Criminele gegevenshandel

  

Afbeelding via Pixabay

Ik kan slecht tegen onrechtvaardigheid. Dat gevoel wordt versterkt als financieel gewin de drijfveer voor onrechtvaardigheid is, en ook nog eens doelbewust mensen treft die daar extra kwetsbaar voor zijn. Omdat ik niet in de opsporing werk, zijn mijn middelen om daar iets tegen te doen beperkt. Mijn toetsenbord biedt me in ieder geval de mogelijkheid om erover te schrijven, in de hoop dat het hier en daar iemand voor onheil behoedt.

Onlangs hoorde ik het verhaal van hoogbejaard echtpaar, dat met hun zoon naar de bank was geweest om een volmacht te regelen. Dat vond plaats in een gebouw van beton en staal, zittend tegenover een bankemployee. Een dag of wat later werd de oude heer gebeld door iemand van de bank, en in dat telefoontje werd gerefereerd aan het bezoek met zijn zoon aan het bankkantoor. Er was iets niet goed met de bankpasjes, iemand van de bank zou ze komen ophalen. Het adres was uiteraard bekend. “Dan moet ik de pasjes zeker doorknippen?” “Neenee, dan heeft de politie er niets meer aan. Stopt u ze maar gewoon in een envelop van de bank. En geeft u maar alvast de pincode, zodat wij het kunnen controleren.”

Omdat het verhaal door alle informatie die de criminelen hadden zo plausibel leek, geloofde de man het en gaf hij zijn pincode. Maar er ging toch een rood vlaggetje bij hem omhoog toen hem werd gezegd de pasjes vooral niet door te knippen. Via een andere lijn belde hij z’n zoon, met wie zogenaamd een andere bankmedewerker aan het bellen zou zijn. Die wist echter van niets, en had bovendien meteen door dat het niet pluis was. Hij drukte zijn vader op het hart om de pasjes vooral niet af te geven en de deur stijf dicht te houden. Bovendien werd de politie gebeld.

Zoals gezegd werd zoonlief via een andere lijn gebeld; de hoorn van de eerste telefoon lag nog op tafel, waardoor de crimineel waarschijnlijk het andere telefoontje had gehoord. De politie trof dan ook niets verdachts aan in de buurt waar die mensen wonen. Ze vertelden dat dergelijke criminelen meestal al vlakbij zijn als ze bellen – dan kunnen ze toeslaan voordat het slachtoffer zich bedenkt. Omdat er geen daadwerkelijke overdracht had plaatsgevonden, was daarmee voor de politie de kous af. Een paar dagen later belden ze nog een keer, maar dat was per ongeluk: ze wilden eigenlijk andere mensen spreken, bij wie de criminelen helaas wél waren geslaagd.

Natuurlijk hebben onze bijna-slachtoffers hun pasjes laten blokkeren en door nieuwe laten vervangen. Want stel je voor dat ze een dag later in de supermarkt gerold zouden worden – dan zouden de criminelen alsnog hun bankrekening kunnen plunderen, ze wisten immers de pincodes. Uiteraard hebben de nieuwe pasjes ook een nieuwe pincode (anders zit je nog steeds met hetzelfde probleem). Het is ook verstandig om op je betaalrekening niet meer geld te laten staan dan nodig is om de rekeningen en boodschappen van die maand te betalen. Geld, dat op de spaarrekening staat, kan niet bij een geldautomaat worden opgenomen – ook niet door een pinpasdief. Helaas is dat voor veel ouderen, die geen computer of smartphone hebben, gemakkelijker gezegd dan gedaan: wij jonkies slepen gemakkelijk geld van onze betaalrekening naar de bijbehorende spaarrekening en terug. Het was dan ook een verstandige keuze van bovenstaande bejaarden om hun zoon in te schakelen voor hun bancaire beslommeringen.

Informatie is veel geld waard. Als je weet dat iemand op een bepaald ogenblik op een bepaalde plek is geweest, en je weet waar je dat soort informatie kunt slijten, dan kan dat een aardig zakcentje opleveren. Je moet dan maar net op een plek zitten waar je over de gevraagde informatie kunt beschikken. Of… je zorgt er zelf voor dat je op zo’n plek komt te zitten. Of nog beter: een criminele organisatie plaatst je als een pion in een organisatie. Infiltratie heet dat. Hoe waardevoller de informatie, hoe aantrekkelijker het is om ergens een mannetje te hebben. En die bedruipt zich ook nog eens grotendeels zelf – hij strijkt immers gewoon salaris op. Ik hoop dat de bank in kwestie erin slaagt om de mol te ontmaskeren.

Hoe overtuigender een leugen is, hoe meer puzzelstukjes er kloppen, hoe eerder we erin trappen. Ik ben van nature goedgelovig (of misschien moet ik zeggen: graaggelovig, want ik wil zo graag positief zijn), maar beroepshalve ben ik achterdochtig. Dat levert een interessant – en soms ook hinderlijk – spanningsveld op. Ik moet die achterdocht actief houden zonder mijn geloof in het goede te verliezen. Jij kunt me daarbij helpen door verhalen als het bovenstaande te delen met mensen in je omgeving, vooral met kwetsbaren. Laat hen leren van andermans ervaringen en daarmee het speelveld van de criminelen flink verkleinen. Of je het verhaal zelf doorvertelt of een linkje naar deze blog doorstuurt, maakt me niet zoveel uit. Als je het maar deelt.

Volgende week verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• moet je voor 20 maart even je 2FA voor Twitter aanpassen.
• geeft de NSA advies voor het beveiligen van thuisnetwerken.
• mogen Europese ambtenaren ook al niet meer tiktokken.
• waarschuwen onderzoekers voor een geheel nieuwe klasse kwetsbaarheden in Apple-spullen.
• heeft de Amsterdamse politie drie jonge ransomwarecriminelen opgepakt.
• was een van de opgepakte mannen actief voor DIVD, een gerenommeerde beveiligingsorganisatie.
• krijgt het MKB hulp bij het kiezen van ICT-leveranciers.
• is vergaande Europese wetgeving voor IoT-devices in de maak.

 

Tiktokkende ambtenaren

 

Afbeelding via tweedekamer.nl

Terwijl we te kampen hebben met een landelijke netwerkstoring, klinkt het geluid van de internetradio gek genoeg nog gewoon uit mijn boxen. In het nieuwsbulletin hoor ik het volgende bericht: ambtenaren mogen van de Tweede Kamer niet meer tiktokken op hun werktelefoon.

Laat dit even tot je doordringen (ik ben daar nog steeds mee bezig). Het parlement voelt zich genoodzaakt om iets te vinden van wat ambtenaren op hun diensttelefoon doen. Er zijn kennelijk ambtenaren die TikTok op hun telefoon hebben. Waarom???

Voor de lezers die geen kinderen in de TikTok-gerechtigde leeftijd hebben, zal ik kort uitleggen wat dat is. TikTok is een app in de categorie sociale media, bedoeld om korte video’s – we praten over secondenwerk – te maken en natuurlijk te delen. Vaak wordt er gedanst, gezongen en geplaybackt. Dat laatste levert dan bijvoorbeeld een filmpje op van een tienermeisje dat met de stem van Donald Trump iets doms zegt. Dat soort dingen.  

De vorige alinea heb ik gekopieerd uit de Security (b)log van 24 juli 2020. Toen was er ook al (internationaal) gedoe rondom TikTok en in Nederland deed de Autoriteit Persoonsgegevens onderzoek naar de privacyaspecten van de app. Precies een jaar later legde de AP TikTok een boete op van 750.000 euro wegens het schenden van de privacy van jonge kinderen. Ik adviseerde destijds ook al om TikTok niet op je zakelijke telefoon te gebruiken.

Nu weer terug naar mijn vraag: waarom zijn er ambtenaren die TikTok op hun rijkstelefoontoestel hebben? Oké, ergens in de rijksdienst zal vast wel een functie te vinden zijn waar het gebruik van een dergelijke app plausibel is. Misschien ergens in de communicatiehoek, want daar moeten ze constant nadenken over hoe ze hun doelgroepen kunnen bereiken. Een tiktokkende politieagent over het belang van fatsoenlijke fietsverlichting, dat is misschien wel wat. Maar zelfs dan heeft de Tweede Kamer gelijk: doe dat niet op je reguliere werktelefoon. Want China.

TikTok is een Chinees product. En we weten zeker dat dat land dol is op spionage (met of zonder ballon). Nu is men er – net als een kleine drie jaar geleden – bang voor dat China via TikTok informatie op onze telefoons vergaart. Onlangs heeft TikTok z’n privacyverklaring aangepast: ze vinden dat TikTok-medewerkers in China inzage mogen hebben in gegevens van onder andere Europese gebruikers. Maar onze privacywetgeving, de AVG, vindt daar iets heel anders van: persoonsgegevens van Europeanen dienen in Europa te blijven, tenzij is aangetoond dat een ander land net zo netjes ermee omgaat als wijzelf. Zo’n verklaring met betrekking tot China zal naar verwachting rond Sint Juttemis worden afgegeven. Maar in de privacyverklaring van TikTok staat dus doodleuk dat ook medewerkers in bepaalde landen zonder zo’n toereikendheidsbesluit toegang tot jouw gegevens hebben.

Spionage is een serieuze zaak. Het onderwerp komt uitvoerig aan bod in het Cybersecuritybeeld Nederland 2022. Enkele citaten: “Cyberaanvallen door statelijke actoren zijn nieuwe normaal”; “Statelijke actoren kunnen hiervoor onder meer de volgende digitale middelen inzetten: (…) Spionage, waaronder economische of politieke spionage”; “Nederland is doelwit van een offensief cyberprogramma van landen als Rusland en China”; “De Chinese digitale spionage actor APT31 heeft op grote schaal en langdurig politieke doelwitten in Europa en Noord-Amerika aangevallen. Ook in Nederland waren er doelwitten van aanvallen en verkenningsactiviteiten door deze actor.” De inlichtingendiensten definiëren statelijke dreigingen overigens als volgt: “Dwingende, ondermijnende, misleidende of heimelijke activiteiten van of namens statelijke actoren, onder de drempel van gewapend conflict, die de nationale veiligheidsbelangen van Nederland kunnen schaden door een combinatie van nagestreefde doelen, gebruikte middelen en ressorterende effecten.” Een statelijke actor is gewoon een land dat dit soort dingen doet.

Dus, beste collega’s: als je TikTok leuk vindt, doe dan vooral je ding. Maar niet met de spullen van de baas. Nu denk je misschien: och, ik heb toch geen belangrijke of vertrouwelijke informatie op mijn telefoon, dit gaat niet over mij. Denk nog eens opnieuw na. Alleen al jouw contactpersonen kunnen interessant zijn, en het netwerk dat jij met hen vormt. Spionnen zijn puzzelaars: ze halen een paar puzzelstukjes bij jou en de rest bij anderen. Met al die stukjes bij elkaar weten ze uiteindelijk het een interessant plaatje te leggen.

Een collega liet weten dat zijn dochter het helemaal niet erg vindt dat de Chinezen meekijken: “Extra fans.” Zo kun je het ook zien. Als burger. Als ambtenaar heb je andere verantwoordelijkheden.

 

En in de grote boze buitenwereld …

• doet de baas van TikTok zijn uiterste best om de Amerikaanse politiek te overtuigen van de onschuld van zijn product.
• moeten Hyundai en KIA miljoenen auto's voorzien van een software-update, met dank aan een TikTok-challenge.
• moet je snel je iPhone of iPad updaten.
• heeft een Amerikaanse stad de noodtoestand uitgeroepen na een ransomware-aanval.
• gebruiken hackers valse certificaten, in de hoop dat foutmeldingen worden geïnterpreteerd als false positive.
• kun je een password reset-actie voor al je klanten behoorlijk laten ontsporen.
• hebben honderden PyPI-packages het voorzien op je cryptomunten.
• behoort Internet Explorer nu echt tot het verleden.
• mogen ethische hackers in België hun gang gaan zonder toestemming.
• staat de Autoriteit Persoonsgegevens voor de rechter.
• zijn ouders aansprakelijk voor de schade die hun cybercriminele kinderen aanrichten.
• heeft de AIVD een brochure gepubliceerd over het veilig ontwikkelen van AI-systemen.
• kapen hackers Telegram-accounts (en dat is nóg een reden om deze app af te danken).
• kun je je digitale voetafdruk met deze tips verkleinen.
• hebben Russische hackers vorig jaar op een haar na Amerikaanse energiecentrales platgelegd.

De buschauffeur staakt

 

Afbeelding via Pixabay

Naar Hilversum moest ik, afgelopen maandag. Zoals een goed ambtenaar betaamt, reis ik bij voorkeur met het openbaar vervoer. Het streekvervoer staakte deze week, maar de treinen reden gewoon, werd er nadrukkelijk bij gezegd. Mooi. Ik zou geen last moeten hebben gehad van de staking. Het pakte anders uit.

Als ik met de trein reis, dan neem ik altijd de stadsbus naar het station. Ik ben een man van definities; streekvervoer is voor mij het vervoer tussen plaatsen en stadsbussen rijden in de stad – en dus niet in de streek. Maar omdat ik ook wel snap dat chauffeurs, die bij een vervoerder werken die zowel de streek als de stad bedient, niet exclusief stadsbus- of streekbuschauffeur zijn, liet ik me enkele weken geleden, toen ze ook staakten, door mijn vrouw naar het station brengen. Dat bleek achteraf niet nodig te zijn: de stadsbussen reden gewoon. Mijn definities klopten.

Dat zouden ze dus afgelopen maandag ook gewoon doen, nam ik aan. Bij de bushalte vroeg een meisje mij op een gegeven moment: “Gaat u naar het station?” Ik keek op mijn horloge en antwoordde: “Ik denk het niet.” Ze troostte me met de mededeling dat lijn 231 over zes minuten zou komen. Daarmee zou ik echter mijn trein niet halen, en bovendien is lijn 231 een streekbus…

Ik moest een alternatief bedenken. Op het Mediapark in Hilversum zouden straks studenten van Make IT Work (een omscholingstraject van de Hogeschool van Amsterdam) mij verwachten voor een gastcollege; ik moest op tijd zijn. Ik rekende mijn opties door. Met de fiets zou ik de trein niet meer halen; met de auto had ik nog een kans. Met grote, maar voorzichtige stappen – het vroor – keerde ik huiswaarts, onderwijl naar mijn vrouw append wat mijn plan was, zodat ze niet zou schrikken als de auto opeens weg was. Ze wilde me ook wel wegbrengen, maar dan had ik mogelijk op de terugweg een probleem. Ik stapte in en reed weg. Verkeerslichten, waar ik anders altijd wel een poosje sta te wachten, waren mij gunstig gezind.

Onderweg overdacht ik mijn parkeeropties. Op het parkeerterrein bij het station kun je twee kanten op: naar links en naar rechts. Linksaf is dichtbij de ingang van het station, rechtsaf ga je er juist vandaan. Rechtsaf is de kans op een vrije plek dus aanzienlijk groter – iedereen wil immers vooraan staan. Maar als je daar gaat staan, dan moet je verder lopen. Ga je linksaf en vind je daar geen plek, dan moet je alsnog naar de andere kant en dat betekent extra tijdverlies. Ik nam de gok en sloeg linksaf. Mijn moed werd beloond: er was nog precies één vrije plek, vlakbij de ingang. Bovendien was het een plek die uitkeek op de drukke weg langs de parkeerplaats en dat vond ik wel zo prettig, want een paar decennia geleden is mijn auto op dat parkeerterrein opengebroken en de radio eruit gestolen (overigens zijn de boeven dankzij een oplettende getuige gepakt en heb ik mijn radio teruggekregen). Tevreden liep ik het station in. Gelijktijdig met mijn trein bereikte ik het perron en ik arriveerde ruim op tijd op mijn bestemming. Overigens was het nog geen ramp geweest als ik deze trein had gemist: ik had een marge ingebouwd, waardoor ook de volgende trein mij nog op tijd had afgeleverd.

Het vergt waarschijnlijk een behoorlijke dosis beroepsdeformatie om het bovenstaande in verband te brengen met mijn vak. Daar ben ik rijkelijk mee gezegend, waardoor mijn avonturen die ochtend onderdeel werden van mijn college. Dat ging namelijk over risicoanalyses. Als je bovenstaand relaas door die bril bekijkt, dan besef je dat risicoanalyses zich niet beperken tot je werk als informatiebeveiliger: ze vinden niet alleen maar plaats als in je agenda staat dat je op die dag en op dat tijdstip een risicoanalyse moet doen en er komt lang niet altijd een ingewikkelde, formele methode aan te pas. In het dagelijks leven worden – meestal onbewust maar vaak wel aan de lopende band – risicoanalyses gedaan. Jij doet dat ook.

Kijk maar. Mijn initieel besluit om de bus te nemen, was gebaseerd op historische gegevens (tijdens de vorige staking reden de stadsbussen wél), waaruit ik afleidde dat de kansen op een rijdende bus gunstig waren. Het besluit om vervolgens niet de fiets, maar de auto te nemen, was gebaseerd op de verwachte kans dat ik zo mijn trein zou kunnen halen. Dat ik niet naar huis rende maar – ondanks mijn haast – gewoon liep, had te maken met het risico om uit te glijden. Zelfs het appje naar mijn vrouw had te maken met risicomanagement. Linksaf of rechtsaf op het parkeerterrein: oké, ik geef het toe, dat was een irrationele gok. Maar hé, ik ben ook maar een mens die hoopt op af en toe een meevaller. Bij risicoanalyses spelen ook te verwachten consequenties van verkeerde keuzes een rol, volgens de aloude formule: risico = kans x schade. Bij alle keuzes, die ik die ochtend maakte, hing de mogelijkheid, dat ik mijn trein zou missen, als een zwaard van Damocles boven mij.

Denk eens aan mij als je de volgende keer beslissingen moet nemen. Wie weet helpt het je om gefundeerde keuzes te maken.

 

En in de grote boze buitenwereld …

• mag geen enkele Brit of Amerikaan nog zaken doen met zeven leden van een Russische ransomwarebende.
• bestaat er zoiets als een cybersecurity-armoedegrens.
• houden nogal wat bazen hun medewerkers digitaal in de gaten.
• zijn tientallen eeuwenoude, versleutelde brieven van Mary, Queen of Scots ontdekt en ontsleuteld.
• schieten Bluetooth-kwetsbaarheden als paddenstoelen uit de grond.
• blijven verdachte links voorlopig lastige materie.
• heeft het NIST een algoritme van onder andere de Radboud Universiteit gekozen als encryptiestandaard voor IoT-devices.
• verdient de medewerker van Reddit, die meldde dat hij in een phish was getrapt, een beloning – omdát hij er melding van maakte en zo erger voorkwam.
• worden vacatures gebruikt om malware te verspreiden.
• maken gewetenloze criminelen natuurlijk weer misbruik van andermans ellende.
• rapporteerden we vorig jaar minder fraude.
• geldt ook bij de politie het "need to do"-principe (je mag bepaalde gegevens alleen raadplegen als je die voor de uitoefening van je taak nodig hebt).
• kan ransomware natuurlijk ook fouten bevatten.
• legt dit artikel nog eens uit hoe we op websites en via e-mail bespioneerd worden door bedrijven.

 

Vicieuze cirkel

 

Afbeelding via Unsplash

Een lezer was in een vicieuze cirkel terechtgekomen en deelde zijn relaas met mij, met als openingszin: “Mogelijk heb ik een leuke input voor je blog.” Nou, dat klopt inderdaad. Zijn ervaringen zijn vooral leerzaam en kunnen andere lezers ervoor behoeden in dezelfde situatie terecht te komen.

De iPhone van collega Mark de Wals was stuk. Dat is op zichzelf al vervelend genoeg, maar het was voor Mark nog maar pas het begin van een draaikolk waar hij zich slechts met moeite uit wist te redden. Die draaikolk werd gek genoeg mede veroorzaakt door twee uitstekende beveiligingsmaatregelen die Mark had getroffen: hij gebruikte een password manager en hij paste tweefactorauthenticatie toe (2FA, ook wel MFA, met de M van multi). Hoe kunnen deze maatregelen, die ik iedereen van harte aanbeveel, je zo in de nesten werken? En, belangrijker: hoe blijf je uit de nesten? Lees en huiver, maar vooral: leer ervan.

Mark wilde z’n iPhone laten repareren (het ding was overigens niet helemaal dood). Alvorens het toestel af te geven voerde hij een reset uit. Dat zorgt ervoor dat alle gegevens, inclusief alle accounts, gewist worden – het is dan alsof het toestel vers uit de fabriek komt. Wel zo fijn dat je zeker weet dat de reparateur niet in jouw gegevens kan rondneuzen, nietwaar? Nadeel is natuurlijk wel dat je het toestel na de reparatie opnieuw moet inrichten. Veel mensen hebben daar een broertje dood aan; bij menigeen is dat de belangrijkste reden om de aanschaf van een nieuw toestel uit te stellen totdat het oude toestel écht niet meer mee kan. Maar aangezien de reparateur in de vaak toegang tot het apparaat zal moeten hebben, kom je niet om zo’n reset heen.

Toen het toestel terugkwam, ging Mark er eens voor zitten. Een van de eerste dingen waar de iPhone om vroeg was het wachtwoord van zijn Apple ID (“Uw Apple ID is de account waarmee u toegang hebt tot alle Apple voorzieningen en die al uw apparaten feilloos laat samenwerken.”) Dat wachtwoord zat in Marks password manager – en die was nog niet toegankelijk omdat het toestel nog niet ingericht was. Maar geen nood: dankzij de cloud was de wachtwoordkluis ook via de laptop te benaderen.

Mark typte zijn wachtwoord in, waarop de iPhone reageerde met: prima, en nu moet je deze login nog even goedkeuren in je 2FA-app. Ai ai ai, die app zat óók op de iPhone – en dus onbereikbaar! Voilà een schoolvoorbeeld van een vicieuze cirkel: om het toestel te starten heb je die app nodig, maar de app draait op hetzelfde toestel.

Dan maar een reset aanvragen bij Apple. Daar kwamen een e-mail en een sms-bericht aan te pas. Gelukkig kon Mark de code uit het sms’je nog wel ontvangen en uitlezen. Apple laat er om veiligheidsredenen een paar dagen overheen gaan als je bij hen een reset aanvraagt. Dat waren twee bange dagen, maar toen ontving Mark een mailtje en een sms’je met verificatiecodes. Daarmee kon hij weer bij zijn account.

Mark heeft een paar tips voor ons. De eerste heeft ermee te maken dat hij in dit toestel geen echte simkaart gebruikt, maar een e-sim – dat staat voor embedded sim en betekent dat de kaart in het toestel ingebouwd is. Je provider stuurt dus geen simkaart op, maar maakt gebruik van de e-sim. Wat nu als je een sms’je moet ontvangen met een verificatiecode, maar geen toegang hebt tot je telefoon? Een fysieke simkaart kun je dan in een ander toestel stoppen om het bericht daar te lezen, maar dat kan niet met een e-sim. Als die laatste met een pincode is beveiligd, dan zie je de ontvangen code niet op het vergrendelscherm zolang je niet bent ingelogd. Mark had die pincode uitgezet aangezien het toestel zélf beschermd is en je de e-sim toch niet uit het toestel kunt halen.

De volgende tip is de belangrijkste: zorg dat je je belangrijkste wachtwoorden ergens bewaart waar je altijd bij kunt. Marks password manager (LastPass) biedt de mogelijkheid om wachtwoorden te delen met anderen. Via deze optie kan hij altijd de wachtwoorden van zijn e-mail en zijn Apple ID achterhalen. En als een ander gezinslid ook een Apple ID heeft, dan kun je elkaar machtigen om elkaar te helpen bij het resetten van je wachtwoord.

Android werkt ook met mailadressen en telefoonnummers voor het herstellen van accounts. Daarbij geef je een ander e-mailadres op dan het adres dat aan het account gekoppeld is. Maar pas op dat dat niet een adres is dat alleen maar wordt gebruikt om de daar binnenkomende mail door te sturen naar je primaire account – daar kun je in zo’n situatie immers niet bij.

De ervaringen van Mark leren ons dat het belangrijk is om vooraf maatregelen te treffen om uit zo’n situatie te ontsnappen. Check dit weekend even of je je zaakjes orde hebt.

 

En in de grote boze buitenwereld …

• zijn password managers nog volop in ontwikkeling.
• kon de 2FA-functie van Facebook omzeild worden.
• blokkeert deze kassamalware de contactloos betalen-functie, om vervolgens de gegevens van de betaalpas uit te kunnen lezen.
• verminderde het aantal gevallen van betaalverzoekfraude op Marktplaats fors.
• manipuleren veel webwinkels hun klanten.
• hebben de makers van ChatGPT nu een tool om AI-teksten te herkennen.
• is cybercrimineel tegenwoordig een gewone baan.