Back to news

ID-providers: werk samen tegen internetfraude

04-03-2016

Vorige maand lekte het bericht uit. Het persoonlijke e-mailaccount van James Clapper, hoofd van de Amerikaanse inlichtingendiensten, was gehackt. Best pijnlijk, natuurlijk. Is dit het bewijs dat we machteloos staan tegenover cybercriminelen? Zeker niet! Het is juist tijd dat ID-providers de handen ineen slaan en elkaar wijzen op concrete aanwijzingen voor fraude. Het systeem hiervoor bestaat al: Shared Signaling, en het wordt nu getest in Groot-Brittannië.

Clapper zal er best slecht van hebben geslapen. Niet alleen zijn e-mail, ook zijn internet- en telefoonaccount werd gehackt, zo meldde Vice Magazine vorige maand. Naast hem lag zijn vrouw net zo onrustig in bed te woelen. Want ook haar Yahoo-account bleek niet veilig.

Duizenden gebruikers zijn slachtoffer

Het echtpaar is niet het enige slachtoffer. Twitter, Facebook: alle populaire netwerken melden vroeg of laat een hack waarbij de gegevens van bij elkaar duizenden gebruikers op straat liggen. Eind vorig jaar werd duidelijk dat per maand maar liefst 77 duizend accounts van gameplatform Steam worden gehackt.

Zijn ook ID-providers kwetsbaar?

Ook ID-providers kunnen met fraude te maken krijgen. In Nederland investeren we veel in de beveiliging van DigiD, eHerkenning en opvolger Idensys. We maken het cybercriminelen zo moeilijk mogelijk om in te breken in de accounts. Daar slagen we samen met de overheid behoorlijk goed in.

Maar toch …

Stel, een echtpaar besluit na jaren uit elkaar te gaan. Er is onenigheid, ruzie; het is een echte vechtscheiding. Uit wraak besluit de man op een goede dag het boekje met wachtwoorden van zijn vrouw te pakken. Hij logt in op haar DigiD en wijzigt al haar bankgegevens zodat hij de toeslagen opstrijkt.

Een Account Take Over (ATO) is de nachtmerrie van elke internetgebruiker. Voor je het weet gaat iemand er met je online identiteit aan de haal. Een fraudeur doet zich voor als jou, maakt namens jou een nieuw account aan en manipuleert (financiële) transacties. Geen ID-provider die het opvalt.

Daar denkt Andrew Nash gelukkig anders over.

Andrew Nash' oplossing: Shared Signaling

De ex-directeur van onder meer PayPal en Google heeft een systeem opgezet om gezamenlijk internetfraude te bestrijden. Bij Google kwam hij op dit idee. Daar zag hij dat er afwijkend dataverkeer was rond veel Yahoo-accounts. Hij vermoedde dat ze gehackt waren. Hij signaleerde dit eerder dan Yahoo zelf. Het idee voor een waarschuwingssysteem tegen internetfraude was geboren.

Nash heeft het systeem inmiddels opgezet: Shared Signaling. Zoals het bankwezen werkt met zwarte lijsten om elkaar te wijzen op mogelijke fraudeurs, zo zouden ID-providers hetzelfde moeten doen. Online identificatie is immers in constant gevaar door frauduleus handelen, illegaal overnemen van accounts en aanvallen door hackers. De gevolgen ervan kunnen enorm zijn. Klantgegevens worden vernietigd, reputaties van ID-providers beschadigd en de financiële schade is haast niet te berekenen.

Hoe werkt Shared Signaling?

Nash' pleidooi is om samen te werken door informatie over fraude met elkaar te delen. Het werkt als volgt. Een ID-provider merkt dat er iets mis is met een gebruikersaccount. De provider geeft dit binnen een beveiligde omgeving door aan een centraal informatiepunt: de Signal Manager.

De Signal Manager geeft aan de andere ID-providers een waarschuwing door. Klopt de fraudeur bij hen aan om een account aan te vragen of te veranderen? Dan kunnen zij zich bedenken op basis van de informatie van de Signal Manager. Daarmee is de speelruimte voor de fraudeur een stuk kleiner geworden.

Zijn er bezwaren?

Leuk, zo'n waarschuwingssysteem, maar hoe zit het met de privacy van gebruikers? Ik hoor het je denken. De informatie die de Signal Manager ontvangt en verstuurt, is specifiek genoeg om een fraudeur te herkennen, zonder dat het ingaat op privacygevoelige details.

En wat als een ID-provider de waarschuwingen negeert? Natuurlijk, een ID-provider staat vrij om op basis van de informatie van de Signal Manager een eigen risicoanalyse te maken. Slaat de ID-provider het signaal in de wind, dan kan de fraudeur alsnog zijn gang gaan. Maar een ID-provider kan daar nooit lichthartig mee omgaan. Want wie wil uitgroeien tot een vrijhaven voor cybercriminaliteit? Als ID-provider ben je uiteraard zuinig op je accounts én je reputatie.

Omarm Shared Signaling

Shared Signaling is meer dan een papieren tijger. Op dit moment draait het model van Nash proef in Groot-Brittannië. De lessen die daaruit volgen, zijn interessant voor ons in Nederland. Juist nu, juist voor ons.

Met Idensys staan we op het punt om het oude DigiD te vervangen. Had DigiD nog een fraudeteam van Logius achter de hand, met Idensys moeten we als ID-providers zelf als waakhond optreden. Laten we die rol ter harte nemen en Shared Signaling omarmen. Zo voorkomen we dat minister Plasterk en zijn vrouw ooit slapeloze nachten krijgen.

Aanvullende informatie:

The Shared Signals Model Protecting the Identity Ecosystem Reducing Fraud and Improving Online Safety through IdP Signal Sharing