Bijzonder en wonderlijk tegelijk.
De klant moet bewijzen…
En wanneer lees je een e-mail?
Een sms’je lijkt me veel effectiever.

Kifid heeft de wet virteel gewijzigd door te stellen dat het slachtoffer moet bedenken en vertellen "wat er gebeurd zou kunnen zijn".

Volslagen idioterie, de VOLLEDIGE bewijslast dat de klant gefraudeerd of "grof nalatig" heeft gehandeld, ligt bij de bank.

Wat er precies is gebeurd weet ik ook niet, maar in geraffineerde oplichting trappen of een app uit de Play Store downloaden, die later banking malware blijkt te zijn (vers voorbeeld: [1]), is -in normaal Nederlands- NIET grof nalatig. Immers, de Bunq app moet een Android-gebruiker downloaden uit diezelfde Play Store, die dus impliciet vertrouwd zal moeten kunnen worden.

[1] https://www.threatfabric.com/blogs/anatsa-trojan-returns-targeting-europe-and-expanding-its-reach

Waar staat dat de klant dit uit de PlayStore heeft gedownload?

Wellicht komt het uit F-Droid. En al die zelfverklaarde privacyfetisjisten dat maar promoten.

"Een half uur nadat de klant de e-mail van Bunq had gelezen"
Vandaar die tracker(s) en/of track-mogelijkheden in e-mails.

Ha Erik van Straten. Bedankt voor je intellectuele bijdrage. In de google playstore heb je ook Google verified apps. Hiervan is duidelijk dat de app ook daadwerkelijk van de echte maker is.

Bovenal zou ik het waarderen als je op de redeneerlijn ingaat. Als de klant geen inzicht geeft in zijn/haar handelen tot op een zekere hoogte kan de bank zich nooit verdedigen. Hiermee lijkt mij het geven van inzicht om te snappen wat er heeft plaats gevonden niet meer dan logisch. Je geeft het zelf ook aan "Wat er precies is gebeurd weet ik ook niet"

Je verdere "onderbouwing" is meer een soort random voorbeeld.
Gelukkig hebben we de Erik van Straten comments op internet voor zorgvuldige duiding.

De website van Kifid is een Wordpress website met publiek benaderbare /wp-admin... Mag dat grof nalatig genoemd worden?

Als ik binnen een week je mail heb geleden heb je het goed gedaan haha. Bijzonder beleid dit.

Ik behoor toch tot die groep zou ik denken maar F-droid aanraden? Nee zeker niet. Onveilige meuk is niet goed voor privacy.

Bunq heeft geen app in F-droid.....

Nooit geweten dat in de Google App-store twee soorten applicaties bestaan, nl betrouwbare en onbetrouwbare. Dan kan je net zo goed de apk'tjes van een willekeurige site downloaden.

Het is mij niet duidelijk wat er gebeurd is. Ja, het is aan de klant om te verklaren wat hij weet, maar het kan zijn dat de klant hier zelf niet helemaal niet van af geweten heeft. Ik denk aan een banking trojan of een gelekt wachtwoord. En moet je zomaar iedere email geloven als die van "jouw bank" afkomstig lijkt? (Hoeveel SMS-jes ik van "de Rabobank" gekregen heb, terwijl ik daar geen rekening heb...)
Ik vind "niet binnen 10 minuten" op een (mogelijk gespoofde) email reageren iets anders dan grove nalatigheid. Betaalt Bunq mij de schade als ik op een link in een gespoofde email klik?

Het is best lastig om een nieuw apparaat te koppelen aan een bunq rekening. Dan heb je inderdaad iemands inloggegevens nodig en waarschijnlijk ook toegang tot een al gekoppeld apparaat. Dus 2 elementen die de gebruiker door nalatigheid uit handen heeft gegeven. Lijkt mij logisch dat bunq niet verantwoordelijk is totdat de gebruiker kan aantonen dat deze elementen op een manier zijn ontvreemd, bijvoorbeeld door een onacceptabel proces aan bunq’s kant.

Bijzondere zaak en uitspraak. Wellicht dat een rechter daar toch anders over denkt.

Het is net zoals een HTTPS verbinding met geldig certificaat: dat vetelt je niet of de partij waarmee je verbonden bent betrouwbaar is of niet, enkel of je inderdaad verbonden bent met de bedoelde server.

Op dezelfde manier vertelt of een App verified is je niet of die betrouwbaar is of niet. Enkel of de uitgever geverifieerd is door Google.

Kun je mij vertellen hoe die procedure precies werkt? Zodat we kunnen inschatten in hoeverre malware op de smartphone van de klant het mogelijk maakt om de toegang tot de rekening te klonen op een andere smartphone.

Waarom zou hij dat? Het is schijnbaar de gewoonte hier om als de naam Kifid genoemd wordt, die organisatie meteen als corrupt voor te stellen, alleen vanwege stom onderbuikgevoel.

Ik lees geen sms, alleen email

Vanzelfsprekend noemen verstandige mensen organisaties als Kifid corrupt indien hun "rechters" uitsluitend oordelen op basis van een "stom onderbuikgevoel". Dank voor jouw toelichting over waar Kifid "rechters" hun uitspraken op baseren!

Het Kifid is een farce, want, bij een deel van de uitspraken geldt:
A) Zonder er ook maar enig bewijs voor te leveren, dus kennelijk op basis van wat jij een "stom onderbuikgevoel" noemt, stellen Kifid "rechters" -bij herhaling- dat bankklanten "grof nalatig" moeten zijn geweest.

B) "Grof nalatig" niet in normaal Nederlands, maar in "juridische zin" - een nieuwe taal verzonnen door wereldvreemde Kifid "rechters", kennelijk met het oogmerk dat niemand anders dan zij een flauw benul heeft wat dat betekent.

C) Kifid "rechters" die vervolgens ook nog eens de bewijslast, letterlijk ONTERECHT, omdraaien: de bankklant zou maar aannemelijk moeten maken wat er gebeurd kan zijn - en als de bankklant dat niet wil, daar soms niet eens toe in gelegenheid wordt gesteld (doordat de bankklant niet voor de zitting wordt uitgenodigd) of niet kan, omdat zij of hij geen idee heeft wat er precies is gebeurd, is het "DUS" volledig de schuld van de klant.

Hoe corrupt kun je zijn? Het lijkt Rusland wel.

Geen argumenten en vanzelfsprekend anoniem
Het verschil tussen jou (kortzichtige meneer of mevrouw of bot "genaamd Anoniem") en mij is dat jij, te laf om jouw echte naam te vermelden, niet verder komt dan Kifid-veroordelaars een "stom onderbuikgevoel" te verwijten (zinloos denigrerend fake news dus, niet geblokkeerd door de moderatoren van security.nl), terwijl je geen enkele repliek biedt op, onder anderen, mijn (m.i. steekhoudende) argumenten.

Bewijslast bij de bank
De bedoelde wet is namelijk klip en klaar: de bank draait op voor de schade, tenzij DE BANK bewijst dat de klant zelf fraude heeft gepleegd of, in de eigen woorden van het Kifid, ‘aan opzet grenzende schuld’ heeft aan het incident.

Denkbaar is dat jij die wet verafschuwt, dat mag (wellicht had je op een andere partij moeten stemmen?)

Ik vind die wet prima, want:

Asociaal systeem
Dat genoemde banksysteem (filiaalloos, bloedsnel, online - met minimale restricties) is ASOCIAAL want het leidt tot m.i. onacceptabel grote risico's voor miljoenen landgenoten, die bijvoorbeeld:

Alles op afstand is het nieuwe NORMAAL
Die problemen worden vergroot doordat mensen (steeds vaker gedwongen, omdat er geen alternatieve mogelijkheid meer geboden wordt) een toenemend aantal zaken op afstand (o.a. telefonisch of via "chatbots") moeten regelen, waaronder in de medische zorg. Als een doktersassistente of een apotheek belt of e-mailt, heb je zelden de keuze om dat te negeren "omdat het mogelijk om een oplichter gaat". Ophangen plus terugbellen werkt vaak niet goed en leidt tot veel onbegrip, wat weer in jouw nadeel kan werken.

In welke situatie hoe handelen?
Voor veel mensen is het simpelweg te ingewikkeld om te onthouden in welke situaties je meteen moet ophangen en zelf de kennelijke organisatie terugbellen (waarbij, zoals gebruikelijk, je eerst een stem hoort die zegt dat je in de FAQ op de website moet kijken, en daarna een stem die zegt dat het momenteel erg druk is en de wachttijd erg lang). Als je van de betreffende organisatie überhaupt nog een telefoonnummer kunt vinden. Je moet dus maar afwachten of je überhaupt nog een mens aan de telefoon krijgt als je een inkomend gesprek met een potentiële oplichter afbreekt en de organisatie zelf belt.

Datalekken vergroten risico's voor ouderen
De factor "kans" binnen de risico's op bankfraude is enorm vergroot doordat de hele maatschappij vergaand digitaliseert - met als gevolg een absurd aantal datalekken (trend nog steeds stijgend), waarbij vertrouwelijke gegevens (waaronder IBAN's en geboortedatums) van soms enorme aantallen personen in handen van criminelen kunnen vallen. Daardoor kunnen criminelen vooral (kwetsbare) ouderen er eenvoudig uitpikken, hetgeen het "succes" van de criminelen vergroot en hun pakkans verkleint.

Waarschuwen helpt overduidelijk nauwelijks of niet
Ondertussen is het m.i. overduidelijk dat het onvoldoende helpt om dát kwetsbare deel van de bevolking te waarschuwen tegen bankfraude en te hopen dat dit oplichting voorkómt. De meeste slachtoffers zeggen achteraf niet te begrijpen hoe zij in de oplichting konden trappen, want zij waren gewaarschuwd. Ik denk dat wel te begrijpen, zie bovenstaand lijstje met bullets.

"Wij zullen nooit" tenzij toch (zeg nooit nooit)
De vele "wij zullen nooit" leugens helpen ook bepaald niet. Bijvoorbeeld uit https://www.paypal.com/tc/webapps/mpp/security/common-scams:
M.b.t. dat laatste: "Check de SMTP-afzender! Wacht, da's mogelijk tijdverspilling want soms kan ook die vervalst worden". En toen?

M.b.t. "An email from PayPal will: • Come from paypal.com": PayPal verstuurt ook e-mails met andere afzenderdomeinnamen, waaronder "mail.paypal.co.uk" (bron: https://cantoriscomputing.wordpress.com/2017/03/04/paypals-emails-encourage-dangerous-habits/comment-page-1/) met in zo'n mail notabene links naar https://epl.paypal-communication.com/.

Eedergenoemde PayPal pagina daarover:

Nb. epl.paypal-communication.com heeft een reeks EV-certificaten gehad, toegekend aan "PayPal, Inc.", "San Jose, California, US" - de laatste geldig tot 13 februari 2024 (zie https://crt.sh/?q=paypal-communication.com), dus mogelijk is PayPal gestopt met deze domeinnaam - die (zo goed als zeker) door PayPal zelf geregistreerd is.

Daarbij, in een ouder EV-certificaat voor bovengenoemde domeinnaam (https://crt.sh/?id=144192127) komt ook de, phishy klinkende, domeinnaam paypal-here.com voor, waar nog steeds geldige certificaten voor bestaan (zie https://crt.sh/?q=paypal-here.com&exclude=expired), waaronder dit EV-certificaat: https://crt.sh/?id=9464970985.

In https://us.paypal-here.com/ staat nu:
PayPal Here has been discontinued on September 30, 2023[/quote]Mogelijk is PayPal eindelijk wijzer geworden (nu maar hopen dat zij die domeinnaam niet binnenkort in handen van criminelen laten vallen. Overigens zijn de hierboven aangehaalde teksten identiek aan een snapshot van 11 aug. 2020 (https://web.archive.org/web/20200811231054/https://www.paypal.com/tc/webapps/mpp/security/common-scams).

Oftewel: wat moet je geloven als zelfs banken hun eigen informatievoorziening totaal niet op orde hebben? Het is een illusie om te denken dat iedereen zelf zal kunnen beredeneren, vooral in een stressvolle situatie, dat een bankmedewerker nooit om een pincode zal vragen en ook nooit jouw bankpas zal komen ophalen.

Europese wetgeving zonder "grof nalatig" bullshit?
Toevallig las ik vandaag in https://www.vrt.be/vrtnws/nl/2022/01/25/zo-makkelijk-gaat-digitaal-zakkenrollen-240-euro-gestolen-in-tw/ onder meer (dat ging over "NFC-jatten", maar ik zie geen aanleiding om aan te nemen dat dit niet voor allerlei vormen van oplichting zou gelden):
Ik denk dat ik binnenkort maar eens op zoek ga naar die Europese wet.