Ben ik gescammed en wat kan ik nu doen?

maandag 28 augustus 2017 14:41

Acties:

0 Henk 'm!

Topicstarter

Ik ben vorige week op mijn werk gebeld door iemand die aangaf te werken voor de school waar ik een aantal jaar geleden ben afgestudeerd. Er zou een reünie aankomen maar wegens een probleem met de database waren mijn contact gegevens verloren gegaan, maar ze wilden mij toch graag een uitnodiging sturen. Ik heb zonder er verder iets bij te denken mijn mobiele nummer en mijn Gmail adres doorgegeven. Snel daarna begon het te knagen en heb ik contact opgenomen met de school in kwestie, zij wisten uiteraard van niets. Het lijkt er dus op dat ik met open ogen in een scam poging ben getrapt. Vandaag werd dit vermoeden bevestigd toen we op het werk weer gebeld worden en er naar een collega gevraagd werd, ook met als reden dat er vanuit zijn voormalige opleiding uit (compleet andere school in een ander deel van het land) een reünie zou komen.

Wat voor mij nu het belangrijkste is: wat kunnen scammers doen met mijn e-mail adres en mijn mobiele nummer? Mijn e-mail heeft tweefactor authenticatie (gmail icm Google authenticator). Ik kan me zo niet 1-2-3 voorstellen dat ze via puur mijn telefoonnummer in mijn telefoon kunnen komen (Windows Phone). Ik ben hier echter niet heel erg bekend mee en ik maak me er toch wel zorgen om. Ik ben al bezig om mijn belangrijkste accounts van een ander e-mail adres te voorzien, ik overweeg ook om voor de zekerheid ook een ander telefoonnummer te nemen. Reageer ik te fel en hoef ik me, mits ik verder mijn accounts goed beveiligd heb, geen zorgen te maken of kan ik hier echt mee in de problemen raken? Kan ik dit ergens melden bij de politie zodat, mocht ik opeens vreemde rekeningen krijgen oid, ik hier verder geen gezeik mee krijg?

Heeft iemand hier ervaring mee?

End-users are clingy complaining dipshits who will never ever be grateful for any concession you make. The moment you shut out their shrill, tremulous voices, the happier you will be for it.

maandag 28 augustus 2017 14:49

Acties:

0 Henk 'm!

True

Dislecticus

Wegens spam zou ik beide gegevens niet zonder goede reden verspreiden. Maar ik kan me niet indenken hoe iemand mij zou kunnen scammen met alleen deze gegevens en mijn naam. Er zijn maar zeer weinig services waarbij je met deze gegevens toegang zou kunnen krijgen.

Ik zou eerder bang zijn voor een volledig profiel, NAW e.d. gegevens er bij en dat ze dit doorverkopen.

Maar anderzijds heb ik weinig gehoord van dit soort scams in het Nederlands. Ook zou ik het niet vreemd vinden dat een bepaalde school bij bellen niet direct weet dat er zoiets gaande is. Wellicht is het alleen voor een studiejaar, of alleen de opleiding of zelfs alleen de klas. De receptioniste zal dat wellicht niet direct weten.

VW ID.7 Tourer Pro S | 5670 Wp JA Solar - 14x405 33° op Zuid | Twente

maandag 28 augustus 2017 14:53

Acties:

0 Henk 'm!

Neko Koneko

Topicstarter

Ik heb nog geen e-mail gekregen met de uitnodiging, en mijn collega is zoals ik al aangaf bij een compleet andere school aan de andere kant van het land afgestudeerd. Wel heel erg toevallig als die allebei tegelijkertijd een reünie gaan organiseren en ook allebei tegelijkertijd hun studentenadministratie niet op orde zouden hebben.

Mijn school had mijn gegevens trouwens gewoon, dat was ik vergeten te melden. Er was dus vanuit de school ook geen reden om naar mijn gegevens te vragen.

End-users are clingy complaining dipshits who will never ever be grateful for any concession you make. The moment you shut out their shrill, tremulous voices, the happier you will be for it.

maandag 28 augustus 2017 16:02

Acties:

+6 Henk 'm!

Sissors

Misschien in een poging betere phishing te versturen naar je werkgever? Wel heel toevallig dat het ook net jouw collega gebeurd. Dat of iemand bij je in de buurt die het grappig leek, of een verrassings feestje wil organiseren en de juiste mensen uitnodigen

.

Maar ik denk wel dat je e-mail adres wijzigen een overreactie is, en je telefoonnummer al helemaal. In mijn omgeving kent iedereen mijn telefoonnummer + e-mail adres. Het is niet bepaald een geheime combinatie.

maandag 28 augustus 2017 16:06

Acties:

+1 Henk 'm!

SinergyX

____(>^^(>0o)>____

Is dit niet meer gevalletje van headhunting? Je bent blijkbaar bekend (van die school), net als je collega (andere school), dus je opleiding is bekend. Een random scammer/phiser/id-fraude zou zoiets of niet weten, of de moeite niet doen.

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

maandag 28 augustus 2017 16:19

Acties:

+4 Henk 'm!

Gadgeteer

Test van je werkgever om te kijken hoe makkelijk jullie gegevens verstrekken?

dinsdag 29 augustus 2017 10:03

Acties:

0 Henk 'm!

Galois

1811 - 1832

Er zijn toch ontzettend veel instanties die de combinatie van jouw telefoonnummer en e-mailadres hebben?

Niet echt een geheime combinatie in ieder geval en makkelijk te krijgen.

Ik kan mij niet voorstellen dat er een scam uit kan volgen...

1 - Mathematics is the language of nature. 2 - Everything around us can be represented and understood through numbers. 3 - If you graph the numbers of any system, patterns emerge.

dinsdag 29 augustus 2017 10:06

Acties:

+1 Henk 'm!

heuveltje

KoelkastFilosoof

Galois schreef op dinsdag 29 augustus 2017 @ 10:03:
Er zijn toch ontzettend veel instanties die de combinatie van jouw telefoonnummer en e-mailadres hebben?

Niet echt een geheime combinatie in ieder geval en makkelijk te krijgen.

Ik kan mij niet voorstellen dat er een scam uit kan volgen...

Ik ook niet, maar ik kan me ook niet voorstellen waarom iemand dan wel de moeite zou doen om dit in kaart te brengen ?

Heuveltjes CPU geschiedenis door de jaren heen : AMD 486dx4 100, Cyrix PR166+, Intel P233MMX, Intel Celeron 366Mhz, AMD K6-450, AMD duron 600, AMD Thunderbird 1200mhz, AMD Athlon 64 x2 5600, AMD Phenom X3 720, Intel i5 4460, AMD Ryzen 5 3600 5800x3d

dinsdag 29 augustus 2017 10:06

Acties:

0 Henk 'm!

CurtPoindexter

-

[ Voor 98% gewijzigd door CurtPoindexter op 19-10-2019 14:57 . Reden: Leeg ivm privacy ]

dinsdag 29 augustus 2017 10:09

Acties:

0 Henk 'm!

Hackus

Lifting Rusty Iron !

Gadgeteer schreef op maandag 28 augustus 2017 @ 16:19:
Test van je werkgever om te kijken hoe makkelijk jullie gegevens verstrekken?

Daar dacht ik ook aan.

@Anoniem: 37297 ben je op je werk benadert of ?

Kiest als MTB' er voor het mulle zand en drek, ipv het naastgelegen verharde pad.

dinsdag 29 augustus 2017 10:18

Acties:

0 Henk 'm!

Wootism

aaibaar

Gadgeteer schreef op maandag 28 augustus 2017 @ 16:19:
Test van je werkgever om te kijken hoe makkelijk jullie gegevens verstrekken?

Ik neem aan dat als het gaat om een schoolreünie dat je niet je zakelijke nummer of zakelijke e-mail adres gaat verstrekken.

dinsdag 29 augustus 2017 10:22

Acties:

0 Henk 'm!

Gadgeteer

Wootism schreef op dinsdag 29 augustus 2017 @ 10:18:
[...]

Ik neem aan dat als het gaat om een schoolreünie dat je niet je zakelijke nummer of zakelijke e-mail adres gaat verstrekken.

Klopt maar ze hoeven niet te kijken of er een beveiligingslek is, ze kunnen het ook gebruiken om mensen bewust te maken (awareness). Zouden ze gaan vragen om zakelijke info dan brengen ze de mensen wel erg in verlegenheid, vooral wanneer deze de informatie goedbedoeld toch verstrekken.

dinsdag 29 augustus 2017 10:27

Acties:

0 Henk 'm!

S0epkip

Zou me er niet te druk om maken. Hoe "geheim" zijn je emailadres en telefoonnummer nou helemaal? Het enige is dat je misschien wat spam kunt krijgen.

PVO

dinsdag 29 augustus 2017 10:28

Acties:

0 Henk 'm!

Port187

....

[ Voor 99% gewijzigd door Port187 op 24-02-2024 13:39 ]

dinsdag 29 augustus 2017 10:29

Acties:

+3 Henk 'm!

Kurkentrekker

Met de informatie die ze van jou en van een collega hebben (namelijk werknummer, werkgever, afgeronde opleiding, naam), lijkt het me eerder dat het een bedrijf is dat een security audit uitvoert, of je werkgever zelf. Die informatie, vooral de combinatie ervan bij meerdere personen, kom je namelijk niet zomaar achter.

De meest simpele verklaring in dit geval is dat je werkgever een audit uitvoert.

En stel dat iemand je identiteit probeert te stelen, wat denk je dan dat ze kunnen met mailadres en telefoonnummer combi?

dinsdag 29 augustus 2017 10:31

Acties:

0 Henk 'm!

Hackus

Lifting Rusty Iron !

Wootism schreef op dinsdag 29 augustus 2017 @ 10:18:
[...]

Ik neem aan dat als het gaat om een schoolreünie dat je niet je zakelijke nummer of zakelijke e-mail adres gaat verstrekken.

Dat maakt niks uit, gaat dan om hoe makkelijk jij gegevens verstrekt

Kiest als MTB' er voor het mulle zand en drek, ipv het naastgelegen verharde pad.

dinsdag 29 augustus 2017 10:54

Acties:

0 Henk 'm!

Neko Koneko

Topicstarter

Ik heb mijn werkgever hierover gevraagd (ik dacht ook aan de mogelijkheid van een security audit) en daarbij ook aangegeven dat ik hier toch wel behoorlijk mee in mijn maag zit (waarschijnlijk meer dan nodig zoals sommige mensen hierboven aangeven) en hij ontkende dat hij er iets van af wist. Mocht blijken dat dit toch een onderdeel van een audit is dan is er een goede kans dat ik binnenkort ander werk ga zoeken want ik zou het gewoon misselijk vinden als hij het recht in mijn gezicht zou ontkennen terwijl ik er toch wel echt mee zit. Ik ga er echter vanuit dat dit niet het geval is.

Andere mogelijkheid is inderdaad dat het een recruiter/headhunter bureau is dat probeert contact gegevens te krijgen. Ik heb op Linkedin en op monsterboard wel een profiel maar deze informatie is afgeschermd omdat ik momenteel niet op zoek ben naar iets anders. Wellicht dat ze op deze manier toch achter contact gegevens willen komen. Misselijke methode maar schijnbaar zijn sommige van die lui tot van alles in staat

Ik ben er in ieder geval wel wat geruster op, ik heb wel op alle belangrijke zaken mijn wachtwoord gewijzigd (voor de zekerheid

) en ik ga ook een aantal dingen (vooral financiële dingen zoals mijn credit card, paypal e.d.) koppelen aan een ander e-mail adres dat ik niet aan jan en alleman ga geven, ook gewoon voor de zekerheid

Voor de rest zie ik het maar als een goede wake--up call, ik beschouw mezelf normaal best paranoïde als het om mijn persoonsgegevens gaat maar nu kreeg ik iemand met een vlotte babbel aan de lijn en tuinde ik er alsnog vierkant in

Iedereen bedankt voor de reacties! Topic mag van mij dicht.

End-users are clingy complaining dipshits who will never ever be grateful for any concession you make. The moment you shut out their shrill, tremulous voices, the happier you will be for it.

dinsdag 29 augustus 2017 11:07

Acties:

0 Henk 'm!

red14

.

[ Voor 98% gewijzigd door red14 op 26-09-2023 16:22 . Reden: . ]

dinsdag 29 augustus 2017 14:24

Acties:

0 Henk 'm!

Neko Koneko

Topicstarter

Nooit bitcoins gehad, dus daar verspillen ze hun tijd aan bij mij

End-users are clingy complaining dipshits who will never ever be grateful for any concession you make. The moment you shut out their shrill, tremulous voices, the happier you will be for it.

dinsdag 29 augustus 2017 14:46

Acties:

0 Henk 'm!

Kurkentrekker

Bovendien moet men bij die aangehaalde scam jou overhalen om je telefoonnummer over te nemen en 'op een ander toestel te zetten' (whatever dat dan ook betekent, zal wel een simkaart zijn?).

Ik zou in dit geval lekker mijn schouders ophalen. Het ergste wat je nu kan gebeuren is dat iemand je op je privenumer of mailadres gaat lastigvallen. Dat valt te blokkeren of negeren.

dinsdag 29 augustus 2017 14:51

Acties:

0 Henk 'm!

johnkeates

Een email adres en telefoonnummer kan gebruikt worden voor SMS-based 2FA hacks. Telefoonnummers (en SMS dus) zijn niet heel moeilijk te misbruiken/onderscheppen, en stel dat je ergens 2FA/MFA gebruikt op SMS basis, dan zou het wel een probleem kunnen zijn.

dinsdag 29 augustus 2017 14:52

Acties:

0 Henk 'm!

TheBorg

Resistance is futile.

Sissors schreef op maandag 28 augustus 2017 @ 16:02:
Misschien in een poging betere phishing te versturen naar je werkgever?

Maar ik denk wel dat je e-mail adres wijzigen een overreactie is, en je telefoonnummer al helemaal. In mijn omgeving kent iedereen mijn telefoonnummer + e-mail adres. Het is niet bepaald een geheime combinatie.

Ik sluit me hier bij aan.

Op TV heb ik gezien dat iemand een bestelling van een webshop thuis kreeg terwijl deze persoon niets had besteld maar wel op de website was geweest. Daarna kwam natuurlijk ook de rekening en uiteindelijk een deurwaarder.

Als de scammer gegevens van social media combineerd met gegevens die niet op social media staan zoals email en telefoonnummer dan kun je dat soort truukjes uithalen.

dinsdag 29 augustus 2017 14:59

Acties:

0 Henk 'm!

Mel33

Hij zou met deze gegevens idd iemand kunnen overtuigen uit jou naam, of iets kunnen kopen
Er was bijv een topic over een bank die de beveiliging niet op orde had en alleen een email adres nodig had om in een bank account te komen, aanpassen of overboekingen zal wel niet kunnen, maar met je telefoon nummer erbij, zou daar toch wel meer mee kunnen.
Is je bedrijf bij deze bank missc?
Bank heeft security-lek, doet er niets aan - wat nu?

Ik ben zo blij dat de pen en de som nog steeds machtiger zijn dan het zwaard. ringo-remasterd

dinsdag 29 augustus 2017 15:08

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

Neko Koneko schreef op dinsdag 29 augustus 2017 @ 10:54:
Ik heb op Linkedin en op monsterboard wel een profiel maar deze informatie is afgeschermd omdat ik momenteel niet op zoek ben naar iets anders. Wellicht dat ze op deze manier toch achter contact gegevens willen komen. Misselijke methode maar schijnbaar zijn sommige van die lui tot van alles in staat

Dat zegt helaas nog niets. Ik heb wel eens gehad dat ik mijn CV / profiel verborgen zette, plots werd ik een paar dagen later gebeld, dat ze mijn CV / profiel op Monsterboard tegen kwamen...

[ Voor 27% gewijzigd door CH4OS op 29-08-2017 15:10 ]

dinsdag 29 augustus 2017 15:21

Acties:

0 Henk 'm!

Neko Koneko

Topicstarter

Volgens mij scrapen recruiters profielen op Monsterboard en gaan ze er pas later mee bezig, maar ik denk dat ik mijn Monsterboard (en wellicht ook mijn Linkedin profiel) maar gewoon ga verwijderen want zolang ik niet daadwerkelijk op zoek ben naar werk heb ik er eigenlijk helemaal niets aan.

edit: wat betreft spam heb ik trouwens nog niets binnen gekregen maar het is wel zo dat mijn telefoon alle anonieme oproepen blokkeerd en Gmail heeft wel een redelijk goed spamfilter dus wellicht zijn eventuele pogingen gewoon nog niet doorgekomen

[ Voor 30% gewijzigd door Neko Koneko op 29-08-2017 15:26 ]

End-users are clingy complaining dipshits who will never ever be grateful for any concession you make. The moment you shut out their shrill, tremulous voices, the happier you will be for it.

dinsdag 29 augustus 2017 15:49

Acties:

0 Henk 'm!

Sissors

Je kan e-mail adressen met miljoenen tegelijk kopen, voor algemene spam gaat echt niemand individueel mensen opbellen en vragen om hun e-mail adres.

dinsdag 29 augustus 2017 16:27

Acties:

0 Henk 'm!

demichel

Denk dat je met 2FA wel goed zit.

Wijzig wat paswoorden e.d. en komt wel goed.

[ Voor 45% gewijzigd door demichel op 29-08-2017 16:27 ]

There are only two rules in life. #1. There always is a loser. #2. Don't be the loser.

dinsdag 29 augustus 2017 16:37

Acties:

0 Henk 'm!

Kurkentrekker

johnkeates schreef op dinsdag 29 augustus 2017 @ 14:51:
Een email adres en telefoonnummer kan gebruikt worden voor SMS-based 2FA hacks. Telefoonnummers (en SMS dus) zijn niet heel moeilijk te misbruiken/onderscheppen, en stel dat je ergens 2FA/MFA gebruikt op SMS basis, dan zou het wel een probleem kunnen zijn.

Hoe werkt dat dan? Kun je met een 06-nummer en een mailadres van een persoon een MFA beveiliging hacken, als je niet daadwerkelijk toegang tot de mailbox of toegang tot het device / simkaart hebt? Als dat mogelijk is, dan is dat hele MFA toch een flop?

dinsdag 29 augustus 2017 17:10

Acties:

0 Henk 'm!

johnkeates

Kurkentrekker schreef op dinsdag 29 augustus 2017 @ 16:37:
[...]

Hoe werkt dat dan? Kun je met een 06-nummer en een mailadres van een persoon een MFA beveiliging hacken, als je niet daadwerkelijk toegang tot de mailbox of toegang tot het device / simkaart hebt? Als dat mogelijk is, dan is dat hele MFA toch een flop?

Hoezo maakt dat MFA een flop? Het is te veel moeite voor de gemiddelde script kiddie, en voor een actor die het wel kan doen zijn er ook nog wel andere opties. Probleem hier is dat het waarschijnlijk om een databaser gaat die aan een broker verkoopt die weer in bulk de boel doorsluist. Als het een red team actie is zal dat vast ook wel in het rapport staan.

Stel dat je een mailbox wil hacken, en stel dat die geen 2FA/MFA heeft maar wel SMS recovery (bijv. bij Microsoft en Google). Zodra je het nummer hebt kan je met een APT in SS7 zo'n SMS wel onderscheppen, en het wachtwoord van de mailbox veranderen en inloggen. Ook zonder SS7 APT kan het, bijvoorbeeld door de SIM kaart als gestolen op te geven en de vervangende SIM onderscheppen. Of met een IMSI catcher de boel klonen. Of, wat soms ook kan, het nummer spoofen in een VoIP-VoIP gesprek en via een helpdesk het nummer gebruiken om je identiteit te bewijzen en een wachtwoord reset aan te vragen.

dinsdag 29 augustus 2017 23:33

Acties:

0 Henk 'm!

Kurkentrekker

Goed, dat zijn iets te veel afkortingen om allemaal te gaan Googelen, maar je lijkt te willen uitleggen dat het eenvoudig is om een mailbox te kraken als je iemand's 06-nummer weet... Dan is MFA daarmee toch overbodig?

Want de mensen die MFA écht nodig hebben zijn de nuttige targets voor dit soort aanvallen (en dus de moeite waard om te hacken, wat volgens jou door een expert lijkt te kunnen), en de mensen die geen nuttige targets zijn hebben MFA niet nodig, want er valt toch niets te halen

Vraag

Alle reacties