FAQ identiteitsdiefstal
Emerce, 31 oktober 2006
In de film The Net (1995) worden de identiteitsgegevens van Sandra Bullock gemanipuleerd, waarna zij aangeschoten wild wordt. Dit spookbeeld wordt alsmaar reëler. In de VS was de schade door identiteitsdiefstal vorig jaar 64 miljard dollar.
1 Wat is identiteitsdiefstal?
Bij identiteitsdiefstal, ook wel identiteitsfraude genoemd, gebruikt een crimineel de persoonlijke en/of financiële gegevens van iemand anders om kwaad te doen. Vaak gaat het om geld: iemand vraagt op naam van een ander een creditcard aan of misbruikt andermans creditcardgegevens om bijvoorbeeld op internet aankopen te doen. Overigens hoeft het niet altijd om geld te gaan.Zo kunnen kwaadwillenden ook de inloggegevens van een ander misbruiken om aan chatsessies mee te doen of e-mails verzenden uit naam van het slachtoffer. Beide zijn vormen van identiteitsdiefstal.
2 Is het een groot probleem?
In de Verenigde Staten is het inmiddels een zeer groot probleem. De Amerikaanse overheid (de Federal Trade Commission) heeft een website die burgers voorlicht over identiteitsdiefstal en er is een instantie waar gevallen van deze criminaliteit gemeld kunnen worden. Men houdt bij wat de omvang van dit probleem is. Vorig jaar bedroeg de schade van deze vorm van fraude 64 miljard dollar. In 1998 is er door het Congres een federale wet aangenomen die identiteitsdiefstal strafbaar stelt. Bijna elke staat in de VS heeft zijn eigen wet om deze vorm van criminaliteit te kunnen aanpakken.
3 Is het ook een probleem buiten de Verenigde Staten?
Ja. Uit een onderzoek van de Britse consumentenorganisatie Which? in 2005 bleek dat een op de vier Engelsen ooit het slachtoffer werd van een vorm van identiteitsfraude. Het probleem van online identiteitsfraude is groter in Engelstalige landen, simpelweg omdat criminelen daar een grotere doelgroep van potentiële slachtoffers vinden. Maar ook in Nederland komt het voor en rukt het op (al wordt hier niet bijgehouden wat de schade is). Er zijn immers Nederlandse e-mails gesignaleerd die, zogenaamd namens een bank, vragen om inloggegevens.
4 Is het vooral een online probleem?
Nee. De meeste identiteitsdiefstal komt voor in de offline wereld, waarbij de pincode bijvoorbeeld wordt afgekeken bij de pinautomaat of gevoelige informatie uit brievenbussen wordt gevist en vervolgens misbruikt. Maar doordat er steeds meer informatie op internet uitgewisseld wordt en er steeds meer transacties via internet gedaan worden, neemt het risico van identiteitsdiefstal wel sterk toe. Zo zijn dankzij sociale netwerksites als Linkedln, maar ook vacaturesites, inmiddels veel persoonlijke gegevens op het web te vinden. Criminelen kunnen hierdoor gemakkelijker gegevens verzamelen om er vervolgens misbruik van te maken. Phishing en spyware zijn slechts twee van de middelen die dieven gebruiken.
5 Hoe werkt het?
Als we ons beperken tot de online wereld, dan hebben criminelen diverse mogelijkheden om de identiteitsgegevens van iemand anders te stelen en vervolgens te misbruiken. En die mogelijkheden kunnen heel simpel zijn. Zo kunnen inloggegevens ontfutseld worden door bijvoorbeeld zogenaamd als systeembeheerder een e-mail te sturen of te bellen met het slachtoffer. Deze methode heet 'social engineering' en schijnt erg effectief te zijn, omdat mensen graag hulpvaardig zijn (en goedgelovig). Ingewikkelder methoden zijn pharming en het distribueren en gebruiken van spyware.
6 Phishing of pharming?
Phishing is de inmiddels helaas maar al te bekende vorm waarin kwaadwillenden uit naam van bijvoorbeeld een e-commercewebsite of een bank een e-mail sturen met het verzoek om in te loggen op de website. In de e-mail staat een hyperlink met de bekende naam van de bank of het e-commercebedrijf, maar in feite gaan de slachtoffers die hierop doorklikken naar een andere site. Als ze daar hun gegevens invoeren, dan gaan die direct door naar de database van de criminelen. Bij pharming wordt het verkeer naar een website doorgeleid naar een nepsite, waarop op dezelfde manier inloggegevens worden ontfutseld. De bezoeker klikt dan dus niet op een link in een e-mail, maar tikt de url in de browser en denkt dat hij naar de goede site gaat. In feite wordt hij doorgeleid naar een goed gelijkende nepsite. Dit is mogelijk door gebruik te maken van een lek in de dns-server-software. Dns-servers 'vertalen' kort gezegd url's naar ip-nummers en sturen het verkeer op die manier door naar de juiste site. In het geval van pharming wordt het juiste ip-nummer vervangen door dat van de nepsite, zodat al het verkeer dat via die dns-server verloopt, daar naartoe wordt geleid.
7 Wat heeft spyware te maken met identiteitsdiefstal?
Spyware is software die ongemerkt op een computer wordt geïnstalleerd (bijvoorbeeld tijdens het gebruik van een filesharingprogramma). Het wordt gebruikt voor diverse doeleinden, maar in het geval van identiteitsdiefstal kan spyware bijvoorbeeld inloggegevens doorsturen die op de computer staan opgeslagen, waarna deze misbruikt kunnen worden. Ook 'keylogging' valt hieronder: met dit soort programma's worden toetsaanslagen geregistreerd en via internet doorgezonden. Op die manier kunnen creditcardnummers en andere gegevens worden gestolen.
8 Wat is er tegen te doen?
Voorzichtig omgaan met gevoelige informatie: geen inloggegevens aan anderen geven, niet de pincodes bij bankpassen en creditcards bewaren (en ook niet in de computer opslaan), de computer veilig en 'schoon' houden door regelmatig de virusscanner te updaten, patches te installeren, een anti-spywareprogramma te installeren en een firewall te gebruiken. Nooit ingaan op telefonische en e-mailverzoeken van de bank of andere instanties om inloggegevens, want deze instanties vragen dergelijke gegevens nooit per e-mail (of telefoon). Als het wel gebeurt, is het phishing.
9 Vooral goed opletten dus?
Het klinkt saai, maar daar komt het inderdaad op neer. Voorzichtigheid is ook geboden in de offline wereld. Zo is het bijvoorbeeld onverstandig om rekeningafschriften bij het oud papier op straat te zetten, want hiermee krijgt een kwaadwillende belangrijke informatie in handen (naw-gegevens, bankrekeningnummers). Ook het achterlaten van het creditcardbonnetje bij de kassa schijnt geen goed idee te zijn, zo waarschuwen de voorlichtingssites. Want daarop staan het pasnummer, de code, de verloopdatum en de handtekening. En dat is voldoende voor misbruik.
10 Liggen deze maatregelen niet erg voor de hand?
Je zou het denken, maar het is niet zo. In april van dit jaar deden Hoffmann bedrijfsrecherche en het bedrijf Fellowes (fabrikant van papiervernietigers) onderzoek naar de inhoud van vuilniszakken van Nederlandse huishoudens (jawell). Een op de negen huishoudens liep daarbij het risico op identiteitsfraude, zo concludeerden de onderzoekers. Want tussen het huisvuil zaten rekeningoverzichten met banken gironummers, aangiftes voor de belastingdienst (met sofi-nummers), paspoortnummers en brieven van uitkeringsinstanties. Allemaal informatie waarmee criminelen identiteitsdiefstal kunnen plegen. Overigens maken niet alleen deze bedrijven zich zorgen over de slordigheden van Nederlanders: vorig jaar lanceerde de Nederlandse Vereniging van Banken een publiekscampagne waarin ook al werd gewaarschuwd voor het onversnipperd weggooien van bankafschriften en dergelijke.
11 Wat moet je doen als je het slachtoffer bent van identiteitsdiefstal?
Als blijkt dat er onbekende (grote) bedragen zijn afgeschreven van bank- of creditcardrekening, onmiddellijk deze passen blokkeren. Dat is wat de banken aanraden. Maar daar komt een slachtoffer niet altijd achter, want soms vragen criminelen een nieuwe creditcard aan en laten ze de afschriften daarvan naar een ander adres sturen. Als die vervolgens nooit worden betaald en de deurwaarder uiteindelijk het juiste adres heeft achterhaald, dan moet het argeloze slachtoffer maar bewijzen dan hij onschuldig is. Banken zijn overigens de slechtste niet, want in een aantal voorkomende gevallen van identiteitsdiefstal in Nederland kregen de slachtoffers het van hun rekeningen geroofde geld terug. Ook creditcard-maatschappijen willen nog wel eens bedragen terugboeken als de rekeninghouder zegt dat het niet klopt. Maar het slachtoffer is hierbij wel afhankelijk van de goede wil van de betrokken instanties. Een schadefonds voor identiteitsdiefstal is er niet.
12 Wat doen de banken aan het probleem?
Ze zorgen ervoor dat internetbankieren zo veilig mogelijk is. Het in Nederland gebruikte systeem voor internetbankieren (met steeds wisselende inlogcodes en het gebruik van de pinpas om in te loggen) schijnt een van de veiligste ter wereld te zijn. Voor de andere vormen, die gevoeliger zijn voor fraude (zoals met creditcard betalen op e-commercesites), proberen de banken hun klanten vooral goed voor te lichten. De Vereniging van Nederlandse Banken lanceerde deze zomer een speciale website hiervoor: www.veiligbankieren.nl.
13 Hoe kan mijn bedrijf zijn klantgegevens goed beschermen?
E-commerce websites doen er goed aan de uitwisseling van persoonlijke gegevens via een beveiligde website te laten verlopen (met secure socket layer (ssl); als het wordt gebruikt voor het http-protocol, dan heet dat https). Dit betekent dat gegevens versleuteld over het net worden verzonden. Trues als pharming blijken hierbij niet te werken. Overigens geldt deze beveiliging alleen voor het transport van gegevens: eenmaal in de organisatie, is het belangrijk om deze gegevens op een goed beveiligde server en database te bewaren. Dit blijkt een zwakke plek in menige organisatie en het is dan ook daar dat criminelen proberen gegevens te stelen. Hoe die beveiliging het beste georganiseerd kan worden, daarvoor bestaan talloze adviesbureaus. Deze kunnen desgewenst ook het niveau van beveiliging (periodiek) controleren.
14 Is het een markt en hoe ziet die eruit?
It-beveiligingsbedrijven spelen hier uiteraard een grote rol. Ten eerste de bureaus die over beveiliging adviseren (en vaak ook implementeren). Ook softwareleveranciers maken deel uit van deze markt. Bedrijven als Zone Labs en McAfee bieden de software die spyware e.d. buiten de deur moet houden. Daarnaast zijn er bedrijven, voornamelijk in de VS, die zich specifiek bezighouden met identiteitsmanagement. Cnet bericht over een nieuwe samenwerking tussen it-beveiligingsbedrijf Zone Labs en zo'n identiteitsmanagementbedrijf, Intersections. Met deze nieuwe dienst is de klant zowel online als offline beschermd. Het pakket bevat voorlichting, diensten om fraude te voorkomen en zelfs hulp als er identiteitsdiefstal is gepleegd. Omdat het probleem op de Nederlandse markt (nog) niet nijpend is, ontbreken dergelijke diensten hier.
In de film The Net (1995) worden de identiteitsgegevens van Sandra Bullock gemanipuleerd, waarna zij aangeschoten wild wordt. Dit spookbeeld wordt alsmaar reëler. In de VS was de schade door identiteitsdiefstal vorig jaar 64 miljard dollar.
1 Wat is identiteitsdiefstal?
Bij identiteitsdiefstal, ook wel identiteitsfraude genoemd, gebruikt een crimineel de persoonlijke en/of financiële gegevens van iemand anders om kwaad te doen. Vaak gaat het om geld: iemand vraagt op naam van een ander een creditcard aan of misbruikt andermans creditcardgegevens om bijvoorbeeld op internet aankopen te doen. Overigens hoeft het niet altijd om geld te gaan.Zo kunnen kwaadwillenden ook de inloggegevens van een ander misbruiken om aan chatsessies mee te doen of e-mails verzenden uit naam van het slachtoffer. Beide zijn vormen van identiteitsdiefstal.
2 Is het een groot probleem?
In de Verenigde Staten is het inmiddels een zeer groot probleem. De Amerikaanse overheid (de Federal Trade Commission) heeft een website die burgers voorlicht over identiteitsdiefstal en er is een instantie waar gevallen van deze criminaliteit gemeld kunnen worden. Men houdt bij wat de omvang van dit probleem is. Vorig jaar bedroeg de schade van deze vorm van fraude 64 miljard dollar. In 1998 is er door het Congres een federale wet aangenomen die identiteitsdiefstal strafbaar stelt. Bijna elke staat in de VS heeft zijn eigen wet om deze vorm van criminaliteit te kunnen aanpakken.
3 Is het ook een probleem buiten de Verenigde Staten?
Ja. Uit een onderzoek van de Britse consumentenorganisatie Which? in 2005 bleek dat een op de vier Engelsen ooit het slachtoffer werd van een vorm van identiteitsfraude. Het probleem van online identiteitsfraude is groter in Engelstalige landen, simpelweg omdat criminelen daar een grotere doelgroep van potentiële slachtoffers vinden. Maar ook in Nederland komt het voor en rukt het op (al wordt hier niet bijgehouden wat de schade is). Er zijn immers Nederlandse e-mails gesignaleerd die, zogenaamd namens een bank, vragen om inloggegevens.
4 Is het vooral een online probleem?
Nee. De meeste identiteitsdiefstal komt voor in de offline wereld, waarbij de pincode bijvoorbeeld wordt afgekeken bij de pinautomaat of gevoelige informatie uit brievenbussen wordt gevist en vervolgens misbruikt. Maar doordat er steeds meer informatie op internet uitgewisseld wordt en er steeds meer transacties via internet gedaan worden, neemt het risico van identiteitsdiefstal wel sterk toe. Zo zijn dankzij sociale netwerksites als Linkedln, maar ook vacaturesites, inmiddels veel persoonlijke gegevens op het web te vinden. Criminelen kunnen hierdoor gemakkelijker gegevens verzamelen om er vervolgens misbruik van te maken. Phishing en spyware zijn slechts twee van de middelen die dieven gebruiken.
5 Hoe werkt het?
Als we ons beperken tot de online wereld, dan hebben criminelen diverse mogelijkheden om de identiteitsgegevens van iemand anders te stelen en vervolgens te misbruiken. En die mogelijkheden kunnen heel simpel zijn. Zo kunnen inloggegevens ontfutseld worden door bijvoorbeeld zogenaamd als systeembeheerder een e-mail te sturen of te bellen met het slachtoffer. Deze methode heet 'social engineering' en schijnt erg effectief te zijn, omdat mensen graag hulpvaardig zijn (en goedgelovig). Ingewikkelder methoden zijn pharming en het distribueren en gebruiken van spyware.
6 Phishing of pharming?
Phishing is de inmiddels helaas maar al te bekende vorm waarin kwaadwillenden uit naam van bijvoorbeeld een e-commercewebsite of een bank een e-mail sturen met het verzoek om in te loggen op de website. In de e-mail staat een hyperlink met de bekende naam van de bank of het e-commercebedrijf, maar in feite gaan de slachtoffers die hierop doorklikken naar een andere site. Als ze daar hun gegevens invoeren, dan gaan die direct door naar de database van de criminelen. Bij pharming wordt het verkeer naar een website doorgeleid naar een nepsite, waarop op dezelfde manier inloggegevens worden ontfutseld. De bezoeker klikt dan dus niet op een link in een e-mail, maar tikt de url in de browser en denkt dat hij naar de goede site gaat. In feite wordt hij doorgeleid naar een goed gelijkende nepsite. Dit is mogelijk door gebruik te maken van een lek in de dns-server-software. Dns-servers 'vertalen' kort gezegd url's naar ip-nummers en sturen het verkeer op die manier door naar de juiste site. In het geval van pharming wordt het juiste ip-nummer vervangen door dat van de nepsite, zodat al het verkeer dat via die dns-server verloopt, daar naartoe wordt geleid.
7 Wat heeft spyware te maken met identiteitsdiefstal?
Spyware is software die ongemerkt op een computer wordt geïnstalleerd (bijvoorbeeld tijdens het gebruik van een filesharingprogramma). Het wordt gebruikt voor diverse doeleinden, maar in het geval van identiteitsdiefstal kan spyware bijvoorbeeld inloggegevens doorsturen die op de computer staan opgeslagen, waarna deze misbruikt kunnen worden. Ook 'keylogging' valt hieronder: met dit soort programma's worden toetsaanslagen geregistreerd en via internet doorgezonden. Op die manier kunnen creditcardnummers en andere gegevens worden gestolen.
8 Wat is er tegen te doen?
Voorzichtig omgaan met gevoelige informatie: geen inloggegevens aan anderen geven, niet de pincodes bij bankpassen en creditcards bewaren (en ook niet in de computer opslaan), de computer veilig en 'schoon' houden door regelmatig de virusscanner te updaten, patches te installeren, een anti-spywareprogramma te installeren en een firewall te gebruiken. Nooit ingaan op telefonische en e-mailverzoeken van de bank of andere instanties om inloggegevens, want deze instanties vragen dergelijke gegevens nooit per e-mail (of telefoon). Als het wel gebeurt, is het phishing.
9 Vooral goed opletten dus?
Het klinkt saai, maar daar komt het inderdaad op neer. Voorzichtigheid is ook geboden in de offline wereld. Zo is het bijvoorbeeld onverstandig om rekeningafschriften bij het oud papier op straat te zetten, want hiermee krijgt een kwaadwillende belangrijke informatie in handen (naw-gegevens, bankrekeningnummers). Ook het achterlaten van het creditcardbonnetje bij de kassa schijnt geen goed idee te zijn, zo waarschuwen de voorlichtingssites. Want daarop staan het pasnummer, de code, de verloopdatum en de handtekening. En dat is voldoende voor misbruik.
10 Liggen deze maatregelen niet erg voor de hand?
Je zou het denken, maar het is niet zo. In april van dit jaar deden Hoffmann bedrijfsrecherche en het bedrijf Fellowes (fabrikant van papiervernietigers) onderzoek naar de inhoud van vuilniszakken van Nederlandse huishoudens (jawell). Een op de negen huishoudens liep daarbij het risico op identiteitsfraude, zo concludeerden de onderzoekers. Want tussen het huisvuil zaten rekeningoverzichten met banken gironummers, aangiftes voor de belastingdienst (met sofi-nummers), paspoortnummers en brieven van uitkeringsinstanties. Allemaal informatie waarmee criminelen identiteitsdiefstal kunnen plegen. Overigens maken niet alleen deze bedrijven zich zorgen over de slordigheden van Nederlanders: vorig jaar lanceerde de Nederlandse Vereniging van Banken een publiekscampagne waarin ook al werd gewaarschuwd voor het onversnipperd weggooien van bankafschriften en dergelijke.
11 Wat moet je doen als je het slachtoffer bent van identiteitsdiefstal?
Als blijkt dat er onbekende (grote) bedragen zijn afgeschreven van bank- of creditcardrekening, onmiddellijk deze passen blokkeren. Dat is wat de banken aanraden. Maar daar komt een slachtoffer niet altijd achter, want soms vragen criminelen een nieuwe creditcard aan en laten ze de afschriften daarvan naar een ander adres sturen. Als die vervolgens nooit worden betaald en de deurwaarder uiteindelijk het juiste adres heeft achterhaald, dan moet het argeloze slachtoffer maar bewijzen dan hij onschuldig is. Banken zijn overigens de slechtste niet, want in een aantal voorkomende gevallen van identiteitsdiefstal in Nederland kregen de slachtoffers het van hun rekeningen geroofde geld terug. Ook creditcard-maatschappijen willen nog wel eens bedragen terugboeken als de rekeninghouder zegt dat het niet klopt. Maar het slachtoffer is hierbij wel afhankelijk van de goede wil van de betrokken instanties. Een schadefonds voor identiteitsdiefstal is er niet.
12 Wat doen de banken aan het probleem?
Ze zorgen ervoor dat internetbankieren zo veilig mogelijk is. Het in Nederland gebruikte systeem voor internetbankieren (met steeds wisselende inlogcodes en het gebruik van de pinpas om in te loggen) schijnt een van de veiligste ter wereld te zijn. Voor de andere vormen, die gevoeliger zijn voor fraude (zoals met creditcard betalen op e-commercesites), proberen de banken hun klanten vooral goed voor te lichten. De Vereniging van Nederlandse Banken lanceerde deze zomer een speciale website hiervoor: www.veiligbankieren.nl.
13 Hoe kan mijn bedrijf zijn klantgegevens goed beschermen?
E-commerce websites doen er goed aan de uitwisseling van persoonlijke gegevens via een beveiligde website te laten verlopen (met secure socket layer (ssl); als het wordt gebruikt voor het http-protocol, dan heet dat https). Dit betekent dat gegevens versleuteld over het net worden verzonden. Trues als pharming blijken hierbij niet te werken. Overigens geldt deze beveiliging alleen voor het transport van gegevens: eenmaal in de organisatie, is het belangrijk om deze gegevens op een goed beveiligde server en database te bewaren. Dit blijkt een zwakke plek in menige organisatie en het is dan ook daar dat criminelen proberen gegevens te stelen. Hoe die beveiliging het beste georganiseerd kan worden, daarvoor bestaan talloze adviesbureaus. Deze kunnen desgewenst ook het niveau van beveiliging (periodiek) controleren.
14 Is het een markt en hoe ziet die eruit?
It-beveiligingsbedrijven spelen hier uiteraard een grote rol. Ten eerste de bureaus die over beveiliging adviseren (en vaak ook implementeren). Ook softwareleveranciers maken deel uit van deze markt. Bedrijven als Zone Labs en McAfee bieden de software die spyware e.d. buiten de deur moet houden. Daarnaast zijn er bedrijven, voornamelijk in de VS, die zich specifiek bezighouden met identiteitsmanagement. Cnet bericht over een nieuwe samenwerking tussen it-beveiligingsbedrijf Zone Labs en zo'n identiteitsmanagementbedrijf, Intersections. Met deze nieuwe dienst is de klant zowel online als offline beschermd. Het pakket bevat voorlichting, diensten om fraude te voorkomen en zelfs hulp als er identiteitsdiefstal is gepleegd. Omdat het probleem op de Nederlandse markt (nog) niet nijpend is, ontbreken dergelijke diensten hier.
Meer informatie
