Vorig jaar telden de Belgische politiediensten meer dan zevenhonderd gevallen van identiteitsfraude per maand. De trend zet zich dit jaar door. Dat lijkt veel en meer dan in het verleden. Logisch, want vanwege het ontstaan van een online-ecosysteem is, net zoals bij elektronische betalingen, de kans op online ID-fraude een stuk groter. Biometrie kan helpen.
Vroeger was het eenvoudig: als fysiek persoon had je een identiteitskaart en een rijbewijs om je identiteit te bewijzen. En wie naar het buitenland ging had voor een paar landen nog een internationaal paspoort nodig. Maar dat was het zowat. Vandaag heb je naast je fysieke identiteit nog verschillende extra online identiteiten: je hebt wellicht een Google-account, eventueel een Apple ID, een profiel op Facebook, Instagram, Twitter, LinkedIn en enkele webshops waar je regelmatig winkelt. Helaas zijn die niet allemaal even goed beveiligd en kan een hacker die online identiteiten misbruiken. Eerlijkheidshalve moet ik zeggen dat een groot deel van de verantwoordelijkheid voor de veiligheid bij de gebruiker zelf ligt.
Zevenhonderd gevallen van identiteitsfraude per maand is veel. Maar we merken het vandaag gewoon sneller omdat we door die online connectie veel meer kunnen zien. Ga even twintig jaar terug in de tijd: stel dat jouw paspoort zou zijn nagemaakt en in Italië misbruikt werd. Dan had je dat waarschijnlijk nooit geweten. Doordat er vandaag zo veel aandacht is voor (online) security krijg je nu onmiddellijk een melding als er iemand vanop een andere locatie met jouw credentials ergens wil inloggen.
Waarom ze je identiteit stelen
Je kunt wel zeggen: ‘zou ik er mij druk in maken? Het is maar een profiel op een app.’ Toch kan die identiteit voldoende zijn voor cybercriminelen om veel schade aan te richten. Er zijn twee grote redenen waarom hackers jouw identiteit willen. In het eerste geval hebben ze jouw identiteit nodig om iets te doen waarvoor ze jouw identiteitsgegevens of andere credentials nodig hebben. Denk maar aan de vele phishing mails in je mailbox waarmee hackers jouw gegevens trachten te achterhalen om jouw bankrekening leeg te halen. Dit is uiteraard erg, maar daar houden de grote jongens zich minder mee bezig. Het is tijdsintensief en minder lucratief: niet elke Belg heeft meer dan honderdduizend euro op zijn rekening staan.
In het tweede geval misbruiken ze jouw identiteit om hun eigen identiteit te verbergen bij een (grotere) illegale actie. Hoe vaak vragen websites niet naar een verificatie via een mailtje dat ze hebben doorgestuurd? Stel dat een e-mailaccount is gehackt, dan kunnen de cybercriminelen zomaar de identiteit overnemen, spamcampagnes verdelen of zelfs spioneren en intellectuele eigendom van bedrijven stelen waar de gebruiker van dat e-mailadres werkt.
Helpende hand
Regelmatig wordt biometrie naar voor geschoven als middel tegen zulke identiteitsdiefstallen. Dat zou kunnen werken, zolang er niets fout loopt. Want cru gesteld: je hebt maar tien vingers! Ik leg dit even uit. Je krijgt met vingerafdrukherkenning toegang tot jouw werkplek. De werkgever registreert hiervoor afdrukken van twee vingers in de database in plaats van tien vingers. Stel dat je door een verwonding – een litteken of in het slechtste geval amputatie – die vingerafdrukken niet meer kan gebruiken, dan heb je nog altijd een ‘back-up’ van de acht andere vingers. Met tien vingers in de database zou je die back-up niet meer hebben. Dit geldt uiteraard ook als die database gecompromitteerd zou zijn. Idem bij nagemaakte vingerafdrukken in siliconen, zoals je weleens ziet in James Bond– of Mission Impossible-films. Dan kan je die misbruikte vingerprints blokkeren en met je andere vingers nieuwe vingerafdrukken instellen.
Vergelijk het met bankkaarten: je hebt er waarschijnlijk meerdere. Ben je een bankkaart kwijt, dan laat je die blokkeren via card stop en vraag je een nieuwe aan. Door vingerafdrukken op de identiteitskaart op te slaan, kan je op dezelfde manier zo’n identiteitskaart blokkeren ingeval van misbruik. En een nieuwe maken, met nieuwe vingerafdrukken, eventueel van andere vingers dan de twee wijsvingers. Daarnaast kan je op ieder moment vergelijken of de houder van de kaart en de vingerafdrukken op de kaart matchen. Zo kunnen we een extra beveiliging tegen misbruik van je identiteit inbouwen.
Vingerafdruk op identiteitskaart
Ik begrijp dus de heisa rond vingerafdrukken op identiteitskaarten niet zo goed. Er wordt gezegd dat dit een schending van de privacy is, maar daar heeft het niets mee te maken. Ik snap wel dat mensen historisch altijd de link leggen tussen criminaliteit en vingerafdrukken. Dat zie je in elke politieserie op televisie. Maar technisch gezien zijn het twee verschillende zaken. Bij criminele zaken gaat het over gerolde prints, terwijl je normaal gezien bij identiteitskaarten met zogenaamde flat prints werkt, waarbij je gewoon je vinger op de scanner drukt. Beiden kun je technisch gezien niet eenvoudig matchen. Je moet dit eerder zien als een bijkomende bescherming van je ID-card, in plaats van een inbreuk op je privacy.
Evolutie en technologie zijn overigens moeilijk tegen te houden. Bij het begin van de fotografie en film reageerden de mensen geschrokken toen er een foto van hen werd genomen. Of liepen ze in paniek de zaal uit toen er een rijdende trein op het cinemascherm verscheen. Vandaag delen we ons leven met foto’s en video’s op Instagram en YouTube zonder erbij na te denken. Waarom zou je dan met biometrie je echte identiteit niet beter willen beschermen?
Moet natuurlijk wel je biometrische gegevens veilig zijn.
En als die biometrische gegevens nu door een Hack niet meer veilig zijn dan ben je voor de rest van je leven dus gecompromitteerd!
https://blog.knowbe4.com/report-data-breach-in-biometric-security-platform-affecting-millions-of-users