image

Rabobank moet schade phishingaanval deels vergoeden

woensdag 20 januari 2016, 11:51 door Redactie, 23 reacties

De Rabobank moet de schade die twee slachtoffers van een phishingaanval hebben geleden toch grotendeels vergoeden, zo heeft de geschillencommissie van het financiële klachteninstituut Kifid bepaald. Volgens de Commissie heeft de Rabobank onvoldoende maatregelen getroffen om consumenten tegen deze vorm van fraude te beschermen.

"Consumenten zijn daardoor te gemakkelijk slachtoffer geworden van de gewiekste handelwijze van criminelen gericht op misbruik van betalingssystemen", aldus het Kifid. In beide zaken werden de slachtoffers telefonisch benaderd door iemand die zich voordeed als een medewerker van de Rabobank. Tijdens het gesprek gaven de slachtoffers I- en S-codes die nodig zijn voor internetbankieren aan de oplichters. Met deze codes voerden de oplichters verschillende transacties uit.

Beide slachtoffers erkenden dat zij de beveiligingscodes in strijd met de voorwaarden aan een onbekende hebben verstrekt, maar stelden dat de Rabobank niet voldoende voor phishing heeft gewaarschuwd. De Commissie is van oordeel dat de Rabobank en de Nederlandse Vereniging van Banken (NVB) consumenten voor deze vorm en vergelijkbare vormen van fraude wel voldoende hebben gewaarschuwd.

Grof nalatig

Volgens de Commissie hebben de slachtoffers dan ook grof nalatig gehandeld en zijn in beginsel volledig aansprakelijk voor de geleden schade. "Dat de fraudeur beschikte over specifieke (rekening)gegevens van Consument is in deze context niet van belang, omdat dit geen reden is om te veronderstellen dat het doorgeven van de I- en S-codes niet grof nalatig is. Niet aannemelijk is geworden dat het aan de Bank is te wijten dat de criminelen over deze (rekening)gegevens beschikten", aldus het oordeel. Gelet op de specifieke omstandigheden van de gevallen ziet de Commissie wel aanleiding de aansprakelijkheid van de slachtoffers te beperken.

Volgens het Kifd mag van een bank namelijk worden verwacht dat zij haar klanten niet alleen voor deze vorm van criminaliteit waarschuwt, maar dat zij ook zoveel als redelijkerwijze mogelijk is maatregelen treft om haar klanten te beschermen tegen dergelijk misbruik. Hierbij kan worden gedacht aan een, door consument te verhogen, beperkte (dag)limiet bij overboekingen via internet of aan het instellen van tijdbarrières of van andere technische hindernissen voor phishing. Bij de twee slachtoffers heeft de Rabobank dergelijke maatregelen niet, of niet in voldoende mate, genomen, waardoor de slachtoffers aan aanzienlijke risico’s van misbruik blootstonden, zo oordeelt het Kifid.

In het eerste geval (pdf) wisten de oplichters bijna 29.000 euro te stelen. De Rabobank moet hiervan 21.500 euro vergoeden, zodat het uiteindelijk schadebedrag voor het slachtoffer 7.500 euro bedraagt. Ook moet de Rabobank het door het slachtoffer betaalde klachtgeld van 50 euro vergoeden. In de tweede zaak (pdf) was de schade nog veel groter. Daar werd op de dag dat het slachtoffer telefonisch werd opgelicht 42.000 euro van haar spaarrekening naar haar betaalrekening overgemaakt, en daar vandaan naar de rekening van een derde overgeboekt. In dit geval moet de Rabobank 37.000 euro vergoeden, zodat het schadebedrag voor het slachtoffer tot 5.000 euro wordt beperkt.

Reacties (23)
20-01-2016, 11:55 door Anoniem
is dit dezelfde rabobank als waar de readers geinfecteerd waren in hun eigen pand?

Jaajaa....
20-01-2016, 11:57 door Anoniem
Spaarkrekening en betaalrekening bij 2 verschillende banken onderbrengen, maakt dit soort fraude weer een stukje lastiger.
20-01-2016, 12:54 door potshot
te weinig gewaarschuwd...belachelijk.
dombo's horen niet te internet bankieren.
20-01-2016, 13:06 door Anoniem
Door potshot:dombo's horen niet te internet bankieren.
Dus Nederlanders horen niet te internet bankieren?
20-01-2016, 13:34 door Anoniem
Ik vind deze uitspraak ook bijzonder. Enige coulance lijkt mij wel gepast vanuit banken omdat technisch best blokkades zijn te bedenken, maar met deze uitspraak slaat de rechter de plank mis. Dit zet de deur naar fraude wagenwijd open! Er wordt al jaren en jaren door banken en overheid (denk aan de nep-KVK facturen) gewaarschuwd.
20-01-2016, 13:37 door MathFox
Door potshot: te weinig gewaarschuwd...belachelijk.
dombo's horen niet te internet bankieren.
De banken pushen het... probeer tegenwoordig nog maar eens overschrijfkaarten of bankenveloppen te krijgen.

Om nog maar niet te spreken over een (andere) "bank" die officiële mededelingen aan haar klanten uitsluitend in niet van phishing-mails te onderscheiden emails meent te moeten doen.
20-01-2016, 13:40 door [Account Verwijderd]
[Verwijderd]
20-01-2016, 13:55 door SPlid
Alhoewel ik meestal het idee heb dat banken aansprakelijk zijn, zie ik niet in hoe de bank zich kan verdedigen tegen dit soort van social engineering.


Als je inlogcodes en transactiecodes afgeeft ben je zelf het haasje. Als de commisie dit sneu vind voor de mensen die het slachtoffer zijn geworden is dat natuurlijk heel aardig, maar mijn inziens onterecht. Stel je voor dat iemand bij mij inbreekt mijn pinpas vind met daarop een geeltje met mijn pincode,

Kan ik dan de bank ook aansprakelijk stellen omdat deze mij niet voldoende heeft gewaarschuwd voor inbraak (om nog maar te zwijgen van het geeltje met pincode) . ?
20-01-2016, 14:34 door slar
Door Anoniem: is dit dezelfde rabobank als waar de readers geinfecteerd waren in hun eigen pand?

Jaajaa....
Kletskoek.
20-01-2016, 15:14 door Anoniem
Door slar:
Door Anoniem: is dit dezelfde rabobank als waar de readers geinfecteerd waren in hun eigen pand?

Jaajaa....
Kletskoek.

Geen kletskoek, en het was niet de Rabobank. Is echt al jaren terug.
20-01-2016, 15:32 door Anoniem
Door Anoniem: Ik vind deze uitspraak ook bijzonder. Enige coulance lijkt mij wel gepast vanuit banken omdat technisch best blokkades zijn te bedenken, maar met deze uitspraak slaat de rechter de plank mis. Dit zet de deur naar fraude wagenwijd open! Er wordt al jaren en jaren door banken en overheid (denk aan de nep-KVK facturen) gewaarschuwd.
Lees het even goed, het gaat niet over de fout van de klant dat deze de codes aan een phisher gegeven heeft, daar wordt
de klant verantwoordelijk voor gehouden.
Waar de bank verantwoordelijk voor is dat is de slechte beveiliging van spaar-betaal rekening overboekingen en het
ontbreken van mogelijkheden voor de klant om harde limieten in te stellen om schade te beperken.
Dit is inderdaad bij RABO en ABN niet goed geregeld. En dat moeten ze nu aanpassen.
20-01-2016, 17:42 door Dick99999 - Bijgewerkt: 20-01-2016, 17:42
Heeft de RABO bank geen wachtwoord voor Internet bankieren? Dan verdienen ze deze veroordeling. Heel terecht dat de commissie zegt dat alleen voorlichten niet voldoende is. Maatregelen treffen is ook nodig (in mijn woorden).
Zijn er nog meer banken die geen login wachtwoord hebben?
20-01-2016, 19:34 door Anoniem
Door Dick99999: Heeft de RABO bank geen wachtwoord voor Internet bankieren? Dan verdienen ze deze veroordeling. Heel terecht dat de commissie zegt dat alleen voorlichten niet voldoende is. Maatregelen treffen is ook nodig (in mijn woorden).
Zijn er nog meer banken die geen login wachtwoord hebben?
ja klopt. Bij ABN het zelfde probleem. Bezit van PAS en PIN is voldoende om de hele rekening leeg te lepelen want
daarmee kun je zonder wachtwoord inloggen op hun telebankieren en daar kun je zelfs de pinlimiet van de pas mee
aanpassen!! hoe onhandig kun je zijn als bank...
Bij ING is dat allemaal veel beter geregeld want daar is PAS en PIN niet de authenticatie van je telebankieren.
20-01-2016, 19:46 door Anoniem
Door Anoniem:
Door potshot:dombo's horen niet te internet bankieren.
Dus Nederlanders horen niet te internet bankieren?

:) +1
20-01-2016, 20:59 door Anoniem
Door SPlid: Alhoewel ik meestal het idee heb dat banken aansprakelijk zijn, zie ik niet in hoe de bank zich kan verdedigen tegen dit soort van social engineering.


Als je inlogcodes en transactiecodes afgeeft ben je zelf het haasje. Als de commisie dit sneu vind voor de mensen die het slachtoffer zijn geworden is dat natuurlijk heel aardig, maar mijn inziens onterecht. Stel je voor dat iemand bij mij inbreekt mijn pinpas vind met daarop een geeltje met mijn pincode,

Kan ik dan de bank ook aansprakelijk stellen omdat deze mij niet voldoende heeft gewaarschuwd voor inbraak (om nog maar te zwijgen van het geeltje met pincode) . ?

Je hebt de reden van de gedeelde verantwoordelijkheid gemist. Weliswaar heeft de rechter de klant aansprakelijk gesteld voor een deel van de schade, maar de bank voor het feit dat er geen failsafe of welke vorm van schadebeperking was, waardoor bedragen konden worden afgeschreven die bepaald niet vaak in het normale betalingsverkeer voor komen. Aan dat laatste kunnen ze wel wat doen.
20-01-2016, 22:17 door Anoniem
Ik ken een van de 2 slachtoffers, en het gaat niet puur om enkel phishing. Die was er wel, maar gecombineerd met een telefoontje op het moment dat er gegevens werden ingevuld. Dus er zat iemand mee te kijken. En dan wordt je gebeld door een foutloos NL sprekend iemand die allerlei details ophoest waarvan je denkt, alleen de bank kan dit weten. Het gespuis is overigens reeds opgepakt.
21-01-2016, 08:28 door Anoniem
Door Anoniem:waardoor bedragen konden worden afgeschreven die bepaald niet vaak in het normale betalingsverkeer voor komen.
Ongeveer 1% van het betalingsverkeer (bij consumenten) bestaat uit dit soort bedragen. Dat is dus normaal betalingsverkeer en kun je niet blokkeren zonder dat mensen daar last van hebben.

Dat Rabobank heeft gefaald met de fraudedetectie, dat mag wel duidelijk zijn. Ik snap alleen niet waarom ze dan ook nog voor een paar duizend euro "winst" zoveel heibel maken over deze zaak, het is hun eigen naam die ze nu zelf weer door het slijk laten halen.
21-01-2016, 09:15 door Dick99999 - Bijgewerkt: 21-01-2016, 09:16
Door Anoniem:
ja klopt. Bij ABN het zelfde probleem. Bezit van PAS en PIN is voldoende om de hele rekening leeg te lepelen want
daarmee kun je zonder wachtwoord inloggen op hun telebankieren en daar kun je zelfs de pinlimiet van de pas mee
aanpassen!! hoe onhandig kun je zijn als bank...
Bij ING is dat allemaal veel beter geregeld want daar is PAS en PIN niet de authenticatie van je telebankieren.
Dan vind ik dat deze 2 banken veel te veel vertrouwen in de reader hebben. De pin is een transactie wachtwoord, dus zeker geen 2-de factor voor inloggen.
Mijn KNAB bank gebruikt ook een reader, maar voor inloggen heb ik ook een wachtwoord nodig.
21-01-2016, 09:40 door Anoniem
Door Dick99999:
Door Anoniem:
ja klopt. Bij ABN het zelfde probleem. Bezit van PAS en PIN is voldoende om de hele rekening leeg te lepelen want
daarmee kun je zonder wachtwoord inloggen op hun telebankieren en daar kun je zelfs de pinlimiet van de pas mee
aanpassen!! hoe onhandig kun je zijn als bank...
Bij ING is dat allemaal veel beter geregeld want daar is PAS en PIN niet de authenticatie van je telebankieren.
Dan vind ik dat deze 2 banken veel te veel vertrouwen in de reader hebben. De pin is een transactie wachtwoord, dus zeker geen 2-de factor voor inloggen.
Mijn KNAB bank gebruikt ook een reader, maar voor inloggen heb ik ook een wachtwoord nodig.
Een afdoende beveiliging lijkt me... Het gaat erom dat je iets bezit en dat je iets weet. Pas is bezit, Pin is iets dat je weet. Prima toch? Nog meer barrières lijken mij overbodig.
Wanneer onverlaten stiekem met je meekijken en vervolgens zich voordoen als bankmedewerkers, dan wordt het moeilijk om e.e.a. niet te gaan geloven. Dit soort mensen is getraind in het 'mooipraten' en krijgen op die manier dingen gedaan. Helaas vallen er nog steeds mensen in dit soort vallen.
Voor wat betreft codes: getallen uit je randomreader en/of raboscanner zijn alleen bedoeld voor diegene die ze ook daadwerkelijk ZIET. Doorgeven van deze codes is altijd uit den boze. Dit is de reden waarom ook de slachtoffers zeker wel voor een deel verantwoordelijk zijn voor de schade. Desalniettemin liep het behoorlijk uit de hand omdat de Rabobank geen limieten hanteert en meer had kunnen proberen om phishing te voorkomen (uitspraak rechter). Goede actie lijkt mij zo.
21-01-2016, 12:23 door Tubamaniak
Het is simpel. Waar je in de rest van de wereld nog "gewoon" kunt bankieren met pen, papier, cheques en bank loketten, moest dat hier allemaal zo snel als mogelijk was via internet.
Voor de gemiddelde mens is dat ellendig.
De gemiddelde mens heeft namelijk geen idee van de gevaren van internet en dat blijkt maar weer uit dit verhaal.
Maar de banken moesten zo nodig bezuinigen op personeel en gebouwen ten koste van één op één dienstverlening.
Dit soort ellende kwam niet voor toen je bij je eigen bankfiliaal je geld haalde, bij een bankemployé(e) die jou kende.

Maar nu moet het allemaal anoniem en heeft de internetcrimineel de vrije hand. Hij wordt door niets en niemand meer tegengehouden bij het beroven van willekeurige bankklanten. En zolang de kosten voor de bank niet te hoog worden, zal dit gewoon zo blijven doorgaan.
21-01-2016, 18:47 door Dick99999
Door Anoniem:
Door Dick99999:
Door Anoniem:
ja klopt. Bij ABN het zelfde probleem. Bezit van PAS en PIN is voldoende om de hele rekening leeg te lepelen want
daarmee kun je zonder wachtwoord inloggen op hun telebankieren en daar kun je zelfs de pinlimiet van de pas mee
aanpassen!! hoe onhandig kun je zijn als bank...
Bij ING is dat allemaal veel beter geregeld want daar is PAS en PIN niet de authenticatie van je telebankieren.
Dan vind ik dat deze 2 banken veel te veel vertrouwen in de reader hebben. De pin is een transactie wachtwoord, dus zeker geen 2-de factor voor inloggen.
Mijn KNAB bank gebruikt ook een reader, maar voor inloggen heb ik ook een wachtwoord nodig.
Een afdoende beveiliging lijkt me... Het gaat erom dat je iets bezit en dat je iets weet. Pas is bezit, Pin is iets dat je weet. Prima toch? Nog meer barrières lijken mij overbodig.
[....]
Je vergeet te vermelden dat 'iets dat je weet" niet hergebruikt moet worden. Zelf geven de banken toch aan wachtwoorden niet te hergebruiken? Daarom zei ik dat als de pin code voor transacties gebruikt wordt, die niet ook nog eens voor inloggen gebruikt mag worden. Waarschijnlijk was een wachtwoord voldoende geweest om deze slachtoffers te beschermen. Spijtig dat de Kifid commissie dit dubbel gebruik van de pin code niet meegenomen heeft.
21-01-2016, 22:00 door Anoniem
Door Anoniem:
Door Dick99999:
Door Anoniem:
ja klopt. Bij ABN het zelfde probleem. Bezit van PAS en PIN is voldoende om de hele rekening leeg te lepelen want
daarmee kun je zonder wachtwoord inloggen op hun telebankieren en daar kun je zelfs de pinlimiet van de pas mee
aanpassen!! hoe onhandig kun je zijn als bank...
Bij ING is dat allemaal veel beter geregeld want daar is PAS en PIN niet de authenticatie van je telebankieren.
Dan vind ik dat deze 2 banken veel te veel vertrouwen in de reader hebben. De pin is een transactie wachtwoord, dus zeker geen 2-de factor voor inloggen.
Mijn KNAB bank gebruikt ook een reader, maar voor inloggen heb ik ook een wachtwoord nodig.
Een afdoende beveiliging lijkt me... Het gaat erom dat je iets bezit en dat je iets weet. Pas is bezit, Pin is iets dat je weet. Prima toch? Nog meer barrières lijken mij overbodig.

Nou mij niet. Gebruikelijk scenario is meekijken bij een pintransactie en dan de pas roven. Dat kost jou dan je hele
saldo van betaal- en spaarrekening, en mij alleen de daglimiet voor pinnen.
22-01-2016, 10:03 door Dick99999 - Bijgewerkt: 22-01-2016, 10:04
Door Anoniem: [

Een afdoende beveiliging lijkt me... Het gaat erom dat je iets bezit en dat je iets weet. Pas is bezit, Pin is iets dat je weet. Prima toch? Nog meer barrières lijken mij overbodig.
Nou mij niet. Gebruikelijk scenario is meekijken bij een pintransactie en dan de pas roven. Dat kost jou dan je hele
saldo van betaal- en spaarrekening, en mij alleen de daglimiet voor pinnen.
Inderdaad, bij mijn 2 banken (ING, KNAB) is ook de daglimiet het max. verlies in die situatie. Knab gebruikt ook nog SMS berichten om je te informeren, vooral bij buitenlandse transacties is dat erg bruikbaar. De Rabo had natuurlijk ook zoiets makkelijk kunnen invoeren: een SMS voor bedragen boven een zelf te bepalen bedrag. Dat had in deze situatie waarschijnlijk ook geholpen het verlies te beperken.

Als ik zie hoe LastPass voor (on)mogelijke hack scenario's vrijwel onmiddellijk met aanpassingen komt, kunnen de banken die de pin hergebruiken bij inloggen, daar nog wel 'iets' van leren. Social engeneering is ook hackken, dus de vergelijking met LastPass vind ik opgaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.