Verzekering

Binnenkort wordt zoonlief, volgens de wet, een volwassen jongeman. Het bereiken van de achttienjarige leeftijd betekent echter nog niet per se dat zo iemand dan ook volledig zelfstandig door het leven kan (of wil), zoals menige ouder zal beamen.

Een van de consequenties van het bereiken van meerderjarigheid is de verplichting om zelf een ziektekosten-verzekering te hebben. Onze huidige verzekering dacht daar een slaatje uit te kunnen slaan: omdat ik de jaarpremie in één keer betaalde, vonden zij dat ik de premie voor m’n zoon ook maar meteen in januari moest betalen. Het heeft even wat moeite gekost, maar ik kon ze uiteindelijk duidelijk maken dat dat nergens op slaat en dat het helemaal niet vanzelfsprekend is dat mijn zoon zich bij hen gaat verzekeren.

Om de jeugdige zelfstandigheid te bevorderen, heb ik hem verzocht om zelf op zoek te gaan naar een geschikte verzekering (om daar meteen aan toe te voegen dat we, na zijn initiële speurtocht, samen verder kijken). Ik wilde hem laten ervaren dat er best wel wat bij komt kijken en dat er diverse keuzes moeten worden gemaakt. Daarbij gingen mijn gedachten terug naar 1990, toen ik – als ziekenfondsverzekerde – de rijksdienst betrad en me derhalve particulier moest verzekeren. Ik weet niet meer hoe dat toen precies ging, maar wel dat het toen allemaal veel overzichtelijker was.

Reeds een dag later dat hij het had uitgezocht. Voor “iets van honderddertig euro” had hij een verzekering waar de tandarts en de fysiotherapeut bij in zaten. Die laatste leek hem wel handig vanwege zijn sportieve uitspattingen en z’n bijbaantje in de supermarkt, waar hij een paar avonden in de week heer en meester over groente en fruit is, en dus het nodige til- en bukwerk verricht. En die tandarts, tja, daar gaat hij inderdaad tweemaal per jaar naar toe voor controle en soms ook wel een keertje extra. Overigens was hij ook in de veronderstelling dat Toeslagen zijn ziektekostenverzekering (volledig) betaalt.

Kortom, hij had wel degelijk nagedacht over zijn verzekering en daarbij ook een paar keuzes gemaakt. Goed zo, jongen! Ik had nog wel een paar dingetjes toe te voegen. Om te beginnen dat Toeslagen niet zomaar z’n verzekering ging betalen, maar daar een inkomensafhankelijke bijdrage aan zou leveren. Verder heb ik uitgelegd dat Nederland kampioen verzekeren is: bij veel producten, zoals mobieltjes, fietsen en wasmachines wordt tegenwoordig een verzekering aangeboden (soms vermomd als ‘verlengde garantie’), en velen lijkt dat zonder lang nadenken een goed idee. Om een beetje fatsoenlijk met je geld om te gaan moet je echter verder kijken.

Zoals: hoeveel kost die (extra) verzekering nou precies? En wegen die verzekeringskosten op tegen de te verwachten medische kosten? Ai, dat is een lastige vraag: hoe weet je vooraf welke kosten je gedurende het jaar gaat maken? Dat weet je natuurlijk nooit zeker, maar je kunt een inschatting maken op basis van je verleden. Ben je kind aan huis bij de tandarts? Dan is zo’n verzekering, afhankelijk van welke kosten ze allemaal dekt, misschien wel een goed idee. Heb je daarentegen oersterke tanden en kiezen en kom je hooguit bij de tandarts omdat dat nu eenmaal hoort, dan kun je de kosten voor die controles beter uit eigen zak betalen. En hoeveel kost nou eigenlijk zo’n sessie bij de fysio, en hoeveel sessies vergoedt de verzekering?

En dan is er nog het eigen risico. Als je medische kosten naar verwachting onder het wettelijke eigen risico blijven, dan kun je net zo goed een hoger eigen risico nemen. Dat scheelt premie, en die uitgespaarde kosten kun je desnoods besteden aan medische kosten. Komen die er niet, dan kan dat geld in de spaarpot. Bij dat alles speelt die spaarpot trouwens wel een belangrijke rol. Als de medische kosten een keer flink uit de hand lopen terwijl je een magere verzekering hebt afgesloten, heb je dan voldoende geld om die kosten zelf te kunnen dragen? Verzekeringen zijn er nou juist om je financieel te beschermen tegen kosten die je, áls ze zich voordoen, niet zelf kunt betalen.

En dat, zo sloot ik ons gesprek af, is nu wat ik voor mijn werk doe: risicoanalyses uitvoeren. Kijken naar dreigingen, de ernst ervan, mogelijke maatregelen en de impact daarvan. Nemen we maatregelen, of accepteren we het risico? Bij dat laatste hoort ook dat we – heel volwassen – niet gaan zitten huilen als de dreiging zich daadwerkelijk manifesteert. Het is geen exacte wetenschap, dus je kunt er naast zitten. Bovendien kan een manager er, vanuit zijn bredere verantwoordelijkheid, anders tegenaan kijken en niet in je advies meegaan. Uiteindelijk draait het om het maken van keuzes die goed voelen en die je kunt verantwoorden.

Volgende week verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• maken fraudeurs moeite- en schaamteloos misbruik van de pandemie.
• doet de corona-app het even niet, vanwege een privacy-issue op Android-telefoons.
• sleept een groep Amerikanen Google vanwege dat issue voor de rechter.
• was een Brits spoorwegbedrijf niet alleen het slachtoffer van ransomware, maar werd ook nog eens het mailaccount van hun directeur gebruikt om dat wereldkundig te maken.
• kan een QR-code je naar een verkeerde bestemming leiden.
• behoren domeinnamen tot de kroonjuwelen van ieder bedrijf.
• kun je natuurlijk ook een password manager hacken. (En toch is het slim om er eentje te gebruiken.)
• zijn de klanten van die password manager nu doelwit van een phishingaanval.
• werkt de overheid aan een digitaal paspoort.
• leiden cybercriminelen een saai leven.
• zitten diezelfde cybercriminelen wel goed in de slappe was.
• is de bescherming van je privacy een belangrijke functie van chat-apps.

 

Geld

“Ik zag vandaag in de winkel een mevrouw nog heel omslachtig betalen met contant geld. Langzaam werden de biljetten, de euro’s en het kleingeld uitgeteld. Ach mens, betaal toch met de pin dacht ik – respectloos.”

Tot zover het mailtje van een inmiddels gepensioneerde collega, die vervolgens de hand in eigen boezem stak en zich afvroeg of hij niet zelf ook achterloopt, omdat hij geen zin heeft om over te stappen op betalen met de smartphone. En vervolgens vroeg hij zich ook nog af wat daar nou de voor- en nadelen van zijn, en welke risico’s er kleven aan de verschillende betalingsvormen. Of eigenlijk vroeg hij zich dat niet zelf af, maar hij verzocht mij om er eens een blog aan te wijden. De timing is uitstekend, want zo meteen gaan we weer massaal winkelen – of dat verstandig is, laat ik maar even in het midden – en misschien zijn we het betalen in een winkel wel een beetje verleerd.

Contant geld is vanuit de optiek van de informatiebeveiliging nauwelijks interessant. Het zit in je portemonnee, in je broekzak of in een oude sok onder je matras. Het bestaat niet uit bytes en er komt geen computer aan te pas, en dan kan ik er niks mee. Ik kan hooguit, als medegebruiker van het spul, een recente observatie delen. Een dame liep over straat, vlakbij een supermarkt. Niet alleen had zij haar portemonnee nog in de hand, nee, ze hield hem ook nog eens vast zoals je een ijsje vasthoudt, maar dan niet vlak voor zich, maar aan de zijkant van haar lichaam, omdat een gevulde boodschappentas in haar elleboogholte bungelde, en dan ook nog aan de kant van het fietspad. Was ik een straatrover was geweest, dan had ik die beurs met het grootste gemak uit haar hand kunnen grissen. Ik hoef de bijbehorende tip niet uit te schrijven hè?

Dan de pinpas. Die is al een stuk digitaler: er zit een computerchip op, die actief wordt als je de kaart in een betaalautomaat steekt of er vlak mee in de buurt van een contactloze lezer komt (minder dan tien centimeter).  Dat laatste is reuze handig, vooral omdat je voor kleine bedragen geen pincode hoeft in te toetsen. Vanwege corona is met maximum bedrag, waarbij geen pincode wordt gevraagd, zelfs verdubbeld naar vijftig euro – hoe minder contact met dingen die anderen hebben aangeraakt, hoe beter. Dat contact- en pinloze betalen maakt je pinpas wel enigszins kwetsbaar, zo willen diverse artikelen je doen geloven. Een dief met een kaartlezer zou, als hij dat apparaat vlakbij je kontzak houdt – aangenomen dat daar je portemonnee met bankpas woont – een contactloze betaling kunnen uitvoeren. Banken en pasfabrikanten bezweren ons echter dat dit niet kan. Het zou alleen met een door een legitieme winkelier bij zijn bank geregistreerd betaalapparaat kunnen, maar zo iemand is te traceren. Bovendien gaat het om kleine bedragen, waardoor het risico voor de dief veel te groot zou zijn. En ter geruststelling: áls er een keer ‘zo maar’ een bedrag van je rekening wordt afgeschreven zonder dat daarbij je pincode is gebruikt, dan vergoedt de bank de schade. Maar dan moet je natuurlijk wel regelmatig je afschrijvingen checken.

Met de betaalfunctie van je smartphone wordt het pas echt high tech. Je telefoon bevat een zogenaamde NFC-chip (Near Field Communication). In combinatie met de app van je bank wordt de telefoon een pinpas. Reuze gemakkelijk, want je hoeft alleen maar nog je telefoon bij je te hebben als je gaat shoppen. Als ‘ie het doet, tenminste – het overkomt mij vaker dan me lief is dat de betaalterminal akelig piept en de betaling weigert. Een tweede poging slaagt dan vaak wel.

Ondanks het gemak zie ik vanuit mijn vak toch een nadeel bij het betalen met je telefoon. Als voor een betaling de pincode vereist is, dan moet je die op je telefoon intoetsen. Je hebt geen tweede hand vrij om de boel mee af te schermen, en ook geen opstaande randen zoals die op de betaalautomaat zitten. Kortom, het is voor omstaanders relatief gemakkelijk om je pincode af te kijken. Als zo iemand vervolgens je bankpas rolt, dan kan hij daarmee je rekening plunderen. Dat zou je kunnen ondervangen door in je app niet de pincode van je bankpas te gebruiken. Een brutalere crimineel zou je telefoon kunnen afpakken als die ontgrendeld is en vervolgens boodschappen gaan doen op jouw kosten. Bij diefstal van je telefoon doe je er dus goed aan om je mobiele bankpas te laten blokkeren.

 

En in de grote boze buitenwereld …

• hebben we straks misschien wel digitale euro’s in onze telefoons. Maar dan willen we wel dat veiligheid en privacy geborgd zijn.
• kun je je geld ook in spullen op je Apple-device steken. Maar dan kan het zomaar ineens verdampen.
• is een wachtwoord allang niet meer goed genoeg.
• waarden er geesten rond op Clubhouse.
• vindt de ICT-jurist ook iets van de goedbedoelde wisactie van de FBI.
• zijn advertentieservers een gewild doelwit voor hackers.
• was er weer een omvangrijk datalek bij een Limburgs bedrijf (Allekabels zit ook in die contreien).
• hoor je ook je backups tegen lekkage te beschermen.
• is niet alles wat naar phish riekt ook daadwerkelijk een phish.
• komt de Amerikaanse justitie met een taskforce tegen ransomware.
• moeten smartphones en IoT-devices in het Verenigd Koninkrijk straks een houdbaarheidsdatum hebben.
• zijn Belgische supermarktklanten van hun elektronische zegeltjes beroofd.
• maken spionnen graag gebruik van valse LinkedIn-profielen.
• kun je natuurlijk ook een airfryer hacken.

 

Auto

Een paar weken geleden had ik in de rubriek En in de grote boze buitenwereld… een link opgenomen naar een blog van Google, waarin ze aankondigden dat je over een tijdje een digitale autosleutel in je Android-telefoon kunt opslaan. Wist ik veel dat zoiets allang bestaat, maar dan automerk-specifiek. Een lezer attendeerde mij daarop en voorzag me van een paar handige linkjes. Gevraagde tegenprestatie: vind hier eens iets van.

De auto in kwestie, de Ford Mustang Mach-E, kun je op drie verschillende manieren openen: met de elektronische sleutel, met je telefoon en met een pincode. Een sleutelgat is er niet. Die eerste optie ken ik van mijn eigen auto. Lekker makkelijk, want je kunt de sleutel op zak houden. Je drukt op een knopje op het portier, de auto checkt of de juiste sleutel in de buurt is en de sloten springen open. En zo’n auto start je vervolgens niet met de sleutel in het contactslot, maar door op de startknop te drukken. Wederom controleert de auto op de aanwezigheid van de sleutel en daar ga je. Dergelijke sleutels bewaar je thuis het beste in een gesloten blikje, want er zijn autodieven die apparatuur hebben waarmee ze – dwars door jouw voordeur – het signaal van de sleutel ‘verlengen’ tot aan de auto op je oprit. Het blikje, dat fungeert als kooi van Faraday, steekt daar een stokje voor.

Maar omdat we tegenwoordig alles met onze telefoon lijken te willen doen, moest ook de autobediening in een app gestopt worden. Phone as a Key (PaaK) noemen ze dat. Zo’n app werkt net als je elektronische autosleutel, maar je kunt er de auto ook op afstand mee openen en starten (binnen de reikwijdte van Bluetooth). Ik ga ervan uit dat dit met een versleuteld Bluetooth-signaal werkt, want anders zou een dief het signaal van jouw telefoon kunnen opvangen en het daarna zelf gebruiken om je auto te openen en ermee weg te rijden.

Vanuit beveiligingsoptiek vind ik de derde optie om in de auto te komen het interessants: een vijfcijferige pincode. Eigenlijk bedoeld voor als je telefoon leeg is, maar er zijn mensen die altijd de pincode gebruiken, zo valt op autofora te lezen. De sleutel laten ze thuis en de telefoon sluiten ze op in de auto als ze naar het strand gaan. Het touchpad in de deurstijl van de Mustang kent tien cijfers, maar ze staan in koppels. Daar is 1 en 2 hetzelfde, net als 3 en 4, enzovoorts. Dat levert je slechts 5⁵ = 3125 mogelijke combinaties op. Gelukkig zit er wel een time-out op: tik vijf keer een foute code in en je moet vijf minuten wachten. Stel voor het gemak even dat je vijf codes per minuut kunt proberen, dan heb je gemiddeld dik vier uur nodig om zo’n auto te brute-forcen (domweg proberen de code te kraken). Dat lijkt me voldoende vertraging als je auto ergens staat waar genoeg mensen langskomen (tenzij de dief wel erg brutaal is), maar wat als je auto twee weken lang op zo’n immens groot parkeerterrein op Schiphol staat? Gelukkig kun je dat toetsenbordje ook uitschakelen.

De grootste bedreiging voor je auto zijn overigens je vingers. Als je de auto met de pincode opent, dan laten die vingers namelijk vetsporen achter op de deurstijl. Je kunt dan gemakkelijk zien uit welke cijfers de code bestaat. Vervolgens hoef je die alleen nog maar in de juiste volgorde te zetten. Vijf vettige vingerafdrukken kunnen in 120 verschillende volgordes worden gezet. Als de pincode 14629 is, dan zie je slechts vier vingerafdrukken, de 1 en de 2 zitten immers op dezelfde plek. Dat wordt beloond met vijf keer zoveel mogelijkheden: de autokraker kijkt tegen 600 verschillende mogelijkheden aan, waarvan hij gemiddeld de helft zal moeten proberen om succes te hebben. Dat kost je dan een klein uur. Bij vijf verschillende cijfers is hij al na gemiddeld tien en maximaal twintig minuten binnen. Maar hij kan natuurlijk ook heel ouderwets een ruitje intikken en die laptop van de achterbank grissen. Zonder sleutel of gekoppelde telefoon neemt hij de auto zelf trouwens niet mee. Maar ja, die strandganger had z’n sleutel en/of telefoon in het handschoenkastje gelegd om ze niet kwijt te raken…

Dus, als je een dergelijke auto hebt (het hoeft geen Mustang te zijn): sleutel thuis in een gesloten blikje bewaren, je telefoon niet kwijtraken en altijd een poetsdoekje bij de hand houden om je vingerafdrukken weg te vegen. En niet naar het strand gaan.

 

En in de grote boze buitenwereld …

• moeten er honderden miljoenen in onze cyberweerbaarheid gepompt worden.
• werken criminelen ook steeds vaker thuis.
• kun je er kennelijk over twisten of een zoekmachine voor wachtwoorden crimineel is.
• wist de FBI Apple er niet toe te bewegen om de iPhone van een schutter te kraken, maar een Australisch bedrijf deed dat wel.
• wordt de internetjurist niet bepaald blij van glurende werkgevers.
• gaat de FBI computers ‘hacken’ om schadelijke restanten van hacks op Microsoft Exchange te verwijderen. (De Nederlandse politie deed eerder iets soortgelijks.)
• kampt de Amerikaanse overheid zelf ook nog met achterstallig Exchange-onderhoud.
• weigert Facebook zijn leden te informeren over het grote datalek.
• blokkeert zoekmachine DuckDuckGo een als privacyvriendelijk bedoeld initiatief van Google, omdat volgens hen niet privacyvriendelijk is.
• kun je natuurlijk ook blockchains hacken.
• zijn zo’n beetje alle klantgegevens van Allekabels uitgelekt, inclusief wachtwoorden en bankrekeningnummers.
• is dit weliswaar een kleiner datalek, maar dan wel weer met inkomens.

 

App-apps

Het werkwoord whatsappen staat al sinds 2012 in de Dikke van Dale. Een jaar later werd daar het productneutrale appen aan toegevoegd. Ik had eerlijk gezegd geen idee dat we dat al zo lang doen. Sterker nog, een woord moet eerst zijn sporen verdiend hebben, wil het de Dikke halen. WhatsApp werd al in 2009 gelanceerd. In 2014 werd de app door Facebook ingelijfd.

Vooruit, nog een jaartal. Sinds 2016 kent WhatsApp end-to-end-encryptie. Dat betekent dat al jouw gesprekken – zowel in chats als wanneer je via de app belt – niet kunnen worden afgeluisterd. Jij bent het ene ‘end’ en je gesprekspartner is het andere ‘end’. Voor iedere gesprekspartner maakt je telefoon een unieke encryptiesleutel. Alleen wie over de sleutel beschikt, kan de berichten lezen. En dat zijn dus alleen jij en je gesprekspartner. Dat betekent dat niemand over je schouder kan meekijken, ook Facebook niet. Lekker privé dus.

Hoor je iets ritselen? Dat is het spreekwoordelijke addertje onder het gras. Als je met iemand chat, dan zijn er twee soorten gegevens: het eigenlijke bericht dat je typt, en de metadata. ‘Meta’ betekent zoveel als ‘over’; metadata zijn dus data over data, of in het geval van WhatsApp data over jouw conversaties: wie praat met wie. Maar ook hoe lang dat duurt, op welk type apparaat je zit, gegevens over je internetverbinding, locatie, welke apps je nog meer geïnstalleerd hebt, contactpersonen en nog wel meer. Eerder dit jaar is de gebruikersovereenkomst voor WhatsApp aangepast. Voortaan mogen al deze metagegevens vrijelijk met andere Facebook-bedrijven worden gedeeld. Ook jij hebt deze voorwaarden geaccepteerd. Of je hebt de app weggedaan. Andere opties waren er niet. Maar de EU schiet je te hulp: onze privacywetgeving staat dergelijke datadeling niet toe, en WhatsApp haastte zich dan ook om duidelijk te maken dat deze aanpassing niet voor ons geldt. Gemakshalve heb je haar wél alvast geaccepteerd, voor als iemand een slimme maas in de wet vindt of zo.

Er zijn alternatieven voor WhatsApp. Apps, die een soortgelijke look and feel hebben: ze zien er min of meer hetzelfde uit als WhatsApp en werken op vergelijkbare wijze. Sommige van die alternatieven zijn echter een stuk privacyvriendelijker dan de moeder aller chatapps. De bekendste daarvan is Signal. Die gebruikt dezelfde end-to-end-encryptie als WhatsApp (want WhatsApp gebruikt het door Signal ontwikkelde protocol). Het grote verschil is dat Signal geen commerciële basis heeft, maar met donaties wordt gefinancierd. Bovendien is het open source software: iedereen, die dat wil, kan in de broncode op zoek gaan naar verborgen functionaliteiten. Vooraanstaande cryptografen en privacyvoorvechters geven de voorkeur aan Signal.

Een ander alternatief is Threema. Deze open source app laat zich voorstaan op zijn AVG-compliance, anonimiteit (zelfs koppelen met telefoonnummer of e-mailadres is optioneel) en het niet verzamelen van gebruikersgegevens. Voor de Threema-app moet je wel betalen (eenmalig € 3,99 voor consumenten). Threema is een Zwitsers bedrijf dat zijn eigen servers gebruikt voor het berichtenverkeer. Daarmee heeft het een streepje voor op Signal, omdat die Amerikaanse app, die op Amerikaanse clouddiensten draait, onder Amerikaanse wetgeving met betrekking tot toegang door opsporings- en veiligheidsdiensten valt (Patriot Act, Freedom Act).

Er is ook een app die je wat mij betreft niet moet gebruiken: Telegram. Bij deze app staat end-to-end-encryptie standaard uit – je moet het dus zelf aanzetten als je het wilt gebruiken, en dat past niet goed bij principes als security by default en privacy by default – beveiliging en privacy horen standaard te zijn. En als je het dan hebt aangezet, dan moet je vraagtekens zetten bij de kwaliteit van de encryptie. Het gebruikte protocol is zelf ontwikkeld en niet open source, waardoor het niet onafhankelijk kan worden getoetst. Ook is het verdienmodel onduidelijk: de Russische oprichter beweert dat hij de app met zijn spaargeld financiert en voor dit jaar heeft hij vage plannen om er inkomsten mee te genereren. Momenteel is het bedrijf in Dubai gevestigd, maar het laat een spoor van landen achter zich waar de wetgeving zich tegen hen keerde.

Voor zakelijk en bedrijfsintern gebruik zijn er nog andere alternatieven, maar dat is meer iets voor beleids- en adviesnota’s dan voor een blog.

En nu? Allemaal weg van WhatsApp? Dat kun je wel willen, maar het gigantische marktaandeel van WhatsApp helpt daar niet echt bij. Zo’n beetje iedereen zit op WhatsApp, en als jij aankondigt dat je overstapt naar Signal, dan zou je wel eens heel snel in een digitaal isolement terecht kunnen komen. Het ecosysteem houdt zichzelf in stand: omdat iedereen er gebruik van maakt, durft niemand weg te gaan. Hoe doorbreken we deze impasse? Misschien door eerst maar eens een tijdje beide apps de gebruiken. Met iedereen, die Signal hééft, chat je alleen via Signal. Als maar genoeg mensen dat doen, dan komt er wellicht een keer een omslagpunt.

 

En in de grote boze buitenwereld …

• wordt WhatsApp ook gebruikt voor de verspreiding van malware.
• overtreden Europese bedrijven vaak de AVG door het gebruik van Amerikaanse clouddiensten.
• volgt de Android Advertising Identifier alles wat je doet.
• werpt Apple een barrière op voor apps die toegang willen tot de advertising identifier op iOS-apparaten.
• scoort de gemeente Utrecht een dikke onvoldoende op informatiebeveiliging (vooral de bescherming tegen insider threats laat te wensen over).
• is in heel Nederland veel mis op het gebied van informatiebeveiliging.
• schakelen gegevensdieven nu ook de klanten van hun slachtoffer in om ervoor te zorgen dat hun afpersing slaagt.
• moet een organisatie altijd even checken of het e-mailadres, dat ze als contactadres adverteert, ook echt van haar is.
• leverde een kwetsbaarheid in Zoom de Nederlandse ontdekkers twee ton op.
• zijn de gegevens van honderden miljoenen Facebookgebruikers (inclusief telefoonnummer) gelekt.
• check je hier of Facebook ook jouw telefoonnummer heeft gelekt.
• controleren nogal wat werkgevers hun thuiswerkende personeel.
• moeten die werkgevers zich daarbij wel aan de regeltjes houden.
• worden politieagenten online bedreigd.
• lag de EU digitaal onder vuur.
• verklein je met deze tips je digitale voetafdruk.

 

Conversatie met een crimineel

Vorig jaar schreef ik een blog over vriend-in-nood-fraude: iemand benadert je (meestal via WhatsApp), doet zich voor als een familielid of vriend met een nieuw telefoonnummer en vraagt je met de een of andere smoes om hem of haar even een paar dagen met wat geld uit de brand te helpen. Trap je erin, dan merk je hooguit een paar dagen later dat je geld foetsie is.

Via via kreeg ik nu de woordelijke conversatie tussen zo’n crimineel en zijn slachtoffer toegespeeld. Het slachtoffer – een trouwe lezer van de Security (b)log – wist echter al vanaf het allereerste bericht van de crimineel dat het foute boel was. Zijn inzet was om zoveel mogelijk tijd van de crimineel te verspillen. Ter leering ende vermaeck neem ik de integrale conversatie hieronder op, met hier en daar een opmerking erbij (cursief). Popcorn klaar? Lezen maar!

Crimineel: Hey mam nieuwe nummer oude kan je verwijderen

Dat is zo’n beetje de standaard openingszin. De crimineel heeft een reden nodig om zich als een ander voor te kunnen doen vanaf een onbekend nummer.

Slachtoffer: Hey schat wat is er mis met je oude nummer

Crimineel: Heb een nieuwe provider Van dit onderwerp wil hij zo snel mogelijk af, kijk maar:

Crimineel: Hoe gaat het? Zo makkelijk kom je er niet van af:

Slachtoffer: Was nummerbehoud niet handig geweest?

Crimineel: Eigenlijk wel😀😀

Crimineel: Maarja ben alles aan het instaleren op deze telefoon dan app ik iedereen met een massabericht

Slachtoffer: Je bent altijd al een beetje een nitwit geweest met dat soort dingen hè 😜

Crimineel: Jaa😀

Crimineel: Wat ben je aan het doen?

Slachtoffer: Met jou aan het appen. En aan het bakken. Beide antwoorden zijn waar.

Slachtoffer: Kom je straks lekker en stukje taart eten? Hoe zou hij daarop reageren?

Crimineel: Oke 😀👍 Dit is een onverwachte reactie. Een smoes had meer voor de hand gelegen.

Crimineel: Heb je even?

Slachtoffer: Ja hoor.

Slachtoffer: Voor jou altijd 😘

Tot zover het voorspel. Nu komen we ter zake.

Crimineel: Ik krijg mijn bankieren app niet op deze telefoon, ik heb contact opgenomen met de bank maar ze zeggen dat ik langs moet komen. Hij had toch alleen een nieuw nummer, en geen nieuwe telefoon? De app van de bank zou er dus gewoon nog op moeten staan en werken. Maar ik moet vandaag 3 facturen voldoen die ik over het hoofd heb gezien zou je me mischien even kunnen helpen als het niet teveel gevraagd is. Zodra ik naar de bank ben gegaan stort ik het terug!

Het verhaal speelt zich – heel handig – af op zaterdagmiddag. Dat maakt aannemelijk dat zoon- of dochterlief niet meteen naar de bank kan.

Slachtoffer: Ach wat vervelend. Ik kan er wel ff naar kijken als je straks hier bent. Je weet dat ik handig ben met dat soort dingetjes 😎 Omdat het slachtoffer weet wat er straks gaat komen, probeert hij de crimineel daar zo lang mogelijk op zijsporen te rangeren.

Crimineel: Het ligt vaak aan mij maar dit keer niet heb al contact gehad met de bank uiterlijk woensdag kom ik er weer in..

Crimineel: Ik heb een betaal link gekregen gekoppeld aan mijn dossier zal ik die doorsturen werkt wat makkelijker?

Slachtoffer: Is dat wel betrouwbaar, zo'n link? Je hoort tegenwoordig de gekste verhalen.

Crimineel: Ja ik betaal het ook altijd zo

Crimineel: Het gaat gewoon via iDEAL

Crimineel: Je hebt ING toch? Dit is een wilde gok. Als het slachtoffer nee had gezegd, dan zou de crimineel zich waarschijnlijk beroepen op een monumentaal slecht geheugen.

Slachtoffer: Wacht ff de taart vraagt om aandacht. Zo bij je terug Even wat tijd rekken en ondertussen op fraudehelpdesk.nl checken waar je dit kunt melden.

Crimineel: Oke ING? Tiktak, tiktak…

Crimineel: Hoezo negeer je me Oeh, we worden ongeduldig. Hij ruikt dat hij iemand te pakken heeft die erin gaat trappen en die wil hij niet kwijtraken.

Slachtoffer: Ik zei toch: taart. Die was bijna aangebrand. En jij doet ook een beetje aangebrand zeg... 😢

Crimineel: Sorry ben een beetje gestrest

Slachtoffer: Ja is altijd een beetje gedoe met zo'n nieuwe provider hè. Even wat empathie tonen.

Crimineel: Klopt maar ik kom er wel uit

Crimineel: Kan ik het doorsturen?

Slachtoffer: Over welk bedrag hebben we het?

Crimineel: 1980 in totaal uiterlijk woensdag  heb je het terug

Crimineel: Het staat op mijn spaarrekening

Slachtoffer: Zo zeg! Zo te zien heb je toch die nieuwe fiets gekocht 😁

Crimineel: Het zit goed 😀👍 Hij mijdt gevaarlijk terrein met deze nietszeggende reactie. Maar zo makkelijk gaat dat niet:

Slachtoffer: Bij welke winkel heb je hem uiteindelijk gekocht?

Crimineel: Dit gaat niet over mijn fiets

Slachtoffer: Oh, wat dan?

Crimineel: Had vorig jaar wat spullen besteld op afbetaling maar het geld staat op mijn spaarrekening dus het zit goed Keurig terug op neutraal terrein.

Slachtoffer: Ah gelukkig. En ja inderdaad nog steeds ING.

En dan nu de finale.

Crimineel: Oke moment😀 Hierna is de betaallink geappt.

Crimineel: Laat maar weten als het is gelukt 😀👍

Slachtoffer: Prima ik zal zo ff kijken.

Slachtoffer: Wanneer kom je taart eten? Oom Henk komt ook! Oom Henk was vroeger politieagent. Maar dat weet de crimineel natuurlijk niet.

Crimineel: 16:30 ?

Crimineel: Hoelang denkje dat het gaat duren want dan kan ik ze mailen dat het is voldaan Beetje druk op leggen.

Slachtoffer: Is goed schat.

Slachtoffer: Ik moet nu eerst die taart ff afmaken.

Slachtoffer: Maar daarna ga ik het gelijk regelen

Crimineel: Oké je hebt toch de internet bankieren app op je telefoon?

Slachtoffer: Jaja. Ikke wel 😛

Crimineel: Oke 😀 dan kan je via de link in 1 minuut de betaling verrichten kan dat nu niet even wil niet aandringen maar dan heb ik dat gehad en kan ik rustig verder met de dag Nog wat meer druk…

Crimineel: Zit er echt mee..

Slachtoffer: Snap ik. Over ermee zitten gesproken: hoe zou je het vinden om een poosje in de gevangenis te gaan zitten? 👮‍

Crimineel: KnnnnR HnnR

Slachtoffer: Hè wat jammer. Het werd net zo gezellig. Ik heb je niet zo grofgebekt opgevoed.

Na deze ontknoping heeft de crimineel onmiddellijk de betaallink uit de conversatie verwijderd. Omdat het slachtoffer tussendoor steeds screenshots heeft gemaakt, is die link wel bewaard gebleven. Het slachtoffer heeft meteen aangifte gedaan bij de politie en hoopte dat het spoor via de rekeninghouder (ene Wiersema) naar de crimineel zou leiden. Uiteraard gebruiken criminelen hiervoor niet hun eigen bankrekening, maar bijvoorbeeld die van een katvanger/geldezel, die een deel van de buit opstrijkt. Druk vooral je tieners op het hart om nooit hun bankpas en pincode aan iemand uit te lenen, want de kans bestaat dat die voor dergelijke criminele praktijken worden gebruikt.

De politie heeft inmiddels laten weten dat er geen strafrechtelijk onderzoek wordt ingesteld, omdat de ervaring leert dat de opsporing van de verdachte niet kansrijk is en omdat ze het te druk hebben.

 

En in de grote boze buitenwereld …

• pakt de politie geldezels wel degelijk aan.
• vergoedt de bank niet zomaar de schade van WhatsApp-fraude.
• is april uitgeroepen tot Senioren en Veiligheidsmaand.
• moet je tegenwoordig zélf een crimineel callcenter bellen om belazerd te worden.
• houdt de internetjurist ook wel van een 1-aprilgrap.
• is gezichtsherkenning nog geen betrouwbare authenticatiemethode.
• wordt het steeds gebruikelijker dat ransomware je gegevens niet alleen versleutelt, maar ook steelt.
• heb je met dit soort nalatigheid geen slimme hackers meer nodig.
• geeft ook de gewone krant tegenwoordig (goede) beveiligingstips.
• kan ook een cyberverzekeraar door ransomware getroffen worden.
• had Huawei toegang tot de gegevens van miljoenen Telfort-klanten.
• hoef je vaak geen DPIA uit te voeren op interne systemen.
• zaagt de Britse regering aan de poten van end-to-end encryptie in chat-apps.
• mogen Android-apps niet meer zien welke andere apps je op je toestel hebt.
• komt er meer aandacht voor meerfactorauthenticatie.
• kampt de overheid met een onverklaarbare toename aan datalekken.
• zet je je vaccinatiebewijs natuurlijk niet op social media.
• wil de Europese Commissie het coronapaspoort breder kunnen inzetten. Nederland stribbelt tegen.