Internetcrimineel weet beter wie u bent dan uzelf

Alleen al de Verenigde Staten verliezen per jaar zo'n 25 miljard dollar aan identiteitsfraude. In Nederland lopen de schattingen uiteen van €7,9 miljoen tot €5,3 miljard. Bij dit soort criminaliteit denken we aan even briljante als kwaadaardige hackers die een gat in uw firewall slaan en de kluis leegroven. In werkelijkheid stelt het niet zoveel voor, zo schrijft Bloomberg Businessweek in zijn meest recente editie. 'The prefix “cyber-” evokes technological sophistication, yet cybercrime depends on legions of old-fashioned crooks.' De zin komt uit een verhaal over de Wit-Russische crimineel Dmitry Naskovets, die in de VS werd veroordeeld voor medeplichtigheid aan tenminste 5.000 (bewezen) gevallen van fraude. Was Naskovets zo'n goede hacker? Helemaal niet. Hij werd in de louche zaken van een oud-klasgenoot betrokken omdat hij goed Engels sprak en een goed geheugen had. Zo moest Dmitry banken en creditcardmaatschappijen om de tuin leiden als ze een verdachte transactie hadden geconstateerd. Eén keer maakte Naskovets mee dat American Express een dubbelgesprek met de kaarthouder en hijzelf opzette, waarbij beiden dezelfde vragen kregen voorgelegd. Naskovets won dit duel, omdat hij de antwoorden van zijn scherm kon oplezen terwijl de rechtmatige eigenaar erover moest nadenken. Eén keer kwam hij zwaarder in de problemen. Hij moest een zekere Thomas Jefferson en Naskovets had geen idee wie dat was. Hij kwam er uiteindelijk toch gewoon mee weg door de fraudehelpdesk wijs te maken dat ze het verkeerde nummer gebeld hadden.

Maar was hij dan niet bij voorbaat verdacht vanwege zijn accent? Nooit iets van gemerkt, zegt Naskovets zelf. 'Agents at banks followed a tight script. As long as he had all the answers right, he says, they weren’t going to risk going to a supervisor over a foreign accent.' Uiteindelijk liep zijn opdrachtgever tegen de lamp en werd ook Naskovets voor 33 maanden achter de Amerikaanse tralies gezet. Niet dat dat hem veel problemen opleverde, afgezien van een paar afgesleten tanden na een gevangenis-incidentje. Al in de gevangenis kreeg hij de ene na de andere baan aangeboden ('You can get life for two kilos of cocaine, but if you’re going to get some bank fraud, OK, you’re going to get 18 months. And at the same time, the reputation you got, it’s like, "Oh, you are the most sophisticated." So this is crazy.') Naskovets werkt nu voor het kantoor van zijn Amerikaanse advocaat. Een sollicitatie bij American Express liep op niets uit. Toch zou het handig zijn als ze hem nog eens laten langskomen. Want zolang banken en creditcardmaatschappijen hun informatie die de echtheid van klanten moet bewijzen uit dezelfde bak vissen als de oplichters, zal er weinig in de wereld veranderen.

Reaguursels

Inloggen

Ik dacht altijd dat het sprookje over een Tepelspeeltje ging.

Flatulent | 19-07-15 | 23:06 | + -1 -

straatham | 19-07-15 | 10:39
Dat is niet zo moeilijk Repelsteeltje.

Simon_GS | 19-07-15 | 22:22 | + 0 -

-weggejorist-

straatham | 19-07-15 | 10:39 | + 0 -

@ Simon_GS | 18-07-15 | 09:19 | + 8 -
En volgens de overheid is dit een economisch delict waar een gevangenis op zou moeten staan of een hoge geldboete. Ik ben het met u eens. Van de pot gepleurd, die NL overheid.

BLR | 19-07-15 | 06:32 | + 0 -

@Le Roi | 18-07-15 | 01:33 |
Daarom zet ik ook bij elk bedrijf dat een kopie nodig heeft van mijn id kaart of paspoort erop dat het een kopie is.
ik heb een scan waarop al staat dat het een kopie is en verder zet ik daar de naam van het bedrijf enkele keren op (verschillende lettertypes en kleuren) om te zorgen dat het zo goed mogelijk data verbergt die het bedrijf niet nodig heeft om zaken met mij te doen.
op deze manier wordt het een stuk lastiger om het te gebruiken voor andere doeleinden.

En over de oplossing, ik heb wel eens presentaties bijgewoond waarin verteld werd dat google of facebook onze identiteit wordt.
Deze bedrijven weten bijna alles van je en hebben een betere beveiliging dan de meeste overheden.
Een simpele login met je google of facebook account is dan het bewijs dat jij bent wie je beweert.
Of dit verstandig is, daar heb ik mijn twijfels over. het klinkt dan meer als een overgave aan deze internet grootmachten ( je weet al veel, dus hier krijg je alles) dan dat het een oplossing is.

dejeroen | 18-07-15 | 19:52 | + 0 -

Er gebeurt ook niks als je slachtoffer bent van identiteitsdiefstal is mijn ervaring. Politie wil de aangifte niet opnemen "want wij doen er toch niks mee". De bank wil geen aangifte doen als er onder valse identiteit (die van mij) bij hun een rekening geopend is als er geen materiële schade is. Alle reden om daarom zelf te bepalen waar je je identiteit gebruikt en waar juist niet.

Simon_GS | 18-07-15 | 18:44 | + -1 -

aphotisch | 17-07-15 | 22:04 | + -1 -
-
Een goed wachtwoord kraak je niet zomaar. Die ww vergeten vragen moet je gewoon willekeurig alfanummeriek invullen, met 20 karakters. Password manager is ook handig.
-
Simon_GS | 18-07-15 | 09:19 | + 4 -
-
Een bedrijf moet dat, maar er gebeurt niks als je dat niet doet.

Raider Twix | 18-07-15 | 15:13 | + 0 -

@ H. Caulfield | 18-07-15 | 01:45
Wat knap van jou dat je kon zien wat je vriend had gekocht terwijl dit niet zichtbaar is bij Air Miles.

minik | 18-07-15 | 14:39 | + 2 -

Probleem zit 'em er ook in dat bedrijven graag willen dat het voor jou, de klant, zo makkelijk mogelijk is, en daarmee helpen ze de crimineel. Want als jij 80% van de vragen goed beantwoordt, en 20% niet of niet volledig, dan voldoe je toch aan de zachte eisen die de behulpzame callcenter medewerker heeft.

Zo heb ik ooit een account bij een groot gokbedrijf gekregen van een vriend, ik deed wat met online kansspelen en het geautomatiseerd spelen van de spelletjes, ik kreeg zijn account en op een bepaald moment moest ik contact opnemen met de helpdesk. Ik had de antwoorden op alle vragen van mijn vriend gekregen, dacht ik, maar op één niet. Ik stamelde wat, maar omdat ik alle andere vragen goed had, was het geen probleem en vertelde de medewerker wat wel het goede antwoord was. Mijn account was weer actief.

Ik belde toen mijn vriend om hem te zeggen dat ik de naam van zijn eerste huisdier zo leuk vond. Hoe ik dat wist? Dat vertelde die aardige mevrouw van het gokbedrijf mij...

En zo ongeveer is het ook gegaan bij de recente lek met al die selfies van celebs: als je een deel weet, dan haal je de rest wel binnen op de één of andere manier.

Overigens denk ik dat als je ervoor kiest een FB-account te hebben dat je daarmee eigenlijk zegt: ik geef zo weinig om mijn privacy dat ik het gewoon openbaar maak, alstublieft!

Fritsjoffer | 18-07-15 | 10:46 | + 4 -

Le Roi | 18-07-15 | 01:33
Weet u dat iedere ZZP-er verplicht zijn BTW nummer op zijn website moet zetten? En weet u dat dit nummer vrijwel overeenkomt met zijn BSN nummer? Onze overheid is mesjokke. Ik heb wel eens meegemaakt dat iemand een rekening openende op mijn bedrijfsnaam en de enige reden dat de bank MIJ nog geloofde was omdat de fraudeur NIET mijn BSN nummer gebruikt had (hetgeen de bank overigens had moeten checken maar niet gedaan had). Ik publiceer n.l. NIET mijn BSN nummer op mijn website ondanks de verplichting van de overheid. Juist om ellende te voorkomen.

Simon_GS | 18-07-15 | 09:19 | + 12 -

aphotisch | 17-07-15 | 22:04 | + 0 -

ik weet een nog veel betere oplossing: niet op smoelboek zitten.
next.

FW Ta-183 Huckebein | 18-07-15 | 01:48 | + 3 -

Als je programmeur bent, krijg je altijd dezelfde drie vragen. 1. Kan je mijn printer/netwerk/etc installeren? 2. Waar kan ik de beste films/muziek/porn downloaden? 3. Kan je iets hacken?

Jaren geleden zat ik in een grand café een biertje te drinken. Ploft een vage bekende ernstig zuchtend op de bank tegenover me. Ik informeer vriendelijk of ie een zware avond had gehad. 'Ja, joh! Ik was gisteren jarig. Stevig gezopen. 10 kratten pils, 4 flessen scotch en 3 flessen bacardi.' Ik feliciteer de knul en informeer hoe oud hij was geworden.

Een serveerster doet onze tafel aan en hij vraagt of ik nog een biertje wil. Sla ik niet af. Als de bestelling arriveert, rekent ie meteen contant af. We drinken nog een paar biertjes.

Dan komt de vraag. 'Zeg, jij bent toch programmeur. Wel eens iets gehacked?' Ik antwoord ' Ja hoor, zien?' Tuurlijk, zegt hij. 'Geef me even je airmiles card die ik in je portemonnee zag toen je betaalde.' Ik ga naar airmiles.nl en, klik op wachtwoord vergeten. Ik vul het nummer van z'n pasje in en z'n geboortedatum. Die had ie immers verteld. Uit z'n recente aankopen bleek dat ie slechts 2 kratten bier, 1 fles red label en 1 fles bacardi had gekocht... Hij griste het pasje uit mijn hand en verliet de zaak met het schaamrood op de kaken.

Moraal van deze anekdote is dat een hacker gaat voor de zwakste schakel. Of het nu hardware, software of wetware is..

H. Caulfield | 18-07-15 | 01:45 | + 21 -

Het wordt in dit digitaal tijdperk eens hoog tijd dat de overheid met een oplossing komt om identiteitsfraude tegen te gaan. Een database waarin men a.h.v. bijvoorbeeld een paspoortnummer, geboortedatum, BSN en andere gegevens kan valideren of een persoon waar zij zaken mee doen wel 'echt' is, bijvoorbeeld. Ja, het ontfutselen van gegevens stelt anno 2015 niets meer voor. Ik ben dan weliswaar softwareontwikkelaar met een berg aan technische kennis, maar zelfs non-techneuten kunnen het zonder al te veel moeite klaar spelen. Je kunt met iemand's (kopie van) identiteit of alleen al een BSN enorme fratsen uithalen, simpelweg omdat men niet kan controleren of het wel klopt. Er zijn heuse horrorverhalen op Internet te vinden waarin er bijvoorbeeld hele woningen werden gehuurd of auto's werden gekocht alleen maar gebruik makend van een beetje gegevens van een gedupeerde. En ja, die zijn echt.

Le Roi | 18-07-15 | 01:33 | + 2 -

En toch blijft er om de zo veel tijd een oerdomme babyboomer met het idee komen dat we allemaal verplicht onze correct NAW moeten gebruiken als we online gaan. Juist de mensen met het argument dat ze toch niets te verbergen hebben en dus alles online gooien, zijn de mensen die worden opgelicht. Wijze raad van een persoon in 1995 was "If you ain't running the scam, you're being scammed." als het het internet betreft.

Interpolerend | 17-07-15 | 23:57 | + 10 -

@aphotisch | 17-07-15 | 22:04 | + 0 - een vingerafdruk is net zo lek als de rest. een of andere kwiebus van de TU heeft ter demonstratie al eens een vingerafdruk gemaakt van iets wat hij toevallig van TV had opgenomen .

Vogelbeest | 17-07-15 | 22:22 | + 4 -

Ik hoorde een verhaal van een ex-cybercrimineel die zei dat met facebook info en een pasfoto al een identiteit kon stelen. Of simpelweg een van die "wachtwoord vergeten" vragen invullen met informatie die mensen gewoon online hebben gezet. Er valt volgens mij weinig tegen te doen tenzij je of een vingerafdruk scanner gebruikt, of een identifier.

aphotisch | 17-07-15 | 22:04 | + -11 -

Ik hoorde een verhaal van een ex-cybercrimineel die zei dat met facebook info en een pasfoto al een identiteit kon stelen. Of simpelweg een van die "wachtwoord vergeten" vragen invullen met informatie die mensen gewoon online hebben gezet. Er valt volgens mij weinig tegen te doen tenzij je of een vingerafdruk scanner gebruikt, of een identifier.

aphotisch | 17-07-15 | 22:04 | + 0 -

REAGEER OOK

Linktip: Energie vergelijken