image

ABN Amro hoeft 10.000 euro schade door misbruik bankieren app niet te vergoeden

dinsdag 2 februari 2021, 11:47 door Redactie, 14 reacties

ABN Amro hoeft een klant die door misbruik van de mobiel bankieren app voor zo'n 10.000 euro werd bestolen niet te vergoeden omdat zij grof nalatig heeft gehandeld, zo oordeelt het financiële klachteninstituut Kifid. De vrouw had vorig jaar februari haar iPhone bij de sportschool laten liggen. Daar werd die vervolgens door iemand meegenomen.

Op de telefoon had zij de mobiel bankieren app van ABN Amro geïnstalleerd die met een toegangscode is beveiligd. Na de diefstal wijzigde de vrouw de wachtwoorden van onder meer haar socialmedia-accounts en Apple ID. De identificatiecode voor de bankieren app wijzigde zij niet. Ook heeft zij de telefoon niet via Find my iPhone geblokkeerd of gewist.

Op 12 maart koppelde de vrouw een nieuwe telefoon aan haar rekening en een dag later deed zij aangifte van diefstal bij de politie. Dit was ruim twee weken na de diefstal uit de sportschool. Op 17 maart kreeg de vrouw op haar nieuwe telefoon een pop-up te zien dat een telefoonnummer en e-mailadres aan haar Apple ID waren toegevoegd. Op dat moment werd ook de mogelijkheid om het toestel via Find my iPhone te volgen uitgeschakeld.

Dezelfde en volgende dag werd via de mobiel bankieren app op de gestolen iPhone zo'n 10.000 euro overgemaakt. De bank besloot de app uit voorzorg op 18 maart te blokkeren. De vrouw deed aangifte bij de politie en eiste vervolgens het geld van de bank terug, aangezien zij de transactie niet heeft uitgevoerd. De bank erkent dat de vrouw slachtoffer van oplichting is geworden maar dat zij niet zal worden vergoed omdat zij grof nalatig handelde.

De vrouw tekende tegen deze beslissing beroep aan bij het Kifid. Ze stelt dat de door de bank genoemde verplichtingen niet voor de hand liggen. Het ontkoppelen van de gestolen iPhone in de mobiel bankieren app en het informeren van de bank over de diefstal van de telefoon zijn zaken waar slachtoffers van diefstal niet aan denken, aldus de vrouw. Verder zegt zij de toegangscode van de bankieren app met niemand te hebben gedeeld en denkt dat die door middel van malware op de nieuwe telefoon is achterhaald.

Volgens de bank heeft de vrouw in strijd met de toepasselijke voorwaarden en uniforme veiligheidsregels gehandeld door de diefstal niet meteen te melden en de app te blokkeren. Daarnaast had zij de telefoon op afstand kunnen wissen. Ook het Kifid komt tot deze conclusie en stelt dat er sprake is van grof nalatig handelen.

"Consument had er net als bij een bankpas en een creditcard aan moeten denken dat zij de app op de oude telefoon voor verder gebruik diende te blokkeren. In het verlengde hiervan acht de commissie het waarschijnlijk dat consument geen schade zou hebben geleden als zij bij de bank had gemeld dat haar telefoon was gestolen (en de daarop volgende instructies zou hebben opgevolgd) en de inhoud van de telefoon op afstand zou hebben gewist", aldus het klachteninstituut, dat de vordering van de vrouw afwijst (pdf).

Reacties (14)
02-02-2021, 12:03 door majortom - Bijgewerkt: 02-02-2021, 12:05
Ja, die telefoon is feitelijk een bankpas geworden als je de bank app erop zet. Dus inderdaad, blokkeren wanneer deze is verloren of gestolen. De site van de bank geeft dit ook aan, als je kijkt wat je moet doen als je je toestel kwijt bent:
Verwijder de toestelregistratie van uw verloren telefoon via Internet Bankieren. Zo weet u zeker dat u er alles aan heeft gedaan om uw gegevens te beschermen.
Ik kan me wel voorstellen dat dit niet de eerste gedachte is wanneer je je telefoon verliest. De bank wil iedereen graag aan de mobiele app hebben omdat dit "veiliger" zou zijn, maar feitelijk heb je, naast je bankpas, een extra aanvalsvector gecreeerd.

Vraag is dan nog wel hoe de attacker aan de inlogcode is gekomen. Het verhaal dat deze via malware op de nieuwe telefoon zou zijn achterhaald lijkt me vrij onwaarschijnlijk (zou ook betekenen dat ze weer dezelfde code heeft gebruikt? Ook tegen de voorwaarden van de bank).
02-02-2021, 12:12 door Anoniem
Het feit dat zij EERST de wachtwoorden van haar solcial media accounts en haar apple id laat zien waar haar prioriteiten liggen.


Ook in dit geval moet ik de bank gelijk geven de vrouw heeft te laat actie ondernomen
02-02-2021, 12:24 door Anoniem
Cash...
02-02-2021, 13:42 door Anoniem
Je kunt bij de ABN-AMRO app een daglimiet voor de app instellen. Als je erboven wilt heb je je pas en card reader nodig. Als je zo dom bent die limiet heel hoog in te stellen voor gemak en je iPhone van een te korte pincode voorziet dan vraag je er ook wel zelf een beetje om. En wat Anoniem @12:12 al zegt, haar prioriteiten liggen verkeerd. Ik geef de bank ook gelijk.
02-02-2021, 14:09 door Anoniem
Vraag me wel af hoe makkelijk dat blokkeren is. Je zult moeten bellen want dit:

"Verwijder de toestelregistratie van uw verloren telefoon via Internet Bankieren..."

zou wel eens een probleem kunnen worden als bij ABN net als bij ING de app nodig is om in te loggen. Die app staan dan wel op de gestolen telefoon en die heb je dus niet meer. Wat kan de bank doen als je belt? Kunnen ze die toestelregistratie voor jou verwijderen? Mag hopen van wel, anders vallen er toch wat gaten in die verhaal...
02-02-2021, 14:26 door Briolet - Bijgewerkt: 02-02-2021, 14:27
Door Anoniem: Als je zo dom bent die limiet heel hoog in te stellen voor gemak en je iPhone van een te korte pincode voorziet dan vraag je er ook wel zelf een beetje om

Volgens mij kun je geen lange pincode instellen en is het altijd 5 cijferig bij de Amro. Daarom zit er ook de daglimiet op die je zonder cardreader en pinpas kunt overmaken. Die is standaard aan de hoge kant zodat mijn eerste aktie na het koppelen was om deze te verlagen. Maar die 'hoge' default waarde zat wel ver onder de 10 000.

In het begin van de invoering van die 5-cijferige pincode kon je daarmee, zonder de pinpas, alleen geld overmaken naar mensen die al in het adresboek van de bank stonden. Jammer dat dit niet zo gebleven is. Maar ja, ze willen de legitieme betalingen zo gemakkelijk mogelijk maken, ten koste van die 'vervelende' veiligheidchecks.
02-02-2021, 14:35 door Anoniem
Ik heb al jaren de indruk dat het voor mensen heel moeilijk is om het laagdrempelige gemak waarmee je dingen met zo'n app doet cognitief te verenigen met de grote financiële risico's die je loopt als zoiets als hier beschreven wordt ermee misgaat. Het past gewoon niet bij elkaar om hetzelfde "ding" te zien als iets waar je zo moeiteloos dingen mee regelt dat nonchalance ongeveer is ingebouwd en het tegelijk ook te zien als iets waar je opeens in bepaalde situaties uiterst zorgvuldig en bedachtzaam mee moet omspringen.

Het is een zwakte die mensen hebben, maar daarmee ook een zwakte van de ICT-toepassingen die voor mensen gemaakt worden, die zijn gebouwd om alles makkelijk te maken terwijl sommige dingen beter niet al te makkelijk kunnen zijn. Tienduizend euro overmaken mag best wat extra moeite kosten. Voor dingen die je niet vaak doet en die ingrijpende gevolgen hebben is maximaal gemak in mijn ogen niet de goede keuze, daar pas wat vertragende omslachtigheid op een manier die zorgvuldigheid in de hand werkt beter bij.

De daglimiet die Anoniem van 13:42 noemt is in dat opzicht heel nuttig. Ik zou alleen liever zien dat je zoiets bewust uit moet zetten dan dat je het aan moet zetten.
02-02-2021, 15:21 door Anoniem
Door Anoniem: Vraag me wel af hoe makkelijk dat blokkeren is. Je zult moeten bellen want dit:

"Verwijder de toestelregistratie van uw verloren telefoon via Internet Bankieren..."

zou wel eens een probleem kunnen worden als bij ABN net als bij ING de app nodig is om in te loggen. Die app staan dan wel op de gestolen telefoon en die heb je dus niet meer. Wat kan de bank doen als je belt? Kunnen ze die toestelregistratie voor jou verwijderen? Mag hopen van wel, anders vallen er toch wat gaten in die verhaal...

Het probleem van deze bankier-apps: Van de banken moet je er zowel mee betalen als betalingen goedkeuren.
Wil je de internet-site van de bank op: authenticeren via de app (dus ook als die gestolen is!)
Ophogen limieten op de app: goedkeuren op de app zelf.

De internet-bankeren site is zo goed als overbodig gemaakt door de banken (wat doet een gebruiker daar nog?), waarmee de banken zelf de volgende single point of failure geintroduceerd hebben! De telefoon met bank-app die alles kan en mag. Beveiligd met 1 5-cijferige pin (die je bij de ING-app voor alles gebruikt).

De banken dwingen je om zelf je telefoon met twee of drie lagen beveiliging dicht te ttimmeren, om door hun geintroduceerde kwetsbaarheden in het proces/de app te ondervangen. Dan waren die eenmalig te gebruiken tan-codes zo slecht nog niet. (Maar volgens de ING zelf konden hun klanten niet omgaan met een 6-cijgerige eenmalig te gebruiken wisselende code!)

Banken leveren "gebruiksgemak" ten kosten van veiligheid met hun app.
En als klant heb je geen keus. De banken dwingen dit af.
Tot de schade te hoog wordt of de media en de Tweede Kamer over ze heen vallen. Dan kunnen ze opeesn wel maatregelen nemen.
02-02-2021, 15:51 door _R0N_
Ik zie hier wel een potentieel probleem. Internet bankieren zonder je app lukt niet meer en aan de telefoon geloven ze je niet omdat je caller-id niet overeen komt met het geregistreerde nummer, dat is tenslotte verdwenen.

Nou heb je bij de ABN nog een "identifier" dus samen met je pas zou je nog in moeten kunnen loggen om je bankzaken te regelen maar bij de ING heb je dat niet meer, dan moet je denk ik naar een kantoor. Succes daarmee :S
02-02-2021, 16:31 door Anoniem
Door _R0N_: Ik zie hier wel een potentieel probleem. Internet bankieren zonder je app lukt niet meer en aan de telefoon geloven ze je niet omdat je caller-id niet overeen komt met het geregistreerde nummer, dat is tenslotte verdwenen.

Nou heb je bij de ABN nog een "identifier" dus samen met je pas zou je nog in moeten kunnen loggen om je bankzaken te regelen maar bij de ING heb je dat niet meer, dan moet je denk ik naar een kantoor. Succes daarmee :S

Welk kantoor?
Die zijn hier in geen velde of wegen te bekennen.
Ook zo'n bezuinigingsactie. Want alles gaat via de app ... Tot je daar niet meer bij kan ...

:-( :-( :-(

En bewijs dan nog maar eens dat je bent wie je zegt dat je bent...
02-02-2021, 16:39 door Anoniem
Door _R0N_:
Nou heb je bij de ABN nog een "identifier" dus samen met je pas zou je nog in moeten kunnen loggen om je bankzaken te regelen maar bij de ING heb je dat niet meer, dan moet je denk ik naar een kantoor. Succes daarmee :S
Ik heb gewoon een barcode scanner van ING hoor. Veel veiliger ook nog dan die van ABN want deze werkt niet
op basis van je bankpas maar hij is uniek gekoppeld aan de rekening (dus met een gestolen bankpas kun je niet
inloggen op de ING omgeving dus ook niet de paslimieten instellen zoals in dat krankjoreme systeem van ABN).
02-02-2021, 17:11 door _R0N_
Door Anoniem:
Door _R0N_:
Nou heb je bij de ABN nog een "identifier" dus samen met je pas zou je nog in moeten kunnen loggen om je bankzaken te regelen maar bij de ING heb je dat niet meer, dan moet je denk ik naar een kantoor. Succes daarmee :S
Ik heb gewoon een barcode scanner van ING hoor. Veel veiliger ook nog dan die van ABN want deze werkt niet
op basis van je bankpas maar hij is uniek gekoppeld aan de rekening (dus met een gestolen bankpas kun je niet
inloggen op de ING omgeving dus ook niet de paslimieten instellen zoals in dat krankjoreme systeem van ABN).

Beide werken op dezelfde manier, behalve dat je bij de ABN je pincode moet weten en bij de ING de pincode van de barcode scanner.
Bij de ABN kun je beide systemen gebruiken, je telefoon of via de App. Als je bij de ING een keuze maakt is dat wat je moet doen. Het systeem van de ING stelt iemand in staat in te loggen op je bankrekening zonder je bankpas te hebben, wat dus per definitie onveiliger is dan inloggen met de fysieke pas in je handen.
02-02-2021, 19:25 door Anoniem
Door _R0N_:
Door Anoniem:
Door _R0N_:
Nou heb je bij de ABN nog een "identifier" dus samen met je pas zou je nog in moeten kunnen loggen om je bankzaken te regelen maar bij de ING heb je dat niet meer, dan moet je denk ik naar een kantoor. Succes daarmee :S
Ik heb gewoon een barcode scanner van ING hoor. Veel veiliger ook nog dan die van ABN want deze werkt niet
op basis van je bankpas maar hij is uniek gekoppeld aan de rekening (dus met een gestolen bankpas kun je niet
inloggen op de ING omgeving dus ook niet de paslimieten instellen zoals in dat krankjoreme systeem van ABN).

Beide werken op dezelfde manier, behalve dat je bij de ABN je pincode moet weten en bij de ING de pincode van de barcode scanner.

Nee dat is niet zo! Bij ING moet je de scanner in bezit hebben, je moet de pincode weten, en de usernaam+password van het telebankieren account.
Bij ABN heb je alleen pas en pincode nodig, want alle identifiers zijn hetzelfde dus als je er daar 1 van hebt kun je die altijd gebruiken.

Nou mag je het risico vergelijken: dat je pas gerold wordt nadat je pincode is afgekeken bij een betaling, of dat iemand inbreekt en je scanner steelt, je pincode weet (die je nooit buiten intoetst), en je usernaam+password weet.

Nou dan weet ik het wel! ING systeem is veel veiiger.
Bij ING kun je een paslimiet instellen (apart voor contante opnames en betalingen) en daar heb je dan wat aan.
Bij ABN kun je wel een limiet instellen maar die kun je resetten als je de pas en pincode in bezit hebt. HAHAHA. Dat is van het beveiligingsnivo van Microsoft Bob.
03-02-2021, 14:20 door Korund - Bijgewerkt: 03-02-2021, 14:22
Ik vraag me af hoe de dief in die iPhone kon komen. Vingerafdruk? 6-cijferige pincode? Alleen al dat de dief dat lukte, wijst op de nalatigheid van de eigenaar om de basistoegang tot de telefoon goed te beveiligen.

Verder heb ik de "find my iPhone"-functie eens geprobeerd, en het is echt supermakkelijk om op afstand (als hij tenminste een netwerkverbinding heeft!) die telefoon te wissen. Ik had het nog nooit geprobeerd, maar ik voel me nu een stuk geruster, mocht ik 'm ooit verliezen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.