image

ING hoeft klant die oplichter toegang gaf tot rekening niet te vergoeden

dinsdag 20 oktober 2020, 11:19 door Redactie, 25 reacties
Laatst bijgewerkt: 20-10-2020, 13:42

ING hoeft een klant die een oplichter toegang tot zijn rekening gaf en vervolgens voor 2500 euro werd bestolen niet te vergoeden. Dat heeft het financiële klachteninstituut Kifid bepaald. De klant bood op Marktplaats een videorecorder te koop aan en werd door een oplichter benaderd die aangaf het apparaat te willen kopen.

De oplichter vroeg de ING-klant om een foto te maken van de videorecorder en zijn betaalpas en die samen met zijn geboortedatum en e-mailadres door te sturen, wat de klant ook deed. Hierna stuurde de oplichter via e-mail een link waarmee de klant op zijn bankomgeving kon inloggen. Vervolgens klikte de klant op "samsung activeren", vulde een tan-code in en gaf het getoonde bevestigingsnummer door aan de oplichter.

Door deze stappen te doorlopen activeerde de klant de mobiel bankieren app van ING op het toestel van de oplichter. Die kon zo bij de rekening van de klant en maakte zo'n 2500 euro over. De ING-klant ontdekte deze transactie een dag nadat die had plaatsgevonden. Volgens de klant had de onbevoegde transactie niet kunnen plaatsvinden als de beveiliging van de bank goed was geweest. Hij verzocht ING dan ook om de geleden schade te vergoeden.

De bank weigerde dit, waarop de klant naar het Kifid stapte. Het klachteninstituut stelt dat de klant zich niet heeft gehouden aan de voorschriften voor veilig bankieren. "Hij heeft persoonlijke gegevens (e-mailadres, foto betaalpas en geboortedatum) gedeeld met een derde. Daarna heeft hij een niet beveiligde link gebruikt voor het inloggen op zijn digitale omgeving en een bevestigingscode met de derde gedeeld. De derde heeft zijn mobiele telefoon kunnen toevoegen aan de digitale omgeving van consument."

Door het niet volgen van de regels is de klant "grof nalatig" geweest, zo oordeelt het Kifid. De handelingen die de klant uitvoerde zijn voor een normale overboeking niet vereist. "Juist omdat consument een heel stappenplan moest doorlopen, had hij op enig moment argwaan moeten krijgen. Hij had vraagtekens moeten zetten bij deze wijze van het overboeken van de verkoopprijs en daarover contact moeten opnemen met de bank of van de verkoop kunnen afzien", stelt het klachteninstituut verder. "Door toch het gehele stappenplan uit te voeren, kan zijn gedrag als bewust roekeloos nalaten worden gekwalificeerd." De vordering werd dan ook door het Kifid afgewezen (pdf).

Reacties (25)
20-10-2020, 11:57 door Anoniem
Het is net alsof elke campagne tegen dovemans oren is gericht.... Zucht....
20-10-2020, 11:58 door Anoniem
Weer een zaak waarbij ik de bank ik het gelijk moet stellen.

Als je zelf je gegevens aanlevert dan vraag je erom.

A fool and his money are soon parted.

Suck to be you
20-10-2020, 12:03 door Anoniem
Sommige mensen zijn gewoon te dom om vrij op het internet los te laten. Terechte uitspraak naar mijn idee.
20-10-2020, 12:38 door Anoniem
...maar heeft hij de videorecorder ook nog opgstuurd??
20-10-2020, 12:41 door Anoniem
Die eerste zin klopt volgens mij niet. ING hoeft een klant die een oplichter toegang tot zijn rekening gaf en vervolgens 2500 euro buitmaakte niet te vergoeden.
Daar staat dat de klant 2500 euro buit maakte. Dan heeft hij geen reden om te klagen.
20-10-2020, 13:32 door Anoniem
Ik vraag mij nog steeds af of je als klant niet veel beter een klacht bij de AP kan indienen. Immers heeft ING ook persoonsgegevens (toegang bankrekening) doorgegeven aan de oplichter, zonder dat hier expliciet toestemming voor was gegeven. Met andere woorden, heeft de ING wel genoeg beveiligingsmaatregelen genomen om het inzien van persoonsgegevens door een derde te voorkomen.

De vraag die je dan kan stellen: doet de ING wel genoeg om dit soort phishing tegen te gaan? Niet onder de bankenwetgeving (PSD2 etc.), maar onder de privacywet (AVG, Artikel 32) dus. Volgens mij kom je dan op de discussie welk authenticatie niveau wel voldoende is voor het inloggen op je bankrekeningen. Net zoals DigiD Hoog verplicht is voor het inzien van medische gegevens, kan je je afvragen of er bij banken ook niet sprake moet zijn van dergelijk sterke authenticatie. Want een beetje TAN codes overtypen is vrij eenvoudig en kan je op geen enkele manier zien als 'sterke' authenticatie.

(En nee, DigiD Hoog bestaat (nog) niet, maar dat staat hier los van.)
20-10-2020, 14:17 door Anoniem
Door Anoniem: Ik vraag mij nog steeds af of je als klant niet veel beter een klacht bij de AP kan indienen. Immers heeft ING ook persoonsgegevens (toegang bankrekening) doorgegeven aan de oplichter, zonder dat hier expliciet toestemming voor was gegeven. Met andere woorden, heeft de ING wel genoeg beveiligingsmaatregelen genomen om het inzien van persoonsgegevens door een derde te voorkomen.
De ING heeft helemaal NIETS doorgegeven, dat is de klant ZELF!
20-10-2020, 14:40 door karma4
Door Anoniem: ..De vraag die je dan kan stellen: doet de ING wel genoeg om dit soort phishing tegen te gaan? Niet onder de bankenwetgeving (PSD2 etc.), maar onder de privacywet (AVG, Artikel 32) dus. Volgens mij kom je dan op de discussie welk authenticatie niveau wel voldoende is voor het inloggen op je bankrekeningen. ..
Goede vraag.
Het verschil is echter dat de AFM met PSD2 daar veel zwaardere eisen aan stellen dan wat het AP voldoende vindt. Het Ap vind een kopietje paspoort met verwijderen van gegevens goed.
De AFM (DNB) eist dat er de wettelijke verplichting gebruik bsn nageleefd wordt. Vandaar een kopie en live foto met het nieuwe controleren bij bijvoorbeeld ICS cards. Banken zijn verplicht de gegevens gekoppeld aan een bsn door te geven.
Privacy beschermt zo de oplichters witwassers en meer fout volk. Wwft is bedoeld om dat tegen te gaan.
https://www.consumentenbond.nl/betaalrekening/wwft-en-heridentificatie
https://www.betaalvereniging.nl/actueel/achtergrondinformatie/in-het-kort/ken-uw-klant-in-het-kort/
20-10-2020, 14:43 door Anoniem
Door Anoniem: Sommige mensen zijn gewoon te dom om vrij op het internet los te laten. Terechte uitspraak naar mijn idee.

Je weet dat er genoeg opa's en oma's klant zijn bij de ING en liever niet online zaken doen maar soms gewoonweg moeten en niet helemaal up2date zijn qua kennis en campagne's over phishing?
De vraag is een beetje hoe je die mensen nog goed kan voorzien of voorlichten en tevens het veilig allemaal laten doorgaan..
Blijft een lastig verhaal awareness kweken..
20-10-2020, 14:49 door buttonius
Een ING rekeninghouder die zelf geen gebruik maar van de ING app weet niet welke gegevens precies nodig zijn om die app te activeren. Als een crimineel om die gegevens vraagt gaat er bij zo'n rekeninghouder geen mentaal rood lichtje knipperen.
ING zou dat gemakkelijk kunnen voorkomen door in de activatieprocedure van de app een stap op te nemen waarbij ING de rekeninghouder een papieren brief stuurt met een activatie-code en een aanhef die begint met uit te leggen dat de rekeninghouder op het punt staat de ING app te activeren waarmee de rekening beheerd (en leeggehaald) kan worden.
In plaats van een papieren brief te sturen zou ING natuurlijk ook de rekeninghouder even kunnen opbellen. Ook zouden ze de rekeninghouder kunnen vragen om (met legitimatie) naar een ING kantoor te komen.
Maar dat is allemaal maar lastig. Minder klanten zouden die ING app gaan gebruiken en het kost ING gemakkelijk enkele EUROs aan frankering en papier en/of menskracht. Dat ze daarmee de minder ICT savvy klanten een schade van duizenden EUROs kunnen besparen vindt ING niet zo belangrijk.
20-10-2020, 14:55 door Password1234
Volgens uitspraak:
ING genereert een SMS TAN Code om 13:59.
ING accepteert deze TAN code nog steeds tijdens de transactie om 17:18.

Dat kan toch niet waar zijn ING? Zo slecht geregeld? Begin nu eens dit terug te brengen naar 1-2 minuten.
20-10-2020, 15:05 door Anoniem
Door Password1234: Volgens uitspraak:
ING genereert een SMS TAN Code om 13:59.
ING accepteert deze TAN code nog steeds tijdens de transactie om 17:18.

Dat kan toch niet waar zijn ING? Zo slecht geregeld? Begin nu eens dit terug te brengen naar 1-2 minuten.
Om 13:59 is de ING-app op de smartphone van de oplichter aan de rekening van de klant gekoppeld met behulp van die SMS TAN. Om 17:18 was geen SMS TAN meer nodig, de oplichter kon zelf bij de rekening.
20-10-2020, 15:24 door Anoniem
Door buttonius: Een ING rekeninghouder die zelf geen gebruik maar van de ING app weet niet welke gegevens precies nodig zijn om die app te activeren. Als een crimineel om die gegevens vraagt gaat er bij zo'n rekeninghouder geen mentaal rood lichtje knipperen.
Wat ik niet optimaal vind is dat je nergens als klant kunt opgeven "APP mogelijkheid op N toestellen" (default nul).
Dus dat je zelf in de settings moet aangeven of je een APP wilt en ook hoeveel.
Dan moet je voor je je APP activeert en voor je deze cloned naar een ander toestel (dat is ook een mogelijkheid!) deze
setting aanpassen. Daarbij kunnen ze dan aangeven wat de consequenties zijn.

Tuurlijk het gaat bepaalde mensen niet helpen. Maar het kan in ieder geval snelle misbruikers een beetje remmen.
(je kunt wel allerlei andere dingen instellen, bijvoorbeeld limieten van bankpassen, wel/net draadloos betalen, etc)
20-10-2020, 15:33 door Anoniem
Uitspraak terecht. Een harde les voor de gedupeerde en een 'goed' voorbeeld voor andere potentiële slachtoffers: "Leergeld", zoals mijn ex-schoonvader het zou verwoorden.
Want dit verhaal valt in dezelfde categorie als je pincode aan derden verstrekken. Goed om te zien dat voor deze domheid de bank en daarmee de maatschappij niet hoeft op te draaien.
20-10-2020, 17:27 door Anoniem
we delen schepre scharen uit aan kleuters en vertellen ze dat ze niet moeten rennen met zo een schaar want anders...

we dingen ouderen en zwakkeren in de samenleving te digitaal bankieren en sluiten alle kantoren en vertellen dat ze heel goed moeten opletten want er zijn criminelen en boeven en we maken ze voor dom uit als er eentje iemand eens te vlug / slim af is geweest...

wat een fijne samenleving is het toch...
20-10-2020, 18:36 door Anoniem
De techniek bij ING is wat simpeler te omzeilen. Rabobank klanten hebben hier veel minder last van. Ook vergoed Rabobank veel gedupeerden wel. Overstappen?
20-10-2020, 18:41 door Anoniem
Door Anoniem: Weer een zaak waarbij ik de bank ik het gelijk moet stellen.

Als je zelf je gegevens aanlevert dan vraag je erom.

A fool and his money are soon parted.

Suck to be you

Je kunt je ook afvrange of de bank wel goed automatiseerd. Het zijn altijd automatiserings projecten gericht op hun eigen bedrijfsprocessen. Als ik een bank kon kopen, had ik het wel anders gedaan.
21-10-2020, 10:13 door Anoniem
Door Anoniem: De techniek bij ING is wat simpeler te omzeilen. Rabobank klanten hebben hier veel minder last van. Ook vergoed Rabobank veel gedupeerden wel. Overstappen?

Beide statements zijn onjuist. Rabobank heeft hier enorm veel last van en is terughoudend met vergoedingen.
21-10-2020, 10:30 door Anoniem
Door Anoniem: De techniek bij ING is wat simpeler te omzeilen. Rabobank klanten hebben hier veel minder last van.
Dat kun je niet zo in het algemeen stellen, omdat er bij ING nog meerdere systemen naast elkaar bestaan.
Men was bezig om de boel te migreren maar daar is men halfweg mee gestopt "ivm Corona".
Ik weet niet of dat weer is doorgezet.

Zelf heb ik een ING scanner en dat is zeker te weten een beter systeem dan de Rabo scanner.
Maar er zijn nog ING klanten met papieren TAN sheets en met TAN via SMS.

En dan zijn er degenen die een APP gebruiken. Dat lijkt een goed idee door veiligheid van de telefoon en de communicatie
met de bank, maar de methode voor het toevoegen van een telefoon is een zwak punt als je nog met die oudere validatie
werkt of als je al een APP hebt op een andere telefoon. Dan kun je "simpel" een telefoon toevoegen door een QR code
te scannen en allerlei waarschuwingen weg te klikken. Daar kunnen criminelen misbruik van maken.
21-10-2020, 10:50 door Anoniem
Dat mijn portemonnee gestolen is door een zakkenroller op de Amsterdamse wallen terwijl ik deze in het voorvakje van mijn rugtas had gedaan ligt niet aan mijzelf maar aan de politie.
21-10-2020, 10:52 door Anoniem
Iemand op straat vraagt aan mij om mijn autosleutel. Die geef ik en hij rijd er vervolgens door met mijn auto. Ik vind dat Volkswagen de schade moet vergoeden want ze hebben de beveiliging van de auto niet op orde.
21-10-2020, 12:25 door Anoniem
Door Anoniem:
Door Anoniem: De techniek bij ING is wat simpeler te omzeilen. Rabobank klanten hebben hier veel minder last van.
Dat kun je niet zo in het algemeen stellen, omdat er bij ING nog meerdere systemen naast elkaar bestaan.
Men was bezig om de boel te migreren maar daar is men halfweg mee gestopt "ivm Corona".
Ik weet niet of dat weer is doorgezet.

Zelf heb ik een ING scanner en dat is zeker te weten een beter systeem dan de Rabo scanner.
Maar er zijn nog ING klanten met papieren TAN sheets en met TAN via SMS.

En dan zijn er degenen die een APP gebruiken. Dat lijkt een goed idee door veiligheid van de telefoon en de communicatie
met de bank, maar de methode voor het toevoegen van een telefoon is een zwak punt als je nog met die oudere validatie
werkt of als je al een APP hebt op een andere telefoon. Dan kun je "simpel" een telefoon toevoegen door een QR code
te scannen en allerlei waarschuwingen weg te klikken. Daar kunnen criminelen misbruik van maken.
Voor zover ik weet, kan je zelf via mijnING zelf de scanner aanvragen, als je van de Tanlijsten steil!
21-10-2020, 14:51 door Anoniem
Lijkt me duidelijk geval van oliedom. Als je alles weggeeft dan kan de bank ook niets meer voor je doen.
22-10-2020, 23:11 door Anoniem
Door Anoniem:

Je weet dat er genoeg opa's en oma's klant zijn bij de ING en liever niet online zaken doen maar soms gewoonweg moeten en niet helemaal up2date zijn qua kennis en campagne's over phishing?
De vraag is een beetje hoe je die mensen nog goed kan voorzien of voorlichten en tevens het veilig allemaal laten doorgaan..
Blijft een lastig verhaal awareness kweken..

Probleem is dat we altijd denken dat ouderen niets kunnen en houden we oude methodes, zoals overschrijvingsformulieren, heel lang in stand om ouderen tegemoet te komen. Na 20 jaar moet die methode dan echt verdwijnen en moeten die ouderen ineens 20 jaar aan technische vooruitgang tot zich nemen. Vervolgens wordt er dan gezegd dat er geen rekening gehouden wordt met ouderen.
We moeten niet doen alsof ouderen achterlijk zijn en niets meer kunnen. Men moet veel sneller oude procedures en methodes uitfaseren zodat ouderen in kleine stapjes met de tijd mee kunnen gaan.
28-10-2020, 09:41 door Anoniem
Vind het meest bijzondere aan dit bericht, dat iemand een videorecorder op Marktplaats zet en hier ook nog een koper voor vind ;-).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.