Nieuws
image

DigiD laat phishingwebsite uit de lucht halen

maandag 17 maart 2025, 16:36 door Redactie, 8 reacties

Een website die door cybercriminelen werd gebruikt voor het stelen van DigiD-inloggegevens is uit de lucht gehaald. DigiD adviseert gebruikers nooit QR-codes te scannen. Dit meldt een woordvoerder van DigiD aan het AD. De brief stelt dat gebruikers hun DigiD gegevens moeten beschermen en hun toegang moeten heractiveren. Aan de onderzijde van de brief staat een QR-code, met een oproep deze te scannen. De QR-code verwijst gebruikers echter niet door naar de legitieme site, maar juist een phishingwebsite.

Op grote schaal verspreid

De brief is uit naam van DigiD op grote schaal verspreid, zowel online als fysiek. De brief lijkt op het eerste oog sterk op legitieme brieven van DigiD. Zo kloppen vermelde gegevens als adresgegevens en telefoonnummer, en is de brief voorzien van een logo van de Rijksoverheid.

Diverse politiediensten waarschuwden de afgelopen dagen al voor de brief. Ook plaatste DigiD een waarschuwing op zijn website. "Valse brief in omloop Heeft u een brief ontvangen over het ‘opnieuw activeren’ van uw DigiD? Mogelijk is deze brief een vals bericht", schrijft DigiD op zijn website.

Reacties (8)
17-03-2025, 18:55 door Anoniem
> DigiD adviseert gebruikers nooit QR-codes te scannen.

Eigenlijk is het een ontwerpfout bij elke (stock) QR-scan app(licatie) op zowel mobiel als desktop om URL's die uit QR-codes komen, zonder bevestiging gelijk met het geassocieerde programma te openen.

Maar dat wordt niet gedaan want "gebruiksonvriendelijk".

Dat er vaak URL-shorteners met dubieuze (domein)namen wordt gebruikt, helpt ook niet mee.
18-03-2025, 07:24 door Anoniem
Door Anoniem: > DigiD adviseert gebruikers nooit QR-codes te scannen.

Eigenlijk is het een ontwerpfout bij elke (stock) QR-scan app(licatie) op zowel mobiel als desktop om URL's die uit QR-codes komen, zonder bevestiging gelijk met het geassocieerde programma te openen.

Maar dat wordt niet gedaan want "gebruiksonvriendelijk".

Dat er vaak URL-shorteners met dubieuze (domein)namen wordt gebruikt, helpt ook niet mee.

Ik moet anders met de standaard foto-app en de QR-app die ik op mijn telefoon (iPhone) gewoon nog extra klikken om de URL daadwerkelijk te openen hoor. Nee, het is geen 'weet u het wel zeker', maar het is ook geen 'scannen en gelijk openen'.
18-03-2025, 08:55 door Anoniem
DigiD adviseert gebruikers nooit QR-codes te scannen.

Das wel bijzonder omdat de DigiD app je zelf vraagt QR codes te scannen wanneer je wilt aanmelden.
18-03-2025, 09:40 door Anoniem
Ik denk dat het probleem is dat gebruikers niet weten wat "trusted" en "untrusted" context is. Een QR code van de juiste website om bijvoorbeeld in te loggen is veilig te gebruiken, maar een QR code van een willekeurige brief of website is dat nou weer niet. Veel mensen zien de QR code als een beweging van "untrusted" naar "trusted", wat simpelweg onjuist is.
18-03-2025, 10:45 door Anoniem
dat de brief geen persoonlijke aanhef heeft, is voor mij een teken van, pas op, mogelijk vals/phishing
18-03-2025, 15:44 door Briolet
Door Anoniem:
DigiD adviseert gebruikers nooit QR-codes te scannen.

Das wel bijzonder omdat de DigiD app je zelf vraagt QR codes te scannen wanneer je wilt aanmelden.

Dat bevreemde mij ook aan deze oproep. De hele werking van de DigiD app berust op het inscannen van een QR code. Als je nooit een QR code scant, kun je ook nooit inloggen op een gewenste site.
19-03-2025, 15:22 door Anoniem
Dat bevreemde mij ook aan deze oproep. De hele werking van de DigiD app berust op het inscannen van een QR code. Als je nooit een QR code scant, kun je ook nooit inloggen op een gewenste site.

En krijg je deze QR code ooit in een email bericht van DigiD ?
19-03-2025, 15:23 door Anoniem
Ik vraag me af waarom DigiD beweert dat nepberichten te herkennen zijn aan gebrekkig Nederlands. In werkelijkheid is dit vaak helemaal niet het geval. Veel phishers herschrijven hun berichten tegenwoordig met GenAI-tools om eventuele fouten te corrigeren. Door te veel nadruk te leggen op de mogelijkheid (!) van spelfouten ontstaat bij veel leken een vals gevoel van veiligheid wanneer ze een bericht zonder taalfouten ontvangen. Spelfouten kunnen een indicatie zijn van phishing, maar afwezigheid van spelfouten biedt geen zekerheid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search