Actie van Pensioenfonds QR code en Digid - Privacy en beveiliging

woensdag 16 april 2025 11:04

Acties:

+1 Henk 'm!

Ik ben goed luisterend

Topicstarter

Vanochtend kreeg mijn vrouw een kaart in de brievenbus, van een pensioenfonds waar ze bij aangesloten zit.

Deze kaart begint met: Je krijgt nog geld van ons!

Daarna gaat het over dat je kans maakt op 50 euro. Als je via de QR code inlogt met je DigiD account, en mail adres registreert.

Ik heb tegen mijn vrouw gezegd, dit is scam, niet scannen.

Echter, door de echtheid en het taalgebruik, ben ik toch gaan twijfelen. Contact opgenomen met het pensioenfonds. En wat blijkt. Het is valide !!

Hoe kunnen wij verwachten, dat mensen niet meer in scam berichten trappen. Als de bedrijven die gebruik maken van DigiD zo onveilig omgaan met deze gegevens.

Uiteraard heb ik een klacht ingediend bij het Pensioenfonds. Mijn vraag is, kan ik dit ook bij andere instanties melden. Zodat bedrijven niet meer op deze manier met DigiD omgaan ?

woensdag 16 april 2025 11:22

Acties:

0 Henk 'm!

ElCondor

Geluk is Onmisbaar

Definieer onveilig? Als de QR code een link bevat naar een site van het Pensioenfonds zelf en daar wordt gevraagd om een DigiD login en het Pensioenfonds heeft dit verder netjes geregeld, dan is er toch niets aan de hand?
Het is niet zo dat je pas op de link kunt klikken nadat je jouw DigiD gegevens hebt ingevoerd. Dus je hebt er nog steeds zelf de controle over. Ik neem aan dat het fonds zowieso deze gegevens gebruikt om te valideren of jij jij bent als je bij hen inlogt om, nu ja, je pensioen te checken.

Mijn WTF is eerder een Pensioenfonds dat een 'loterij' voor 50,- euro organiseert? Of is dat precies wat je bedoelt?

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)

woensdag 16 april 2025 11:28

Acties:

+6 Henk 'm!

Hahn

ElCondor schreef op woensdag 16 april 2025 @ 11:22:
Definieer onveilig? Als de QR code een link bevat naar een site van het Pensioenfonds zelf en daar wordt gevraagd om een DigiD login en het Pensioenfonds heeft dit verder netjes geregeld, dan is er toch niets aan de hand?

Het hele punt is dat heel veel mensen niet (goed) weten wat een veilige link is en wat niet.

Als ik het domein pensioenfondss.nl (let op de dubbele 's') registreer, daar een QR-code van maak en die op een folder in de buurt ga verspreiden, dan is de kans heel groot dat er een boel mensen in zouden trappen en gaan inloggen op mijn fake DigiD-login. En dan heb ik dus hun inloggegevens (niet de 2FA, gelukkig, maar het begin is er).

Overheidsinstellingen sturen daarom nooit zelf links waar je op kan klikken, maar geven aan dat je zelf in je browser naar hun website zal moeten gaan door het handmatig in te tikken (of te googlen). Dat hadden ze hier ook moeten doen.

The devil is in the details.

woensdag 16 april 2025 11:31

Acties:

+3 Henk 'm!

Sjod

Ik ben goed luisterend

Topicstarter

Bovenstaande is precies wat ik bedoel.

Op de site van Digid waarschuwen ze zelfs hiervoor: https://www.digid.nl/veil...n%20u%20moet%20doorlopen.

Let op, DigiD stuurt u nooit berichten met een link of QR-code. Ziet u wel een link of QR-code in een bericht dat van DigiD lijkt te komen? Scan de QR-code niet en klik niet op de link.

Als vervolgens hun serviceproviders (zoals dit pensioenfonds), dit wel gewoon doen. Dan maak je het wel heel makkelijk voor oplichters.

[ Voor 13% gewijzigd door Sjod op 16-04-2025 11:34 ]

woensdag 16 april 2025 11:50

Acties:

0 Henk 'm!

ElCondor

Geluk is Onmisbaar

Ha ja, point taken..

Het is de practice aan sich waar mensen aan kunnen wennen.
Eigenlijk zou het fonds door DigiD aangesproken moeten worden om potentieel gevaarlijk gebruik van de DigiD login.

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)

woensdag 16 april 2025 11:53

Acties:

+1 Henk 'm!

Fraggert

Whiskey Tango Foxtrot

Sjod schreef op woensdag 16 april 2025 @ 11:04:
Echter, door de echtheid en het taalgebruik, ben ik toch gaan twijfelen. Contact opgenomen met het pensioenfonds. En wat blijkt. Het is valide !!

allicht overbodig, maar ik ga de vraag toch stellen:

hoe heb jij contact opgenomen, met de contactgegevens van hun website of het telefoonnummer op die kaart die je in de brievenbus vond?

“I have not failed. I’ve just found many ways that won’t work” - Thomas Edison

woensdag 16 april 2025 11:57

Acties:

0 Henk 'm!

Sjod

Ik ben goed luisterend

Topicstarter

Fraggert schreef op woensdag 16 april 2025 @ 11:53:
[...]

allicht overbodig, maar ik ga de vraag toch stellen:

hoe heb jij contact opgenomen, met de contactgegevens van hun website of het telefoonnummer op die kaart die je in de brievenbus vond?

Goede vraag

Via de website van het fonds

woensdag 16 april 2025 11:58

Acties:

0 Henk 'm!

Fraggert

Whiskey Tango Foxtrot

Sjod schreef op woensdag 16 april 2025 @ 11:57:
[...]

Goede vraag Via de website van het fonds

Goed zo!

bekende van ons kreeg namelijk zo'n KVK-brief vanwege een inschrijving op het woonadres en die ging het nummer uit de brief bellen

“I have not failed. I’ve just found many ways that won’t work” - Thomas Edison

woensdag 16 april 2025 11:59

Acties:

+1 Henk 'm!

Sjod

Ik ben goed luisterend

Topicstarter

ElCondor schreef op woensdag 16 april 2025 @ 11:50:
Ha ja, point taken..

Het is de practice aan sich waar mensen aan kunnen wennen.
Eigenlijk zou het fonds door DigiD aangesproken moeten worden om potentieel gevaarlijk gebruik van de DigiD login.

Zojuist via Logius (partij achter DigiD) en mail verstuurd naar valse-email@digid.nl

Het mail adres dekt niet helemaal de lading, maar mischien kunnen zij er iets mee.

woensdag 16 april 2025 13:23

Acties:

+1 Henk 'm!

BytePhantomX

Ik vind dit altijd vrij amusant. Je kan er vergif op innemen dat het pensioenfonds een intern security team heeft met daarin awareness specialisten. Die zullen er op hameren dat bijvoorbeeld het scannen van qr-codes gevaar met zich meebrengt. En intussen heb je een marketing team dat aan het brainstormen is, die training ook gevolgd heeft en dit bedenkt.

Is bij banken ook heel veel mis gegaan, al heb ik het idee dat dit daar nu bij de communicatieafdelingen wel wat beter tussen de oren zit.

woensdag 16 april 2025 14:08

Acties:

0 Henk 'm!

Wolly

Hahn schreef op woensdag 16 april 2025 @ 11:28:
[...]

Het hele punt is dat heel veel mensen niet (goed) weten wat een veilige link is en wat niet.

Als ik het domein pensioenfondss.nl (let op de dubbele 's') registreer, daar een QR-code van maak en die op een folder in de buurt ga verspreiden, dan is de kans heel groot dat er een boel mensen in zouden trappen en gaan inloggen op mijn fake DigiD-login. En dan heb ik dus hun inloggegevens (niet de 2FA, gelukkig, maar het begin is er).

Overheidsinstellingen sturen daarom nooit zelf links waar je op kan klikken, maar geven aan dat je zelf in je browser naar hun website zal moeten gaan door het handmatig in te tikken (of te googlen). Dat hadden ze hier ook moeten doen.

Inloggegevens bij Digid ? Dat doet iedereen nu toch wel via de app?

woensdag 16 april 2025 14:10

Acties:

+1 Henk 'm!

ElCondor

Geluk is Onmisbaar

Wolly schreef op woensdag 16 april 2025 @ 14:08:
[...]

Inloggegevens bij Digid ? Dat doet iedereen nu toch wel via de app?

Dat kan ook niet anders, volgens mij, maar dat is het punt niet.
Het gaat meer om awareness en gewenning bij het publiek om zo maar via QR code alles aan te klikken en te openen zonder dat ze feitelijk kunnen zien waarnaar ze toe worden gelinkt.

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)

woensdag 16 april 2025 14:15

Acties:

+2 Henk 'm!

XelaRetak

Sjod schreef op woensdag 16 april 2025 @ 11:04:
Vanochtend kreeg mijn vrouw een kaart in de brievenbus, van een pensioenfonds waar ze bij aangesloten zit.

Deze kaart begint met: Je krijgt nog geld van ons!

Daarna gaat het over dat je kans maakt op 50 euro. Als je via de QR code inlogt met je DigiD account, en mail adres registreert.

Ik heb tegen mijn vrouw gezegd, dit is scam, niet scannen.

Echter, door de echtheid en het taalgebruik, ben ik toch gaan twijfelen. Contact opgenomen met het pensioenfonds. En wat blijkt. Het is valide !!

Hoe kunnen wij verwachten, dat mensen niet meer in scam berichten trappen. Als de bedrijven die gebruik maken van DigiD zo onveilig omgaan met deze gegevens.

Uiteraard heb ik een klacht ingediend bij het Pensioenfonds. Mijn vraag is, kan ik dit ook bij andere instanties melden. Zodat bedrijven niet meer op deze manier met DigiD omgaan ?

Dat gaat wel echt tegen alle best practices in kwa veiligheid, wat knullig.

woensdag 16 april 2025 14:16

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Om welk pensioenfonds gaat het eigenlijk?

Exchange en Office 365 specialist. Mijn blog.

woensdag 16 april 2025 14:22

Acties:

0 Henk 'm!

Wolly

ElCondor schreef op woensdag 16 april 2025 @ 14:10:
[...]

Dat kan ook niet anders, volgens mij, maar dat is het punt niet.
Het gaat meer om awareness en gewenning bij het publiek om zo maar via QR code alles aan te klikken en te openen zonder dat ze feitelijk kunnen zien waarnaar ze toe worden gelinkt.

Dat was wel het punt wat @Hahn maakte, mensen zouden dan de inloggegevens hebben.

woensdag 16 april 2025 14:24

Acties:

0 Henk 'm!

ElCondor

Geluk is Onmisbaar

Wolly schreef op woensdag 16 april 2025 @ 14:22:
[...]

Dat was wel het punt wat @Hahn maakte, mensen zouden dan de inloggegevens hebben.

Het gaat dan om eventuele technische details. Ik zou me kunnen voorstellen dat er een proxy site voor zit die eerst wat malware installeert en daarna de link naar de DigiD login doet.

XelaRetak schreef op woensdag 16 april 2025 @ 14:15:
[...]

Dat gaat wel echt tegen alle best practices in kwa veiligheid, wat knullig.

Welkom in de wereld van marketing en communicatie...

[ Voor 25% gewijzigd door ElCondor op 16-04-2025 14:25 ]

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)