Worden mails in de praktijk onderschept?

[Kirstie]

@ Vuurvosje Interessant...  welk bericht is dat?

@Allen Ik bedoelde: Is het in de praktijk echt gevaarlijk om privéinformatie per mail te sturen, omdat dat zogezegd makkelijk te onderscheppen zou zijn? Dit omdat overal op internet staat dat dat zo is. "Een e-mail is eigenlijk een ansichtkaart." Dat. Daar wordt veel nadruk op gelegd op websites, ook van de overheid. Maar terecht?

Het is me opgevallen dat websites elkaar vaak citeren, ook wanneer dat eigenlijk foute informatie is.
Of in dit geval lijkt het een klein risico.
De mensen en computers aan het uiteindes van de emailketting zijn gevaarlijker dan de onversleutelde tussenstops.

[swake]

E-mail versleuteld verzenden kun je toch  al een hele tijd via je provider . Je provider zal je hiervoor wel kosten aanrekenen via je abonnement .

[Ron]

@Allen Ik bedoelde: Is het in de praktijk echt gevaarlijk om privéinformatie per mail te sturen, omdat dat zogezegd makkelijk te onderscheppen zou zijn? Dit omdat overal op internet staat dat dat zo is. "Een e-mail is eigenlijk een ansichtkaart." Dat.

Nederland kent nog steeds geen briefgeheim op elektronische post.
Wanneer ik jouw email kan lezen, dan mag ik het ook lezen, dat is niet strafbaar.
Wat niet mag, is een server of PC illegaal binnendringen en je email lezen.
Voor een mail-hacker zijn wij (denk ik) niet interressant, maar van kamerleden, ministers en grote zakenlui wel.
Daarbij zijn van b.v. alle kamerleden (eerste en tweede) de email-adressen openbaar en daar zit zelfs een gmail adres tussen .........

[Anco]

@Allen Ik bedoelde: Is het in de praktijk echt gevaarlijk om privéinformatie per mail te sturen, omdat dat zogezegd makkelijk te onderscheppen zou zijn? Dit omdat overal op internet staat dat dat zo is. "Een e-mail is eigenlijk een ansichtkaart." Dat. Daar wordt veel nadruk op gelegd op websites, ook van de overheid. Maar terecht?

Het is me opgevallen dat websites elkaar vaak citeren, ook wanneer dat eigenlijk foute informatie is.
Of in dit geval lijkt het een klein risico.
De mensen en computers aan het uiteindes van de emailketting zijn gevaarlijker dan de onversleutelde tussenstops.

Ik denk dat vooral komt omdat het vroeger veel makkelijker was. Dus wat ze citeren is waarschijnlijk grotendeels achterhaalt. Of in theorie mogelijk als je onveilige inlog manieren gebruikt. Net zoals internet is email totaal niet op veiligheid gebouwd. En zijn alle dingen die het veiliger maken pas in de tijd daarna langzaam toegevoegd (en allemaal optioneel om werkend te houden met oudere protocollen). Er is in de laatste jaren veel verandert op internet en beveiliging. (kijk maar alleen naar aantal websites wat encryptie heeft tegenwoordig, hoewel nog te weinig zijn, maar gaat de goede kant op)
En ja vroeger was het een ansichtkaart. Hoewel misschien wel erger.
In principe zijn er ook niet veel mensen die een ansichtkaart kunnen lezen. De postbode en in sorteercenter.

En ja het risico is (erg) klein. Maar het is wel goed om te beseffen dat het er is. Want voor een bedrijf dat gevoelige informatie behandelt kan een klein risico groot genoeg zijn. Maar voor persoonlijk, zou ik me niet te druk maken.

E-mail versleuteld verzenden kun je toch  al een hele tijd via je provider . Je provider zal je hiervoor wel kosten aanrekenen via je abonnement .

Email versleuteld verzenden is heel wat anders dan een versleutelde email.  Voor laatste ken ik eigenlijk maar 1 provider die zelf die mogelijkheid heeft.
(voor versleuteld verzenden ken daar weer geen enkele provider die kosten ervoor vraagt) 

[partyrabbit]

Eens: jullie springen nu allemaal bovenop 'email onderscheppen', terwijl er veel grotere (en dagelijks in het nieuws zijnde...) risico's zijn.
Bv een onhandige medewerker/onderaannemer vd woningcorporatie die alles per ongeluk online zet. 

  Juist.
Of die het gaat forwarden naar zijn totale adresboek....

@Anco. ja, ik ben vóór het gebruik van encrypte mails.

Ach ja, en encrypted email is ook nog niet met zekerheid veilig. Ook veel encryptie is gewoon bekend en te kraken. 'De diensten' kennen gewoon veel reguliere encrypties, en een hoop hackers ook.

Mee eens, hoewel ik van mening ben dat hoewel er veel grotere risico's zijn, het goed is om kleinere risico's in ieder geval te kunnen begrijpen.

Er is niet eens een kleiner risico. En email zelf is echt behoorlijk veilig en moeilijk te hacken.

Net zoals internet is email totaal niet op veiligheid gebouwd. En zijn alle dingen die het veiliger maken pas in de tijd daarna langzaam toegevoegd (en allemaal optioneel om werkend te houden met oudere protocollen).

Email is echt behoorlijk veilig.
Email(servers) zelf hack/kraak je zomaar niet, neem dat maar van mij aan. Niet bang voor zijn.
Email is vooral te hacken door zwakke passwords te gaan raden. Of omdat je zelf op een fishing site je wachtwoord afgeeft. Als je de buren het wifi wachtwoord geeft terwijl dat ook het wachtwoord is van je email, en je providerlogin, en dit forum, en ..... naja, je begrijpt wel wat ik bedoel. Geen zwakke passwords gebruiken.
Eerder bang zijn voor "die lompe medewerker" daar inderdaad En zelf geen domme dingen doen (zwak wachtwoord, ww zelf verspreiden).

Wil je veilig bestanden versturen? Gebruik signal (maar dat heeft bijna niemand). Is P2P en verzend packets. Gebruikt geen server. Encrypted. Opensource.

[Anco]

Eens: jullie springen nu allemaal bovenop 'email onderscheppen', terwijl er veel grotere (en dagelijks in het nieuws zijnde...) risico's zijn.
Bv een onhandige medewerker/onderaannemer vd woningcorporatie die alles per ongeluk online zet. 

  Juist.
Of die het gaat forwarden naar zijn totale adresboek....

Quote goed als je wilt, ik zei dit niet

@Anco. ja, ik ben vóór het gebruik van encrypte mails.

Ach ja, en encrypted email is ook nog niet met zekerheid veilig. Ook veel encryptie is gewoon bekend en te kraken. 'De diensten' kennen gewoon veel reguliere encrypties, en een hoop hackers ook.

1. Totaal in strijd met wat je op eind met signal zegt.
2. Tegen wiskunde kunnen "de diensten" ook niet op. Goede encryptie is inderdaad bekend, maar niet te kraken. Dat er slechte implementaties zijn geweest en slechte algorithmes wil niet zeggen dat de goede implementaties met goed algorithme ook niet veilig zijn.

Mee eens, hoewel ik van mening ben dat hoewel er veel grotere risico's zijn, het goed is om kleinere risico's in ieder geval te kunnen begrijpen.

Er is niet eens een kleiner risico. En email zelf is echt behoorlijk veilig en moeilijk te hacken.

Waarom zeg je dan behoorlijk veilig als er geen risico is? Volgens mij beweer ik nergens dat het makkelijk is.

Net zoals internet is email totaal niet op veiligheid gebouwd. En zijn alle dingen die het veiliger maken pas in de tijd daarna langzaam toegevoegd (en allemaal optioneel om werkend te houden met oudere protocollen).

Email is echt behoorlijk veilig.
Email(servers) zelf hack/kraak je zomaar niet, neem dat maar van mij aan. Niet bang voor zijn.
Email is vooral te hacken door zwakke passwords te gaan raden. Of omdat je zelf op een fishing site je wachtwoord afgeeft. Als je de buren het wifi wachtwoord geeft terwijl dat ook het wachtwoord is van je email, en je providerlogin, en dit forum, en ..... naja, je begrijpt wel wat ik bedoel. Geen zwakke passwords gebruiken.
Eerder bang zijn voor "die lompe medewerker" daar inderdaad En zelf geen domme dingen doen (zwak wachtwoord, ww zelf verspreiden).

Lekker uit context gehaald. Ik gaf aan waarom het waarschijnlijk als zo onveilig op veel websites staat. Ik ben niet bang en ik weet dat je niet zomaar servers hackt (hoewel dat genoeg gebeurt, maar bij grote providers niet). Echter zal ik dingen niet zomaar aannemen omdat iemand het zegt. Zelf dingen begrijpen en oordeel eruit trekken is veel beter.

Wil je veilig bestanden versturen? Gebruik signal (maar dat heeft bijna niemand). Is P2P en verzend packets. Gebruikt geen server. Encrypted. Opensource.

Hoezo is dit anders dan pgp/gpg? Als je vertrouwen hebt in de encryptie die ze toepassen maakt het niks uit wat je gebruikt.

[VuurVosje]

@ Vuurvosje Interessant...  welk bericht is dat?

https://nos.nl/artikel/2136510-4000-datalekken-gemeld-sinds-1-januari.html
https://www.bof.nl/category/zwartboek-datalekken/
https://privacylabnederland.nl/blog/overzichten-datalekken/
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/overzicht_meldingen_datalekken_q1_2017.pdf

Koploper is de gezondheidszorg....juist de plek waar gevoelige info staat:
https://www.zorgkennis.net/downloads/kennisbank/ZK-kennisbank-Overzicht-meldingen-datalekken-Gezondheid-en-welzijn-1e-kwartaal-2017-4702.pdf

[rico70]

Wil je veilig bestanden versturen? Gebruik signal (maar dat heeft bijna niemand). Is P2P en verzend packets. Gebruikt geen server. Encrypted. Opensource.

Signal relies on centralized servers that are maintained by Open Whisper Systems

https://en.wikipedia.org/wiki/Signal_(software)#Servers

[MKe]

En identiteitsfraude door mailtjes te lezen, gebeurt dat in de praktijk?

Jazeker, dat is zelfs een zeer groot probleem en heeft weinig met al-dan-niet Linux te maken.

In ons bedrijf worden regelmatig 'interne' mail ontvangen van een collega (soms zelfs de direkteur) die niet van echt zijn te onderscheiden. De stijl van schrijven, woord gebruik, alles is nagedaan. Vaak wordt er gevraagd om geld over te maken naar een bepaald bedrijf of toegang to bepaalde systemen etc. Natuurlijk zijn ze fake. We onderscheppen er veel  maar in een bedrijf met 3000+ medewerkers is het moeilijk om iedereen te leren het te herkennen. En dit soort dingen kun je vaak alleen ondervangen met oplettende gebruikers.

In ons berdijf gebruiken we RedHat en Ubuntu linux.

Ach ja, en encrypted email is ook nog niet met zekerheid veilig. Ook veel encryptie is gewoon bekend en te kraken. 'De diensten' kennen gewoon veel reguliere encrypties, en een hoop hackers ook.

Partyrabbit, volgens mij hebben we dit wel vaker bediscussieerd, maar dit is gewoon verouderde informatie. Je bewering was waar in de jaren 80 denk ik maar het is al lang niet meer het geval. Brute force is geen optie meer met de huidige encrypties en zelfs het hebben van de encryptie sleutel is niet meer voldoende. Hierbij maakt het geen bal uit of je het algoritme kent of niet. De meeste encryptie algoritmes kun je gewoon vinden en zijn zelfs met weinig moeite zelf te programmeren in een paar regels.

Het verhaal wordt pas anders als de quantum computer echt volwassen wordt. Maar tot dan is TLS encryptie echt wel veilig mits je goede keys genereert.

[Kirstie]

@ MKe, Jij leeft het spannende leven! Bedrijfsspionage om geld af te troggelen. Wie kun je nog vertrouwen?

Nee, dat gebeurt in mijn bedrijf niet op die manier, ik ben een kunstenaar. Ik krijg gewoon galeriehouders die schrikbarende bedragen geld vragen om mijn Belangrijke Werk een weekje in Zwitserland tentoon te stellen. Want zij kennen Beroemde Mensen. Ouderwetse oplichting met open vizier.

Maar ik vind het wel interessant wat hier aan info voorbijkomt.
Inderdaad gebeurt er veel fraude met bedrijfsidentiteiten.
Tjee, wat zijn die oplichters soms slim.

@ Vuurvosje, bedankt voor de links! Veel datalekken komen dus gewoon doordat mensen slordig omgaan met gegevens.
@Anco Bedankt voor je idee over gpg. Ik ga dat eens op mijn gemakje lezen.

[atomos]

Als je ergens bij een gezondheid dienst loop, o.a. ggz dan krijg je geregeld een brief met de vraag of je alle persoonlijke vragen wilt invullen en eventueel fouten wil corrigeren.....
En ja zeer persoonlijke vragen die hun totaal niet aangaan en alleen bij je hulp verlener thuis hoort, vertrouwelijk.
Het is een vraag meer niet,, ik vul die dingen nooit in en krijg dus om de paar weken weer een mooi brief in de bus..

[Kirstie]

De woningbouwverening Ymere scant alle documenten in en ... stuurt ze per e-mail naar hun andere afdeling.
Kopie van paspoort, inclusief foto en BSN nummer! Iets anders wordt niet geaccepteerd!
Hun eigen privacyverklaring op internet is niet bekend bij eigen medewerkers en wordt niet serieus genomen.

[HWE64]

De woningbouwverening Ymere scant alle documenten in en ... stuurt ze per e-mail naar hun andere afdeling.
Kopie van paspoort, inclusief foto en BSN nummer! Iets anders wordt niet geaccepteerd!
Hun eigen privacyverklaring op internet is niet bekend bij eigen medewerkers en wordt niet serieus genomen.

Kopiëren van BSN mag niet . Aangifte doen .

[Kirstie]

@HWE64 In dit geval betreft het een woning en mag het wel volgens mij.

Alleen dat alles in één pdf zo even via internet versturen daar ben ik het niet mee eens. Het gaat om een hele stapel persoonlijke documenten.
Er moet immers getoetst worden of ik wel voldoe.
Maar de meeste mensen hier zeggen dat een e-mail niet snel 'afgetapt' wordt en dus niet zo gevaarlijk is.

Ik heb wel een melding gedaan bij de autoriteit persoonsgegevens.

[HWE64]

@HWE64 In dit geval betreft het een woning en mag het wel volgens mij.

Alleen dat alles in één pdf zo even via internet versturen daar ben ik het niet mee eens. Het gaat om een hele stapel persoonlijke documenten.
Er moet immers getoetst worden of ik wel voldoe.
Maar de meeste mensen hier zeggen dat een e-mail niet snel 'afgetapt' wordt en dus niet zo gevaarlijk is.

Ik heb wel een melding gedaan bij de autoriteit persoonsgegevens.

En terrecht.
Volgens mij staan hier https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf woningbouw verenigingen niet bij.

[partyrabbit]

Ow ja. Het is natuurlijk wel belangrijk welke software en OS je gebruikt.

Je kunt je email encrypten wat je wilt, maar als je een emailapp gebruikt onder android kun je er donder op tegen zeggen dat je mail zo onveilig is als je maar wilt. Veel huidige android heeft al een toetsenbord app waarvan bekend is dat deze mee leest, dus wordt alles wat je typt daar al ondervangen (en dat is dan al vóór je encrypted email).
Verstuur je niet-encrypted email uit een gedegen programma dan is het al ver veilig. Diegene die je mail wil onderscheppen zou dan precies op moment van verzending voor je deur je wifi signaal moeten ondervangen. Want op de server en zo is alles meer dan veilig en echt niet zo makkelijk te hacken.

Nogmaals, een niet betrokken buitenstaander onderschept echt niet zomaar je email. Daar moet een flink geoefende pro-hacker voor komen.
Of je moet zelf een simpel wachtwoord gebruiken, of je moeilijke wachtwoord verspreiden, maar dan doe je het een eind zelf. Of de ontvanger moet domme acties uitvoeren waardoor hij het verspreidt.

Quote goed als je wilt, ik zei dit niet

Sorry. Edit foutje. Kan gebeuren.
Is aangepast.

@Anco. ja, ik ben vóór het gebruik van encrypte mails.

Ach ja, en encrypted email is ook nog niet met zekerheid veilig. Ook veel encryptie is gewoon bekend en te kraken. 'De diensten' kennen gewoon veel reguliere encrypties, en een hoop hackers ook.

1. Totaal in strijd met wat je op eind met signal zegt.
2. Tegen wiskunde kunnen "de diensten" ook niet op. Goede encryptie is inderdaad bekend, maar niet te kraken. Dat er slechte implementaties zijn geweest en slechte algorithmes wil niet zeggen dat de goede implementaties met goed algorithme ook niet veilig zijn.

1. Signal gebruikt zijn eigen ontwikkelde encryptie en deelt deze met niemand. Signal werkt ook niet mee aan koppelingen binnen android.

2. Ik zeg ook "veel encryptie is bekend en te kraken". Ik zeg niet "alle encryptie".
Het is algemeen bekend dat 'de diensten' inzage hebben in vrijwel alle standaard en veelgebruikte encrypties. Denk hierbij aan de grote producenten van software, waaronder ook de bekendste. Heb je de wikilekkers verhalen gemist? (al was dat vooral in zage in hoe men dat deed, want dat men het deed was al veel langer bekend. Al in 95 of zo).

[VuurVosje]

Maar de meeste mensen hier zeggen dat een e-mail niet snel 'afgetapt' wordt en dus niet zo gevaarlijk is.

Nee, maar het komt wel regelmatig voor dat emails naar de verkeerde personen gaan.
Bv jouw mail met persoonlijke gegevens naar alle klanten vd woco ipv alleen die ene collega.....   

[partyrabbit]

Maar de meeste mensen hier zeggen dat een e-mail niet snel 'afgetapt' wordt en dus niet zo gevaarlijk is.

Nee, maar het komt wel regelmatig voor dat emails naar de verkeerde personen gaan.
Bv jouw mail met persoonlijke gegevens naar alle klanten vd woco ipv alleen die ene collega.....   

Ja volledig mee eens. Daar zit het grootste gevaar. Lomp gedoe van anderen (en soms zelfs bewust).
En zelf goed opletten dat je niet replied naar "All receivers" als er een hoop CC adressen bij staan.

Dus verzenden met ontvangstbevestiging aangevinkt zodat je weet dat hij goed ontvangen is. Ook nog tekstueel bevestiging van goede ontvangst vragen.
Briefgeheim dekkend Disclaimertje onder in de mail "Deze email bevat privacy gevoelige informatie en is uitsluitend bestemd voor de geadresseerde ..... aan derden verstrekken is niet toegestaan zonder toestemming van afzender... aansprakelijk gesteld .... blablabla....".

[rico70]

1. Signal gebruikt zijn eigen ontwikkelde encryptie en deelt deze met niemand.

En ook dit klopt niet, WhatsApp, Facebook messenger en Google Allo gebruiken het ook
https://en.wikipedia.org/wiki/Signal_Protocol

[partyrabbit]

1. Signal gebruikt zijn eigen ontwikkelde encryptie en deelt deze met niemand.

En ook dit klopt niet, WhatsApp, Facebook messenger en Google Allo gebruiken het ook
https://en.wikipedia.org/wiki/Signal_Protocol

Tjah. Kijk bij diegenen die jij noemt eens naar hun eigenaren en hun filosofieën omtrent veiligheid.
Zij waren al zeer vaak in het nieuws om hun backdoors en het delen daarvan.

Signal Messenger biedt meer veiligheidsaspecten dan alleen die encryptie. En is open source.
Dat is niet te vergelijken met diegenen die jij noemt.

Signal maakt gebruik van end-to-end encryptie, waardoor berichten alleen ingezien en ontsleuteld kunnen worden door jouzelf en andere deelnemers van dit gesprek.

[Kirstie]

Nee, maar het komt wel regelmatig voor dat emails naar de verkeerde personen gaan.
Bv jouw mail met persoonlijke gegevens naar alle klanten vd woco ipv alleen die ene collega.....   

Als er zoiets gebeurt, dan houd ik jullie op de hoogte. Wat een klucht wordt dat dan zeg.   
En dan maak ik er een stripboek over
"Tina, hacker tegen wil en dank."

[swake]

Maar de meeste mensen hier zeggen dat een e-mail niet snel 'afgetapt' wordt en dus niet zo gevaarlijk is.

Ik denk niet als je maar een gewoon persoon bent die zich niet in het misdaadmilieu bevind of geheime informatie deelt via e-mail men je mailverkeer zomaar  zal aftappen . 

[Kirstie]

Maar de meeste mensen hier zeggen dat een e-mail niet snel 'afgetapt' wordt en dus niet zo gevaarlijk is.

Ik denk niet als je maar een gewoon persoon bent die zich niet in het misdaadmilieu bevind of geheime informatie deelt via e-mail men je mailverkeer zomaar  zal aftappen .

Nee, het gaat niet om mijn kant van de e-mail, maar die van de woningcorporatie.
Stel je voor dat ik zou handelen in identiteitsgegevens, dan zou ik alle emails van Nederlandse woningcorporaties proberen te kopieëren/ om te leiden naar mijn criminele bedrijfje. Van elke klant daar worden complete profielen in één pdf per mail heen- en weer gestuurd. Zou ik doen dan. Want dan krijg je zeer complete gegevens in handen. Met die gegevens kun je veel voor elkaar krijgen hoor:
Creditcard aanvragen.
Gebouw huren (op hun naam en adres) om wied te kweken. Nieuwe paspoorten mee maken.

[swake]

Nee, het gaat niet om mijn kant van de e-mail, maar die van de woningcorporatie.
Stel je voor dat ik zou handelen in identiteitsgegevens, dan zou ik alle emails van Nederlandse woningcorporaties proberen te kopieëren/ om te leiden naar mijn criminele bedrijfje. Van elke klant daar worden complete profielen in één pdf per mail heen- en weer gestuurd. Zou ik doen dan. Want dan krijg je zeer complete gegevens in handen. Met die gegevens kun je veel voor elkaar krijgen hoor:
Creditcard aanvragen.
Gebouw huren (op hun naam en adres) om wied te kweken. Nieuwe paspoorten mee maken.

En denk je dat dit niet gebeurt ? Waarom hebben IS strijders zich zo lang kunnen schuilhouden in ons landje ?

[Ron]

Dus verzenden met ontvangstbevestiging aangevinkt zodat je weet dat hij goed ontvangen is.

Maar dan weet je niet door wie en op welke computer, je weet alleen, dat het op een scherm heeft gestaan.