Wanneer we het bericht eens grondig lezen:

https://www.ad.nl/binnenland/sonja-is-slachtoffer-van-smishing-in-20-minuten-werd-13-250-euro-van-haar-rekening-weggesluisd~a6f3e5b7/178959281/

Dan valt op dat deze 'site' vergeven is van de spelfouten en vervoegingsfouten.
Als je dit tegenkomt op een overheidswebsite, dan moeten de alarmbellen al gaan rinkelen!

Enkele voorbeelden:

1. monkapjes......in plaats van mondkapjes
2. paketten..........in plaats van pakketten
2. standaren........in plaats van standaarden
3. dit betekend........in plaats van "dit betekent" (onvoltooid tegenwoordige tijd, stam +t)
4. aakomende.........in plaats van aankomende
5. zorgpaketten.......in plaats van zorgpakketten.

Afgezien van spelfouten, wordt er al zo lang gewaarschuwd om niet op linkjes te klikken. En als je dat al doet, vul je daarna nooit gevoelige informatie in.

Verder stuurt iDeal je altijd naar de pagina van je eigen bank, zodat je de betaling binnen de bankomgeving doet. Je ziet dat aan de url van je bank.

Blijkbaar is iDeal ook niet meer te vertrouwen, iedere crimineel kan die aanvragen en blijkbaar belangrijken gegevens
buit maken. Het komt er zowat op neer dat als je een gewoon iemand bent beter je smartphone en internetbankieren
links laat liggen, criminelen vinden steeds meer middelen om je geld afhandig te maken.

En gewoon geld op zak en contact betalen is voor veel mensen gewoon veiliger ook al zullen ze dat als smoesje
gebruiken dat het niet zo is.

Hoe vaak per dag dit soort gevallen voorkomen durf ik niet te zeggen. De zaken die boven komen zullen nu ook weer niet het beruchte 'topje van de ijsberg' zijn, maar dat het meerdere keren per dag is, zal mij niet verbazen.
De oorzaak van dit grote zwijgen is vooral dat mensen die het overkomt zich schamen, waarbij laatdunkende reacties een van de oorzaken hiervan zijn. Als schimpende tot zelfs grof beledigende reacties achterwege zouden blijven gericht aan het adres van slachtoffers van phishing of malware, zou er meer openheid zijn naar de buitenwereld.

Het positieve gevolg is dan dat de politiek sterker geneigd zal zijn aan te dringen op strengere repercussie t.o.v. de ellendelingen die de veroorzakers van dit financieel leed zijn dan nu het geval is.
Delegatie van handhaving is nu eenmaal vaak vooral gebaseeerd op statistische getallen van geconstateerde criminaliteit. Als mensen zich minder gaan schamen om aangifte te doen of de publiciteit te zoeken groeit dus de bereidheid vanuit de wetgevende macht om meer aandacht te besteden aan bestrijding van deze criminaliteit.

En de rol van de banken dan?

Hoe triest ook, zij kunnnen niet onvoorwaardelijk meegaan in de vraag om schadevergoeding, omdat ellendigerwijze slachtoffers deze toestanden over zichzelf afroepen. Als ik per abuis een aankoopbedrag overmaak naar iemand die zijn verkopersverplichtingen niet nakomt (een oplichter dus) kan de bank mijn financiële strop ook niet- én terecht, vergoeden.

@Piet Slagwerker: Helaas ben jij een van de weinig die dit begrijpt, ik vind dat banken moeten stoppen
om hun apps aan te smeren als super veilig. Veel mensen geloven dat en waar is het waar het fout gaat,
juist bij de mens, die denken dat als ik de app gebruik het niet fout kan gaan, of het zelfde bij IDeal.

Als je het artikel eens helemaal gelezen had, had je kunnen zien, dat die Ideal pagina OOK nagemaakt was!

Kun je bewijzen aanvoeren voor je stelling: "Blijkbaar is iDeal ook niet meer te vertrouwen" ?

In toenemende mate krijg ik de indruk dat Trump besmettelijker is dan het Corona-virus, want wilde aantijgingen en holle beschuldigingen vliegen je tegenwoordig nog meer om de oren dan de gebruikelijke vliegen rond een mestvaalt gedurende hoogzomer.

Een ander punt, en dan weinig zinnig, is: internetbankieren - Je bedoelt betalen? - achterwege laten en contant afrekenen. "Hoe mot dat??"
Met regelmaat heb ik nieuwe grafietpotloden nodig maar een kantoorboekhandel is in geen velden of wegen meer te bekennen daar waar ik woon, en dat al ruim 10 jaar. Dan blijft het Internet als enige alternatief, of niet?
Als jij mij kunt vertellen hoe ik mijn grafietpotoloden op internet contant kan betalen ben ik razend benieuwd.

Men richtte zich bewust of onbewust op mensen die dat niet weten op te merken. Iemand die zelf nauwelijks kan spellen herkent spelfouten van anderen niet. Aangezien de ingevoerde codes door de crimineel zijn gebruikt om een app te activeren zou dit wel eens een goed filter kunnen zijn om alleen de kansrijke potentiële slachtoffers zo ver in het proces door te laten dringen dat er handwerk bij komt kijken.
De mensen die die spelfouten niet zien zijn vermoedelijk ook niet erg goed in urls.
Het ging hier om fake websites, niet om de echte. Dit zegt helemaal niets over de betrouwbaarheid van de echte sites.

Nou dat ligt er niet zo dik bovenop als de bank hier claimt. Als je op een website waar je met iDeal wilt betalen het normale betaalproces volgt dan is het helemaal niet zo duidelijk waar je precies wel en niet moet klikken en waar je op moet letten om te voorkomen dat je niet met een fake iDeal pagina te maken hebt.
(ja je moet checken of de URL wel die van je bank is, maar dan moet je maar hopen dat je browserfabrikant het niet nodig vindt om die weg te halen of te verbouwen, en je moet ook maar net weten wat vandaag het geldige domein van je bank is)

Dat lijkt me geen argument, behalve dan voor totale nullen die directeur van een bank zijn. Het activeren van een betaal app op een telefoon mag best van blokkades en beperkingen voorzien zijn, dat hoef je toch maar eens in de paar jaar te doen.

Ik vrees dat je niet helemaal begrijpt hoe Ideal werkt.

Heb je helemaal gelijk in, vertel mij eens hoe het werkt ik ben daar erg benieuwd naar, al vast bedankt.

Triodos is hier 100% (minus het eigen risico van als ik het goed heb 50 euro) verantwoordelijk voor. Zie de wetgeving rondom PSD2, waar fraude detectie, preventie en schadevergoeding onderdeel van uitmaakt.

Dat je dat klant een email stuurt, wil niet zeggen dat je niet meer verantwoordelijk bent.

Stop met de verdere digitalisering.

Pen en papier

Heropen bank-loketten,en de sociale communicatie tussen de klant en loket
geen internet,geen phisingsites en data vergrijp en privacy schendingen.


The Matrix

Dus de bank moet nu ook al in de gaten gaan houden waar ik mijn geld aan uitgeef?
Laat maar. Ik stop het wel in een oude sok.

Open daarom altijd elders een spaarrekening, toch een stap extra voor zo'n crimineel. Sowieso bij Triodos krijg je 0 procent rente, dat is zonde. Ergens anders 0,5 (vrij opnemen) of investeer met een klein risico 4 procent (AFM vergunning).

Ik zeg nooit dat iets absoluut anders moet of 'hoort' te zijn want de werkelijke wereld draait op grijstinten; is niet zwart<>wit
Maar hier zeg ik: Dankje de koekoek!
Ik ken de 10 à 15 minuten lange rijen bij het postkantoor anno 1976 op zaterdagochtend nog om m.b.v. cheque en giropas het huishoudgeld voor de komende week op te nemen.
En dan nu, met een bevolkingsaanwas sinds 'de loketten' zijn verdwenen van bijna 4 miljoen inclusief de groeiende 'korte lontjes' mentaliteit; onderdeel van de huidige "sociale communicatie", weer terug naar die tijd?

NEEN!

Beste The Matrix,
loop eens een keer achter de computer vandaan en snuif de buitenlucht op.

En daarom is ideal ook niet meer te vertrouwen, ik weet niet het hoe werkt maar dat iedere website ideal kan
gebruiken roept fraude in de hand.

Het klopt dat de controle matig is en het ook katvangers lukt op pinrekeningen te openen. Voor iDeal had ik dat nog niet gezien.

Maar in dit geval is het niet aan de orde. Ze hebben blijkbaar een iDeal pagina nagemaakt zodat de klant zijn codes op de nep-iDeal pagina invulde. De daders hebben die code dan direct gebruikt om een 2e telefoon te koppelen.

Bij het koppelen van een 2e telefoon gaat het mis. Dit gaat veel te gemakkelijk bij de banken. Het gemak lijkt klantvriendelijk, maar een tijdrovende koppeling per brief is duidelijk veiliger. Dan heeft het slachtoffer nog 24 tot 48 uur om na te denken of de transactie wel in de haak is.

Altijd op het slotje klikken bij de iDeal pagina om te zien of het certificaat ook echt van jouw bank is. Verder laat de bank bij het iDeal scherm zien welke rekeningen je hebt. Dat kan een phishing site niet weten, dus zal deze info ontbreken.

Dank Briolet voor je reactie, fijn om te weten dat er nog steeds regeerders zijn die wel opbouwend kunnen reageren.

Ik zou zeggen, kijk eens op internet, hoe Ideal werkt, dan maak je niet van die rare, onwetende opmerkingen.

Het is inderdaad heel belangrijk dat je, als een webshop jou naar ideal.<jouwbank>.nl stuurt, je grondig checkt dat je daadwerkelijk op de juiste iDeal website (van jouw bank dus) uitkomt. Immers, zelfs als je iets hebt besteld op een niet vervalste site (zoals bol.com), kan die site gehacked zijn en jou doorsturen naar een fake iDeal site. Maar hoeveel mensen zullen zich dat risico realiseren? Als je in een winkel pint, ga je toch ook die pinautomaat niet uitgebreid inspecteren?

En als mensen al in een foute domeinnaam van een webshop trappen, is de kans wel heel klein dat ze daarna de iDeal domeinnaam controleren.

Probleem: "op het slotje klikken" heeft (helaas) steeds minder zin. Als ik op mijn Android smartphone met Firefox naar https://www.triodos.nl/ surf en op het slotje klik, zie ik:
waarbij je je voor die tekentjes linksonder een groen slotje moet voorstellen. Waar moet ik nu op letten?

Op mijn iPhone is het nog erger: als ik, zowel in Safari als in Firefox, op het slotje klik, gebeurt er niks (of er verschijnt een popupje voor het kopiëren van de URL naar het klembord).

Dat getoond wordt welke rekening ik heb, zou kunnen, maar dat is mij nog nooit opgevallen. Wellicht gebeurt dat alleen als je meer dan 1 betaalrekening bij die bank hebt? (heb ik niet). Het zou mij dus ook niet opvallen als die informatie ontbreekt.

Het wordt voor gewone mensen steeds lastiger gemaakt om nep van echt te onderscheiden, vooral op kleinere schermen dan van moderne PC's. En na elke browserupdate is er wel weer iets veranderd. Daarbij helpt het van geen kanten dat browsers relevante identificerende informatie vervangen door vervalsbare gegevens, of de gebruiker niet eens meer de mogelijkheid bieden om nep van echt te kunnen onderscheiden.

Bijv. in Firefox voor Android verdwijnt de URL-balk al snel uit beeld, tenzij ik deze "vastzet" (waar je in de instellingen sinds kort weer de mogelijkheid voor hebt). Maar zodra ik "zoek in een pagina", verdwijnt die URL-balk alsnog (en verschijnt pas weer als ik het zoekveld sluit).

Mijn bewering klopt ook niet. Ik realiseer me nu dat die info er pas is nadat je de verificatiecode doorgegeven hebt. Voor die tijd zal de bank deze info natuurlijk nooit prijsgeven. Daarna krijg is een pulldown menu met de betaalrekeningen die achter het account zitten. Maar als je dan iets geks ziet hebben de daders al de verificatiecode in handen.

Daarom doe ik dit soort dingen nooit op een telefoon, maar op mijn PC. En ook niet op browsers als Google waar het omslachtig is om even het certificaat te bekijken.

op de man gaan aan de point voorbij. niet alles van vroegah is beter, maar dat betekent niet dat alles zo slecht was en alles wat nieuw is een verbetering is! niet iedereen is in staat mee te gaan met die digi drang en jij zult ook ooit op een leeftijd komen dat je moeite gaat hebben met dingen. in alles is een bellans nodig, maar 'de alles digitaal en sterf met de rest' is te ver doorgeslagen en het risico is op de burger verschoven. banken die 10j geleden hard die burgers nodig hadden!

vandaag is het het slotje, morgen ziet het er weer anders uit omdat browser bouwers 'vernieuwen' en juist dat maakt het voor vele mensen te moeilijk allemaal. tegenwoordig is veilig bankieren niet eenvoudig voor oudere mensen met die continue veranderende apps, websites, codes etc. etc. etc. en het is niet meer mogelijk voor ze bij de buurt super / post agent schapje hun centen eens de week te halen. ja je kunt je buren of kinderen vragen (als je die hebt) en meteen in overtreding van de bank opgestelde regels zijn...

dat is de bank, dan het pinnen, chippen, contactloos, dan met telefoon, dan met app betalen? in minder dan 10j tijd al die veranderingen. oh, ns automaten, eerst kaartjes,dan weer niet, inchecken uitchecken, opletten met toeslagen en andere vervoerders en elke vergissing is kosten voor jouw rekening. alles eenzijdig.

lekkere maatschappij hoor!

en al die vlugge jonges / meiden hier, jullie tijd komt ook nog en kijken of je dan mans/vrouws genoeg bent om je ongelijk nu te erkennen (te laat, schade geleden, kalf put dempen, die).

ik ben nog jong, maar niet blind hiervoor als ik bij kassas in de rij sta of bij de trein en gewoon zie wat er gebeurt.

en wat dat betreft, het gaat om de mensen, niet zo zeer om een onbruikbaar wordend systeem. ook in de security!

@Briolet: dank voor jouw antwoord! Het veilig houden van een PC (met Windows of Linux) is voor velen nauwelijks weggelegd.

Bovendien zijn bank-apps meest veiliger dan een browser (omdat zo'n app alleen met de echte bank zal willen verbinden), maar als iemand iets in een webshop bestelt, en het die persoon niet opvalt dat diens bank-app niet vanzelf start bij het afrekenen, maar "iDeal" in de browser opent, kunnen die mensen vermoedelijk eevoudig alsnog op het verkeerde been worden gezet.

Het belangrijkste advies is daarom niet meer, "klik op het slotje", maar check de domeinnaam (die wel voorafgegaan moet worden door een slotje). Ook als je via iDeal betaalt!

Zorg dus dat je precies weet:
1) dat subdomeinnamen uitsluitend worden gescheiden door een punt (niet door streepjes o.i.d.);
2) op welk hoofddomein en eerste subdomein de domeinnaam van jouw bank eindigt;
3) dat die domeinnaam met de eerstvolgende / na https:// eindigt (mits https:// wordt getoond; anders moet je op z'n minst een slotje zien).

Quiz (voor elke geïnteresseerde natuurlijk): welke van de volgende URL's zijn WEL van Triodos bank? (de anwoorden staan verderop).

1) https://bankieren-triodos.nl/ib-seam/login.seam?locale=nl_NL
2) https://bankieren.triodos.ni/ib-seam/login.seam?locale=nl_NL
3) https://bankieren.triodos.nl/ib-seam/login.seam?locale=nl_NL
4) https://bankieren-triodos.nl/ib-seam/login.seam?locale=nl_NL
5) https://ideal.triodos.nl/betalen
6) https://bankieren.nl/triodos.nl/ib-seam/login.seam?locale=nl_NL

Nb: Firefox op mijn Android smartphone laat https:// weg. Bovenaan de Triodos login pagina staat:
Dat klopt dus al niet in Firefox op mijn Android smartphone. Op mijn (kleine) iPhone laat Safari niet alleen https:// weg, maar ook de domeinnaam-afsluitende slash en alles daarachter!. Firefox op die iPhone maakt het nog bonter, die toont slechts een slotje gevolgd door bankieren.tri... en in landscape mode wordt dit nog erger; doordat er meer knoppen in die balk gevrot worden, staat er slechts bankieren.t....

Als ik in portrait mode de URL selecteer (Firefox op iPhone), lukt het mij niet om deze horizontaal te scrollen, zodanig dat ik de domeinnaam kan inspecteren. Alleen in landscape mode kan ik, na het selecteren van de URL, de hele domeinnaam zien. Echt schandalig vind ik het dat je zoveel moeite moet doen om uit te vinden op welke site je zit; dit maakt een browser m.i. onbruikbaar.

















De antwoorden, met het relevante deel van de domeinnaam plus afsluitende slash onderstreept en vet gemaakt (daar moet je dus op letten):

1) Fout: https://bankieren-triodos.nl/ib-seam/login.seam?locale=nl_NL
2) Fout: https://bankieren.triodos.ni/ib-seam/login.seam?locale=nl_NL
3) Goed: https://bankieren.triodos.nl/ib-seam/login.seam?locale=nl_NL
4) Fout: https://bankieren-triodos.nl/ib-seam/login.seam?locale=nl_NL
5) Goed: https://ideal.triodos.nl/betalen (of deze URL eindigt met "betalen" weet ik niet, maar dat boeit niet)
6) Fout: https://bankieren.nl/triodos.nl/ib-seam/login.seam?locale=nl_NL

Nb. er bestaat, met dit advies, wel een restrisico, namelijk als Triodos een derde partij toegang zou geven tot bijv. mailings.triodos.nl en die partij daar onvoldoende voorzichtig mee omspringt, of dat Triodos een domeinnaam als test123.triodos.nl heeft die wijst naar een IP-adres van een cloudserver die zij niet meer gebruiken, en die (met dat IP-adres) in handen van kwaadwillenden valt. Met een gratis DV- certificaat (vaak van Let's Encrypt) kan dan ernvoudig een phishing site worden gebouwd waarvan de domeinnaam eindigt met triodos.nl, terwijl de server niet in beheer van Triodos is.

Fan van Jensen o.i.d? (Gut ik heb die knaap één keer zien raaskallen. Om tinitus van te krijgen) Wel... je immiteert hem met verve, dus....
Ja, wát wil je nu allemaal vertellen met deze rafelige meute woorden die als dolle honden achter elkaar aan rennen? Blijft je inktlint soms kleven t.b.v. de hoofdlettertoets en vermijd je die daarom?
Er is geen garen van te spinnen, noch een touw aan vast te knopen, terwijl ik met mijn zojuist 64 levensjaren aardig in staat ben tekst te ontwarren.... hier kapituleer ik, of... NEEN, eigenlijk heb ik er gewoon geen zin in om me te verdiepen in dit sjofele gesmijt met letters, of je een zak Scrabble leegkiepert op tafel, om daarna knarsentandend op mijn bovenprothese te constateren dat er niets zinnigs uit te peuren valt.

Dat wordt allemaal verkocht onder het mom van het is voor de vooruitgang maar het gaat denk ik alleen
maar om meer winst.

Het gaat hier weer om aanzienlijke bedragen en spaargelden die buit gemaakt zijn middels een meegelezen betaalhandeling voor geringe bedragen, ditmaal vermoedelijk via een nep ideal site. De codes die daarbij ontvreemd zijn , waren kennelijk toereikend voor het doen van spaaropnames en eventueel een daglimiet wijziging (als die bij Triodos wordt gehanteerd). Als de spaargelden met andere codes dan de betaalcodes beveiligd waren of de opname vertraagd dan wel daglimiet wijziging standaard vertraagd zou worden uitgevoerd had deze scam veel minder schade opgeleverd, De ING heeft bijvoorbeeld de duur van de "daglimiet wijziging" op 5 november 2020 gewijzigd van een kwartier tot 4 uur.
Als ook de opnames van spaarrekeningen standaard vertraagd worden kunnen dit soort megascams niet meer plaats vinden en zijn spaargelden in ieder geval veilig. Je kunt je in gemoede afvragen waarom banken nog spaarrekeningen aanbieden als er geen rente en ook geen extra beveiliging op zit . Triodos zou het goede voorbeeld geven wanneer ze deze vrouw in ieder geval het van haar spaarrekening geroofde bedrag terug geven. Het lijkt me wel duidelijk dat als enkele banken deze wijsheid gaan volgen de scammers zich gaan richten op de rekeninghouders van de banken die dat niet doen . Ik ben van mening dat deze banken grof tot zeer grof nalatig zijn als ze dit beveiligingslek van spaargelden laten blijven bestaan. Zie ook de discussie rond "moeten de banken de schade van spoofing vergoeden"

iDeal is helemaal niet betrokken bij deze fraude, alleen het logo wordt door criminelen misbruikt. Ze hoeven dus ook helemaal niets aan te vragen, ze kopiëren het logo en wat andere dingetjes van iDeal en de webpagina's van de verschillende banken.

Wanneer iemand jouw naam gebruikt, ben jij (!) dan ineens niet meer te vertrouwen? Nee, natuurlijk niet, wanneer een ander zich voordoet als jou, zegt dat iets over die ander maar helemaal niets over jou. En dat is met phishing net zo. Het zegt niets over de banken en/of iDeal, alleen over de criminelen.