Slachtoffer telefoonspoofing Hoge Raad krijgt 38.000 euro niet vergoed
Een vrouw die eind vorig jaar het slachtoffer werd van oplichters die zich voordeden als de Hoge Raad krijgt de ongeveer 38.000 euro die ze door het incident verloor niet vergoed van de Rabobank. Dat heeft het financiële klachteninstituut Kifid bepaald.
De vrouw werd gebeld door een oplichter die zich voordeed als een onderzoeker van de “Supreme Court of Justice”. Volgens deze persoon was de vrouw het onderwerp van een strafrechtelijk onderzoek naar witwassen en financiering van terrorisme. Er zouden criminelen gebruik maken van haar identiteit. Zij werd vervolgens doorverbonden met een andere oplichter die zich voordeed als zijn leidinggevende.
Deze persoon vertelde de vrouw dat zij haar geld moest overboeken naar een tussenrekening, om zo te voorkomen dat zij haar geld zou verliezen. Hij kreeg de vrouw zo ver om software te installeren waarmee hij toegang tot haar computer kreeg. Via de computer werd er 37.000 euro overgemaakt naar een rekeningnummer bij een Thaise bank. Deze transactie werd door de vrouw uitgevoerd en goedgekeurd. Daarnaast werd zij ertoe bewogen een account aan te maken op de website van Wise en met haar creditcard een bedrag van duizend euro over te maken.
Na ongeveer zes uur heeft de vrouw het contact met de oplichters verbroken om met de bank te bellen. Tijdens het gesprek met de Rabobank werd duidelijk dat ze was opgelicht. De bank heeft haar rekening en creditcard geblokkeerd en een annuleringsverzoek ingediend. Het geld kon echter niet meer worden teruggehaald. De vrouw vroeg vervolgens de Rabobank om haar schade van 38.000 euro te vergoeden, wat de bank weigerde.
Daarop stapte de vrouw naar het Kifid. Ze stelt dat de Rabobank haar zorgplicht heeft geschonden door een ongebruikelijke transactie naar een Thaise bankrekening toe te staan. Verder vindt de vrouw dat de bank onvoldoende voortvarend heeft gehandeld nadat zij de fraude had gemeld.
Volgens het Kifid gaat de zorgplicht van de bank niet zo ver dat zij in het algemeen betalingstransacties moet monitoren. De bank is ook niet verplicht om onderzoek te doen naar de begunstigde van een betaling. "Op de bank als betaaldienstverlener rust slechts de plicht het betalingsverkeer te optimaliseren. De stelling van de consument dat het beveiligingssysteem van de bank de transactie had moeten opmerken of anderszins had moeten controleren, kan daarom niet slagen", aldus het klachteninstituut.
Verder komt het Kifid tot de conclusie dat de Rabobank niets meer had kunnen doen om het geld terug te halen, aangezien de begunstigde bank pas twee dagen later reageerde. De zorgplicht is dan ook niet geschonden, zo oordeelt het klachteninstituut dat de vordering van de vrouw afwijst (pdf). Vorig jaar november besloot de Hoge Raad nog wegens de telefoonspoofing aangifte bij de politie te doen.
dezelfde bank is. Dat kun je dankzij het IBAN nummer makkelijk zien (dat wilden de banken zo graag).
Als je dan later de bank belt om de boeking terug te laten draaien kunnen ze tenminste niet met het verhaaltje
komen dat de begunstigde bank niet reageerde...
Dan weten die lui goed te lullen zeg. 6 uur lang. En het viel niet op dat je in Nederland doorgaans in het Nederlands aangesproken wordt ("High Court of Justice")
Als het niet zo tragisch was, zou ik lachend over de grond rollen.
Zelf deze week ook een paar robo-calls van het "High Court" gekregen op mijn mobiel.
Elke keer een ander nummer.
Het enige wat je kan doen is: meteen ophangen en het nummer blokkeren. En hopen dat het snel ophoudt.
Als justitie iets van wil, dan sturen ze maar een brief (in het Nederlands).
En dan stuur ik er wel een advocaat op af.
De bank kan mijn geld op mijn bank- en spaarrekening zelf wel veiligstellen. Daar zijn ze nog steeds verantwoordelijk voor. Dat hoef ik niet handmatig voor ze te doen.
Zo simpel is het uiteindelijk.
Maar kennelijk vindt de bank het niet nodig een transactie te blokkeren naar een wildvreemde rekening in Thailand.
Er wordt dus gemeten met twee maten. De bank ziet voor zichzelf een veel grotere "zorgplicht" als het gaat om het beschermen van de Belastingdienst, dan als het gaat om een rekeninghouder van de bank zelf.
Tegenwoordig stellen banken zich tegenover klanten op alsof ze een onderafdeling van de Belastingdienst, terwijl ze ondertussen de schijn proberen te wekken dat ze commerciële ondernemingen zijn die op een "vrije markt" opereren.
Wat een boerenbedrog is het toch allemaal geworden. En dat Kifid, dat moeten ze meteen afschaffen, dat is niet meer dan een truc om klanten van hun recht af te houden.
Dat hebben ze (net als veel andere banken) zeer zeker wel gedaan.
Dat een betaling van 38.000 naar Thailand niet wordt gezien als iets geks is wel heel vreemd natuurlijk.
vermogens van opgepakte scammers. Moet het gevuld worden uit bijdragen van alle klanten of alle belastingbetalers
dan vind ik het minder. Dat geld "van ons allemaal" kan beter worden ingezet voor maatregelen om deze scammers
het werken onmogelijk te maken dan voor vergoeden van slachtoffers. Want daarmee houd je het probleem alleen
maar in stand!
Een waarborgfonds is natuurlijk foute boel, want die moet gevuld worden door de mensen die wel hun zaakjes op orde hebben. Op die manier worden de oplettende mensen alsnog slachtoffer van deze fraude.
Ik stel voor dat jij persoonlijk alvast begint om geld te storten naar die opgelichte slachtoffers.
Ofwel is een bank neutraal en voert gewoon uit wat een klant vraagt, ofwel heeft een bank een controlerende functie en ga jij als klant vaker via een alternatieve weg, of met een cooldown periode (=vertraging), moeten aangeven dat jij die transactie wel degelijk wil uitvoeren.
Ik wil dat een bank gewoon neutraal blijft en uitvoert wat er gevraagd wordt, want het alternatief is minder transparant en daar gaat de klant uiteindelijk ook voor betalen.
dezelfde bank is. Dat kun je dankzij het IBAN nummer makkelijk zien (dat wilden de banken zo graag).
Als je dan later de bank belt om de boeking terug te laten draaien kunnen ze tenminste niet met het verhaaltje
komen dat de begunstigde bank niet reageerde...
Dan kan een slachtoffer bij zinnen komen en alsnog de bank om raad vragen of het wel in de haak is.
Zo niet, dan kan de transactie nog op tijd ongedaan worden gemaakt.
Want het is natuurlijk een duivelse rotstreek.
Ook heeft een bank welke financiele tegoeden in vertrouwen in beheer heeft gekregen op zijn minst ook een beheerplicht. Die plicht stopt niet als iemand een transactie wenst te doen. Dit valt redelijkerwijs samen met de plicht om witwassen te voorkomen, waarbij spontane transacties van tienduizenden euro's kennelijk geen reden voor een bank zijn om verdacht te vinden? Dat klinkt eerder als optimaal voor het als bank zo min mogelijk beheren en controleren.
Dat een betaling van 38.000 naar Thailand niet wordt gezien als iets geks is wel heel vreemd natuurlijk.
Nieuws de laatste tijd gevolgd? De Rabobank doet veel te weinig tegen witwas-/fraudecontrole. ABN en ING hebben daar (veel te lage) boetes voor gekregen en hebben het beter op orde.
Wel gek dat ze geldovermaken naar een toch best wel bekende/grote marktpartij blokkeren, overigens.
De oplichter die belt met een gespooft nummer is niet in dienst van de bank.
De bank voert slechts een opdracht voor een transactie uit.
De mogelijkheid tot spoofen wordt geboden door onze krakkemikkige digitale infrastructuur.
Ik ben hier niet om te onderbouwen, daar heb ik helemaal geen behoefte aan. Ik weet wel dat 80% van de mensheid een domme koe is, en dat het daarom lastig is om informatie op waarde te beoordelen, dat neem ik je ook niet kwalijk.
Open maar eens een account. binnen 3 dagen credit card. Per direct toegang tot vreemde valuta, alle vreemde valuta tegen veel veel betere tarieven. Transactie tijden ook 2 uur / 4 uur.
Ik snap echt niet waarom bank CEO's miljoenen moeten verdienen, de innovatie daar is 0,0, zie je dat echt niet zelf?
De oplichter die belt met een gespooft nummer is niet in dienst van de bank.
De bank voert slechts een opdracht voor een transactie uit.
De mogelijkheid tot spoofen wordt geboden door onze krakkemikkige digitale infrastructuur.
Als ik funding krijg koop ik een bank en dan maak ik wel iets, dat je niet zomaar naar een vreemd land 38k kan overmaken.
Een bank kan voor dit soort mensen prima een speciaal product aanbieden waarbij alles in escrow wordt geplaatst voor een x aantal dagen, ik durf echter te wedden dat de mensen die ontvankelijk zijn voor dit soort oplichting helaas een dergelijk product niet zullen gaan afnemen aangezien ze vaak weinig zelfreflectie hebben.
Er wordt dus gemeten met twee maten. De bank ziet voor zichzelf een veel grotere "zorgplicht" als het gaat om het beschermen van de Belastingdienst, dan als het gaat om een rekeninghouder van de bank zelf.
Wat banken nooit zullen doen is je vragen geld over te maken; ze zullen nooit vragen om beveiligingscodes aan ze door te geven of kleurcodes te scannen (los van het normale internetbankieren of iDeal-betalingen natuurlijk); ze zullen nooit een e-mail-link naar een loginpagina sturen; ze zullen je nooit vragen om software te installeren. Dat is wat anders dan dat ze je nooit telefonisch zullen benaderen.
Je zit op het goede spoor in de zin dat je snapt dat er dingen zijn die banken nooit zullen doen. Dat je desondanks zelf niet goed doorhebt wat het precies is wat ze nooit zullen doen laat zien dat het best lastig is. Ga alsjeblieft naar de website van jouw bank en lees nog eens opnieuw wat zij erover schrijven, en blijf dat af en toe opnieuw doen zodat je het levend houdt. Er is niets menselijker dan na een poosje dingen niet meer helemaal goed te onthouden.
De oplichter die belt met een gespooft nummer is niet in dienst van de bank.
De bank voert slechts een opdracht voor een transactie uit.
De mogelijkheid tot spoofen wordt geboden door onze krakkemikkige digitale infrastructuur.
Hoeveel mensen hebben het nummer van de bank in hun telefoon staan of herkennen het nummer van de bank op de display?
En dat iemand zegt dat hij van de bank is, bewijst helaas niets. Dat kun je ook niet verhinderen.
Ik zou jou kunnen bellen (als ik je nummer wist) en zeggen dat ik van de bank ben. Niets verhindert dat.
Ook niet als ik dat op straat doe.
Voor de duidelijkheid:
IMHO zouden telco's en fabrikanten van email-software meer moeten doen om spoofing tegen te gaan. Dat is een zeer grote kwetsbaarheid waar zij verantwoordelijk voor gemaakt moeten worden. Alleen zo dicht je die gaten bij de bron.
Uit eigen beweging doen ze niets. En anderen kunnen het niet.
Waarom zou ik een nummer of email-adres van een bank mogen kunnen spoofen als ik niet bij die bank werk. Geen certificaat of andere technische restrictie of controle die het verhindert.
Dat klinkt leuk, maar is helemaal niet praktisch, werkt misbruik in de hand. Mensen moeten zelf beter op letten.
Voor de duidelijkheid:
IMHO zouden telco's en fabrikanten van email-software meer moeten doen om spoofing tegen te gaan. Dat is een zeer grote kwetsbaarheid waar zij verantwoordelijk voor gemaakt moeten worden. Alleen zo dicht je die gaten bij de bron.
Uit eigen beweging doen ze niets. En anderen kunnen het niet.
Waarom zou ik een nummer of email-adres van een bank mogen kunnen spoofen als ik niet bij die bank werk. Geen certificaat of andere technische restrictie of controle die het verhindert.
De "fabrikanten van e-mail software" hebben die verantwoordelijkheid wel opgepakt. Daarbij is wel medewerking van
jouw kant of van jouw internet provider nodig. Banken kunnen regelen dat de mail die zij vanaf hun domein sturen niet
vervalst kan worden door iemand anders (dus ik kan geen mail sturen vanaf een @rabobank.nl adres), als de ontvangende
partij dan maar wel een check doet op die certificaat informatie.
Een grote makke daarbij is wel dat er geen register is van "welke domeinnaam kan een bedrijf voor mail gebruiken"
dus ik kan je nog steeds een mail sturen vanaf een @rabo-bank.nl adres ofzo en dat heel geloofwaardig laten
overkomen en dan moet je maar net weten dat dit niet het domein is wat de Rabobank gebruikt voor mail.
De telefoon bedrijven doen helaas niets op dat gebied, althans daar lijkt het sterk op. Een op SPF gelijkend mechanisme
in het caller-ID systeem zou toch wel het minimum moeten zijn, of minstens iets wat lijkt op reverse path checking.
Daar geldt inderdaad "het is werk en het levert ons niks op dus doen we dat niet" waar je alleen omheen komt met
wettelijke dwang.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.