjes te klikken en dan organiseert de international information security office online trainings waarvoor ze mensen uitnodigen via een link in een email. En die link is van een externe partij die de training verzorgt die niemand herkent. Ja.... lekker bezig zo. Ik meld dat dan maar iedere keer, en regelmatig wordt er wel wat aangepast. Meestal in een mailing naar klanten, dus ik denk maar dat het zin heeft om te blijven melden. Het is vaak een afdeling die geen idee heeft en meer belang hecht aan tracking (marketing).
29-01-2024, 10:54 door Anoniem
Door Anoniem: Hoewel ik begrip heb voor stelling van topicstarter, vraag ik mij af hoe het in de praktijk moet gaan.
Stel je moet een machine huren bij verhuurbedrijf, dan kun je weinig anders dan een kopie id afgeven, of zonder machine vertrekken.

Dat is om dat de bedrijven en instanties vaak niet bereid zijn om "out of the box" te denken. Dat kopie legitimatie geeft ze namelijk geen enkele extra zekerheid; omdat het makkelijk vervalst kan worden. Er zijn andere manier om te zorgen dat mensen de spullen netjes terug brengen, en dat is vaststellen van identiteit. Het bedrijf heeft helemaal geen kopie nodig; ze hoeven alleen maar met zekerheid te kunnen vaststellen wie de klant is.
Het grootste probleem is echter vaak dat de hele keten nou eenmaal gewend is om het op deze manier te doen.
Voorbeeld: ik heb bij een woningcorporatie gewerkt; huurders moesten een kopie paspoort afgeven voor het afsluiten van een huurcontract. We kregen soms ook te maken met drugspanden die blijkbaar verhuurd werden aan personen die een valse kopie hadden afgegeven. Dus die kopie geeft geen toegevoegde waarde. Toen we dat afschafte en gingen naar een vinkje in het systeem "Verhuurder heeft identiteitsbewijs ingezien" met datum/tijd ging de externe auditor steigeren en kregen we flink op onze falie. We hebben echt flink hard moeten trekken om een van "the big four" te overtuigen dat we geen kopie legitimatie wilde/hoefde te hebben.
29-01-2024, 11:02 door Anoniem
De kopie-ID app heeft wel een klein voordeel; waar overheen gestapt wordt. In eerste instantie is het al fout dat bedrijven om een kopie vragen; maar áls ze je er dan toe dwingen dan heeft de app de mogelijkheid om een watermerk te plaatsen (dat zou je eventueel kunnen proberen weg te halen) maar je kan ook je BSN en/of Pasfoto verwijderen. Informatie die je niet stuurt kun je ook niet reproduceren, zo goed zal AI nooit worden.
En een ander bijkomend voordeel is dat de KopieID app de foto nergens opslaat. Als jij met je telefoon een foto maakt van je ID synchroniseert dat meteen naar allerhande Apple/Google/Samsung clouds; en vergeten mensen hem voor überhaupt om te verwijderen.

Vooropgesteld: een kopie afgeven is per definitie niet OK.
Door Anoniem op 29-01-2024 om 10:54 uur: Dat is om dat de bedrijven en instanties vaak niet bereid zijn om "out of the box" te denken. (...) Voorbeeld: ik heb bij een woningcorporatie gewerkt; huurders moesten een kopie paspoort afgeven voor het afsluiten van een huurcontract. We kregen soms ook te maken met drugspanden die blijkbaar verhuurd werden aan personen die een valse kopie hadden afgegeven. Dus die kopie geeft geen toegevoegde waarde. Toen we dat afschafte en gingen naar een vinkje in het systeem "Verhuurder heeft identiteitsbewijs ingezien" met datum/tijd ging de externe auditor steigeren en kregen we flink op onze falie. We hebben echt flink hard moeten trekken om een van "the big four" te overtuigen dat we geen kopie legitimatie wilde/hoefde te hebben.

Dit dus! Dank hiervoor.

Als je bona fide bent, dus geen data wilt slurpen/roven met oneigenlijke doelen, dan kun je op basis van de realiteit en je bona fide doelen, nagaan welke verwerking van persoonsgegevens je nu echt nodig hebt om je doelen te kunnen realiseren. En dan blijkt dat een heleboel gegevensverwerking niet noodzakelijk is en dus achterwege kan blijven.

Het probleem zit vaak tussen de oren, men zoekt schijnzekerheid door blind door te gaan op de manier waarop men anderen blind ziet doorgaan.

M.J.
29-01-2024, 11:59 door Anoniem
Door Anoniem:
Door Anoniem: Zelf ben ik een voorstander van belangrijke zaken gewoon naar het loket.

Ik denk dat niemand er op zit te wachten om even naar Maastricht of Leeuwarden af te moeten reizen om een ID te laten zien, omdat het loket van de desbetreffende dienst nu eenmaal daar zit. En dan laten we internationale diensten nog even buiten beschouwing.

Het hele "kopietje-paspoort-praktijk" bestaat enkel en alleen bij gratie van de reële behoefte om op een eenvoudige wijze (voor zowel gebruiker als verifieerder) met voldoende zekerheid op afstand te kunnen vaststellen dat een gebruiker is wie hij/zij beweert te zijn.

En aangezien je op afstand de gebruiker niet op zijn/haar blauwe ogen kunt vertrouwen, zul je dan gebruik moeten maken van een trusted third party – een betrouwbare autoriteit die de identiteit van de gebruiker al onafhankelijk heeft vastgesteld en deze kan verifiëren. Dan kom je bij oplossingen als DigiD, eID, de Europese Digitale Identiteit/eIDAS, Itsme (en er zijn er vast nog veel meer). Deze worden doorgaans weer met de nodige scepsis ontvangen omdat men bang is dat die third party gaat bijhouden met wie de gebruiker allemaal zaken doet.

Het is makkelijk om te roepen dat de praktijk van "kopietje-paspoort" niet okay is, en dat digitale identiteits-apps ook niet okay zijn, maar de oplossing "je meldt je gewoon ergens in persoon" is praktisch gezien ook niet acceptabel. Er moet ergens toch water bij de wijn.
Waarom zouden we mensen niet gewoon weer dwingen om langs het kantoor te gaan als ze zelf diensten willen afnemen en waarom zouden we bedrijven niet dwingen naar de klant te gaan als hun het nodig achten.

Ik heb ooit een discussie gehad met een bank die wou mijn ID hebben met BSN via post. Ik wou of een eenmalige upload link naar hun interne systeem of fysiek bezoek bij hun kantoor of een oplossing als AMP Groep. Je raadt wel uiteindelijk zijn ze overstag gegaan voor de eenmalige upload want hun kwam kantoor bezoek niet uit. Dat is in mijn ogen prima water bij de wijn want anders zou het via kantoor alsnog geupload moeten worden naar de interne systeem vanuit wetgeving. Maar het absurde is dat ze zelf niet gewoon met de conclussie kwamen dat het mischien heel onverstandig is uiterst gevoelige informatie via regulier post netwerk te laten verlopen.

Maar als een regulier bedrijf dat aan me zou vragen waar van ik weet dat ze het niet mogen dan krijgen ze simpelweg de vinger. En waar ze inzage enkel mogen hebben wel dan komen ze maar langs.

Gemak is geen geldige reden om veiligheid te verlagen. En we weten allemaal dat de echte reden kostenbesparing is en nooit gemak.
29-01-2024, 12:34 door Anoniem
Door EersteEnigeEchte M.J. - EEEMJ: [...]
Het probleem zit vaak tussen de oren, men zoekt schijnzekerheid door blind door te gaan op de manier waarop men anderen blind ziet doorgaan.

M.J.
Alles draait om vertrouwen, en dat wordt nu vaak doorbroken door rigide en onzinnige zaken.
De bank dreigt met het blokkeren van je rekening als je geen paspoort laat kopieren
of een kopie van je belastingaangifte niet laat zien.

Andersom kunnen burgers van bevoegde personen gaan eisen dat zie niet alleen hun legitimatiebewijs maar daarbij ook hun identiteitsbewijs tonen, omdat je als leek geen verstand hebt van legitimatiebewijzen.
29-01-2024, 13:49 door Anoniem
Door Anoniem:
Alles draait om vertrouwen, en dat wordt nu vaak doorbroken door rigide en onzinnige zaken.
De bank dreigt met het blokkeren van je rekening als je geen paspoort laat kopieren
of een kopie van je belastingaangifte niet laat zien.

Verkeerd voorbeeld; (o.a.) banken zijn het verplicht vanuit wetgeving.
Daarnaast heb ik veel meer vertrouwen in hoe de bank die gegevens opslaat, die staan onder veel scherper toezicht.

Waar het met name fout gaat zijn de plekken die de verlichting niet hebben, zoals (al dan niet louche) hotels; verhuurbedrijven of de Karwei om de hoek. Die hebben een dergelijke kopie niet nodig; en vaak mogen ze dat niet eens hebben/verwerken. En met een beetje geluk zit die kopie van je paspoort gewoon in een multomap achter de servicebalie. Daar zou ik me veel meer zorgen over maken.
29-01-2024, 14:53 door Erik van Straten
Door Anoniem: Verkeerd voorbeeld; (o.a.) banken zijn het verplicht vanuit wetgeving.
Verkeerd voorbeeld: met welk doel bestaat die wetgeving (nog)? We leven niet in de Sovjet Unie en ook niet in de tijd dat kopieerapparaten daar voor nagenoeg iedereen verboden waren. Bijna iedereen loopt rond met een apparaat met meerdere camera's op zak, en de mogelijkheden voor "intelligente" beeldbewerking nemen met de dag toe. Een digitaal plaatje is niets meer waard dan de gegevens die ervan af te lezen zijn.

Zie ook mijn volgende reactie.
29-01-2024, 14:53 door Erik van Straten
Anoniem schreef onderaan diens reactie: Vooropgesteld: een kopie afgeven is per definitie niet OK.
In dat licht begrijp ik de rest van jouw reactie niet.

Door Anoniem: De kopie-ID app heeft wel een klein voordeel; waar overheen gestapt wordt.
Ik ben het volstrekt niet met je eens omdat de overheid, met deze app, suggereert dat een scan van een ID-bewijs, waarbij al dan niet een deel van de gegevens is afgeschermd en/of een watermerk is toegevoegd, betrouwbaarder zou zijn dan op een (web-) formulier ingevulde gegevens.

En het kennelijk ook jouw insteek is dat zo'n scan uit de app een alternatief zou kunnen zijn voor fatsoenlijke live authenticatie; oftewel een ID-scan zou een enigszins verzwakt bewijs van identiteit zijn.

DAT IS HET NIET om in elk geval de volgende redenen:

1) Er vinden aan de lopende band datalekken plaats waardoor dit soort scans in verkeerde handen vallen.

2) Phishing (een AitM-aanval) is doodsimpel en veel mensen trappen daar in.

3) Indien er gegevens (zoals een BSN en/of pasfoto) op ontbreken, kunnen criminelen die -indien een derde partij dat vereist- aanvullen met willekeurige geloofwaardige informatie. De meeste verifiërende partijen kunnen dat, in tegenstelling tot een naam (die ze kunnen googlen of op linkedin opzoeken) nergens mee vergelijken. Hooguit met een selfie die je mee moet sturen, dus die selfie en pasfoto kunnen van een willekeurig ander slachtoffer zijn.

4) Zelfs een (kwetsbaar) verplicht systeem van digitale handtekeningen ("om" zo'n scan) ontbreekt, waarmee de authenticiteit van zo'n scan nog enigszins gewaarborgd zou kunnen worden.

5) De overheid laat zelfs na om een duidelijke en volledige lijst te maken van organisaties die genoegen zouden moeten nemen met exact welke afgeschermde informatie. Als individu sta je machteloos als je een dienst of product nodig hebt (of denkt te hebben). Uit https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf:
Welke organisaties mogen een kopie van mijn identiteitsbewijs maken?
Dat. Staat. Daar. Niet. Succes met zoeken; ik heb geen klip en klare lijst kunnen vinden.

En de AP stuurt je het bos in met dat zo'n organisatie aannemelijk moet maken waarom zij om een kopie-ID mogen vragen. Niet iedereen is een jurist en sowieso is dit bull shit, uit het grijze vlak hieronder: Een kopie is geen geldig identiteitsbewijs. Wat is het méér dan de identificerende gegevens die daarop te zien zijn? M.i. helemaal niets.

Probleem: jouw naam kan op zo'n fraudeleuze scan staan, meestal aangevuld met andere identificerende gegevens van jou. Met als potentieel gevolg dat er op een gegeven moment een deurwaarder op jouw stoep staat. Wat voor jou mogelijk als waardeloos overkomt, vormt voor die deurwaarder het bewijs dat hij/zij bij jou moet zijn.

Uit https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/wat-doe-ik-bij-mogelijke-identiteitsfraude:
Houd contact met incassobureaus
Heeft u een brief ontvangen van een incassobureau? En bent u ervan overtuigd dat de brief onjuist is? Dan kunt u het volgende doen:
• Betaal niet aan het incassobureau als u niets met de kosten te maken heeft gehad. Meld dit aan het incassobureau en voeg toe dat u aangifte bij de politie gaat doen.
• Vraag bij het bedrijf de aanvraagpapieren van het abonnement, de bestelling of het lidmaatschap op. Geef deze aan de politie.
• Controleer bij het bedrijf of iemand een kopie van uw identiteitsbewijs heeft misbruikt. Een kopie is geen geldig identiteitsbewijs.
• Blijf in contact met het incassobureau of de deurwaarder. Houd ze op de hoogte van uw vorderingen.
Klinkt wellicht nog redelijk, maar voorlopig zit jij in de shit en ligt de bewijslast bij jou!

Als de criminelen een andere foto en/of BSN op de scan gefotoshopt hebben, zou het voor jou eenvoudig moeten zijn om jouw onschuld te bewijzen. Maar er bestaan uiterst hufterige incassobureaus en idem opdrachtgevers, als je pech hebt zul je naar de rechter moeten stappen. En ook bij rechtszaken is de uitkomst niet altijd rechtvaardig - vooral niet bij clubs zoals het Kifid, uit https://www.kifid.nl/wp-content/uploads/2023/07/Uitspraak-2023-0531-Bindend.pdf:
Dat de consument op de link in het frauduleuze sms-bericht geklikt heeft, is op zich grof nalatig.
"Toevallig" bestonden er, in dit geval, verzachtende omstandigheden voor het slachtoffer waardoor deze gelijk kreeg, maar het Kifid bouwt met deze ridicule onzin wel "jurisprudentie" op.

Nogmaals, lees het verhaal van één van de zeer vele slachtoffers van identiteitsdraude (niet een dementerend mannetje met thuiszorg): https://www.rtlnieuws.nl/lifestyle/artikel/5411351/chantal-wil-nooit-meer-slachtoffer-zijn-van-identiteitsfraude-schulden. Zij heeft een deel van de niet door haar gemaakte schulden moeten "terug"betalen. De wereld kan een stuk rechtvaardiger dan dit!

Van een bepaald soort "authenticatie" claimen of suggereren dat deze betrouwbaarder is dan deze werkelijk is, is simpelweg vragen om fraude. Het gaat er niet zozeer om of jij het echt bent, maar in de eerste plaats hoe goed voorkómen wordt dat een kwaadwillende zich voor kan doen als jou.

Door Anoniem: In eerste instantie is het al fout dat bedrijven om een kopie vragen; maar áls ze je er dan toe dwingen dan heeft de app de mogelijkheid om een watermerk te plaatsen (dat zou je eventueel kunnen proberen weg te halen) maar je kan ook je BSN en/of Pasfoto verwijderen. Informatie die je niet stuurt kun je ook niet reproduceren, zo goed zal AI nooit worden.
Je praat recht wat krom is, zie boven.

Door Anoniem: En een ander bijkomend voordeel is dat de KopieID app de foto nergens opslaat.
Als ik de info over de app goed begrijp kun je "gemakshalve" een kopie "in de app" opslaan zodat je deze kunt hergebruiken. Wat ik van reageerders in de stores begrijp is dat toegang tot de app niet is beveiligd met bijv. een pincode. Wellicht ga ik nog eens spelen met die app, die overigens door velen slecht wordt gewaardeerd: https://play.google.com/store/apps/details?id=com%2Emilvum%2Ekopieid of https://apps.apple.com/nl/app/kopieid/id932970330.

Door Anoniem: Als jij met je telefoon een foto maakt van je ID synchroniseert dat meteen naar allerhande Apple/Google/Samsung clouds; en vergeten mensen hem voor überhaupt om te verwijderen.
Er zijn m.i. twee mogelijkheden:

1) Een scan, kopie of foto van een identiteitsbewijs is precies even veel waard als de daarop zichtbare identificerende gegevens. Zo'n scan publiceren is wellicht onverstandig, maar daar zou geen authenticatiefraude mee mogelijk moeten zijn, want het gaat slechts om data (een bitmap bestaande uit pixels) en niet om een authenticatieproces. Iedereen die suggereert dat het meer is dan dit gedoogt -of werkt mee aan- identiteitsfraude.

2) Een scan, kopie of foto van een identiteitsbewijs is (veel?) meer waard dan de daarop zichtbare identificerende gegevens dankzij zwarte magie, wensdenken of iets anders dat ik gemist heb (ik hoor het graag). Daarom is het bruikbaar als (online) authenticatiebewijs. Als het toch fout gaat zullen de slachtoffers wel iets verkeerd gedaan hebben.

Welke optie is het volgens jou en waarom?
29-01-2024, 17:16 door Anoniem
Verkeerd voorbeeld; (o.a.) banken zijn het verplicht vanuit wetgeving.
Niettemin is mijn vertrouwen in banken daardoor geschaadt.
Dat je voor de belastingdienst schuldig bent tot jij het tegendeel bewezen hebt,
is nog tot daar aan toe.
Maar een bank die dreigt je rekening te blokkeren als jij (na jaren daar al klant te zijn)
je identiteit niet bevestigt door een kopie van je identiteitsbewijs
(dus geen rijbewijs!) af te geven, vind ik niet bepaald prettig.
EN ik heb daardoor ook meer begrip gekregen voor de slachtoffers van phishing
want in principe ben ik door die dreiging daar ook voor bezweken.
29-01-2024, 18:27 door Erik van Straten
Uit https://www.bleepingcomputer.com/news/security/fbi-tech-support-scams-now-use-couriers-to-collect-victims-money/:
To further legitimize the fraud, the criminals may also provide the victims with a passcode to authenticate the transaction with the courier.
30-01-2024, 02:36 door Anoniem
Ik vind dit overigens een vrij onbevredigend artikel dat veel vragen oproept.

Ik wil uiteraard niet roepen dat het hele verhaal bij elkaar gefantaseerd is, maar er zitten echt wel een aantal elementen in die absoluut niet kloppen op de manier waarop ze hier voorgesteld worden. Bovendien lijkt de enige manier waarop dit verhaal enigszins mogelijk is dat er meer gegevens zijn buitgemaakt dan enkel haar ID met haar naam en geboortedatum, en dat Chantal er weinig werk van lijkt te hebben gemaakt om dit via de rechtbank aan te vechten.

2) Een scan, kopie of foto van een identiteitsbewijs is (veel?) meer waard dan de daarop zichtbare identificerende gegevens dankzij zwarte magie, wensdenken of iets anders dat ik gemist heb (ik hoor het graag).

Je zou kunnen stellen dat een kopie van een ID in zoverre meer waard is dan enkel de daarop zichtbare gegevens, dat het aantoont dat de aanvrager op zeker moment de beschikking heeft (gehad) over dit document, wat normaliter enkel de eigenaar zou behoren te zijn. Voor fraude zou er dan sprake moeten zijn van een hoogwaardige vervalsing of ontvreemding van het origineel, wat een aanzienlijk minder waarschijnlijke mogelijkheid is dan dat iemand de identificerende gegevens op het document kent.

En nee, natuurlijk is dit bij lange na niet waterdicht, maar zo accepteren we wel meer zaken die dat niet zijn. Als ik het bonnetje van jouw fietsenmaker steel, kan ik waarschijnlijk ook binnen lopen en jouw gerepareerde fiets meenemen onder vermelding van jouw naam, omdat we accepteren dat het bonnetje en een naam voldoende identificatie vormen om een gerepareerde fiets op te halen.
30-01-2024, 08:24 door Anoniem
Door Anoniem:
Door Anoniem: Zelf ben ik een voorstander van belangrijke zaken gewoon naar het loket.

Ik denk dat niemand er op zit te wachten om even naar Maastricht of Leeuwarden af te moeten reizen om een ID te laten zien, omdat het loket van de desbetreffende dienst nu eenmaal daar zit. En dan laten we internationale diensten nog even buiten beschouwing.

Het hele "kopietje-paspoort-praktijk" bestaat enkel en alleen bij gratie van de reële behoefte om op een eenvoudige wijze (voor zowel gebruiker als verifieerder) met voldoende zekerheid op afstand te kunnen vaststellen dat een gebruiker is wie hij/zij beweert te zijn.

En aangezien je op afstand de gebruiker niet op zijn/haar blauwe ogen kunt vertrouwen, zul je dan gebruik moeten maken van een trusted third party – een betrouwbare autoriteit die de identiteit van de gebruiker al onafhankelijk heeft vastgesteld en deze kan verifiëren. Dan kom je bij oplossingen als DigiD, eID, de Europese Digitale Identiteit/eIDAS, Itsme (en er zijn er vast nog veel meer). Deze worden doorgaans weer met de nodige scepsis ontvangen omdat men bang is dat die third party gaat bijhouden met wie de gebruiker allemaal zaken doet.

Het is makkelijk om te roepen dat de praktijk van "kopietje-paspoort" niet okay is, en dat digitale identiteits-apps ook niet okay zijn, maar de oplossing "je meldt je gewoon ergens in persoon" is praktisch gezien ook niet acceptabel. Er moet ergens toch water bij de wijn.
Als ik reis waarom moet men dan weten wie ik ben zolang ik een geldig treinkaartje kan laten zien?
Mijzelf identificeren is helemaal niet nodig. De mensen zijn al zo gehersenspoeld dat ze denken dat je zonder paspoort niet zou kunnen reizen. ja , je moet het van de overheid, maar voor reizen slaat het nergens op.
Ze willen uiteindelijk gewoon alles van je weten , controle, daarom.
30-01-2024, 11:26 door Anoniem
Door Anoniem: Ik vind dit overigens een vrij onbevredigend artikel dat veel vragen oproept.

Ik wil uiteraard niet roepen dat het hele verhaal bij elkaar gefantaseerd is, maar er zitten echt wel een aantal elementen in die absoluut niet kloppen op de manier waarop ze hier voorgesteld worden. Bovendien lijkt de enige manier waarop dit verhaal enigszins mogelijk is dat er meer gegevens zijn buitgemaakt dan enkel haar ID met haar naam en geboortedatum, en dat Chantal er weinig werk van lijkt te hebben gemaakt om dit via de rechtbank aan te vechten.
[...]
Een rechtzaak kost je heel veel geld
dat je niet meer hebt door die identiteitsfraude
en kan heel lang duren.
Dus zo simpel is het dus niet.
30-01-2024, 11:36 door Erik van Straten
Door Anoniem: Ze willen uiteindelijk gewoon alles van je weten , controle, daarom.
Dat heeft helemaal niets met het onderwerp te maken. Ik neem aan dat je het niet in jouw belang vindt dat iemand anders een lening op jouw naam kan afsluiten die jij vervolgens moet aflossen.
30-01-2024, 11:37 door Erik van Straten - Bijgewerkt: 30-01-2024, 11:40
Door Anoniem: Ik vind dit overigens een vrij onbevredigend artikel dat veel vragen oproept.
Welke exact? Ook verderop blijf je vooral onduidelijk:

Door Anoniem: Ik wil uiteraard niet roepen dat het hele verhaal bij elkaar gefantaseerd is,
Impliciet doe je dat wel. Zelfs als dit hele verhaal verzonnen zou zijn (ik zie zelf geen aanleiding om er aan te twijfelen) zijn er erg veel en steeds meer mensen die slachtoffer worden van identiteitsfraude (iemand die liegt dat zij of hij bankhelpdeskmedewerker is, pleegt ook identiteitsfraude - en dat is eenvoudiger geworden sinds alles op afstand moet).

Door Anoniem: maar er zitten echt wel een aantal elementen in die absoluut niet kloppen op de manier waarop ze hier voorgesteld worden.
Welke exact? Ook verderop blijf je vooral onduidelijk:

Door Anoniem: Bovendien lijkt de enige manier waarop dit verhaal enigszins mogelijk is dat er meer gegevens zijn buitgemaakt dan enkel haar ID met haar naam en geboortedatum,
Denk je werkelijk dat wat er in https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/wat-doe-ik-bij-mogelijke-identiteitsfraude, en al die andere webpagina's van niet alleen de overheid die waarschuwen voor identiteitsfraude, bedoeld zijn voor een verwaarloosbaar aantal mensen? Weet je bijvoorbeeld hoe eenvoudig het is om een Telecom Provider er (via de telefoon) van te overtuigen dat een telefoonnummer aan een andere SIM-kaart gekoppeld moet worden?

Door Anoniem: en dat Chantal er weinig werk van lijkt te hebben gemaakt om dit via de rechtbank aan te vechten.
Je moet maar sterk genoeg in je schoenen staan en de tijd hebben om voor elke casus naar de rechtbank te stappen. Waarbij de daders nooit verschijnen, en de rechter één van de twee als verliezer moet aanwijzen. En allesbehalve bij voorbaat vaststaat wie gelijk gaat krijgen. Immers, Chantal zou zélf de fraudeur kunnen zijn. Het door jou acceptabel gevonden systeem maakt dat zij terechtstaat en moet zien te bewijzen dat zij het niet was.

Wellicht moet je eens beter je best doen om je situaties voor te stellen waarin dat voor jou hartstikke lastig of zelfs onmogelijk zou zijn. Bij alles wat je online doet logt jouw apparatuur nauwelijks, en wat gelogd wordt kun jij vervalsen. Ga maar eens digitaal bewijzen dat jij het niet was.

Waren dit nou "die veel vragen" die dit "vrij onbevredigend artikel" bij jou oproept? Trieste victim blaming.

Door Anoniem:
2) Een scan, kopie of foto van een identiteitsbewijs is (veel?) meer waard dan de daarop zichtbare identificerende gegevens dankzij zwarte magie, wensdenken of iets anders dat ik gemist heb (ik hoor het graag).

Je zou kunnen stellen dat een kopie van een ID in zoverre meer waard is dan enkel de daarop zichtbare gegevens, dat het aantoont dat de aanvrager op zeker moment de beschikking heeft (gehad) over dit document, wat normaliter enkel de eigenaar zou behoren te zijn.
En dat is exact wat hier fout gaat: op het moment dat jij een kopie hebt gemaakt en die kopie aan een ander geeft, kan die ander (of iemand anders die genoemde kopie kopiejat) zich daarmee voordoen als jou.

Dit is enigszins vergelijkbaar met dat jij aan alle partijen, die zeker menen te moeten weten waar jij woont, een werkende kopie van jouw voordeursleutel geeft - met een labeltje eraan met jouw adres erop. Zodat die partij op elk, door hen, gewenst moment kan komen controleren of jij daar echt wel woont. Wat zou daar in vredesnaam mee mis kunnen gaan?

Ik heb bovenaan deze pagina bewust de vergelijking gemaakt tussen een kopie-ID en een wachtwoord. Eén van de voorwaarden aan een sterk wachtwoord is dat je het nooit hergebruikt. Een kopie-ID wordt echter misbruikt als een universeel wachtwoord (waarbij die kopie-ID, in plaats een eenweg-afgeleide daarvan, meestal plain text wordt opgeslagen en soms onveilig wordt uitgewisseld) dat zou aantonen dat jij jij bent. Het is een grove leugen dat een digitaal plaatje meer waard is dan erop te zien is (tenzij digitaal ondertekend, maar dan nog heb je ketens met potentieel zwakke schakels).

Door Anoniem: Voor fraude zou er dan sprake moeten zijn van een hoogwaardige vervalsing
Hoogwaardige vervalsing? Hoe vaak valt er ook maar 1 bit om als jij een foto naar iemand anders stuurt of van een ander ontvangt?

Door Anoniem: of ontvreemding van het origineel, wat een aanzienlijk minder waarschijnlijke mogelijkheid is dan dat iemand de identificerende gegevens op het document kent.
Kennelijk zie je niet in dat het zelden om diefstal (in de zin van ontvreemding) van een origineel identiteitsbewijs gaat. Het probleem is dat een kopie daarvan foutloos gekopieerd kan worden en dat het bewerken daarvan met de dag eenvoudiger wordt.

Door Anoniem: En nee, natuurlijk is dit bij lange na niet waterdicht, maar zo accepteren we wel meer zaken die dat niet zijn. Als ik het bonnetje van jouw fietsenmaker steel, kan ik waarschijnlijk ook binnen lopen en jouw gerepareerde fiets meenemen onder vermelding van jouw naam, omdat we accepteren dat het bonnetje en een naam voldoende identificatie vormen om een gerepareerde fiets op te halen.
Die vergelijking gaat mank, want daarvoor zul je eerst bij mij moeten inbreken. Een betere vergelijking zou het zijn als jij bij mijn fietsenmaker naar binnen loopt en claimt dat jouw hond het bonnetje heeft opgegeten of dat het in jouw broekzak is meegewassen. De vraag is vervolgens of mijn fietsenmaker jou mijn fiets meegeeft, en wat er gebeurt als ik mijn fiets kom ophalen.

Maar dit is allemaal zinloos theoretisch geneuzel, het gaat hier niet om papieren bonnentjes maar om eindeloos foutloos kopieerbare digitale scans van identiteitsbewijzen waar meer waarde aan wordt gehecht dan alle gekopieerde pixels bij elkaar waard zijn (niets).
30-01-2024, 14:52 door Anoniem
Door Erik van Straten:Welke exact? Ook verderop blijf je vooral onduidelijk:
Ik wilde niet off-topic gaan met een inhoudelijke discussie over het artikel (en de iets uitgebreidere versie bij Flair), maar:

Er zou een tweede zorgpolis afgesloten zijn bij haar eigen verzekeraar. Een dubbele basisverzekering kan niet, dus moet het een aanvullende verzekering zijn. Die zouden succesvol met andere gegevens zijn afgesloten dan de gegevens in haar eigen polis. Ondanks dat haar eigen polis netjes werd betaald, heeft het anderhalf jaar wanbetaling en een deurwaarder gekost om met haar in contact te komen over die tweede polis? Dat is vreemd.

Na anderhalf jaar zouden de maximale achterstallige kosten voor een aanvullende verzekering zo'n 2,700 euro zijn. Er zou in die tijd dan ook nog eens zo'n 11,000 aan medische kosten betaald moeten zijn door de verzekeraar op een polis die niet werd betaald, bovenop de te vergoeden maxima. En daar zouden dan nog eens 11,000 aan aanvullende incasso- en herinneringskosten overheen gekomen moeten zijn voordat ze hun - al bestaande en voor een andere polis betalende - klant konden bereiken? Nog steeds vreemd.

De verzekeraar zegt vervolgens dat Chantal wel verzekeringnemer en betalingsplichtig is, maar weigert de persoonlijke gegevens in de polis met haar te delen omwille van "de privacy". Dat is pertinent onmogelijk: óf het is haar polis en dus haar gegevens, of het zijn niet haar gegevens en dus ook niet haar polis. Er blijkt bovendien een rechtszaak gevoerd te worden (kwam de deurwaarder nu beslag leggen op haar auto, of haar dagvaarden voor een rechtszaak?). Chantal gaat voor een dreigende zaak van 25,000 euro zonder vertegenwoordiger (te duur) naar de zaak en wordt prompt veroordeeld tot betaling (nog vele malen duurder); waarschijnlijk omdat ze geen verweer heeft gevoerd.

Een tijd later staat er iemand van een gasbedrijf voor de deur om haar netjes betaalde gasaansluiting van een ander bedrijf af te sluiten, omdat ze een gasrekening van 8.500 euro voor een heel ander adres niet betaald zou hebben. Hier klopt natuurlijk helemaal niets van.

Nog een hele tijd later (inmiddels woning uitgezet en alweer verhuisd), staan er ineens allemaal deurwaarders van grote webshops voor de deur omdat ze voor nog eens 50.000 euro elektronica besteld zou hebben, die allemaal zonder morren door webshops op krediet geleverd zou zijn op hele andere adressen (ondanks allerlei regels die betaling achteraf limiteren tot kleinere bedragen en betaling achteraf vaak niet toestaan voor elektronica). Doorgaans is legitimatie bij dergelijke webshops niet eens nodig, dus ik vraag me dan zeer af welk overtuigend bewijs is dat zij de contractant zou zijn. Overigens geloven de webshops haar niet en eisen betaling, maar stellen "een fraudebureau" nog wel in staat om bewijs te vinden dat de bestellingen bij hun geplaatst zijn van IP-adresssen afkomstig "rond de Middellandse Zee". Aardig dat ze toch nog even de logs van de originele bestellingen beschikbaar stellen, dan.

Ja, identiteitsfraude komt voor. En het kan tot enorme nachtmerries leiden wanneer je plots in allerlei systemen als wanbetaler aangemerkt staat, geregistreerd staat bij het BKR of in politie-systemen, en zelf nauwelijks dingen voor elkaar krijgt. Ik wil daarom ook niet beweren dat een verhaal als dat van Chantal niet voor kan komen, maar de inhoud van beide artikelen is wel zo kort door de bocht ("Er is een kopietje van een ID gemaakt. Nu is het halve internet leeggekocht, lacht de politie je in je gezicht uit, heeft de deurwaarder alles meegenomen, en viel er nergens ook maar iets aan te doen") dat ik twijfels heb over de inhoud.

---

Voor wat betreft de rest van de post: mijn punt was dat elke vorm van authenticatie een ander niveau van betrouwbaarheid heeft. De groep mensen die een kopie van mijn ID in bezit heeft is waarschijnlijk een stuk kleiner dan de groep van mensen die weten (of uit kunnen vinden) wat de naam en geboortedatum op mijn paspoort zijn. De groep mensen die toegang heeft tot mijn telefoon voor een 2FA-authenticatie is nog kleiner. Het aantal mensen dat mijn vingerafdruk kan afgeven is nóg kleiner.

Welke vorm betrouwbaar genoeg is, is afhankelijk van de omstandigheden en het doel van de authenticatie. Ik kan me voorstellen dat een (kopie van een) ID kunnen overleggen als betrouwbaarder wordt gezien - en dus meer waarde heeft - dan enkel de gegevens daarop. Daarmee zeg ik niet dat ik het oneens met je ben over de wenselijkheid of absolute betrouwbaarheid daarvan.
30-01-2024, 17:49 door Anoniem
Door Erik van Straten:
Door Anoniem: Ze willen uiteindelijk gewoon alles van je weten , controle, daarom.
Dat heeft helemaal niets met het onderwerp te maken. Ik neem aan dat je het niet in jouw belang vindt dat iemand anders een lening op jouw naam kan afsluiten die jij vervolgens moet aflossen.
Ik zou nooit een lening aflossen die ik niet zelf heb afgesloten. Hopelijk weet de bank de oplichter te vinden anders hebben ze een groot probleem.
30-01-2024, 19:16 door Erik van Straten
Door Anoniem: Ik wilde niet off-topic gaan met een inhoudelijke discussie over het artikel (en de iets uitgebreidere versie bij Flair), maar:
Ik kende het bestaan van dat Flair artikel nog niet, een deel daarvan staat in https://www.flair.nl/mijn-leven/chantal-40-is-slachtoffer-van-identiteitsfraude-door-de-financiele-toestanden-en-de-mentale-uitputtingsslag-ging-ik-failliet~bf7c18e0/.

Door Anoniem: Er zou een tweede zorgpolis afgesloten zijn bij haar eigen verzekeraar. Een dubbele basisverzekering kan niet,
Ik zie niet in waarom niet. Verzekeringen werken met polisnummers (net zoals de overheid met BSNs). Er zijn ook meerdere mensen die Erik van Straten heten. Waarom zou een medewerker van een verzekering, bij het afsluiten van een nieuwe polis, gaan zoeken naar of er toevallig iemand met dezelfde naam op hetzelfde adres woont? Bovendien, het zou stom zijn van de fraudeur als zij/hij het adres en andere contactgegevens van Chantal had opgegeven. Als je maar niet bij de BKR staat ingeschreven is het al gauw goed.

Of het echt allemaal klopt zoals beschreven, weet ook ik niet (ik kan ook niet uitsluiten dat haar ex-man hier een rol in had). Maar ik vind het wel plausibel klinken.

Door Anoniem: [...] heeft het anderhalf jaar wanbetaling en een deurwaarder gekost om met haar in contact te komen over die tweede polis? Dat is vreemd.
Kan zijn, maar is het daarom onmogelijk? Als zij tussendoor verhuisd is, zal zij haar eigen polis hebben laten bijwerken, maar natuurlijk niet de polis waar zij niets van wist. Zie ook mijn vorige argument voor een ander adres. Uit https://nos.nl/artikel/2506807-frauderisico-bij-brievenbus-bv-s-in-muiden-403-bedrijven-op-een-adres:
op het adres van de Piramide van Gizeh staan 22.686 bedrijven ingeschreven

Door Anoniem: De verzekeraar zegt vervolgens dat Chantal wel verzekeringnemer en betalingsplichtig is, maar weigert de persoonlijke gegevens in de polis met haar te delen omwille van "de privacy". Dat is pertinent onmogelijk: óf het is haar polis en dus haar gegevens, of het zijn niet haar gegevens en dus ook niet haar polis.
Er belt iemand naar die verzekering die zegt dat zij Chantal etc. heet en, naast haar BSN, twee polisnummers verstrekt. In het internetartikel van Flair is het e.e.a. gedetailleerder verwoord dan bij RTLNieuws. Het lijkt mij normaal dat een medewerkster van de verzekering de instructie heeft om geen privacygevoelige details te verstrekken aan bellers. Uit het Flair artikel:
‘Wat raar, want het staat wel gelinkt aan uw naam en BSN-nummer,’ vertelde ze.
Op dat moment is het voor die medewerkster niet duidelijk of de bellende "Chantal" de fraudeur is en de andere "Chantal" de "echte". Bovendien was de casus uitbesteed aan een incassobureau.

Overigens zou je ook hieruit kunnen afleiden dat de neppolis aan een ander adres gekoppeld was, en dat het incassobureau het echte adres van Chantal heeft kunnen opsporen.

Door Anoniem: Er blijkt bovendien een rechtszaak gevoerd te worden (kwam de deurwaarder nu beslag leggen op haar auto, of haar dagvaarden voor een rechtszaak?).
Uit Flair, nog steeds de medewerkster van de verzekering:
Met een: ‘Er zit niets anders voor u op dan naar de rechtszaak te gaan,’ werd het gesprek beëindigd.”
Het lijkt erop dat de verzekering toen al een rechtszaak had aangespannen. Of het gebruikelijk is om dat al te doen als je tevens een incassobureau hebt ingeschakeld, weet ik niet. Ik sluit ook niet uit dat Chantal "het" (o.a. de volgorde van gebeurtenissen), 10 jaar later en na alle emoties, niet exact meer weet.

Door Anoniem: Chantal gaat voor een dreigende zaak van 25,000 euro zonder vertegenwoordiger (te duur) naar de zaak en wordt prompt veroordeeld tot betaling (nog vele malen duurder); waarschijnlijk omdat ze geen verweer heeft gevoerd.
Ik vermoed dat Chantal dacht, net als alle mensen die naar het Kifid stappen en een deksel op hun neus krijgen (als ik me niet vergis mag je dan ook nog even 260 Euro aftikken), dat zij niets fout geeft gedaan (of anderszins "grof nalatig" heeft gehandeld).

Achteraf voor haar hartstikke naïef, maar volstrekt begrijpelijk (dat vind ik niet van de hufters bij Kifid, die klikken op een link in een SMS al "grof nalatig" vinden - terwijl het normaal is dat legitieme bedrijven jou berichten sturen met links waar je op moet klikken, bijvoorbeeld om je meterstanden door te geven, online facturen te bekijken, en ga zo maar door).

Ik kap het hier af - niet omdat ik jouw verdere betoog niet kan pareren, maar omdat het saai wordt voor lezers.

Eind van de middag was schrijfster/journaliste Rinke Verkerk bij Max Meldpunt. Daar besprak zij haar boek "Het hele dorp wist het", waar ik eerder hier over las: https://www.rtlnieuws.nl/lifestyle/artikel/5431559/rinke-wist-dat-lenneke-werd-seksueel-misbruikt-hele-dorp-wist-het-publiek (zojuist zag ik ook https://www.trouw.nl/verdieping/rinke-verkerk-als-je-wegkijkt-bij-seksueel-misbruik-help-je-de-dader~b4abe709/).

Dat gaat over seksueel kindermisbruik, maar ook Chantal liet optekenen (door Flair):
Ik had niemand om me heen die me kon helpen, zelfs mijn ouders niet. Ook zij wisten niet wat ze met de situatie aan moesten. De gemeente en politie zeiden: ‘Kom maar met bewijs’, maar het enige bewijs waren mijn eigen contracten.
De meeste mensen vinden het moeilijk om "normaal" om te gaan met mensen "waar iets engs mee aan de hand is". Of het daarbij om kanker, kindermisbruik, identiteitsfraude of iets anders gaat waarvan we hopen dat dit onszelf niet overkomt, lijkt weinig of niets uit te maken.

En bedrijven laten hun klanten helemaal als een baksteen vallen zodra een zaak een juridisch staartje kan krijgen.

Het voelt aan als het veiligst (voor jezelf, als mens en bedrijf) om je zo min mogelijk met slachtoffers in te laten. Dat rechtvaardigen mensen voor zichzelf al snel met verzinsels (die persoon zal zich wel suf gerookt hebben, het hebben uitgelokt of ronduit stom zijn geweest). Inmers, voor je het weet "zit je aan ze vast" of willen ze geld van je lenen.

Rinke Verkerk merkt op dat slachtoffers zich tweemaal gestraft voelen: naast trauma's van het incident zelf worden zij niet geloofd en/of laat men hen links liggen. Zelfs sociale vangnetten ontbreken...
30-01-2024, 22:27 door Erik van Straten
Door Anoniem: Ik zou nooit een lening aflossen die ik niet zelf heb afgesloten.
Dat dacht Chantal aanvankelijk ook. Tot de rechter oordeelde dat zij dit wel moest doen. Dan wordt er gewoon beslag gelegd, of je nou meewerkt of niet.
30-01-2024, 22:50 door Anoniem
Door Erik van Straten:
Door Anoniem: Ik zou nooit een lening aflossen die ik niet zelf heb afgesloten.
Dat dacht Chantal aanvankelijk ook. Tot de rechter oordeelde dat zij dit wel moest doen. Dan wordt er gewoon beslag gelegd, of je nou meewerkt of niet.
Dat klopt, en laat tegelijk ook zien hoe belachelijk het is. Laat de bank maar bewijzen dat je die lening hebt afgesloten. Dat kunnen ze niet want je was er niet eens bij! De bank is in een oplichtingstruuk getrapt en ze hoeven daar vreemd genoeg niet de gevolgen van te dragen.
30-01-2024, 22:56 door meneer
Voor BSN fans: op mijn site https://freethebsn.nl/ heb ik de historie, de knelpunten en iets over oplossingen beschreven.
Identiteitendiefstal met dat BSN staat hier: https://freethebsn.nl/identiteitendiefstal-en-fraude
En wat er met dat BSN mag gebeuren staat ook in de krant: https://freethebsn.nl/news/artikel-in-trouw.html
31-01-2024, 10:08 door Briolet
Door Anoniem:
Door Erik van Straten:
Door Anoniem: Ik zou nooit een lening aflossen die ik niet zelf heb afgesloten.
Dat dacht Chantal aanvankelijk ook. Tot de rechter oordeelde dat zij dit wel moest doen. Dan wordt er gewoon beslag gelegd, of je nou meewerkt of niet.
Dat klopt, en laat tegelijk ook zien hoe belachelijk het is. Laat de bank maar bewijzen dat je die lening hebt afgesloten. Dat kunnen ze niet want je was er niet eens bij! De bank is in een oplichtingstruuk getrapt en ze hoeven daar vreemd genoeg niet de gevolgen van te dragen.

Dit was wel 10 jaar geleden. Ik denk dat rechters tegenwoordig beter doordrongen zijn van het bestaan van identiteitsfraude en beter onderbouwd bewijs van de banken zullen vragen.

Ik kan er ook niet bij dat rechters toen ook al niet door hadden dat de banken zelf opgelicht waren door gebrekkige identiteitscontrole en de schade willens en wetens op onschuldige burgers probeerden af te wentelen.
31-01-2024, 12:40 door Erik van Straten
Door Briolet:Dit was wel 10 jaar geleden. Ik denk dat rechters tegenwoordig beter doordrongen zijn van het bestaan van identiteitsfraude en beter onderbouwd bewijs van de banken zullen vragen.
Begin dit jaar: https://www.security.nl/posting/824004/ICS+hoeft+slachtoffer+van+creditcardfraude+geen+4_000+euro+te+vergoeden

Volgens de wet ligt de bewijsplicht bij ICS. In de uitspraak waarbij het slachtoffer niet eens is gehoord, concludeert de rechter zonder daar enig bewijs voor te leveren, dat het slachoffer "in juridische zin grof nalatig" is geweest. Met als gevolg dat een fraudeur haar adresgegevens bij ICS kon wijzigen, een nieuwe creditcard kon aanvragen en haar geld kon verbrassen.

Steeds meer rechters leven in een parallelle werkelijkheid (met Nederlandse woorden waarvan zij zich menen te kunnen permitteren om daar een heel andere uitleg aan te geven, want "in juridische zin") gebouwd op kromme, te korte of rottende heipalen, die zij "jurisprudentie" noemen.

Tips: ga niet naar Kifid maar naar een neutrale rechter. En neem een dure advocaat om jouw "recht" te halen, de tegenpartij zal er namelijk alles aan doen wat zij kan om te voorkómen dat een incident hun probleem wordt. Ik herhaal, eerder uit deze draad, uit https://www.kifid.nl/wp-content/uploads/2023/07/Uitspraak-2023-0531-Bindend.pdf:
Dat de consument op de link in het frauduleuze sms-bericht geklikt heeft, is op zich grof nalatig.
31-01-2024, 13:34 door Anoniem
Een kopie van een identiteitsbewijs maken en houden mag niet zomaar. Dus als een verwerker niet voldoet is het al wettelijk verplicht om verwerken te voorkomen en te stoppen. Het verwerken mag wettelijk alleen als er verplichting is of als er andere rechtmatige onderbouwing is. Het gaat niet alleen om authenticeren maar ook om voldoende bewijs leveren dat gedaan te hebben.

Van wie verplicht is deze gegevens te verwerken kan je niet verwachten dat deze dus maar de wet gaan negeren. En met klagen zijn de verplichtingen niet weg.

Van wie een onderbouwing heeft dat het verplicht zou zijn of wettelijk mag kan je niet verwachten dat deze maar stoppen omdat bepaalde nadelen je niet bevallen. De keuze gaat ook om voorkomen van andere nadelen en om het geven van redelijk voordeel. Met klagen dat je bepaalde nadelen of voordelen niet wil accepteren neem je de rechtmatige redenen voor anderen niet weg.

Een ander stom vinden omdat ze jou mening niet hebben werkt misschien op de kleuterschool maar niet als je wettelijk moet samenwerken.

De wet geeft verplichtingen en gelegenheid een afweging te maken. Dan is het ook mogelijk dat het een afweging is die jou niet bevalt maar wettelijk wel is toegestaan.
De wet ook mogelijk maakt dat als redenen geaccepteerd zijn dit ook gevolgen mag hebben voor meer acceptatie.
31-01-2024, 13:52 door Anoniem
Door Erik van Straten:
Door Briolet:Dit was wel 10 jaar geleden. Ik denk dat rechters tegenwoordig beter doordrongen zijn van het bestaan van identiteitsfraude en beter onderbouwd bewijs van de banken zullen vragen.
Begin dit jaar: https://www.security.nl/posting/824004/ICS+hoeft+slachtoffer+van+creditcardfraude+geen+4_000+euro+te+vergoeden

Volgens de wet ligt de bewijsplicht bij ICS. In de uitspraak waarbij het slachtoffer niet eens is gehoord, concludeert de rechter zonder daar enig bewijs voor te leveren, dat het slachoffer "in juridische zin grof nalatig" is geweest. Met als gevolg dat een fraudeur haar adresgegevens bij ICS kon wijzigen, een nieuwe creditcard kon aanvragen en haar geld kon verbrassen.

Steeds meer rechters leven in een parallelle werkelijkheid (met Nederlandse woorden waarvan zij zich menen te kunnen permitteren om daar een heel andere uitleg aan te geven, want "in juridische zin") gebouwd op kromme, te korte of rottende heipalen, die zij "jurisprudentie" noemen.

Tips: ga niet naar Kifid maar naar een neutrale rechter. En neem een dure advocaat om jouw "recht" te halen, de tegenpartij zal er namelijk alles aan doen wat zij kan om te voorkómen dat een incident hun probleem wordt. Ik herhaal, eerder uit deze draad, uit https://www.kifid.nl/wp-content/uploads/2023/07/Uitspraak-2023-0531-Bindend.pdf:
Dat de consument op de link in het frauduleuze sms-bericht geklikt heeft, is op zich grof nalatig.

Wat een tenenkrommende discussie is dit zeg.

Natuurlijk is ICS niet verantwoordelijk. De dame in kwestie heeft haar gegevens (volledig inclusief CCV code) opgegeven adhv een fishingmail. Vervolgens heeft ze de mail van kennisgeving van het aanpassen emailadres en/of aanpassen wachtwoord in haar originele (eigen) mailbox genegeerd en verzuimd de creditcard te blokkeren. Ze reageert pas na maandelijkse de afschrijving creditcard.

Dat is 1.

En het tweede is simpelweg het feit dat ICS ook geen kwalificaties op beveiligingsmaatregelen mag afdwingen op iemands persoonlijke device.

Bovendien is het al helemaal een rare discussie als je bedenkt dat men op deze site voornamelijk niet door de overheid gereguleerd wil worden, maar deze klaarblijkelijk wel verantwoordelijk wil kunnen stellen als het uitkomt.

Zoals ik al schreef: tenenkrommend.
31-01-2024, 15:26 door Erik van Straten
Door Anoniem: Natuurlijk is ICS niet verantwoordelijk. De dame in kwestie heeft haar gegevens (volledig inclusief CCV code) opgegeven adhv een fishingmail.
Dat sluit ik niet uit, maar dat zuig jij uit jouw duim, want dát staat niet in het vonnis, laat staan dat daar bewijs voor geleverd wordt.

Sterker, zelfs bewijs dat haar zowel haar pincode als de CCV zou zijn misbruikt, ontbreekt. De bewijslast ligt, conform de wet, bij ICS en het slachtoffer onkent dat zij iets fout heeft gedaan. Vervolgens neemt de rechter blind aan dat er bijvoorbeeld geen sprake kan zijn van een corrupte medewerker bij ICS of dat er op andere wijze fraude door een derde kan hebben plaatsgevonden.

Bovendien werkt het systeem phishing in de hand. Als je een nieuwe creditcard bij een bankfiliaal zou moeten afhalen, onder het tonen van een geldig legitimatiebewijs, was deze online beroving zeer onwaarschijnlijk geweest.

Phishing-aanvallen worden steeds geloofwaardiger. Jij kunt het in phishing trappen (voor zover dat in dit geval zou zijn gebeurd) als "juridisch grof nalatig" bestempelen, maar in normaal Nederlands is dat helemaal niet grof nalatig.

Het is een systeemfout (of, voor aandeelhouders van banken, een -feature) dat phishing en identiteitsfraude zijn vereenvoudigd door alles online (inclusief via de telefoon) te willen kunnen doen. De enorme besparingen op bankfilialen en personeel wegen ruimschoots op tegen de schade voor individuele slachtoffers die geen vuist kunnen maken, en vermorzeld worden door dit asociale woekerwinstgedreven systeem - dat bankzittende consumenten wel handig vinden maar er niet de risico's van in (willen) zien.

Het in grootte toenemende geldbedrag dat cybercriminelen jaarlijks in hun zak stoppen, groeit. De vraag is wie er voor die schade op moet draaien, en wie feitelijk degenen zijn die dit mogelijk maken en/of wel prima vinden (zolang het henzelf, of hun erflaters, maar niet overkomt).
31-01-2024, 15:45 door Anoniem
Door Erik van Straten:
Door Anoniem: Natuurlijk is ICS niet verantwoordelijk. De dame in kwestie heeft haar gegevens (volledig inclusief CCV code) opgegeven adhv een fishingmail.
Dat sluit ik niet uit, maar dat zuig jij uit jouw duim, want dát staat niet in het vonnis, laat staan dat daar bewijs voor geleverd wordt.

Sterker, zelfs bewijs dat haar zowel haar pincode als de CCV zou zijn misbruikt, ontbreekt. De bewijslast ligt, conform de wet, bij ICS en het slachtoffer onkent dat zij iets fout heeft gedaan. Vervolgens neemt de rechter blind aan dat er bijvoorbeeld geen sprake kan zijn van een corrupte medewerker bij ICS of dat er op andere wijze fraude door een derde kan hebben plaatsgevonden.

Bovendien werkt het systeem phishing in de hand. Als je een nieuwe creditcard bij een bankfiliaal zou moeten afhalen, onder het tonen van een geldig legitimatiebewijs, was deze online beroving zeer onwaarschijnlijk geweest.

Phishing-aanvallen worden steeds geloofwaardiger. Jij kunt het in phishing trappen (voor zover dat in dit geval zou zijn gebeurd) als "juridisch grof nalatig" bestempelen, maar in normaal Nederlands is dat helemaal niet grof nalatig.

Het is een systeemfout (of, voor aandeelhouders van banken, een -feature) dat phishing en identiteitsfraude zijn vereenvoudigd door alles online (inclusief via de telefoon) te willen kunnen doen. De enorme besparingen op bankfilialen en personeel wegen ruimschoots op tegen de schade voor individuele slachtoffers die geen vuist kunnen maken, en vermorzeld worden door dit asociale woekerwinstgedreven systeem - dat bankzittende consumenten wel handig vinden maar er niet de risico's van in (willen) zien.

Het in grootte toenemende geldbedrag dat cybercriminelen jaarlijks in hun zak stoppen, groeit. De vraag is wie er voor die schade op moet draaien, en wie feitelijk degenen zijn die dit mogelijk maken en/of wel prima vinden (zolang het henzelf, of hun erflaters, maar niet overkomt).

Nee Erik,

Ik denk dat het verstandig is om uit die BIAS te stappen.
Het systeem werkt geen phishing in de hand, nog voorkom je dat door de kaart fysiek op te halen.

(en nee, het is ook al geen oplossing om een 'BSN-loket' in te richten zoals je elders voorstelde).

Als jij, als bank of kredietverstrekker, verantwoordelijk zou kunnen worden gesteld doordat jouw gebruikers op een malafide mail klikken (en niet alleen klikken maar vervolgens daar ook nog eens blind al hun gegevens op invullen) zou je ogenblikkelijk overgaan tot het invoeren van een MDM systeem waarbij jij eindverantwoordelijk bent over de maximaal toe te passen beveiligingsmaatregelen op dat device (eg. smartphone, laptop, desktop).

En dat doet dan niet alleen ICS, maar ook de Rabobank, Bunq, Visa card etc etc). En wat betekent dat dan als je twee kaarten hebt van verschillende verstrekkers?

En dat alleen maar omdat jij niet wil accepteren dat de gebruiker niet alleen niet op die link moet klikken, maar vervolgens zeker niet al zijn gegevens op die malafide website moet opgeven. En vervolgens ook nog eens gevrijwaard wordt van alle checks die in zijn mogelijkheid liggen.

Het gaat helemaal nergens over dit.
31-01-2024, 16:07 door Erik van Straten
Door Anoniem: Een kopie van een identiteitsbewijs maken en houden mag niet zomaar.
Oh? Waar staat dat? En wat is "zomaar"?
31-01-2024, 19:07 door Anoniem
en nee, het is ook al geen oplossing om een 'BSN-loket' in te richten zoals je elders voorstelde
Waarom ben je zo tegen dat wij weer zaken doen via het loket?

Je hoeft toch geen geleerde te zijn om te beseffen dat belangrijke zaken via het loket moet en zeker niet met
kopietjes via internet waar je nooit zeker kunt zeggen of die wel van de rechtmatige eigenaar komt en er wordt
wel degelijk fraude mee in de hand gespeeld. En die banken die moeten bij fraude zeker aangepakt worden.

https://www.slachtofferhulp.nl/gebeurtenissen/fraude/identiteitsfraude/
31-01-2024, 19:41 door karma4
He he eindelijk. Identificatie en autenticatie zij twee aparte stappen.
Dat het weten van een bsn identiteitsfraude mogelijk zou maken is een teken dat de fundamentele basis van informatieveiligheid niet begrepen wordt. Nu nog dat het kwartje bij de AP moet vallen
31-01-2024, 22:36 door Erik van Straten
Door Anoniem: Nee Erik,
[...]herhaling van zetten[...]
Het gaat helemaal nergens over dit.
Dank daarvoor.
31-01-2024, 22:36 door Erik van Straten
Door karma4: Dat het weten van een bsn identiteitsfraude mogelijk zou maken is een teken dat de fundamentele basis van informatieveiligheid niet begrepen wordt.
Niet alleen BSN, maar ook kopie-ID - dat gebruikt wordt voor fraudegevoelige zaken.

Als je bij de apotheek jouw geboortedatum en adres noemt is dat geen authenticatie, maar bij de meeste medicijnen is de kans op diefstal klein en dus de eventuele schade beperkt. Wellicht is het genant als andere klanten zien of horen welke medicijnen je krijgt, maar uiteindelijk is de impact klein en daarmee het risico (ook als de kans groot is). Het eerste aspect lijkt mij vooral juridisch van aard, het tweede gaat gevoelsmatig meer over privacy.

De impact bij financiële diefstal is vaak erg groot, niet alleen vanwege de puur financiële schade. Voor degenen die het overkomt is de kans 100%. Als het een klein aantal klanten van banken betreft, kan dat risico worden "afgekocht" met een vangnet (compensatie) voor slachtoffers. Als het aantal slachtoffers te groot is of wordt, lees de kosten (zoals bij zelfscankassa's), moet je je serieus gaan afvragen of het gekozen systeem nog wel voldoet en fair is.

Maar die vangnetten lijkt sowieso bijna niemand te willen: ook minder digitaal vaardige mensen, velen met tegenzin en angst om ten prooi te vallen aan beroving, worden steeds vaker gedwongen om deel te nemen aan de "online maatschappij" (geen loketten meer met waarschijnlijk betrouwbare medewerkers, maar alles via internet, telefoon of post). We wisten en weten dat zij slachtoffers worden van dit systeem - maar laten hen barsten; we eisen dat zij klikken op links maar als dat een keer slecht uitpakt, noemen we hen "grof nalatig". Probleem opgelost (?).

Door karma4: Nu nog dat het kwartje bij de AP moet vallen
Los van over hoe jij en ik van mening verschillen over het (zou moeten) functioneren van de AP: overstijgt dit probleem niet het werkgebied en mandaat van die AP?

Waarom eist de wetgever enerzijds van verschillende partijen dat zij -nietszeggende- kopiën of scans van identiteitsbewijzen bewaren, en stelt diezelfde wetgever geen eisen aan hoe authenticatie van bankrekeninghouders (o.a. tegen witwassen) moet plaatsvinden? Met als gevolg dat "VideoIdent" de norm is geworden - ook voor noodzakelijkerwijs betrouwbare authenticatie? Juist omdat criminelen, waaronder witwassers, hun uiterste best zullen doen om niet hun eigen identiteit prijs te geven?

Ik denk niet dat het aan de AP is om hierin keuzes te maken. Vanuit privacy-oogpunt is het ongewenst dat allerlei partijen combinaties van persoonsgegevens bij elkaar bewaren, iets dat bij uitstek gebeurt bij kopietjes paspoort - vooral indien er niets afgedekt mocht worden (de kopie-ID app beperkt hooguit privacy-risico's, zij blijft schijnveiligheid als het doel van de kopie-ID authenticatie is).

Ik weet niet precies wie van de DNB, V&J, BZK en/of EZ (of nog andere partijen) er aan de bak moeten, maar of er iets moet veranderen, is voor mij geen vraag meer.
01-02-2024, 01:13 door Anoniem
Volgens het CBS is er in 2022 voor afgerond 680 miljoen - 680.000.000 - euro aan online fraude gepleegd.
Hoogste slachtoffer percentage zit in de laagste inkomensgroep.
Daarvan is o,5% veroorzaakt door identiteitsfraude.
Niet meegeteld is minstens 38.000 euro door de dader terugbetaald waardoor geen schade voor de financiële instellingen.


Publicatiedatum: 11-5-2023
7.2. Gevolgen online criminaliteit - Financiële schade online criminaliteit

https://www.cbs.nl/nl-nl/longread/rapportages/2023/online-veiligheid-en-criminaliteit-2022/7-online-criminaliteit-totaal
01-02-2024, 10:27 door karma4
Door Erik van Straten:
Door karma4: Dat het weten van een bsn identiteitsfraude mogelijk zou maken is een teken dat de fundamentele basis van informatieveiligheid niet begrepen wordt.
Niet alleen BSN, maar ook kopie-ID - dat gebruikt wordt voor fraudegevoelige zaken.

Je voorbeelden ken ik uit de praktijk, ik heb gewoon veel gezien en meegemaakt.
Ik ben blij dat we nu eens eens zijn. Een kopie-id als een kopie eurobiljet heeft geen waarde.
De controleplicht bij financials notarissen zorgverleners en anderen komt er neer dat ze bewijs moeten hebben dat ze hun best gedaan hebben om die controle goed te doen. Dat naar verhouding in het erbij betrokken risico voor alle betrokkenen.

Waarom eist de wetgever enerzijds van verschillende partijen dat zij -nietszeggende- kopiën of scans van identiteitsbewijzen bewaren, ... ?
(tekst verzet)
Volgens mij staat nergens in de wet dat de banken en andere partijen die kopieën moeten opslaan.
Ze moeten bewijs voor de controle hebben. Voor het juiste BSN nummer bij gebruik NAW BSN is een kopie handig.
Een verschrijving in het nummer bij problemen wordt herleidbaar. Hoe zou je dat anders moeten doen?
Dat het om de juiste persoon gaat is lastiger, een biometrische opname van de persoon lijkt me de enige uitweg.
Te bewaren: gecontroleerd met die en die gevalideerde techniek op dat moment. Je hoort bijna de anpr flits camera.
Als het niet in de wet staat dan is de praktijk een gevolg van auditors met opvattingen (big four).
Auditors hebben de status van die met de uitleg van wetgeving overeen komt. Ik denk dat dat niet terecht is.
Voor notarissen is het bekend verhaal dat vaststelling juiste persoon en BSN een uitdaging is. Oorzaak bij de AP.

De impact bij financiële diefstal is vaak erg groot, niet alleen vanwege de puur financiële schade.
Die is veel weerbarstige dan je denkt, ook hier gaat het om de persoonlijke situatie en ervaren gevoelsmatige gevolgen.
Het onterecht meeprofiteren is vrij algemeen, wordt niet als diefstal gezien als is het dat wel.
Wel eens dat het geheel op onzekerheden en kansen gebaseerd is. Nee dat afkopen is maar een oppervlakkige benadering.
Het "afkopen" gaat op meerdere manieren zoals schuld erkennen als is dat er niet. Met de woekerpolisaffaire betreft het afwentelen op dat het gebeurd is en iedereen is overkomen (wonderlijk).

Zelfscankassa's is weer wat anders. Nog onvoldoende ervaring van hoe en wat met risico's en handelingen om moet gaan.
Een wat opspelende zaken zal dat ooit beter worden. Perfectie dat er nooit wat mis gaat, dat is een utopie.

Maar die vangnetten lijkt sowieso bijna niemand te willen: ...
Ik ben overtuigd dat de media hier een zeer kwalijke rol spelen. Gaat er wat mis dan:
- is er bij voorbaat sprake van een verborgen agenda met opzet.
- het beeld dat overheid tegen de burger is (verdienmodel jurirdsche opleidingen).
- een ondernemer enkel het doel heeft zichzelf te verrijken ten koste van anderen.
Wat ontbreekt is omgaan met onzekerheden en de compensatie als je toevallig onterecht nadeel ondervindt.

We wisten en weten dat zij slachtoffers worden van dit systeem - maar laten hen barsten; we eisen dat zij klikken op links maar als dat een keer slecht uitpakt, noemen we hen "grof nalatig". Probleem opgelost (?).
Die herken ik aan de slecht ontwerpen systemen welke door managers er door gedrukt worden en als succes gevierd worden. Een fraai voorbeeld is de hele gedachte en uitwerking rond toeslagen.
Te weinig inkomen werd via de politiek ingebracht via participatie zelfredzaamheid ingezet met zeer complexe regelgeving en onrealistische verwachtingen van financiële en juridische vaardigheden. Zet er een organisatie voor in die niets met uitkeren had en je hebt het recept voor flinke ellende.

Los van over hoe jij en ik van mening verschillen over het (zou moeten) functioneren van de AP: overstijgt dit probleem niet het werkgebied en mandaat van die AP?
Het is de AP welke zich voornamelijk voedt met een juridische insteek en het hele BSN verhaal verkeerd aangepakt heeft.
Daar komt vandaan dat de identificatie en authenticatie door elkaar gehaald wordt waarbij we de autorisatie vraag overslaan.
De verwijzing naar het misbruik van SSN in de VS spreekt hierbij boekdelen net als het idee dat enkel een BSN privacy gevoelig zou zijn. Het idee van de AP dat het BSN niet bij anderen bekend mag zijn is een rare kronkel.
De uitleg van de GPDR wordt door ze op een aparte manier anders gedaan dan de bedoeling was. Dus nee, het overstijgt het mandaat van de AP niet. Ze zijn een oorzaak van de problemen


Ik denk niet dat het aan de AP is om hierin keuzes te maken. Vanuit privacy-oogpunt is het ongewenst dat allerlei partijen combinaties van persoonsgegevens bij elkaar bewaren, ...
Juist wel de AP door het doorgeslagen privacy idee rond BSN bankrekeningen etc zijn zij juist een van de veroorzakers dat fraude en misbruikt zo makkelijk is. Het privacy argument wordt door de AP altijd ten gunste van foute figuren ingezet.
Dat is namelijk de gemakkelijk juridische insteek. De privacy van de burgers via indirecte gevolgen wordt gemist.
Het bijhouden van gegevens als klanten prospects kan op vele manieren. De meest vervelende blijven bij de AP buiten hun gezichtsveld.
01-02-2024, 12:46 door Erik van Straten
Door Anoniem: Volgens het CBS is er in 2022 voor afgerond 680 miljoen - 680.000.000 - euro aan online fraude gepleegd.
Hoogste slachtoffer percentage zit in de laagste inkomensgroep.
Daarvan is o,5% veroorzaakt door identiteitsfraude.
Niet meegeteld is minstens 38.000 euro door de dader terugbetaald waardoor geen schade voor de financiële instellingen.
[...]
Dank daarvoor, maar ik zet grote vraagtekens bij deze cijfers uit 2022.

Bovendien, waar heb je die "o,5%" [SIC] vandaan? Misschien kijk ik met mijn neus, maar ik kan alleen dit vinden (met 0,5%):
7.1 Slachtoffers online criminaliteit
In 2022 gaf 15 procent van de Nederlanders van 15 jaar of ouder aan in de afgelopen 12 maanden slachtoffer te zijn geweest van online criminaliteit. Dit zijn 2,2 miljoen mensen. De meesten, 8 procent, waren slachtoffer van oplichting en fraude, vooral van aankoopfraude. 5 procent had te maken met hacken en 4 procent met bedreiging en intimidatie. Een half procent werd slachtoffer van andere online delicten.
Wut? 8% + 5% + 4% + 0,5% = 17,5%. Wat is er met de niet genoemde 82,5%, meer dan 1,8 miljoen mensen, gebeurd? Wat heb je aan dit soort cijfers?

Al die cijfers en percentages roepen bij mij vooral vragen op over de meetmethode. Telt het CBS bankhelpdeskraude mee als identiteitsfraude? Dat is het natuurlijk wel, alleen niet van de slachtoffers. Echter, "it takes two to tango": als niet zowel de authenticerende persoon als de verifieerder betrouwbaar zijn, resulteert dat meestal in ellende.

Ter vergelijking, uit https://dvhn.nl/groningen/midden-groningen/Pieter-Babbeltruc-vier-jaar-de-cel-in-28848183.html m.b.t. tot één van de vele groepen bankhelpdeskfraudeurs, met -naar verluidt- 55 slachtoffers:
Helpdeskfraudeur 'Pieter Babbeltruc' uit Hoogezand krijgt vier jaar cel voor oplichting van vooral ouderen, die ook nog werden uitgescholden
Herman Sandman • 12 januari 2024, 16:50

Een 21-jarige man uit Hoogezand, in de ‘cyberonderwereld’ bekend als Pieter Babbeltruc, moet vier jaar de cel in. Hij deed zich voor als bankmedewerker en troggelde 55 mensen geld af, voor een totaal van bijna een miljoen euro.
Hij moet ook ruim 280.000 euro betalen aan ING, ABN Amro, Rabobank en De Volksbank. Zij hebben een deel van de slachtoffers schadeloos gesteld en verhaalden dat op de verdachte. Een deel van de gedupeerden kan overigens fluiten naar hun geld.
[...]
De strafeis was ook zo hoog omdat internetfraude een plaag is geworden. Banken in Nederland leden in 2022 ongeveer 61 miljoen euro schade, het meeste door helpdeskfraude.
[...]
De Hoogezandster en een of meer medeverdachten deden zich tussen januari en maart 2022 voor als bankmedewerker. Ze zochten contact met rekeninghouders met de mededeling dat er een probleem was.
Als de bedragen hier kloppen, zouden banken in ca. 28% van de gevallen slachtoffers schadeloos hebben gesteld (enerzijds staat er staat "bijna een miljoen euro" maar anderzijds kunnen er meer slachtoffers zijn die zich zó schamen dat zij niets melden of het kansloos achten om te proberen gecompenseerd te worden door hun bank).

Ik vermoed dat het leed veel groter is dan uit de CBS-cijfers blijkt. Hoewel het absolute aantal slachtoffers van identiteitsfraude dat daar zelf significante schade door lijdt, wellicht laag is (en mogelijk "verdrinkt" in de ruis van de 2,2 miljoen Nederlanders die in 2022 slachtoffer van online criminaliteit zouden zijn geworden), vind ik het verschil tussen een op Marktplaats besteld product niet geleverd krijgen en jezelf voor een rechter moeten verdedigen omdat jij geld verschuldigd zou zijn dat jij niet zelf hebt gespendeerd, enorm.

Een andere reden voor mij om aan de bel te trekken is dat ik verwacht dat dit soort identiteitsfraude (dus niet van banken en andere organisaties, maar van individuen) de komende jaren enorm gaat stijgen, vooral door de toename aan "identity wallets" zoals de EDIW. Een (nep- of frauduleuze) koerier die aan de deur die zegt een identiteitsbewijs te moeten scannen, kan de chip uitlezen en de digitale identiteit op diens toestel zetten. Een mogelijk daarvoor benodige pincode zal zo'n koerier eenvoudig van veel mensen kunnen aftroggelen.

Vergelijkbaar: het aantal phishingsites op internet groeit als kool en er is niemand die daar structureel iets tegen doet (big tech verdient hier grof geld aan, en knijpt een oogje dicht). Als zo'n phishingsite iemand met een eID verleidt om bij hen te authenticeren (bijvoorbeeld omdat zij zich voordoen als icscards.nl - met een iets afwijkende domeinnaam en een als twee druppels lijkende website), kunnen zij (net als de koerier, als AitM) zich naar derden zeer overtuigend voordoen als het slachtoffer.

Dit gaat, voor steeds meer mensen, niet goed aflopen.
01-02-2024, 13:02 door Anoniem
Door Erik van Straten:
[...]herhaling van zetten[...]
Ik vermoed ...

Helpdeskfraude is geen identiteitsfraude zoals jij hier bedoelt (wapperen met kopie ID op een a4 tje).
Aan de ene kant ben je heel specifiek over wat jou precies dwars zit, en vervolgens gooi je alle percentages op een hoop om jouw punt kracht bij te (moeten) zetten.

Als je de cijfers van het CBS bekijkt en interpreteert zoals ze opgenomen zijn, is minder dan een half procent toe te schrijven aan de ID fraude zoals jij die zelf hier hebt omschreven. Dan weet je ook meteen waarom sommige artikelen wel en sommige artikelen niet het nieuws halen.

Het lijkt mij zinvoller om ons te richten op die andere 99,5% van die 680 miljoen euro.
01-02-2024, 14:45 door Erik van Straten
Door Anoniem: Helpdeskfraude is geen identiteitsfraude zoals jij hier bedoelt (wapperen met kopie ID op een a4 tje).
Identiteitsfraude met een kopie-ID begint er, voor zover ik weet, altijd mee met dat de verifieerder de boel belazert (zoals bij Chantal, een AitM-aanval) of dat die verifieerder haar systemen onvoldoende beveiligt (een wellicht onbedoelde AitM-aanval, alhoewel sommige organisaties zo stupide omgaan met beveiliging dat zij om datalekken vragen).

Op het moment dat een bankhelpdeskfraudeur geld pint van de rekening van een slachtoffer (na zich als bankmedewerker te hebben voorgedaan), pleegt ook zij of hij identiteitsfraude met de identiteit van het slachtoffer. Ook dit is een AitM-aanval.

Bij phishing gaat het om een partij die zich voordoet als een ander om zo vertrouwelijke gegevens, waaronder vaak authenticerende gegevens zoals wachtwoorden en OTP's (One Timpe Passwords, zoals gebruikelijk bij 2FA), buit te maken. Om vervolgens, als ware zij of hij het slachtoffer, identiteitsfraude te plegen. Opnieuw een AitM attack.

Met eID's zal het aantal verifieerders dat zich voordoet als een ander alleen maar toenemen; de pakkans online is simpelweg veel kleiner dan offline, en -in elk geval aanvankelijk- zullen (an sich betrouwbare) verifieerders de betrouwbaarheid van ook deze vorm van authenticatie schromelijk overschatten (wellicht doen alle ouderen er nu al goed aan om een camera-deurbel met politiekoppeling te nemen - wat ook de pakkans van pinpaskoeriers zou kunnen vergroten).

Er bestaat dus een, m.i. onmiskenbaar sterke, relatie tussen beide soorten van identiteitsfraude (bij een AitM-aanval vaak 2x).

Ik peins er dan ook niet over om mij door iemand "die het anders ziet" (om welke persoonlijke- of opdrachtgever-redenen dan ook) te laten voorschrijven welke relaties ik wel of niet zou moeten leggen.

Door Anoniem: Als je de cijfers van het CBS bekijkt en interpreteert zoals ze opgenomen zijn, is minder dan een half procent toe te schrijven aan de ID fraude zoals jij die zelf hier hebt omschreven.
Mogelijk ben je nog niet in de gelegenheid geweest om mijn vorige reactie te lezen: waar staat die "half procent" (anders dan wat ik aanhaalde)?

Door Anoniem: Het lijkt mij zinvoller om ons te richten op die andere 99,5% van die 680 miljoen euro.
Mij niet zomaar. Als een brood 10 cent duurder wordt, is dat, voor de meeste Nederlanders [*], niet meer dan vervelend. Als elke van 17.000.000 Nederlanders 1 brood per week eet, hebben we het over meer dan 88 miljoen Euro extra per jaar.

[*] Als je al te weinig geld hebt om rond van te komen, is 10 cent per week gewoon 10 cent te veel.

Als daarentegen individuele slachtoffers duizenden of meer Euro's kwijtraken aan diefstal of moeten "terug"betalen voor iets wat zij niet gewild hebben én waar zij zelf geen enkel profijt van hebben gehad, waarbij zij soms niet eens kunnen overzien wanneer de nachtmerrie stopt, dan moet dat m.i. meer aandacht krijgen dan bijvoorbeeld de prijsstijging van brood of de vele gevallen van "Marktplaats"-achtige fraude - die vooral mensen treft die voldoende digitaalvaardig zouden moeten zijn om te weten dat er via dat soort routes veel oplichting plaatsvindt (en als zij dat niet zijn, niet risicovol online shoppen - een keuze; daarentegen is uitsluitend met cash geld leven, zonder elektronische bankrekening dus, geen realistische optie meer).

Ik vind aandacht voor slachtoffers van fraude met hun eigen identiteit ook relevant als het "slechts" om "0,5%" van de 2,2 miljoen = 11.000 slachtoffers per jaar zou gaan - die vaak door velen in de steek worden gelaten.

Daarnaast wil ik niet alleen symptomen bestrijden (financiële compensatie, indien dat toch plaatsvindt, dekt maar een deel van de schade). Dus probeer ik ook, zo goed als ik kan, de oorzaken te identificeren (zoals een defect systeem) en te beschrijven, in de hoop dat ook die worden verbeterd - en waar nodig, vervangen.
01-02-2024, 14:53 door Anoniem
Door Erik van Straten:
Door Anoniem: Een kopie van een identiteitsbewijs maken en houden mag niet zomaar.
Oh? Waar staat dat? En wat is "zomaar"?

2 seconde zoekresultaat: https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf
01-02-2024, 15:22 door Erik van Straten
@karma4: dank voor jouw reactie, die ik net gelezen heb (waarom ik deze niet eerder zag, snap ik niet).

We zijn het zo te zien over veel zaken eens, behalve over de prestaties en rol van de AP. Soit ;-)
01-02-2024, 16:12 door Erik van Straten
Door Anoniem: 2 seconde zoekresultaat: https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf
Als je nou eens een draad helemaal leest voordat je wat roeptoetert (https://security.nl/posting/827295) scheelt dat tijd en energie (niet alleen voor jou) maar ook onnodige internetvervuiling zonder toegevoegde waarde.
01-02-2024, 16:59 door Anoniem
Die o,5% vind je in de grafiek onder: 7.1.1 Slachtoffers online criminaliteit, 2022 als je het scherm aanraakt of met de muis erover gaat. De rest van de grafieken werkt hetzelfde. Ook per ongeluk achter gekomen.

Ik kan verder geen cijfers vinden van vorig jaar, 2023.
01-02-2024, 17:51 door Erik van Straten
Door Anoniem: Die o,5% vind je in de grafiek onder: 7.1.1 Slachtoffers online criminaliteit, 2022 als je het scherm aanraakt of met de muis erover gaat.
Ah, het wordt mij nu duidelijker.

Zo te zien werden totaal, van alle Nederlanders:
• 14,8% slachtoffer van alle online criminaliteit
• 7,6% slachtoffer van Online oplichting en fraude
• 0,5% slachtoffer van identiteitsfraude

Als dat klopt hebben we het over 0,5% van ca. 17.000.000 Nederlanders = ca. 85.000 mensen.

Het percentage is wellicht laag, maar reken maar dat hier een boel leed achter schuilgaat. Ik hoop dat dit niet een topje van een ijsberg is, bijv. omdat mensen geen aangifte doen omdat zij represailles vrezen, de identiteitsfraude zou kunnen doen toenemen als "wraak", of denken dat aangifte doen toch geen zin heeft (vooral als je, zoals Chantal, eerder van de politie te horen kreeg ‘Kom maar met bewijs’ - wat je natuurlijk niet hebt als een ander zich voordoet als jou).

Door Anoniem: Ik kan verder geen cijfers vinden van vorig jaar, 2023.
Het CBS-artikel met cijfers over 2022 is op 11-5-2023 gepubliceerd, cijfers over afgelopen jaar zijn er zo te zien nog niet.
01-02-2024, 18:47 door Anoniem
Door Erik van Straten:
Door Anoniem: Die o,5% vind je in de grafiek onder: 7.1.1 Slachtoffers online criminaliteit, 2022 als je het scherm aanraakt of met de muis erover gaat.
Ah, het wordt mij nu duidelijker.

Zo te zien werden totaal, van alle Nederlanders:
• 14,8% slachtoffer van alle online criminaliteit
• 7,6% slachtoffer van Online oplichting en fraude
• 0,5% slachtoffer van identiteitsfraude

Als dat klopt hebben we het over 0,5% van ca. 17.000.000 Nederlanders = ca. 85.000 mensen.

Het percentage is wellicht laag, maar reken maar dat hier een boel leed achter schuilgaat. Ik hoop dat dit niet een topje van een ijsberg is, bijv. omdat mensen geen aangifte doen omdat zij represailles vrezen, de identiteitsfraude zou kunnen doen toenemen als "wraak", of denken dat aangifte doen toch geen zin heeft (vooral als je, zoals Chantal, eerder van de politie te horen kreeg ‘Kom maar met bewijs’ - wat je natuurlijk niet hebt als een ander zich voordoet als jou).

Door Anoniem: Ik kan verder geen cijfers vinden van vorig jaar, 2023.
Het CBS-artikel met cijfers over 2022 is op 11-5-2023 gepubliceerd, cijfers over afgelopen jaar zijn er zo te zien nog niet.

Statistieken lezen is niet je ding merk ik.

Onder 7.1: "In 2022 gaf 15 procent van de Nederlands van 15 jaar of ouder aan....."

In Nederland zijn ruwweg 97000 mannen en 93000 vrouwen 14 jaar of jonger (bron: cbs.nl/visualisaties/dashboard-bevolking/bevolkingspiramide). En dus is de rest (17.590.672-97000-93000) 17.400.672 15 jaar of ouder.

Van die 17.400.672 heeft 15% (=2.610.1011) dus aangegeven slachtoffer te zijn van online criminaliteit (containerbegrip).
En van die 2.610.101 heeft een half procent (13.050) aangegeven te maken te hebben gehad met identiteitsfraude.

Dus die ijsberg van jou smelt waar je bijstaat.

En dan neem ik nog niet eens mee hoeveel van die 13.050 gewoon de hersens hadden moeten hebben om er niet in te trappen. Want het is ook nog eens aangetoond dat het digitale bewustzijn in Nederland best hoog is.
01-02-2024, 21:34 door Anoniem
Door Erik van Straten:
Door Anoniem: 2 seconde zoekresultaat: https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf
Als je nou eens een draad helemaal leest voordat je wat roeptoetert (https://security.nl/posting/827295) scheelt dat tijd en energie (niet alleen voor jou) maar ook onnodige internetvervuiling zonder toegevoegde waarde.

roeptoetert? Heb je voorbeelden van organisaties die niet genoemd (of afgeleid kunnen) worden van de aangeboden informatie en die wel een kopie van mijn paspoort mogen maken? (heb ik niet in de thread kunnen vinden)
02-02-2024, 00:09 door Anoniem
Door Anoniem:

Van die 17.400.672 heeft 15% (=2.610.1011) dus aangegeven slachtoffer te zijn van online criminaliteit (containerbegrip).
En van die 2.610.101 heeft een half procent (13.050) aangegeven te maken te hebben gehad met identiteitsfraude.

Dus die ijsberg van jou smelt waar je bijstaat.

En dan neem ik nog niet eens mee hoeveel van die 13.050 gewoon de hersens hadden moeten hebben om er niet in te trappen. Want het is ook nog eens aangetoond dat het digitale bewustzijn in Nederland best hoog is.

Die ijsberg is niet gesmolten want de 680.000.000 euro schade blijft bestaan. Identiteitsfraude komt daarbij meestal pas laat aan het licht als de deurwaarder op de stoep staat. Bovendien is er bijna nooit een directe interactie tussen dader en slachtoffer.

Deze is nog niet meegeteld in de statistieken:

https://nos.nl/artikel/2470265-wereldwijde-cybercrimezaak-50-000-gedupeerden-in-nederland-17-arrestaties

Even ter relativering, deze vrolijke noot, ik vind het hilarisch maar het is om te huilen. Een lach en een traan, zeg maar:

https://www.rtlnieuws.nl/economie/artikel/5432195/onderzoek-naar-frauderisicos-4150-bedrijven-op-amsterdams-adres
02-02-2024, 00:12 door Erik van Straten
Door Anoniem: Statistieken lezen is niet je ding merk ik.
Laat ik wél respectvol blijven.

Ik heb de CSV gedownload. Als ik de percentages vooraan zet en het vette letterttpe uit de tabel overneem, krijg ik bovenaan de volgende dataregel, gevolgd door een lege regel:
14,8% Online criminaliteit totaal

Die 14,8% lijkt, afgerond, overeen te komen met het volgende uit de tekst, aangehaald door jou:
Onder 7.1: "In 2022 gaf 15 procent van de Nederlands van 15 jaar of ouder aan....."

De CSV gaat verder met (sommaties en inspringen toegevoegd door mij - op basis van het vette en niet vette lettertype):
7,6% Online oplichting en fraude
5,6% Aankoopfraude
1,3% Verkoopfraude
1,0% Fraude betalingsverkeer
0,7% Phishing
0,5% Identiteitsfraude
--- +
9,1%

4,7% Hacken
3,6% Hacken account
1,9% Hacken apparaat
--- +
5,5%

4,1% Online bedreiging en intimidatie
1,9% Online bedreiging
1,3% Online pesten
1,2% Online stalken
0,7% Shamesexting
--- +
5,1%

0,6% Overige online delicten
---- +
17,0%
Waarschijnlijk heeft een deel van de mensen aangegeven in 2022 tegelijkertijd en/of meerdere keren slachtoffer te zijn geweest van "online criminaliteit", met als gevolg dat de sommaties wat hoger uitvallen dan de totalen (er kan ook sprake zijn van afrondingsfouten, maar daar krijg je, normaal gesproken, geen grote verschillen mee zoals tussen het totaal van 14,8% en de sommatie van 17,0%).

Bijvoorbeeld, zoals ik al eerder schreef, leidt geslaagde phishing vaak tot fraude met de identiteit van het slachtoffer, dus zullen geënqueteerden zowel phishing als identiteitsfraude aanvinken. Ook "hacken account" en "hacken apparaat" zullen in veel gevallen tot identiteitsfraude leiden (alhoewel niet elk slachoffer van bijv. zo'n hack zich hoeft re realiseren dat bijv. de overname van een Facebook account uiteindelijk ook fraude met de identiteit van dat slachtoffer is).

Kortom, ik kan niet anders concluderen dan dat, volgens deze cijfers van het CBS, 0,5% van de Nederlanders (okay, 15 jaar en ouder, met mijn ruw geschatte 17M Nederlanders zat ik er niet ver uit de buurt) slachtoffer is geworden van identiteitsfraude met hun identiteit.

Door Anoniem: In Nederland zijn ruwweg 97000 mannen en 93000 vrouwen 14 jaar of jonger (bron: cbs.nl/visualisaties/dashboard-bevolking/bevolkingspiramide). En dus is de rest (17.590.672-97000-93000) 17.400.672 15 jaar of ouder.
Dank voor het uitzoeken.

0,5% van 17.400.672 Nederlanders
= 87.003 slachtoffers van fraude met hun identiteit.

Minstens, want een deel verzwijgt het. Ruim 100.000 zou mij niet verbazen.

Door Anoniem: En dan neem ik nog niet eens mee hoeveel van die 13.050 gewoon de hersens hadden moeten hebben om er niet in te trappen. Want het is ook nog eens aangetoond dat het digitale bewustzijn in Nederland best hoog is.
Onderzoeken naar het aantal Nederlanders met "minimale digitale basisvaardigheden" zijn gebaseerd op enquetes van relatief kleine aantallen mensen waarbij niemand precies weet wat "minimale digitale basisvaardigheden" precies zijn en in welke gevallen die zouden volstaan om geen slachtoffer te worden van cybercrime (bijvoorbeeld veel te veel "experts" menen zelfs dat iedereen kan leren elk nepbericht te herkennen - bull shit, alleen al vanwege BEC scams).

Dat naast het feit dat mensen zoals Chantal, ervan uitgaande dat een kopie van haar identiteitsbewijs in handen van identiteitsfraudeurs is gevallen die daar misbruik van hebben weten te maken, niets hebben aan digitale vaardigheden om dat soort fraude te voorkomen. Noch de mensen van wie een kopietje-paspoort op straat is beland na een datalek.

Last but not least: een m.i. allesbehalve verwaarloosbaar deel van onze samenleving beschikt evident niet over voldoende vaardigheden om geen slachtoffer te worden van online criminaliteit. Hoe helpt jouw aanname dat "het digitale bewustzijn in Nederland best hoog is" de mensen voor wie dat niet geldt?

Oftewel, als we 100 mensen in het diepe gooien en 70% niet verzuipt omdat zij blijken te kunnen zwemmen, bestaat er geen probleem of zo? Had de rest ook maar (eerder) moeten leren zwemmen (ook als ze dat vanwege een lichamelijke en/of geestelijke beperking überhaupt niet kunnen)?
02-02-2024, 00:32 door Erik van Straten - Bijgewerkt: 02-02-2024, 00:34
Door Anoniem: Heb je voorbeelden van organisaties die niet genoemd (of afgeleid kunnen) worden van de aangeboden informatie en die wel een kopie van mijn paspoort mogen maken?
Iedereen (zoals een verhuurbedrijf) mag een kopie van jouw identiteitsbewijs maken. Dat mag jij weigeren, maar dan mag de andere partij haar diensten aan jou weigeren.

Volgens de AP moet zo'n bedrijf of organisatie daar een wettelijke verplichting toe hebben, maar een goede reden mag ook. Niemand die controleert of handhaafd, totdat grote aantallen van die kopiëen op straat belanden. En dan heeft de AP meestal te weinig capaciteit. Soms volgt een waarschuwing, en heel soms een boete - die meestal daarna door een rechter gedeeltelijk of geheel ongedaan wordt gemaakt.

Door Anoniem: (heb ik niet in de thread kunnen vinden)
Aangezien je het vertikt om te lezen waar ik notabene naar verwees, in https://security.nl/posting/827295 schreef ik onder meer:
Door Erik van Straten: 5) De overheid laat zelfs na om een duidelijke en volledige lijst te maken van organisaties die genoegen zouden moeten nemen met exact welke afgeschermde informatie. Als individu sta je machteloos als je een dienst of product nodig hebt (of denkt te hebben). Uit https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf:
Welke organisaties mogen een kopie van mijn identiteitsbewijs maken?
Dat. Staat. Daar. Niet. Succes met zoeken; ik heb geen klip en klare lijst kunnen vinden.

En de AP stuurt je het bos in met dat zo'n organisatie aannemelijk moet maken waarom zij om een kopie-ID mogen vragen. Niet iedereen is een jurist en sowieso is dit bull shit, [...]
Helaas lijkt nog meer internetvervuiling noodzakelijk voor jou.

En als je mijn postings te lang of te saai vindt om te lezen, heb dan ook de beleefdheid om niet te reageren met gelul in de ruimte.
02-02-2024, 05:43 door Anoniem
Door Erik van Straten: (.).0,5% van 17.400.672 Nederlanders
= 87.003 slachtoffers van fraude met hun identiteit.
Je moet 0,5% van 15% van 17.400.672 nemen (is ong. 13.000 mensen, afhankelijk of je 15% of 14,8% aanhoudt).
(Andere Anoniem dan Anoniem van 01-02-2024:18.47)
02-02-2024, 09:42 door Erik van Straten
Door Anoniem:Je moet 0,5% van 15% van 17.400.672 nemen (is ong. 13.000 mensen, afhankelijk of je 15% of 14,8% aanhoudt).
Nee, dat moet je niet.

Als dat zo zou zijn, zouden alle percentages onder de categorie "Online oplichting en fraude" bij elkaar opgeteld in de buurt van de 100% moeten uitkomen. Die som is, met 9,1%, véél te ver uit de buurt van 100% om jouw stelling ook maar enigszins aannemelijk te maken.

Hetzelfde geldt voor alles onder de categorie "Online criminaliteit totaal" (14,8% van alle NLs). Bij elkaar opgeteld is dat 17,0%. Dat is meer dan 14,8%, maar waarom dat zo is heb ik toegelicht in https://security.nl/posting/827754. In elk geval komt ook 17,0% niet in de buurt van 100%.

Daarom is er maar één conclusie mogelijk: élk van de percentages in de onderhavige grafiek, CSV en tabel is een percentage van het totale aantal Nederlanders van 15 jaar en ouder (met andere woorden, het zijn geen percentages van percentages, want dan zou er ontzettend veel data ontbreken).

Dus: minstens 87.003 slachtoffers van fraude met hun identiteit in 2022.
02-02-2024, 10:46 door Anoniem
Door Erik van Straten:
Door Anoniem:Je moet 0,5% van 15% van 17.400.672 nemen (is ong. 13.000 mensen, afhankelijk of je 15% of 14,8% aanhoudt).
Nee, dat moet je niet.

Als dat zo zou zijn, zouden alle percentages onder de categorie "Online oplichting en fraude" bij elkaar opgeteld in de buurt van de 100% moeten uitkomen. Die som is, met 9,1%, véél te ver uit de buurt van 100% om jouw stelling ook maar enigszins aannemelijk te maken.

Hetzelfde geldt voor alles onder de categorie "Online criminaliteit totaal" (14,8% van alle NLs). Bij elkaar opgeteld is dat 17,0%. Dat is meer dan 14,8%, maar waarom dat zo is heb ik toegelicht in https://security.nl/posting/827754. In elk geval komt ook 17,0% niet in de buurt van 100%.

Daarom is er maar één conclusie mogelijk: élk van de percentages in de onderhavige grafiek, CSV en tabel is een percentage van het totale aantal Nederlanders van 15 jaar en ouder (met andere woorden, het zijn geen percentages van percentages, want dan zou er ontzettend veel data ontbreken).

Dus: minstens 87.003 slachtoffers van fraude met hun identiteit in 2022.

och och och

Natuurlijk zijn de percentages zijn 100%. Maar niet over alle Nederlanders, maar over 15% van alle Nederlanders van 15 jaar of ouder. Dat staat gewoon letterlijk in de begeleidende tekst.

Overigens is niet eens opgenomen het aantal slachtoffers wat meer dan 1x getroffen is.

Het zegt alles over de antwoord op de vraag waarom sommige artikelen wel en sommige (deze) artikelen het nieuws niet halen. Het aantal mensen wat financieel getroffen wordt door identiteitsfraude blijkt helemaal niet zo erg/groots als jij schetst (BIAS).

Dat wijzen de cijfers uit en het gegeven dat dit geen nieuwsitem is wijst dat uit.
02-02-2024, 13:43 door Erik van Straten
[Verwijderd door moderator]
02-02-2024, 15:43 door Erik van Straten
Door Anoniem: Natuurlijk zijn de percentages zijn [SIC] 100%. Maar niet over alle Nederlanders, maar over 15% van alle Nederlanders van 15 jaar of ouder. Dat staat gewoon letterlijk in de begeleidende tekst.
Die begeleidende tekst (in https://www.cbs.nl/nl-nl/longread/rapportages/2023/online-veiligheid-en-criminaliteit-2022/7-online-criminaliteit-totaal) luidt:

7.1 Slachtoffers online criminaliteit
In 2022 gaf 15 procent van de Nederlanders van 15 jaar of ouder aan in de afgelopen 12 maanden slachtoffer te zijn geweest van online criminaliteit. Dit zijn 2,2 miljoen mensen. De meesten, 8 procent, waren slachtoffer van oplichting en fraude, vooral van aankoopfraude. 5 procent had te maken met hacken en 4 procent met bedreiging en intimidatie. Een half procent werd slachtoffer van andere online delicten.
Daar zou een leek uit kunnen afleiden dat het om 0,5% van 2,2 miljoen mensen gaat, echter:

1) Dat staat er niet (en zeker niet letterlijk).

2) De som van de genoemde 8%, 5%, 4% en 0,5% is 17,5%. Dat is extreem veel minder dan 100%. Waar is de rest?

Nb. dat die getallen optellen tot 17,5% (i.p.v. 14,8% of, afgerond, 15%) komt enerzijds door afrondingen in bovenstaande tekst (in de grafiek, CSV en tabel is sprake van resp. 7,6%, 4,7%, 4,1% en 0,6%, samen 17,0%) en anderzijds doordat het, zoals ik eerder uitlegde, in enquetes waar mensen totalen en details kunnen aanvinken, gebruikelijk is dat die details optellen tot meer dan 100%).

Door Anoniem: Het aantal mensen wat financieel getroffen wordt door identiteitsfraude blijkt helemaal niet zo erg/groots als jij schetst (BIAS).
Jij bent een afschuwelijk onaangenaam mens. In plaats van jouw ongelijk toe te geven probeer je mijn argementen, bij herhaling, met dezelfde onzin onderuit te halen. Voor de slachtoffers van online cybercrime ben jij één van degenen (natuurlijk anonieme) die hun leven helpt verstieren.

Dit is mijn laatste reactie over cijfers van het CBS, waar ik niet eens zelf mee op de proppen kwam.

@Moderator: heb svp het fatsoen om mij een mailtje te sturen als jullie willen dat ik niet meer post op deze site.
02-02-2024, 16:10 door Anoniem
Voor de slachtoffers van online cybercrime ben jij één van degenen (natuurlijk anonieme) die hun leven helpt verstieren.
Gisteren was er een item over een oudere die slachtoffer was geworden van fraude, het gaat niet over identiteitsfraude
maar ik wil dit die url toch plaatsen zodat geïnteresseerde kunnen zien hoe oudere hier mee omgaan, ik vind het
schandalig dat er geen rekening met ouderen wordt gehouden.

https://eenvandaag.avrotros.nl/item/eenvandaag-01-02-2024/
02-02-2024, 23:03 door Anoniem
Ik ben met de cijfers van het CBS gekomen om een inzichtelijk beeld te geven van identiteitsfraude als gevolg van identiteits- en authenticatie door foutieve verificatie.

Eigenlijk zocht ik de nieuwste cijfers van de FBI over identiteitsfraude die onlangs gepubliceerd zijn, nog niet teruggevonden en dit vond ik relevanter. Alhoewel schrikbarend valt dat af te doen als Amerikaanse toestanden.

Dan in mijn reactie https://www.security.nl/posting/827137#posting827752 stel ik dat de schade - 680.000.000 euro - gelijk blijft ongeacht het aantal slachtoffers.

Gezien de ervaring en kennis van het CBS kloppen de cijfers vast wel. Om de eventuele toleranties en niet gepubliceerde gegevens te controleren zal men het volledige rapport moeten napluizen. Voor de meesten hier is de gelinkte longread al tl;dr dus dat zie ik niet gebeuren. Het is dan ook overbodig om hier te kibbelen over de wiskundige statistische data die maar één manier is te interpreteren, en dat is als gegeven.

Identiteitsfraudeurs hebben er belang bij dat hun slachtoffers zo lang mogelijk in ongewisse blijven. Daarbij is directe interactie met het slachtoffer doorgaans onnodig. Gemiddeld zal het minstens 3 maanden duren voordat een bedrijf of instantie een deurwaarder inschakelt.

Dat foutieve verificatie van identificatie en authenticatie 2 kanten op werkt, is te lezen in de rtl nieuws link die ik in mijn vorige bericht ter relativering geef, bv. dat op de piramiden van Gizeh 22.686 bedrijven ingeschreven staan.

Misschien ben ik al zo oud dat ik nog wel heb leren lezen, schrijven en rekenen op school. Laat ik het eens proberen:

Gegeven: 2.200.000 slachtoffers totaal.

Identiteitsfraude: 2.200.000 / 100 x o,5 = 11.000
Inwonertal: 2.200.000 / 14,8 x 114,8 = ~17.064.865

Die ~17.064.865 komt met minder dan ~3% afwijking dicht in de buurt van het al eerder genoemde inwonertal door het CBS.

Ter afsluiting nog de som der delen die lager uitkomt: Als ik de tabel openklap en de delen optel, kom ik niet boven de 40%.
Door Anoniem op 02-02-2024 om 23:03 uur: Ik ben met de cijfers van het CBS gekomen om een inzichtelijk beeld te geven van identiteitsfraude als gevolg van identiteits- en authenticatie door foutieve verificatie.

(...)

Misschien ben ik al zo oud dat ik nog wel heb leren lezen, schrijven en rekenen op school. Laat ik het eens proberen:

Gegeven: 2.200.000 slachtoffers totaal.

Identiteitsfraude: 2.200.000 / 100 x o,5 = 11.000
Inwonertal: 2.200.000 / 14,8 x 114,8 = ~17.064.865

Die ~17.064.865 komt met minder dan ~3% afwijking dicht in de buurt van het al eerder genoemde inwonertal door het CBS.

Ter afsluiting nog de som der delen die lager uitkomt: Als ik de tabel openklap en de delen optel, kom ik niet boven de 40%.

Wat mij opvalt is dat jij (@Anoniem) wel reageert op Erik van Straten, maar totaal niet ingaat op wat hij schreef, namelijk:

Door Erik van Straten op 02-02-2024 om 15:43 uur:
Door Anoniem: Natuurlijk zijn de percentages zijn [SIC] 100%. Maar niet over alle Nederlanders, maar over 15% van alle Nederlanders van 15 jaar of ouder. Dat staat gewoon letterlijk in de begeleidende tekst.
Die begeleidende tekst (in https://www.cbs.nl/nl-nl/longread/rapportages/2023/online-veiligheid-en-criminaliteit-2022/7-online-criminaliteit-totaal) luidt:

7.1 Slachtoffers online criminaliteit
In 2022 gaf 15 procent van de Nederlanders van 15 jaar of ouder aan in de afgelopen 12 maanden slachtoffer te zijn geweest van online criminaliteit. Dit zijn 2,2 miljoen mensen. De meesten, 8 procent, waren slachtoffer van oplichting en fraude, vooral van aankoopfraude. 5 procent had te maken met hacken en 4 procent met bedreiging en intimidatie. Een half procent werd slachtoffer van andere online delicten.
Daar zou een leek uit kunnen afleiden dat het om 0,5% van 2,2 miljoen mensen gaat, echter:

1) Dat staat er niet (en zeker niet letterlijk).

2) De som van de genoemde 8%, 5%, 4% en 0,5% is 17,5%. Dat is extreem veel minder dan 100%. Waar is de rest?

Nb. dat die getallen optellen tot 17,5% (i.p.v. 14,8% of, afgerond, 15%) komt enerzijds door afrondingen in bovenstaande tekst (in de grafiek, CSV en tabel is sprake van resp. 7,6%, 4,7%, 4,1% en 0,6%, samen 17,0%) en anderzijds doordat het, zoals ik eerder uitlegde, in enquetes waar mensen totalen en details kunnen aanvinken, gebruikelijk is dat die details optellen tot meer dan 100%).

(...)

Ik vind de interpretatie van Erik van Straten plausibel. Die interpretatie weerleg je niet door je eigen interpretatie simpelweg te herhalen, met de toegevoegde opmerking dat je al zo oud bent dat je nog hebt leren lezen, schrijven en rekenen op school. Dat is een verkapt ad hominem richting Erik van Straten (want je suggereert hiermee dat hij dat niet heeft geleerd - terwijl dat evident onjuist is). Kennelijk zet je dit ad hominem in bij gebrek aan inhoudelijke argumenten. Jammer. M.J.
03-02-2024, 12:13 door Anoniem
Door EersteEnigeEchte M.J. - EEEMJ: ik vind de interpretatie van Erik van Straten plausibel. .
Dat neem ik zo voor waar aan.

Neemt niet weg dat:
a/ er vooraf kennelijk weinig onderzoek is gedaan of iets daadwerkelijk wel zo erg is als dat de TS zelf dacht (BIAS), en
b/ het afschaffen van de app Kopie-ID (want daar gaat dit topic tenslotte over) geen oplossing is voor het geschetste probleem en al -blijkbaar- helemaal niet in verhouding staat.

Om internetfraude een halt toe te kunnen roepen kan men, naar mijn mening, beter gekeken worden naar het opheffen van de anonieme afscherming WHOIS (zodat de daders kunnen worden aangepakt) en het juist koppelen van je unieke persoonsgegeven (in NL je BSN) aan de aanvraag domeinnaam. Criminaliteit los je niet op door verdere anonimisering maar door het opheffen van die anonimiteit.

En dat ik hier anoniem post doet helemaal niet ter zake. Als ik mij hier Saskia van Schie had genoemd zou ik net zo anoniem zijn geweest als zonder naam, want zo heet ik in het echte leven ook niet.
Door Anoniem:
Door EersteEnigeEchte M.J. - EEEMJ: ik vind de interpretatie van Erik van Straten plausibel. .
Dat neem ik zo voor waar aan.

Maar je gaat er alweer niet op in (als je dezelfde anoniem bent die eerder de interpretatie van Erik van Straten over de CBS-cijfers betwistte zonder in te gaan op zijn argumenten).

Neemt niet weg dat:
a/ er vooraf kennelijk weinig onderzoek is gedaan of iets daadwerkelijk wel zo erg is als dat de TS zelf dacht (BIAS), en

De TS (Erik van Straten) benoemde een risico en gaf aan dat het grootschalig afgeven van kopie-ID's ten eerste geen veiligheid biedt, maar schijnveiligheid, en ten tweede extra risico's met zich meebrengt. Ook dat lijkt me heel plausibel, gezien het enorme aantal tot personen herleidbare gegevens dat via kopietjes-ID op het internet en elders wordt verspreid.

b/ het afschaffen van de app Kopie-ID (want daar gaat dit topic tenslotte over) geen oplossing is voor het geschetste probleem en al -blijkbaar- helemaal niet in verhouding staat.

-- Zonder deze draad helemaal overnieuw te lezen, meen ik te begrijpen dat het de TS niet (slechts) te doen is om de afschaffing van een app, maar om de afschaffing van de hele verplichting om kopie-ID's via internet te versturen of fysiek af te geven of via het afgeven van een paspoort e.d. te laten maken in hotels.
-- De TS beweerde niet dat deze afschaffing een oplossing zou zijn voor het volledige probleem. Wel analyseerde hij het probleem in zoverre, dat hij wees op het risico dat ontstaat zodra je het internet inzet tussen twee personen die zaken met elkaar doen - er ontstaat dan ruimte voor een AitM (Attacker in the Middle). Het makkelijk eisen en daardoor verspreiden van kopietjes-ID biedt voor dat probleem geen oplossing, maar verergert het probleem juist.
-- Een eerste stap op weg naar een oplossing is het mitigeren van de oorzaken van het probleem, waaronder het klakkeloos verspreiden van kopie-ID's naar talloze partijen waar altijd wel wat rotte appels tussen kunnen zitten.

Om internetfraude een halt toe te kunnen roepen kan men, naar mijn mening, beter gekeken worden naar het opheffen van de anonieme afscherming WHOIS (zodat de daders kunnen worden aangepakt) en het juist koppelen van je unieke persoonsgegeven (in NL je BSN) aan de aanvraag domeinnaam. Criminaliteit los je niet op door verdere anonimisering maar door het opheffen van die anonimiteit.

Kennelijk ga jij nog uit van het naïeve en onjuiste idee dat er ergens een goedertierende instantie (een soort vaderfiguur) is die ons allemaal wel zal beschermen tgen "daders" als we hem maar al onze gegevens aanleveren, en die nooit zelf een "dader" zal worden. Een beetje zoals men in de Middeleeuwen in een volkomen goede en tegelijk almachtige God geloofde. Sinds de aardbeving van Lissabon (1755) hebben steeds meer mensen echter ingezien dat dit geloof niet op de realiteit is gebaseerd. Lees bijvoorbeel Susan Neiman, Evil in Modern Thought - an Alternative History of Philosophy, Princeton Univ., 2002.

Ditzelfde naïeve en onjuiste idee van (of verlangen naar) een alwetende vader wordt misbruikt door allerlei dictators en regimes waarvan de leider of leiders zich opstellen als Big Brother (lees: een alziende, almachtige, goedertierende God). Zij proberen hun bevolkingen terug te brengen naar de onmondigheid en het radeloze geloof dat zo kenmerkend was voor de Middeleeuwen.

Wie controleert de controleurs? Wie zorgt ervoor dat de autoriteiten geen misbruik maken van de machtsmiddelen die we in hun handen hebben gelegd? (En ja, de beschikking over informatie kan altijd ook worden ingezet als machtsmiddel.)

Als we ons niet meer anoniem door de maatschappij kunnen bewegen maar in al onze privé-acties en zelfs in al ons denken gevolgd kunnen worden door machthebbers die beschikken over enorm ingrijpende controle- en beïnvloedingsmiddelen, dan raken we onze vrijheid kwijt, alleen al omdat we dan weten en vooral ook voelen dat elke scheet die we laten, een negatieve invloed kan hebben op onze toekomst.

Verdiep je eens in hoe gewone mensen in Rusland leven, hoe voorzichtig ze zijn in hun dagelijkse leven omdat ze weten dat alles wat ze zeggen (analoog en op internet) door het regime kan worden opgepakt en geduid, en kan leiden tot maatregelen tegen diegene die het gewaagd heeft iets onwelgevalligs te zeggen of het (traceerbaar) te denken. Ondertussen zoeken velen van hen, om af en toe toch een beetje te kunnen ontspannen, hun toevlucht in de drank. Daar worden ze dan weer loslippig van, en dat heeft soms dan weer ernstige gevolgen. De levensverwachting (vooral van mannen) is in Rusland kort.

Verdiep je er eens in. Hopelijk verlies je dan iets van je naïviteit.

Zonder privacy kan een rechtsstaat niet bestaan. In de praktijk blijkt ook dat in totalitaire staten de criminaliteit niet minder is dan in (semi-) democratische rechtsstaten, maar juist groter. Er is daar veel corruptie, alles hangt af van je "relaties" (in het Chinees: guanxi) met mensen met meer macht dan jijzelf, dus je kunt nooit zomaar een beroep doen op de rechten die je in naam misschien nog hebt, het wordt altijd een moeilijke afweging. Het onderscheid tussen slim zakendoen, corruptie en moorddadige criminaliteit vervaagt. Wat het ene moment door de autoriteiten wordt aangemoedigd, kan het volgende moment strafbaar worden - en dat ook nog met terugwerkende kracht. In China zijn bijvoorbeeld oude vrouwtjes gevangengezet omdat ze bijna twintig(!) jaar geleden de Koran lazen, iets wat toen nog helemaal niet strafbaar was (en nu trouwens officieel nog steeds niet, maar onofficieel toch wel als je tot de Uighurse bevolkingsgroep hoort).

Verdiep je er eens in. Denk je dat Nederlandse regimes een haar beter zouden zijn ze als evenveel macht zouden hebben als het Chinese regime? Bij het Toeslagenschandaal en in de coronacrisis hebben we al gezien hoe het Nederlandse bewind zich tegenover weerloze mensen gedroeg.

Daarom is het beter jezelf niet volledig weerloos te maken door al je persoonlijke informatie beschikbaar te stellen aan de machthebbers.

Verdiep je er eens in. Daarna hoor ik graag van je.

M.J.
03-02-2024, 14:57 door Anoniem
Door EersteEnigeEchte M.J. - EEEMJ: ... heel verhaal dus ik ga het niet kopieren ...

Ik ben verre van naïef.

Er is echter wel een verschil in internetveiligheid en internetprivacy en deze werken elkaar vaker tegen dan dat de ene een oplossing is voor het ander.

En deze site heet nu eenmaal 'security.nl'

Juist omdat het niet op voorhand te zeggen is dat een 'goedertierende instantie' nooit zelf dader kan worden ben ik dus een absoluut tegenstander van bv een landelijk BSN uitgifte loket. Maar ik ben er wel een sterk voorstander om de domeinnaam registraties wereldwijd uit de anonimiteit te halen, het aanvragen van domeinnamen door jan en alleman aan banden en regelgeving te onderwerpen en hostingpartijen verantwoordelijk te stellen voor de het securitybeleid (updates en patches) van de websites die op hun aangeboden platform draaien. En ik ben er een voorstander van om de uitgifteloketten (bv SIDN) en justitie de macht te geven om het uitgeven van domeinnamen aan criminelen te verbieden en in te trekken.

En dit beperk ik overigens tot alleen internetdomeinnamen / internetcriminaliteit.

En de TS heeft het niet over de afschaffing van de verplichting van het gebruik van de app Kopie-ID. Die verplichting bestaat namelijk niet.

Nogmaals, het probleem van identiteitsfraude -door middel van een kopie-ID- is vele malen minder groot dan gedacht.
En dat klopt ook, want je stuurt gewoon via een email een malafide link waar mensen hun gegevens achterlaten. Criminelen hebben helemaal geen kopieID nodig om te krijgen wat ze willen.

Dat gezegd hebbende, jouw 'gevecht' met je huisarts volg ik ook met de daarbij passende interesse.
Ik sta daar anders in. Ik zou moeite hebben met de wetenschap dat mijn huisarts niet goed weet hoe te handelen als hij mij ergens treft en als gevolg daarvan mentale problemen krijgt.

Daar zit voor mij ook het verschil. Het interesseert me geen bal of Rutte weet welke vaccinaties ik heb gehad. Vind ik het de moeite waard om dat via Google zoekbaar te laten zijn op achternaam: nee.

Hier laat ik het verder vwb dit topic bij. De TS wilde immers zelf ook geen internetvervuiling op zijn topic.
03-02-2024, 17:13 door Anoniem
Door EersteEnigeEchte M.J. - EEEMJ:

Wat mij opvalt is dat jij (@Anoniem) wel reageert op Erik van Straten, maar totaal niet ingaat op wat hij schreef, namelijk:

(...)

Ik vind de interpretatie van Erik van Straten plausibel. Die interpretatie weerleg je niet door je eigen interpretatie simpelweg te herhalen, met de toegevoegde opmerking dat je al zo oud bent dat je nog hebt leren lezen, schrijven en rekenen op school. Dat is een verkapt ad hominem richting Erik van Straten (want je suggereert hiermee dat hij dat niet heeft geleerd - terwijl dat evident onjuist is). Kennelijk zet je dit ad hominem in bij gebrek aan inhoudelijke argumenten. Jammer. M.J.

Nee hoor, was ook niet mijn bedoeling. Ik vind Erik's analyses, onderzoek, inzet en passie bewonderenswaardig.
Inhoudelijk heb ik er inderdaad meestal weinig aan toe te voegen.

De cijfers van het CBS over identiteitsfraude heb ik erbij gehaald ter aanvulling en verduidelijking omdat in reacties van anderen Erik's onderzoek gebagatelliseerd werd, en dat het de eigen schuld is van het slachtoffer, die niet op die link had moeten klikken, of een kopie van het paspoort afgeven. Zo werkt identiteitsfraude niet.

Daarop worden door anderen allerlei getallen uit de hoge hoed getoverd, verkeerde aannames of interpretaties, en om te bagatelliseren.

Nadat ik Anoniem gisteren om 00:09 mijn reactie verzonden had, zond Erik 3 minuten later een reactie in, en na 30 minuten nog een. Niks mis mee. De volgende middag lees ik verder, mijn reactie is in de nacht behoorlijk ingesneeuwd. Geeft niks.

Erik's reactie is dan nog niet verwijderd door de moderator, een actie die ik onterecht vind, zeer begrijpelijk dat hij na al zijn inzet even een beetje uit zijn slof schiet, gelukkig had hij blijkbaar een backup.

Pas als ik de verwijdering opmerk besluit ik mijn reactie aangevuld te herhalen. Daarin kom ik ook, op een andere manier, tot dezelfde conclusie dat er percentages niet vermeld lijken te zijn.
03-02-2024, 21:30 door Erik van Straten - Bijgewerkt: 03-02-2024, 21:39
Dank aan allen die het opnemen voor de slachtoffers van identiteitsfraude, ongeacht of dat er (in 2022) nou 10.000 of veel meer waren.

Cybercrime
Aangezien de meest zinvolle reacties lijken te zijn gegeven, en de discussie helaas verzand is in een dispuut met reageerders die niet lezen en sowieso onvoorwaardelijk overtuigd zijn van hun gelijk, schrijf ik een -wellicht off-topic gevonden- reactie.

Namelijk dat op het huidige internet cybercrime welig tiert - en niemand die er iets tegen lijkt te willen of kunnen doen. Dit is een cadeautje voor cybercriminelen, die zich steeds "onaantastbaarder" wanen. Eén afwijkend karakter in een domeinnaam kan al het verschil maken tussen een echte website en een ogenschijnlijk (inhoudelijk) identieke nepsite, waarna ook identiteitsfraude op de loer ligt (vooral als je identiteitsfraude "breed" interpreteert, zoals dat een ander, met jouw credentials en/of creditcard, jouw rekening plundert).

Live AitM aanvallen
Voor het uitvoeren van live AitM aanvallen (om ook 2FA/MFA te kapen) kunnen "evil proxy" tools zoals Evilginx door iedereen worden gedownload (dat dit kan vind ik an sich niet bezwaarlijk, omdat deze ook voor security-awareness trainingen kunnen worden gebruikt; als ze niet algemeen beschikaar waren zouden ze wel op het dark web te vinden zijn).

Postpakket-scams
Voor het enorme aantal "postpakket" nepsites (elke dag komen er veel nieuwe domeinnamen bij), waar slachtoffers middels een nepbericht naartoe gestuurd worden - zogenaamd omdat een pakketje niet kon worden afgeleverd, er onvoldoende gefrankeerd is of invoerbelasting moet worden voldaan etcetera. Vaak kun je op meerdere manieren betalen, maar bij dit soort sites wijkt het (uiteindelijk) van je rekening afgeschreven geldbedrag enorm af van het aangekondigde (en heb je heel veel identificerende gegevens moeten prijsgeven voordat je verder kon - waar later nog meer fraude mee gepleegd wordt). En dat "nog niet afgeleverde pakketje" krijg je natuurlijk nooit.

Zodra eID's meer gangbaar zijn (er zijn al heel veel fake "itsme.be" en "digid.nl" met meer of minder afwijkende "zou-van-die-organisatie-kunnen-zijn" domeinnamen), zullen dit soort criminelen eisen dat je online aurhenticeert om jouw pakketje te kunnen ontvangen.

Veel meer soorten nepsites, vervalste e-mailafzenders etc.
Naast sites met postpakket-scams bestaan er nog veel meer soorten nepsites (met en zonder login-mogelijkheid) waarop je op allerlei manieren kunt worden opgelicht (cybercriminelen zijn zeer creatief). Ook bij e-mail maken cybercriminelen dankbaar misbruik van de mogelijkheden voor impersonatie, waar we -tot nu toe- geen waterdichte oplossingen tegen hebben kunnen vinden.

Internet is door en door verrot
Het internet is simpelweg door en door verrot en mede daarom ongeschikt voor identiteits-kritische toepassingen; veel te veel mensen zijn eenvoudig te foppen - en vangnetten ontbreken (omdat o.a. banken, aandeelhouders, en klanten die bang zijn dat bankieren nóg duurder wordt, dat niet willen), ondanks dat de winsten van banken tegen de plinten klotsen (zoals bijvoorbeeld hier beschreven: https://www.rtlnieuws.nl/economie/bedrijven/artikel/5432539/hoeveel-winst-heeft-ing-gemaakt-2023-73-miljard-verdubbeld).

Whois is NIET de oplossing
M.b.t. het openbaar maken, via whois, van gegevens van personen die domeinnamen registreren: dat is m.i. grotendeels zinloos om de volgende redenen:

1) DNS-boeren horen dergelijke gegevens al te registreren en beschikbaar te stellen aan justitie als die laatste daar een inzagevoerzoek voor doet (wat in veel landen kansloos is). Privacywetgeving staat toe dat deze gegevens worden achtergehouden voor het grote publiek.

2) Uit https://www.netcraft.com/blog/health-product-scam-campaigns-abusing-cheap-tlds/:
Door Netcraft, January 16, 2024: [...]
Netcraft found that domains in the .cloud and .sbs gTLDs can be acquired for $0.99.
[...]
Registrar gen.xyz offers domains for as low as $0.99 per year. This is as cheap as domain names have been since Freenom halted registrations of its free domains earlier this year.
[...]
Het is omogelijk om voor kleine bedragen, zeker voor $0,99 per jaar, naast de noodzakelijke DNS-gerelateerde services, een betrouwbare authenticatie van een huurder van een domeinnaam uit te voeren. Vooral niet omdat ook hier "natuurlijk" alles online plaatsvindt. Het is een illusie om te denken dat slimme cybercriminelen onder hun eigen naam domeinnamen huren.

3) DNS boeren verkopen niet alleen domeinnamen voor websites. Aan een domeinnaam die niet met www. begint kun je niet zien of het om een adres van een website gaat (trouwens ook andersom niet, niemand belet je om op een domeinnaam die begint met www. géén website aan te bieden maar bijv. wel een SSH-server). Daarom is het onlogisch als bijvoorbeeld het CA/Browser-forum zich misdragende DNS-boeren zou buitensluiten (voor zover browsers dat überhaupt zouden kunnen) of op andere wijze sanctioneren.

4) Er zijn zat "bullet-proof" hosters, maar ook gewone Big Tech, die er geen enkel probleem mee hebben om geld aan te verdienen aan de verhuur van servers waarop phishing-sites en/of malware wordt gehost. Voorbeelden:

4.a) Een Russische hoster: https://www.virustotal.com/gui/ip-address/213.226.123.24/relations, eerdere voorbeelden daaruit (In de genoemde "n/89" is "n" steeds het aantal, van in totaal 89, virusscanners dat alarm slaat op genoemde domeinnaam):
2024-02-02 0/89 webinfo-bunq.com
2024-01-31 10/89 bank-santander.verify-personal-info.online
2024-01-31 0/89 web-bunqonline.com
2024-01-30 0/89 visma-ubetalt.com
2024-01-29 0/89 betaling-visma.net
2024-01-28 0/89 mygov-login-au.net
2024-01-27 11/89 mijnbelastingdienst-bs7372891.info
2024-01-26 0/89 mijnbelastingdienst-bs3565846.info
2024-01-25 4/89 belastingdienst-bs7383812.info
2024-01-25 6/89 belastingdienst-bs4828393.info

4.b) Akamai: https://www.virustotal.com/gui/ip-address/173.255.204.62/relations, voorbeelden:
2024-02-01 17/89 my-package-tracking.net
2024-02-01 6/89 track-my-parcel.org
2024-01-26 11/89 o-paketverfolgung.com
2024-01-26 14/89 my-parcel-tracking.org
2024-01-25 19/89 jqueurystatic.com
2024-01-25 15/89 s-paketverfolgung.com
2024-01-24 17/89 freepcgamee.com
2024-01-22 9/89 serpost-track.com
2024-01-21 15/89 verfolgen-sendung.net
2024-01-21 16/89 m-sendungsverfolgung.org
2024-01-21 12/89 mein-kontoauszug.net
2024-01-20 16/89 sendung-verfolgen.net
2024-01-18 11/89 e-paketverfolgung.com

4.c) Google: https://www.virustotal.com/gui/ip-address/216.239.36.21/relations, voorbeelden:
2024-02-03 5/89 posts-ctt.net
2024-02-03 11/89 reverifyaccount-coinbase.com
2024-02-03 10/89 lnterbank-pe.com
2024-01-27 10/89 mydhl-express.com
2024-01-27 10/89 myaccount-suspension.com
2024-01-27 1/89 info-update.online
Bovendien verdient Google vet aan advertenties (vooral in haar zoekmachine) waarin je naar nepites met malware gestuurd wordt, als je bijv. zoekt naar KeePass of andere security tools en utilities.

4.d) Amazon: https://www.virustotal.com/gui/ip-address/199.59.243.225/relations, voorbeelden:
2024-02-03 0/89 www.0awx8e.jp.bitcoin.comwww.cash2.de
2024-02-03 0/89 ns4.peterskot.com
2024-02-03 0/89 admin.xn--elektrizittsversorgung-solingen-zvc.de
2024-02-03 0/89 admin.xn--elektrizitt-saarbrcken-94b89c.de
2024-02-03 0/89 www.admin.xn--elektrizittsversorgung-solingen-zvc.de
2024-02-03 0/89 www.admin.xn--elektrizitt-saarbrcken-94b89c.de
2024-01-31 0/89 ftp.xn--elektrizitt-baden-wuerttemberg-4sc.de
2024-01-31 0/89 ftp.xn--elektrizittsversorgung-mecklenburg-vorpommern-z0d.de
2024-01-31 0/89 ftp.xn--elektrizittsversorgung-schleswig-holstein-kpd.de
2024-01-31 0/89 www.www.www.mail.burgdesign.de
2024-01-31 0/89 ftp.www.www.www.mail.burgdesign.de
2024-01-31 0/89 ftp.mobile.sitemap.youngandold.de
2024-01-31 0/89 ferienwohnungen-slowenien.de
2024-01-31 0/89 mta-sts.ferienwohnungen-slowenien.de
2024-01-31 0/89 ftp.mta-sts.ferienwohnungen-slowenien.de
2024-01-31 0/89 webmail.tdbank-activate.com
2024-01-31 0/89 ftp.sparkasseworms.de
De meeste of alle van de direct hierboven genoemde domeinnamen zijn geregistreerd door "domain parking" boeren (de lijst met ftp.* was nog véél langer, complete idioterie natuurlijk, want het ftp protocol is "uit"). Ik vermoed dat men domeinnamen zo laat "rijpen". Naarmate ze langer bestaan -vaak met meerdere (onzinnige) subdomeinnamen-, virusscanners er (nog) niks op vinden en ze niet op blocklists worden opgenomen, neemt de waarde ervan toe voor echte scammers.

4.e) Cloudflare: https://www.virustotal.com/gui/ip-address/188.114.96.0/relations, voorbeelden:
2024-02-03 4/89 api.marake.org
2024-02-03 2/89 marake.org
2024-02-03 9/89 crackplease.com
2024-02-02 0/89 vitalikcreatedethereumtobethenewworldorderscurrency.shop
2024-02-02 11/89 pan.tenire.com
2024-02-02 14/89 486927928cm.whiteproducts.ru
2024-02-01 19/89 magic.poisontoolz.com
2024-02-01 14/89 power.poisontoolz.com
2024-01-31 13/89 l935913cm.nyashmyash.top
2024-01-31 19/89 kalnet.top
2024-01-31 12/89 vip-playstory.xyz
2024-01-31 12/89 zepetto.online
2024-01-31 7/89 ftp.mse.com.cy
2024-01-31 9/89 softwarecrack.net
2024-01-30 1/89 login-midstream-outlook.com
2024-01-30 1/89 docsign.eu1-cloudshare.com
2024-01-30 0/89 gooqle.com.br

4.f) Ook Cloudflare: https://www.virustotal.com/gui/ip-address/104.17.123.55/relations:
2024-02-02 17/89 partial-mega-nickel-arrivals.trycloudflare.com
2024-02-02 10/89 harder-innocent-clicking-ieee.trycloudflare.com
2024-02-02 11/89 political-msgstr-concept-famous.trycloudflare.com
2024-02-02 10/89 athletic-thing-motherboard-juan.trycloudflare.com
2024-02-02 11/89 lone-rainbow-payable-stickers.trycloudflare.com
2024-02-02 11/89 acquire-tex-strange-pending.trycloudflare.com
2024-02-01 11/89 collector-context-traffic-incorrect.trycloudflare.com
2024-01-31 11/89 traveling-bend-button-rendering.trycloudflare.com
2024-01-31 12/89 identification-automated-cast-equations.trycloudflare.com
2024-01-31 12/89 incidents-excessive-conservation-douglas.trycloudflare.com
Scammers proberen hier voortdurend nepsites met schijnbaar willekeurige subdomeinnamen zo lang als mogelijk online te houden. Het is een kat-en-muisspel: sites komen online en worden vaak snel op blocklists gezet en/of offline gehaald, maar er is bijna altijd een tijdvenster waarin slachtoffers (die niet op domeinnamen letten, maar een website zien die inhoudelijk overeenkomt met wat zij verwachtten toen ze op een phishing-link klikten) opgelicht worden.

Nog twee Cloudflare IP-adressen, waarop je ook veel foute *.workers.dev sites kunt vinden, zijn
https://www.virustotal.com/gui/ip-address/104.21.72.252/relations
https://www.virustotal.com/gui/ip-address/172.67.156.1/relations.

Zo kan ik nog veel meer ellende opsommen. Door zelf op één of meerdere van alle bovengenoemde virustotal-links te klikken zul je, in de meeste gevallen, zien dat er alweer nieuwe junk is bijgekomen.

Conclusie
Het is "leuk" en wellicht "vrijheid van meningsuiting" dat elke dwaas en/of crimineel, voor zeer weinig geld en anoniem (of liegend over diens identiteit) een website online kan brengen, in bijna alle gevallen voorzien van een https servercertificaat (waarvan ik vaak genoeg heb gewaarschuwd over het zwaar overschatte nut daarvan voor doorsnee mensen). Het alsmaar groeiende aantal (deels misleidende) TLD's maakt het er voor internetters alleen maar ingewikkelder op (.co is niet .com en .nI is niet .nl).

Probleem: er bestaat geen enkele betrouwbare manier meer om authentieke en serieuze websites te onderscheiden van zinloze of ronduit kwaadaardige troep.

Weinig weldenkende mensen zullen geld proberen te "trekken" uit een geldautomaat aan de buitenmuur van een obscuur honk van een foute motorclub op een luguber industrieterrein (wat doe je als de automaat jouw pinpas niet teruggeeft nadat je jouw pincode hebt ingevoerd - en je ook geen geld krijgt?). Op internet heb je, afhankelijk van jouw digitale vaardigheden, soms of vaak geen idee over de betrouwbaarheid van een website en de mensen met beheertoegang tot de server (je hebt ook geen idee in welk land de server staat en wie de hoster is), laat staan dat je weet of die website, en back-ups met bijv. klantgegevens, fatsoenlijk beveiligd zijn.

Gisteren schreef Lawrence Abrams, oprichter van Bleeping Computer, onderaan https://www.bleepingcomputer.com/news/security/anydesk-says-hackers-breached-its-production-servers-reset-passwords/:
Every week, it feels like we learn of a new breach against well-known companies.

Last night, Cloudflare disclosed that they were hacked on Thanksgiving using authentication keys stolen during last years Okta cyberattack.

Last week, Microsoft also revealed that they were hacked by Russian state-sponsored hackers named Midnight Blizzard, who also attacked HPE in May.

Aanvallen beperken zich overigens niet tot internet; bij alle authenticatie op afstand is impersonatie vaak erg simpel, vooral met enige social engineering (denk aan bellende bankhelpdeskfraudeurs).

Hoe "online" betrouwbaarder gemaakt kan worden, weet ik niet. Eén simpele fix zal het zeker niet zijn, en ik zie op de afzienbare termijn geen significante verbeteringen doorgevoerd worden. Daarom is het naïef om te denken dat online authenticatie veilig kan, en daarom vind ik dat we, voor kritische authenticatie, terug moeten naar offline-authenticatie door betrouwbare verifieerders.
04-02-2024, 18:15 door Anoniem
“Het internet is simpelweg door en door verrot … “

Het internet op zichzelf is niet verrot.
Er begeven zich wel veel verrotte types op het www.
Wat je ook bedenkt, het tuig bedenkt wel weer iets beters.
Het internet is hierdoor niet veilig te krijgen en daarom onbruikbaar voor de eerste levensbehoeften.
Het is als vechten tegen drones, je wint het nooit.
04-02-2024, 23:43 door Anoniem
Door meneer: Voor BSN fans: op mijn site https://freethebsn.nl/ heb ik de historie, de knelpunten en iets over oplossingen beschreven.
Identiteitendiefstal met dat BSN staat hier: https://freethebsn.nl/identiteitendiefstal-en-fraude
En wat er met dat BSN mag gebeuren staat ook in de krant: https://freethebsn.nl/news/artikel-in-trouw.html

Wat een goed initiatief!
Er mag echt wel meer aandacht komen voor het BSN en het wijzigbaar maken.

Als de burger geen overzicht heeft in waar zijn data gebruikt wordt en welke instantie wat heeft, dan is het ook niet veilig.
^^^^^^^

Zelfs de overheid gaat uit van een wirwar maar in de praktijk kun je de RVIG+GBA data volgen en zo alle ministeries aflopen. Dat is voor de ene burger 2 instanties en de andere burger 20.

Ze zouden hier ambtenaren voor kunnen aanstellen in een speciale "BSN change desk", voor dringende of speciale gevallen.
Het enige punt is dat er buiten de overheid dus semioverheid cq zorgverleners zijn waar je zelf achteraan moet.

In de regel kun je bij een arts of verzekeraar ook administratieve fouten laten wijzigen, dus ook je BSN.

Als straks een groep Russische hackers een hele dump plaatst van bekende Nederlanders, kan het zeker wel opeens?
Door Anoniem: “Het internet is simpelweg door en door verrot … “

Het internet op zichzelf is niet verrot.
Er begeven zich wel veel verrotte types op het www.
Wat je ook bedenkt, het tuig bedenkt wel weer iets beters.
Het internet is hierdoor niet veilig te krijgen en daarom onbruikbaar voor de eerste levensbehoeften.
Het is als vechten tegen drones, je wint het nooit.

Mee eens. En tot die verrotte types behoren ook sommige overheidsfunctionarissen.
Hoe dan ook, vanwege die inherente onmogelijkheid om veilig te communiceren via internet (de steeds aanwezige mogelijkheid van AitM), moeten we onze afhankelijkheid van internet verminderen.

Dat zullen de big tech jongens niet fijn vinden om te horen, net zoals de fossil fuel jongens het niet fijn vinden om te horen dat we moeten minderen met fossil fuels.
"Wij van WC-Eend vinden niet dat we hoeven te minderen met WC-Eend..."

Toch zal dat moeten. Er zijn gelukkig allerlei veelbelovende oplossingsrichtingen,
Alleen willen de big tech jongens en de fossil fuel jongens niet dat die onderzocht worden.
Want haalbare, eerlijke alternatieven, die zouden hun (financiële) "bottom line" schaden.

M.J.
05-02-2024, 13:07 door Erik van Straten - Bijgewerkt: 05-02-2024, 13:25
Door Anoniem:
Door meneer: Voor BSN fans: op mijn site https://freethebsn.nl/ heb ik de historie, de knelpunten en iets over oplossingen beschreven.
Identiteitendiefstal met dat BSN staat hier: https://freethebsn.nl/identiteitendiefstal-en-fraude
En wat er met dat BSN mag gebeuren staat ook in de krant: https://freethebsn.nl/news/artikel-in-trouw.html

Wat een goed initiatief!
Er mag echt wel meer aandacht komen voor het BSN en het wijzigbaar maken.
Ik denk niet dat je de artikelen op die site goed gelezen hebt, bijvoorbeeld https://freethebsn.nl/identiteitendiefstal-en-fraude.

M.i. verwoordt meneer het prima: een BSN is (net als door mensen verzonnen namen) een identificatiemiddel (om wie gaat het), geen authenticatiemiddel (hoe zeker weet je om wie het gaat).

Een klein puntje: als je stopt met lezen na de tweede regel in de Conclusie is de tekst in genoemde pagina wel enigszins tegenstrijdig. In die pagina staat onder meer:
[...]
Er zijn verschillende goed gedocumenteerde gevallen van identiteitendiefstal of -fraude in het nieuws geweest. Maar kenmerkend aan alle BSN fraudecases is dat de fraude ontstond doordat een acceptant geen goede verificatie van de identiteit van een persoon uitvoerde. De acceptant vertrouwde (blind) op een opgegeven identiteit, niet op een na authenticatie vastgestelde identiteit.
[...]
Conclusie
Met uitsluitend een BSN is géén identiteitenfraude te plegen. Het attribuut BSN in combinatie met andere attributen is niet afdoende om fraude te kunnen plegen.
[...]
Persoonlijk had ik die laatste twee regels als volgt geschreven:
Met uitsluitend een BSN zou er géén identiteitenfraude gepleegd moeten kunnen worden. Ook het attribuut BSN in combinatie met andere attributen zou niet afdoende moeten zijn om fraude mee te kunnen plegen.

Voor de volledigheid, meneer gaat in die conclusie verder met de volgende tekst, waar alle onduidelijkheid mee wordt weggenomen - mits je niet gestopt bent met lezen (helaas nemen de leesvaardigheid en/of leesbereidheid af bij veel mensen):
Maar fraude is wel mogelijk als een acceptant (iemand die een product of dienst levert) de identiteit niet verifieert op basis van een id-bewijs dat door de verstrekker van de toegekende identiteit is uitgereikt. Oftewel: als iemand zich met een BSN wil identificeren, is dat alleen mogelijk na verificatie van een echt identiteitsbewijs, zoals een paspoort, ID-kaart of (in Nederland althans) een rijbewijs. Verificatie met een kopie ID-bewijs is nooit betrouwbaar.
[...]
Uiteindelijk lijken meneer en ik het volledig met elkaar eens.

Door Anoniem: Ze zouden hier ambtenaren voor kunnen aanstellen in een speciale "BSN change desk", voor dringende of speciale gevallen.
Dat ben ik dus niet met je eens. Ik probeer het nogmaals uit te leggen.

1) Een BSN (het kunnen opnoemen van iemand's BSN) MAG NOOIT als authenticatiemiddel worden misbruikt omdat het géén strikt geheim is. Immers, veel mensen kunnen jouw BSN eenvoudig achterhalen (hoe minder hoe beter, doch uitsluitend vanwege punt 2 hieronder). Omdat een kopie-ID uit pixels bestaat, die net zo min als de pixels van het lettertype waarmee jouw identificerende gegevens worden weergegeven, geen enkel bewijs van authenticiteit (echtheid, betrouwbaarheid) bevatten, zegt ook een kopie-ID niets over de authenticiteit daarvan. Het overschatten van authenticiteit is vragen om fraude.

2) Omdat een BSN een zeer betrouwbaar uniek identificerend getal is, mag niet iedereen het "verwerken" (opslaan en toegankelijk maken) - omdat het dan te eenvoudig wordt om mensen te tracken door verschillende datasets aan elkaar te koppelen. Vanwege punt 1 heeft dit niets met het misbruik van BSN's als authenticatiemiddel te maken; een andere reden dus.

Bovendien is het lastig om in elke database (en back-up daarvan die potentieel teruggezet wordt) waar jouw huidige BSN in staat, dat BSN te vervangen. En dat betekent ook een risico voor jou, namelijk dat een instantie (zoals een medische zorgverlener) jouw gegevens niet meer kan vinden.

Digitale basisvaardigheden
Het verschil kennen tussen identificatie en authenticatie is een basisvaardigheid. Omdat steeds meer online (dus digitaal) plaatsvindt, en veel mensen digitaal impliciet zeer betrouwbaar lijken te vinden, is het vooral een digitale basisvaardigheid. Ik vind het schandalig en zeer zorgelijk dat, kennelijk ontzettend veel, mensen het verschil daartussen niet (willen) begrijpen.

OSBSN
Eerder heb ik in https://security.nl/posting/795855 (wellicht moet je beginnen met een iets eerdere posting in die draad te lezen, https://security.nl/posting/795682) een verbeterd alternatief voor BSN's voorgesteld - nog steeds niet als authenticatiemiddel, maar wel als afgeleid identificatiemiddel dat veel meer organisaties zouden kunnen gebruiken, en waaruit bijvoorbeeld daartoe geautoriseerde opsporingsinstanties verbanden tussen kunnen leggen.

Zo'n "OSBSN" (Organisatie Specifiek BSN) is privacyvriendelijker dan dat steeds meer organisaties één enkel nummer (BSN), of straks één Europees burgerservicenummer, per persoon gaan verwerken, omdat dit het koppelen van datasets bemoeilijkt (ook als deze worden verkocht of, al dan niet na een hack, op andere wijze worden gelekt).

Mét zo'n OSBSN zouden organisaties gedwongen kunnen worden om minder andere uniek identificerende gegevens van hun klanten, burgers, patiënten etc. snel en eenvoudig opvraagbaar, op te slaan (zeker niet in dezelfde database, maar een separate met daarop strenge autorisatieregels en bijv. alarm bij grote aantallen opgevraagde gegevens): dataminimalisatie dus. Bijvoorbeeld een verpleegster in een ziekenhuis heeft zelden jouw e-mailadres, huisadres en telefoonnummer nodig om jou te kunnen verzorgen.

Mits slim geïmplementeerd is "slechts een nummer zijn" zo gek nog niet (persoonsverwisselingen, bijv. vanwege een met één of meer anderen overeenkomende achternaam en voorletter(s), kunnen ook flink in jouw nadeel uitpakken). Dit wel onder de voorwaarde dat niet de hele wereld het gebruikt en weet dat het nummer (of alfanumerieke reeks) jou uniek identificeert.
05-02-2024, 13:52 door Anoniem
@1) Een BSN (het kunnen opnoemen van iemand's BSN) MAG NOOIT als authenticatiemiddel worden misbruikt omdat het géén strikt geheim is. Immers, veel mensen kunnen jouw BSN eenvoudig achterhalen (hoe minder hoe beter, doch uitsluitend vanwege punt 2 hieronder). Omdat een kopie-ID uit pixels bestaat, die net zo min als de pixels van het lettertype waarmee jouw identificerende gegevens worden weergegeven, geen enkel bewijs van authenticiteit (echtheid, betrouwbaarheid) bevatten, zegt ook een kopie-ID niets over de authenticiteit daarvan. Het overschatten van authenticiteit is vragen om fraude.


Leg dat maar eens uit aan de medewerkers van al die bedrijven die het gebruiken (misbruiken).

Verschil tussen authenticatie en idenficicatie (verhelderende posts trouwens!)

Verschil tussen privacy en anonimiteit, en privacy en veiligheid

De meeste mensen zijn gewoon dom, je overschat de bevolking denk ik een beetje. Dit soort simpele concepten moet je al in de basisschool bij ze inprenten wil je hun gedrag op latere leeftijd een beetje beter maken.


@Meneer:

Goede dat je die site hebt. Is het een idee om de link naar die site met een korte inleiding over wat er moet gebeuren (veranderbaar BSN) te emailen naar alle 2de kamerleden? (Lijst staat gewoon online)
01-03-2024, 16:10 door Erik van Straten
Waarom we niet zo krampachtig over BSN's zouden moeten doen (naast stoppen met ze voor "authenticatie" misbruiken):
Data watchdog reprimands police force for mixing up 2 people with same name and birthday with disastrous results
https://www.theregister.com/2024/03/01/west_midlands_police_data_protection/
01-03-2024, 16:17 door Anoniem
Door Erik van Straten: Waarom we niet zo krampachtig over BSN's zouden moeten doen (naast stoppen met ze voor "authenticatie" misbruiken):
Data watchdog reprimands police force for mixing up 2 people with same name and birthday with disastrous results
https://www.theregister.com/2024/03/01/west_midlands_police_data_protection/

Uit het artikel:

"[..] says the force "incorrectly linked and merged the records" of the individuals that share the same name and date of birth on multiple occasions during 2000, 2021 and 2022."

Dat had dus voorkomen kunnen worden door het gebruik van een unieke identifier.
01-03-2024, 19:20 door EKTB
De titel gaat over Kopie-ID met de titel "kap ermee", na enige regels gaat het ineens over een DigiD-account. Wat een wazig gezever van de auteur wederom.
01-03-2024, 20:05 door Erik van Straten
Door EKTB: De titel gaat over Kopie-ID met de titel "kap ermee", na enige regels gaat het ineens over een DigiD-account. Wat een wazig gezever van de auteur wederom.
Hè wat spijtig om te te lezen dat je de vergelijking tussen een wachtwoord en een paspoort nog niet begrijpt, maar dit is geen kindersite. Wellicht sluit https://wikikids.nl/ beter aan bij jouw niveau van begrijpend lezen?
01-03-2024, 20:56 door Anoniem
Nou ja, hier ben ik het wel weer een beetje met @EKTB eens.

Zoals ik in het Passkey topic al opmerkte is er misschien een reden dat Google niet meegaat in je argumenten, net zoals de ontwerper van EDIW dat niet doet.

Dat je op meerdere sites iets post en daar onderling naar verwijst maakte het nog niet direct een "wereldwijd" thema. En zoals @EKTB al aangeeft wordt bij het onderbouwen van een zorg er allerlei risicos bijgehaald die uit of het security of privacy domein komen, maar niet noodzakelijkerwijs relevant zijn.

Ik denk dat als je bij de kern blijft en minder onderling verwijst naar je eigen posts, het de leesbaarheid van je zorgen en genoemde risicos ten goede komt.

En dan nog is het uiteraard nog geen verplichting van diegene aan wie jij je posts richt om er iets mee te doen.
02-03-2024, 01:05 door Anoniem
We zouden met zijn allen aan de digipas kunnen gaan.

"Meneer, wat is het unieke serienummer van uw persoonlijke digipas?"
"18000000"
"Okee, eens kijken wat de computer hier momenteel op teruggeeft. Eh,
"wat krijgt u terug als u na het intoetsen van de door uzelf gekozen inlogcode van uw digipas
de volgende cijfercode intoetst: 67898467 ?
Dan krijg ik "45954300"...

Eens kijken, wat zegt de computer? Ja, dit is volgens de computer correct.
U bent dus met aan zekerheid grenzende waarschijnlijkheid inderdaad wie u zegt dat u bent,

De hoofdcomputer zorgt er verder voor dat de cijfercode die ik u zonet gaf niet opnieuw zal worden gebruikt..
Maar houd de inlogcode van uw digipas geheim.
"Heel fijn meneer, dank u wel."

.(wel na meestal enkele jaren als de batterij leeg is weer een nieuwe digipas aanvragen bij de gemeente of zo)
02-03-2024, 08:46 door Anoniem
En dan nog is het uiteraard nog geen verplichting van diegene aan wie jij je posts richt om er iets mee te doen.
Dit soort posts gegeven het niveau aan van nu en is niet meer vergelijkbaar met vroeger, helaas, het
gaat namelijk om een discussie, en hier van te leren.

Als je weet waar je over praat dan kun je niet om de bijdrage van Eric van Straten heen, zijn gelijk
of ongelijk staat in de toekomst dus je hoeft alleen maar terug te kijken om te zien of hij wel of geen
onzin verkoopt. Het is aan jou en die andere wat je hier van vindt maar ik ben ervan overtuigd dat hij
ziet wat jullie niet zien en helaas gelijk heeft.

Dat de meerderheid niet wil leren is jammer en wij blijven met die rotzooi van een onbetrouwbaar internet
zitten.
02-03-2024, 09:53 door Anoniem
Door Anoniem:
En dan nog is het uiteraard nog geen verplichting van diegene aan wie jij je posts richt om er iets mee te doen.
Dit soort posts gegeven het niveau aan van nu en is niet meer vergelijkbaar met vroeger, helaas, het
gaat namelijk om een discussie, en hier van te leren.

Als je weet waar je over praat dan kun je niet om de bijdrage van Eric van Straten heen, zijn gelijk
of ongelijk staat in de toekomst dus je hoeft alleen maar terug te kijken om te zien of hij wel of geen
onzin verkoopt. Het is aan jou en die andere wat je hier van vindt maar ik ben ervan overtuigd dat hij
ziet wat jullie niet zien en helaas gelijk heeft.

Dat de meerderheid niet wil leren is jammer en wij blijven met die rotzooi van een onbetrouwbaar internet
zitten.

Wat een rare reactie.

Het leerdoel is al gestopt bij een opmerking als:
Door Anoniem: Dat de meerderheid niet wil leren is jammer en wij blijven met die rotzooi van een onbetrouwbaar internet zitten.

Of geldt leren alleen voor een bepaalde groep?
In dat geval heet het meer 'verplicht luisteren' dan leren en is er geen sprake van een discussie.
02-03-2024, 11:28 door Anoniem
Of geldt leren alleen voor een bepaalde groep?
In dat geval heet het meer 'verplicht luisteren' dan leren en is er geen sprake van een discussie.
Ik leer van iedereen, lijkt mij normaal. En dat jij dat een vreemde opmerking vindt daar leer ik ook van, ik hoop
dat je dat begrijpt.

https://www.leraar24.nl/50635/cooperatief-leren-leren-van-en-met-elkaar/

https://blnqimpact.nl/wat-jij-kunt-leren-van-de-ander/

https://klasse.pro/leren-van-elkaar
02-03-2024, 16:41 door Erik van Straten - Bijgewerkt: 02-03-2024, 16:49
Door Anoniem:
Of geldt leren alleen voor een bepaalde groep?
In dat geval heet het meer 'verplicht luisteren' dan leren en is er geen sprake van een discussie.
Ik leer van iedereen, lijkt mij normaal. En dat jij dat een vreemde opmerking vindt daar leer ik ook van, ik hoop
dat je dat begrijpt. [...]
Dank voor de support! Ook ik ben hier om te leren (mede door informatie uit te wisselen).

Wat anderen van mijn posts vinden, mogen zij helemaal zelf weten. Maar als zij willen reageren omdat hen iets niet aanstaat, kom dan met goed onderbouwde argumenten. Ik denk absoluut niet dat ik alles weet, laat mij graag corrigeren en pas regelmatig mijn mening aan.

EKTB
Echter, met "reacties" van azijnpissers zoals EKTB kan ik helemaal niets. Uit https://security.nl/posting/827167:
28-01-2024, 13:15 door EKTB: Niks mis met de KopieID app, Topicstarter Erik van Straten moet 1) ophouden met zeiken en 2) leren duidelijke topics te schrijven zonder onnodige tekst.
Of deze (https://security.nl/posting/831990):
01-02-2024, 19:20 door EKTB: De titel gaat over Kopie-ID met de titel "kap ermee", na enige regels gaat het ineens over een DigiD-account. Wat een wazig gezever van de auteur wederom.
Klik eens op wat links in https://security.nl/profile?alias=EKTB. Dat soort bots (mensen?) draagt niks bij aan discussies over-, en/of security/privacy in het algemeen, verziekt de sfeer en probeert ook de laatste (nog overgebleven) serieuze mensen weg te jagen van deze site.

Anoniem 01-02-2024, 20:56
Iets minder onvriendelijk, maar toch, uit https://security.nl/posting/832006 (ik reageer tussendoor):
01-02-2024, 20:56 door Anoniem: Nou ja, hier ben ik het wel weer een beetje met @EKTB eens.
Gefeliciteerd (kies je vrienden met zorg).

01-02-2024, 20:56 door Anoniem: Zoals ik in het Passkey topic al opmerkte
IK? WELKE "IK"? Is dit een spelletje "raden maar"? Welke anonieme jankerd was jij in die draad? Neem een account als je serieus wilt discussieren, of noem anders op z'n minst datum en tijd en/of de URL naar jouw reactie.
Dat kan overigens als volgt: druk rechtsboven de reactie wat langer op (i). Er verschijnt een pop-up menu met bovenin bijvoorbeeld:
https://www.security.nl/abuse/832006.
Klik "Copy link" en plak deze waar je wilt. Vervang "abuse" door "posting" en verwijder desgewenst "www." om de link wat korter te maken.

01-02-2024, 20:56 door Anoniem: is er misschien een reden dat Google niet meegaat in je argumenten
Kunnen we die discussie tot die draad beperken, of heb je te weinig argumenten om mij mee om mijn oren te slaan?

01-02-2024, 20:56 door Anoniem: , net zoals de ontwerper van EDIW dat niet doet.
En dat is twee.

01-02-2024, 20:56 door Anoniem: Dat je op meerdere sites iets post en daar onderling naar verwijst maakte het nog niet direct een "wereldwijd" thema.
Waar claim ik dat ik er een "wereldwijd thema" van maak of wil maken? Er wordt eindeloos geklaagd dat mijn posts te lang zijn (ook door jouw vriend(in) EKTB). Daarom verwijs ik, voor aanvullende details, vaak naar (vooral Nederlandstalige) bijdragen van mijzelf, maar ook heel vaak van anderen (word je er blij van als ik voortaan écht alles in één reactie kopiëer?).

Ik neem overigens aan dat je ook een bloedhekel hebt aan https://wikipedia.org. "OMG, zóvéél links, om gek van te worden!"

01-02-2024, 20:56 door Anoniem: En zoals @EKTB al aangeeft wordt bij het onderbouwen van een zorg er allerlei risicos bijgehaald die uit of het security of privacy domein komen, maar niet noodzakelijkerwijs relevant zijn.
Je hebt ergens op een verkeerde link geklikt. Dit is niet https://ongehoordnederland.tv of https://margriet.nl.

Deze site heet https://security.nl en deze draad ben ik gestart in het subforum "Privacy - Wat niemand over je mag weten".

Als jij, m.b.t. de risico's "die uit of het security of privacy domein komen" zou vermelden welke je bedoelt, en met steekhoudende argumenten zou onderbouwen waarom die "niet noodzakelijkerwijs relevant zijn", dan ZOUDEN andere lezers en ik daar wellicht wat van kunnen leren. Nu ben je alleen maar mijn topic aan het saboteren.

01-02-2024, 20:56 door Anoniem: Ik denk dat als je bij de kern blijft en minder onderling verwijst naar je eigen posts, het de leesbaarheid van je zorgen en genoemde risicos ten goede komt.
Ik niet. Stop met het lezen van mijn bijdragen. Ik ben totaal niet geïnteresseerd in jouw, al dan niet goed-, bedoelde tips over mijn schrijfstijl; STFU.

En, in tegenstelling tot bij anonieme reacties van jou, hoeft niemand, die uitsluitend naar de naam van de auteur dezes kijkt, ook maar één letter te lezen van wat ik schreef.

01-02-2024, 20:56 door Anoniem: En dan nog is het uiteraard nog geen verplichting van diegene aan wie jij je posts richt om er iets mee te doen.
Waar verplicht ik iemand iets? Dat kan ik niet eens. Ik probeer slechts, zo goed en zo kwaad als ik kan, te beargumenteren waarom sommige zaken niet deugen, en ik probeer altijd oplossingen te bedenken (die zullen, sneu voor techsolutionisten, niet altijd voor 100% op techniek gebaseerd zijn).

Kortom, ook met jouw reactie kan ik helemaal niets. Bladvulling, lorem ipsum.

Clippy
Ik sluit af met een link (!!!) naar een m.i. toepasselijke meme (niet van mij!!!): https://infosec.exchange/@_st0m_/112020269908968400.
02-03-2024, 17:15 door Anoniem
Door Anoniem: We zouden met zijn allen aan de digipas kunnen gaan.

"Meneer, wat is het unieke serienummer van uw persoonlijke digipas?"
"18000000"
"Okee, eens kijken wat de computer hier momenteel op teruggeeft. Eh,
"wat krijgt u terug als u na het intoetsen van de door uzelf gekozen inlogcode van uw digipas
de volgende cijfercode intoetst: 67898467 ?
Dan krijg ik "45954300"...

Eens kijken, wat zegt de computer? Ja, dit is volgens de computer correct.
U bent dus met aan zekerheid grenzende waarschijnlijkheid inderdaad wie u zegt dat u bent,
En waar zit dan de "aan zekerheid grenzende waarschijnlijkheid" dat degene die de digipas in handen heeft en de inlogcode kent ook de rechtmatige eigenaar ervan is?
Jij toetst alleen of de digipas geldig is resp. geregistreerd is.

En voor het geval dat je met je digipas ook het internet op wou gaan, dan loop je toch tegen precies dezelfde problemen aan als de kopie-ID?
02-03-2024, 18:05 door Anoniem
Dank voor de support! Ook ik ben hier om te leren (mede door informatie uit te wisselen).
Van jou bijdragen leer ik en dat krijg ik gratis als ik op deze site kom, misschien wel de reden dat ik
op deze site kom en hoop dat je daarmee verder gaat.

Anoniem: 02-03-2024, 11:28
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.