ok.. en nu?

Dit is feitelijke onzin, ik spreek uit ervaring. Als er twijfels zijn over een overboeking neemt men geen contact met jou op maar blokkeert men de overboeking of rekening gewoon zonder iets te overleggen, zij wachten dan gewoon tot dat jij contact met hen op neemt.

Overigens deel ik om dit dezelfde reden als jou ook geen email adres met mijn bank. Ondanks dat ik zelf goed instaat ben phishing te herkennen sluit ik dit risico liever uit door gewoon geen emailadres met mijn bank te delen,.

Hang op, klik weg, bel uw bank?

Een bank zou alleen op locatie en via hun eigen website bereikbaar moeten zijn.
Bereikbaarheid naar hun klanten via brief (met afspraak om op locatie te komen) of via hun website.

Ik spreek ook uit ervaring, en ik ben wel eens gebeld door de bank (ING) of een bepaalde creditcard transactie inderdaad van mij was.
Een andere ervaring was een (geblokkeerde) creditcardtransactie (de blokkering had ik gezien in de vorm van een foutcode bij betaling) die per brief gemeld/gevraagd werd om te bevestigen.

Op zich logische vragen, mijn CC gebruikspatroon is vrijwel constant 0 en dan zal een paar nabije pieken (ook nog naar het buitenland) al snel een alarmgrens overschrijden.

Mijn regulier bankgebruik is veel constanter, daar heb ik geen ervaring met blokkering of eventuele navraag.

Ik snap niet wat je denkt te beveiligen - je bent blijkbaar alert op security, dan ben je er toch zelf bij wat je weggeeft aan informatie in zo'n geval ?

Stel , je wordt gebeld of een transactie die je zelf gedaan hebt, en wilde doen klopt - Dan heb je iemand die je transactie (bedrag en bestemming) kent en vraagt 'weet je het zeker dat je bedrag x naar bestemming y wilde overboeken ' - wel, dan zeg je ja.
Desnoods beschouw je het alleen als aanleiding om 0800/020-fraudedesk zelf te bellen en de transactie te bevestigen.

Tenslotte, blijkbaar _wilde_ je dat betalen, en als het niet doorgaat heb je daar over het algemeen (zelf) last van.


Het zou veel spannender zijn als die iemand dan begint te vragen of je opnieuw met je token/e-device/tan code iets op 'de' site wilt doen/opnieuw te doen, of een getal intypen en resultaat terug lezen. Dan is het foute boel - maar dat is waarvan ik zeg dat je daar, als security bewuste gebruiker nog zelf bij bent.

Vreemde opstelling van jouw bank. Want hoe kan jij checken of zij het zijn of niet. Ik heb dit nog nooit eerder gehoord.

Het komt wel voor bij grotere klanten die een eigen accountmanager hebben die eens per kwartaal in de avonduren thuis de portefeuille komt doorspreken :)

Ik ben ooit door mijn bank gebeld omdat er "ineens" een transactie in Florida was gedaan middels creditcard.
Of ik daar ook daadwerkelijk van op de hoogte was.
eh .. Ja ! :-)

oke, geen probleem bedankt voor de informatie.
Vond ik eerlijk gezegd best wel netjes.

Banken kijken wel degelijk naar "dubieuze overboekingen" en bij twijfel wil men bevestiging. Ik weet van verschillende personen dat ze gebeld zijn over een vreemde transactie (betrof overigens credit card transacties), en daarmee is in ieder geval 1 frauduleuze transactie direct geblokkeerd. Volgens mij wegen wat dit betreft de voordelen ruim op tegen de nadelen. Het idee dat men je gaat bellen om je rekening te plunderen klopt ook niet: een bank belt alleen met specifieke gegevens ter validatie: de transactie is dan al bij de bank bekend. En je hoeft zelf geen verdere info te geven over je rekeningnummer of pincodes of TAN's oid. : zodra men jou om gegevens vraagt is het niet de bank.


Dit is een logica die ik niet begrijp: degenen die je phishing email sturen halen je email adres echt niet bij de bank op, dus het levert echt niet minder phishing mailtjes op. Je kan hier tegenin brengen dat alle email die van je bank afkomstig lijken te zijn per definitie phishing mails zijn, maar er is ook een andere check: als er links in staan om op te klikken moet je 'm weggooien. Als ze er niet in staan is het goed.

Q

Je kunt evenueel een e-mail alias maken specifiek voor de bank?

Dit is in Nederland bij het over- overgrote deel van de creditcard houders het geval. Gelukkig zijn er geen alarmgrenzen zoals je dat hier voorstelt, dat zou het gebruik van een creditcard in Nederland (en buiten NL wanneer je met vakantie bent) vrijwel onmogelijk maken.

Uhm, natuurlijk wel - een patroon van 'normaal' zul je toch per kaarthouder moeten inleren . Van transacties, ontvangers, en hoogte van bedragen. Valt iets buiten dat patroon gaat er een alarmbel af, en daarbinnen niet.

Grens bedoel overigens ik niet zo simpel als een vast bedrag voor elke kaarthouder, dat kan niet werken.

En met een erg summier gebruik is er weinig materiaal om een patroon op te bouwen, en raakte ik die alarmgrens voor mijn kaart blijkbaar.

Betreft dat niet een terugkerende pop up vraag bij internetbankieren?

Data zijn geld waard en ING wil graag ontbrekende data als email en telefoonnummer aanvullen.
Punt.

Ah, en dan natuurlijk met het afspreken van een geheime zin. ;-)

Een patroon inleren hoeft niet perse, er zijn een heel stel algemene triggers te bedenken. Zonder specifieke kennis te hebben van hoe banken dit doen, maar gewoon even vrij denkend kom ik bijvoorbeeld op:
-Een transactie vind plaats vanaf een locatie die fysiek zo ver verwijderd is van de voorgaande paar transacties (zeg, Nederland, Nederland, Belgie, Nederland, daarna plots Myanmar of China), dat er sprake moet zijn van een "bijzondere" situatie, zoals een reis naar een verre bestemming. Het enige wat je hiervoor hoeft te doen is de locatie van de huidige transactie vergelijken met de voorgaande. Eventueel kan je de tijd ertussen vergelijken met een systeem dat de afstand tussen de locatie van de huidige transactie en de vorige transactie uitrekent.

-De creditcard wordt gebruikt om direct contant geld op te nemen, terwijl het saldo op de normale rekening nog positief is en ook positief blijft na opname van dat geld. Dan betaald de klant dus de creditcard rente terwijl dat misschien niet nodig is, dit zal denk ik een zelden gemaakte keuze zijn en is dus mogelijk een trigger.

-De locatie (of IP-adres) is in het verre buitenland (dus niet de benzinepomp over de grens) maar er komt een grotere dan normaal te verwachten hoeveelheid buitengewoon grote transacties vandaan, al dan niet van verschillende klanten. Dit kan wijzen op een net uitgestapte buslading toeristen die een pinautomaat plunderen, het kan ook wijzen op criminele activiteiten.

Dit zijn maar een paar voorbeelden, maar het idee is hetzelfde, het is mogelijk triggers te bepalen waarvoor niet een klant-specifiek gedragspatroon hoeft te worden vastgelegd.

Dat is precies een patroon - je kijkt naar een serie transacties *van een bepaalde kaart*.

Het betalen ver weg is erg raar als kort tevoren dichtbij betaald is. Maar niet zo raar als een voorgaande transactie een x aantal uren geleden op Schiphol was.
Voor een zeker aantal klanten zijn betalingen in/naar Oost Europa een normaal patroon. Voor veel andere klanten niet.



Minder raar dan je denkt, gok ik. 'De massa' doet nogal eens dingen die feitelijk handiger/goedkoper kunnen.

Zulke keuzes haal je beter uit je data bestand, en uit analyzes van gevonden fraudes - 'hoe hadden we deze kunnen herkennen', en dan kijken hoeveel vals alarmen je tegenkomt als je een bepaald patroon als alarm indicator zou nemen.
Een vals alarm is niet gratis - dat is een boze klant wiens betaling niet lukt. Iemand die wil uitchecken uit zo'n hotel, de taxi wacht en het vliegtuig vertrekt snel. Iemand bij een pompstation ergens. Tank gevuld, geen cash, alleen een kaart....



Je zegt dat alsof het vastleggen van betalingen iets is wat een keuze is ? Die heeft een bank toch, en noodzakelijkerwijs, al.

Ik schat zo in dat je zelf geen creditcard hebt of er weinig ervaring mee hebt?

Allereerst: tegenwoordig heb je het intuhnet. Waar je met je creditcard geld uitgeeft dat heeft niks te maken met waar je
bent. Als ik op 1 dag een paar dingen bestel in de USA en bij Aliexpress in China, is dat volgens jou een verdachte
transactie en volgens mij (en de bank, weet ik uit ervaring) is er niks aan de hand.

Wat "het saldo" betreft: een creditcard heeft een eigen saldo, wat meestal 0 of negatief is. Je betaalt wat, en vervolgens
betaal je de factuur die de creditcardmaatschappij je stuurt om je negatieve saldo aan te vullen tot nul. Klassieke
creditcards stuurden 1 keer per maand een factuur en als je die binnen de termijn betaalde dan betaalde je verder geen
rente. Betaalde je niet alles direct dan werd het een lening (credit) en moest je ook rente betalen.
Uiteraard kon je ook een automatische incasso machtiging aan het creditcard bedrijf geven.

Tegenwoordig is een creditcard meestal meer geintegreerd met je betaalrekening en dan is het eigenlijk geen creditcard
meer maar gewoon een debitcard net zoals je gewone bankpas. Wat je uitgeeft wordt direct van je rekening af geschreven
en je saldo is aangepast. Je hebt dan geen apart saldo meer op je creditcard en alleen nog een bestedingslimiet ter
beveiliging tegen de grootste rampen. Het maakt dan dus niet uit of je via je creditcard of via je bankpas geld opneemt
en de keuze zul je dan meestal maken op grond van "wat is hier mogelijk" en "wat kost het in dit specifieke geval".
Niet verdacht dus als je een opname doet.

Omdat je in Nederland geen creditcard nodig hebt (en zeker niet de tegenwoordige debitcard variant) zullen hier heel
veel van de uitgegeven creditcards "slapen" tot de eigenaar op vakantie gaat, iets in China bestelt, whatever.
Plotselinge activiteit kan daarom geen bepalende trigger zijn.

Dat is niet correct, ik gebruik hem minstens elke week. Ik doelde dan ook op het saldo van de eraan gekoppelde normale bankrekening. En ik zei ook niet dat plotselinge activiteit geen bepalende trigger kan zijn, wat ik zei was dat het mogelijk is om mogelijke triggers te detecteren zonder per individuele klant een database aan te leggen met wat voor die individuele klant een normaal patroon is. Ik reageerde op de stelling van een andere(?) anoniem die zei dat je om frauduleuze transacties te detecteren van een individuele klant een gedragspatroon moet vastleggen om te gebruiken als referentie bij het vaststellen of een transactie mogelijk frauduleus is. Ik stelde dat het ook mogelijk is om op dingen te detecteren die wijzen op fraude zonder dat je daarvoor de gedragingen van elk individu hoeft te analyzeren, en dat je kan matchen aan algemene, niet klant-specifieke, patronen.

Ik doelde op de opmerking van anoniem die stelde dat je per individuele klant een patroon moest vastleggen. Een serie transacties is misschien een patroon, maar wat geimpliceerd werd is dat je het handelen van zo'n klant moet analyzeren en opslaan om daar vervolgens tegenaan te kunnen gaan vergelijken.
Het is het verschil tussen een database aanleggen waarin je opslaat dat Meneer Janssen elke maandag 300 euro pint, 's zomers naar Zuid-Frankrijk gaat en boodschappen doet bij de Jumbo, en simpelweg zien of er een grote afstand zit tussen de huidige transactie en de vorige.



Dat is misschien zo, ik heb daar geen cijfers van maar wellicht is dat dan geen goede trigger nee. Het was ook maar een voorbeeld wat ik zo verzon ter illustratie.


Ja, dat is natuurlijk een veel betere methode, zonder meer. Ik zei ook niet dat je dat niet moest doen, ik zei dat het mogelijk is om te triggeren op transacties zonder dat je daarvoor per individuele klant een uitgebreid gedragspatroon moet vastleggen.
Verder hoef je zo'n transactie ook niet te blokkeren, maar je kan erop handelen door bijvoorbeeld iemand te bellen of te e-mailen, iets als "goh meneer, puur ter informatie, wij zien een grote betaling uit een land waarvan wij weten dat er veel fraudegevallen uit komen. Wij doen verder niets, maar dan weet u het."



Ik geloof niet dat ik je begrijp. Natuurlijk is zo'n betaling vastgelegd. Kan je verduidelijken wat je bedoeld?

Toevoeging: Volgens mij, maar correct me if I'm wrong, wordt je voor het verrichten van de betaling "doorgestuurd" naar je bank. De betalingstransactie wordt gestart vanuit de website waar je iets koopt, die start een betalingsprocess door naar de bank van jouw keuze een request te sturen met daarin zaken als een omschrijving, de identifiers van die site en het bedrag.
Jouw bank vervolgens rekent direct met jou dat bedrag af in een directe verbinding tussen jou als gebruiker en de bank. Als de betaling gedaan is, stuurt de bank naar de website een respons terug dat de betaling voor dat request gedaan is, waarna de website jouw feliciteerd met je aankoop. De bank kan dus wel zien waar jij zit op het moment dat je die betaling doet.
Tenminste, voor zover ik weet werkt het zo maar zoals ik zei, correct me if I'm wrong.

Ik ben diezelfde anoniem.
Dat is precies wat ik bedoel - je hebt de transacties van een kaarthouder, en een nieuwe transacties kan verdacht zijn, of niet *in het patroon van die kaarthouder* .
Is een transactie van 10K veel ? Op mijn kaartgebruik wel. Op dat van een centurion black houder niet.

[..]


Auw. Ik hoop dat je eens een tijdje op een helpdesk werkt....

Als de transactie eenmaal uitgevoerd is , is die onherroepelijk. Als je 'm door laat gaan, en belt om dat te zeggen is de klant het geld al kwijt. Of (meer bij een CC) is de bank het geld kwijt - de klant is behoorlijk gedekt .
Reken maar dat die klant boos is - die kan er niks meer tegen doen (Haal terug - sorry mevrouw, dat kan niet meer. Ik wilde alleen maar dat u het wist' ) . Dan is echt niemand geholpen.

En als je de transactie blokkeert / parkeert wil je de klant wel snel contacteren om te controleren of het alarm terecht was.
Bij een vals alarm kan de transactie alsnog gedaan worden, bij een terecht alarm kan dan de rest van het fraudeproces snel opschakelen (zoals andere betalingen naar die bestemming blokkeren ).

De discussie begon bij het contact opnemen met de klant, wat de topic starter als 'veiligheidsrisico' zag, en een poster dacht dat niet gebeurde - en in (oa) mijn ervaring dus wel gebeurt .

In je vorige post, en ook hier praat je over 'dan moet je een database aanleggen van betaalgedrag per klant' alsof dat een extra, optionele keuze is die een bank kan maken.
Dat is precies wat ze al hebben - een database van alle transacties per kaarthouder. En tegen het historische transactiepatroon van een kaart kunnen ze een nieuwe transactie vergelijken - en eventueel blokkeren .

Je hebt vrijwel of totaal geen voorbeeld gegeven van een transactie die op zichzelf, los van de transactie historie van de kaarthouder - verdacht is.

En dat is precies wat ik stel - dat verdachte transacties eruit springen tegen het patroon van eerdere transacties van een kaart.

En dat ik daarom goed kan begrijpen dat tegen een vrijwel leeg patroon van mijn kaart ik wil eens gebeld ben toen ik opeens een serie dingen ging betalen .

Waarom denk je dat bij een transactie verloren gaat of het een webshop payment processor of een fysieke CC terminal (Hotel Grote Muur in Beijing , Hertz rental, Orlando,FL) of een ATM betreft ?