Al jaren waarschuw ik voor de risico's van online authenticatie (authenticatie = identiteitsverificatie, bewijzen wie je bent die je zegt te zijn).

*NIETS* kan op tegen authenticatie in levenden lijve m.b.v. een op echtheid gecontroleerd identiteitsbewijs door een (essentieel!) betrouwbaar persoon.

Online authenticatie wordt met de dag onbetrouwbaarder om minstens twee redenen:

1) M.b.v. AI wordt het steeds eenvoudiger om identiteitsbewijzen *zichtbaar* te vervalsen - uiteindelijk wordt een manipuleerbaar plaatje geüpload;

2) Criminelen lokken mensen naar valse websites waar slachtoffers moeten authenticeren. Die informatie zetten de criminelen live door naar een echte banksite, maar vullen andere adresgegevens in zodat een bankpas bij hén wordt afgeleverd.

Dat banken het zó bont maken als beschreven in https://www.security.nl/posting/929025/OM+eist+celstraf+voor+omzeilen+van+ID-scan+en+verificatiemethodes+van+bank had zelfs ik niet verwacht, maar dit betrof waarschijnlijk een sukkel die de laatsts AI trucjes niet kent. Uit dat artikel:
❝
De verdachte zou identiteitsbewijzen van meerdere mensen hebben vervalst en gebruikt om op naam van deze slachtoffers bankrekeningen te openen. De betreffende bank, die niet bij naam wordt genoemd, startte vorig jaar mei een onderzoek naar aanleiding van een 'intern signaal'.
❞
gevolgd door de tekst hieronder.

#Authenticatie #VideoIdent

"Onze privé-gegevens zijn niet veilig als een Amerikaans IT-bedrijf op het punt staat eigenaar te worden van DigiD!"
— https://actie.degoedezaak.org/petitions/stop-de-amerikaanse-overname-digid

Klopt. Maar ik teken NIET want dit soort petities zijn BULL SHIT:

1️⃣ Als je tekent, geef je jouw gegevens aan de eigenaar van "degoedezaak.org". Waarom verzamelt die club onze persoonsgegevens, en wat doen ze daar WERKELIJK mee?

2️⃣ Daarnaast deel je jouw gegevens met tal van Amerikaanse BigTech bedrijven: Cloudflare, Google, Amazon, Facebook, BlueSky en vermoedelijk ook Twitter.

3️⃣ Je kunt natuurlijk liegen over jouw identiteit, maar dan kun je ook tig keer stemmen (bij het songfestival "beperkt" tot 10x per persoon: https://security.nl/posting/913878). Hoeveel stemmen zijn authentiek en beperkt tot ÉÉN per levende Nederlandse burger?

4️⃣ Uit https://www.degoedezaak.org/privacyverklaring/:
"13. Als bewijs voor daadwerkelijke steun voor petities en burgerinitiatieven (burgerinitiatieven vereisen minimaal naam, adres en geboortedatum)"
Deze petitie vraagt, zo te zien, niet om een geboortedatum en is -naar verluidt- dus ongeldig.

P.S. er is een fix voor de meeste problemen: https://www.security.nl/posting/912595/Idee%3A+DigiD%2B%2B+voor+petities%3F.

#OnlinePetities #ONBETROUWBAAR #OnlineAuthenticatie #Authenticatie #Impersponatie #Identificatie #Petities #Privacy #Risicos #DataGraaiers #BigTechisEvil #GoogleIsEvil #CloudFlareIsEvil

Dat de overheid eist dat werkgevers kopieën van paspoorten bewaren, SLAAT NERGENS OP - want een kopie bewijst NIKS (noteer de gegevens, dat volstaat).

Daarnaast zegt HELEMAAL NIEMAND dat je die kopieën digitaal ONLINE moet bewaren.

Nieuwe paspoorten aanvragen helpt ook nauwelijks, want er is geen openbaar register voor ingetrokken identiteitsbewijzen; de kopiejatters kunnen de kopieën in veel gevallen gewoon misbruiken.

En een nieuw BSN zit er al helemaal niet in (dat zou ook niet nodig moeten zijn om identiteitsfraude tegen te gaan).

Alle risico's zijn weer voor individuele burgers die geen keuze hebben.

https://nos.nl/artikel/2587574-opnieuw-hack-bij-albert-heijn-winkels-paspoorten-en-beoordelingen-buitgemaakt
Zie ook: https://www.security.nl/posting/827137/Kopie-ID%3A+kap+ermee%21

#HersenlozeOverheid #HersenlozeWerkgevers #IdentiteitsFraude #Authenticatie #Impersonatie #IdentiteitsBewijs #KopieID #Paspoort

🧵1/3 met screenshot 5️⃣ behorende bij https://www.security.nl/posting/904175/qrco_de+op+parkeerautomaat - één dag na publicatie van dat artikel en de follow-up zojuist (https://www.security.nl/posting/904328).

Bron voor de QR-code: https://www.omroepwest.nl/verkeer/5012600/waarschuwing-voor-oplichting-met-valse-qr-stickers-op-parkeerautomaten.

De screenshot hieronder, nummer 5️⃣, is van na de volgende handelingen: (in gevaarlijke links heb ik de '/' vervangen door '\' om onbedoeld openen te voorkómen):

1️⃣ In Chrome onder Android openen van de link in de QR-code:
https:\\qrco.de\bgEGZn

2️⃣ In een pagina met een EasyPark logo staat:
Waar ben je geparkeerd ?
met een invulveld voor een vier-cijferige code. Ik voer wat willekeurigs in.

In de volgende pagina (waar ik geen screenshot van toon, niet echt boeiend) wordt om een autokenteken (zonder streepjes) gevraagd. Daar vul ik in:
27XKH5
(volgens https://www.rdwdata.nl/kenteken/27XKH5?search=1 was van de auto met dat kenteken de APK-vervaldatum 22-06-2017).

3️⃣ Er verschijnt een pagina met de vraag hoe lang je wilt parkeren. Opmerkelijk: hierin verschijnt de volgende ROEMEENSE tekst:
"Tariful se calculează automat."
En in het invulveld (feitelijk een dropdown menu) voor uren staat: "0 ore" vóóringevuld.

Erg slordig, maar ga er veiligheidshalve vanuit dat er bij een volgende aanval niet van dit soort stomme (vertaal-/taal-) fouten worden gemaakt.

4️⃣ Na drukken op het urenveld verschijnt een pagina met keuzes voor resp.
0 ore
1 oră
2 ore
3 ore
etcetera.

Ik kies voor "2 ore". Bij terugkomst in 3️⃣ laat ik minuten op nul en druk op de knop "Continuă".

5️⃣ De betaalpagina verschijnt, deze heeft de volgende URL:
https:\\161-35-211-42.cprapid.com\easy\pay.php
(die link openen zonder voornoemde stappen te doorlopen werkte zojuist ook, er is dan geen kenteken en geen parkeertijd zichtbaar).

6️⃣ Dezelfde betaalpagina (een deel ervan) in landschapsmodus , met de hele URL zichtbaar.

Screenshots 1️⃣ t/m 4️⃣ ziet u in🧵2/3 en
screenshot 6️⃣ in🧵3/3.

#Phishing #QRcode #EasyPark #Parkeren #Authenticatie #Impersonatie #Oplichting #InfoSec #QR #DV #DVcerts #BigTechIsEvil #DigitalOcean #LetsEncrypt

Ik zoek contact met personen of bedrijven die evaring hebben met #keycloak #idm #iam in organisaties van omvang in nederland. En liefst ruimer dan alleen voor #sso en #Authenticatie
Ken je implementaties, migraties vanuit andere systemen?
Ken je implementatiepartners die dit doen, of mensen die Keycloak binnen hun eigen organisatie (bij voorkeur non-profit, liefst #onderwijs ) die beheren, aarzel niet om me te pingen. Mag ook n dm.

Boost waardeer ik!

#identitymanagement #accessmanagent #surf