Ik heb hier laats eens over na zitten denken en eigenlijk is het instant betalen en overmaken misschien niet zo'n heel goed idee. Vroeger konden we het ook prima met een dagje wachten. Zou er iets voor te zeggen zijn om een 24-uur hold op betalingen te zetten boven een bepaald bedrag?

Uit de vorige uitspraak: "ICS laat in zijn reactie weten dat de klant de betaling van 1880 euro heeft goedgekeurd, wat ook uit een verstrekte uitdraai blijkt. "De enkele stelling van de consument dat hij in de app een betaling van een bedrag van 1,85 euro aan DHL, en niet een bedrag van 1.880 euro aan [begunstigde], heeft goedgekeurd is onvoldoende om te twijfelen aan de juistheid van de door ICS overgelegde uitdraai", aldus het Kifid."

De uitdraai van ICS is niet bewijs meer nu een tweede klant slachoffer is van de exacte truuk. Klant ziet het goed en geeft akkoord voor 1, 85 maar in de achtergrond kan er dus een ander bedrag gecommuniceerd worden.

Ja je kunt het natuurlijk altijd proberen, beetje dom natuurlijk en al helemaal niet de schuld van de rabobank.

Nee, de klant ziet het niet goed. Dat staat ook vermeld in de gelinkte pdf. Zie pagina 3:


Daarom altijd goed opletten en LEZEN voordat je ergens akkoord op geeft. Een fout is zo gemaakt. Het slachtoffer moet bij de dader zijn, niet de bank.

Wellicht kan vanuit het bankwezen echter wel veel actiever tegen oplichters op worden getreden. Banken hebben alle contactgegevens van de klant vanuit de customer due diligence eisen, dus banken mogen wat mij betreft net zo fanatiek achter die lui aan gaan, rekeningen blokkeren en zwarte lijsten aanleggen als dat ze menen witwassen te moeten bestrijden.

Zucht... Weer zo eentje, waarom mensen aanspraak doen op hun bank voor een terugbetaling is mij een raadsel...
Als ik mijn portomonee verlies ga ik toch ook niet aan de bank vragen het geld terug te betalen?
De oplichting gaat buiten de bank om en het bedrag is te klein om een betaling te weigeren.
Beschouw de oplichting als een wijze les zodat mensen oplettend worden.
Oplichting is immers van alle dagen, naïeve mensen eveneens.
Uiteraard heb ik een hekel aan banken, ook de ING doet aan foute wapenhandel, maar de bank vragen om een vergoeding qomdat mensen zelf in oplichting zijn gestonken is echt onzin.
Als het nou een pinautomaat was waarmee is gerotzooid, dat kan ik me nog wel voorstelken omdat dat ding van de bank zelf is, zij moeten zorgen dat het pinapparaat veilig kan worden gebruikt.

Dit heeft alle tekenen van een MITM aanval waarbij de middenman het bedrag dat aan de klant getoond wordt aangepast heeft. (Of zou het iets mat malafide JavaScript zijn?) Wanneer zoiets vaker gebeurt moet te achterhalen zijn bij welke partij het bedrag bijgeschreven wordt.

Het gebeurt, vermoed ik, héél vaak. Ik heb al heel wat van dit soort scamsites bekeken, elke dag verschijnen er vele nieuwe van (en dat gebeurt natuurlijk alleen als daar geld mee "verdiend" wordt).

Eén van de vele hosters van o.a. dit soort creditcard-phishing sites (met recente domeinnamen): https://www.virustotal.com/gui/ip-address/213.226.123.41/relations.

Zondagochtend vroeg mijn vriendin mij wat zij met een SMS'je aanmoest, want ze had "recentelijk niks besteld":
Er staan fouten in (zoals "verzendadres"), er is sprake van spoed en de domeinnaam is absurd, maar ondanks dat wij eindeloos op dat soort forensische artifacts hameren, let geen mens daarop (gelukkig zat mijn vriendin niet op een pakketje te wachten).

Nb. "hxxps" luidde in de SMS natuurlijk "https" en "[.]" was alleen een punt.

Die website, die nog steeds live is (en nog steeds niet wordt geblokkeerd door Google Safe Browsing) heeft een PostNL logo en ziet er niet heel vreemd uit (geen perfect Nederlands, zoals "Aflever status" met een spatie). Er staat wat bla op, enkele links verwijzen naar de echte postnl.nl site en je moet op "Doorgaan" klikken/drukken.

De volgende pagina vraagt om:
• Uw naam
• Adres
• Gedetailleerd adres (optioneel)
• Stad
• Land / Provincie / Regio
• Postcode
• E-Mail
• Telefoon Nummer

Als je dat hebt ingevuld (ik deed dat met onzin) en op de knop "Update Onmiddellijk" drukt/klikt, verschijnt de volgende pagina (met PostNL logo en een foto van een pakketbezorger bij een mevrouw in haar voordeurkozijn):
Nb. die 'f' is een "ouderwetse" met ook onderaan een krul (die kan ik niet opnemen in deze reactie). In elk geval geen Euroteken dus.

Daaronder velden voor:
• Kaarthouder
• Kaartnummer
• Vervaldatum
• Beveiligingscode (CCV)

Daaronder een knop "Indienen".

Ik heb in deze pagina niets ingevuld en niet op die knop gedrukt, maar met die kaartgegevens kunnen de criminelen al zat schade toebrengen neem ik aan.

Volgens https://www.virustotal.com/gui/url/ae3ef269e5471ddb581e1d8c96707a126405f2a241ca876a99ae12783969e7fd/detection ziet, van de 93 scanners, alleen Trustwave gevaar in de gegeven URL.

Hosting bij Tencent aldus https://www.virustotal.com/gui/ip-address/43.153.70.187/details.

Het lijkt om een nog nauwelijks gebruikt IP-adres te gaan: https://www.virustotal.com/gui/ip-address/43.153.70.187/relations.

Registrar is Alibaba: https://www.virustotal.com/gui/domain/birpt.top/relations.

En uit https://crt.sh/?q=birpt.top blijkt dat er twee certs zijn uitgegeven (de eerste, nog geldig, voor uitsluitend
postc-tracklnfo.birpt[.]top).

Ergens vind ik het wel goed dat dit soort dingen niet vergoed worden. Laat de cyber-awareness bij mensen maar groeien doordat dit soort dingen "eigen risico" zijn. Wanneer dit vergoed zou worden denk ik dat veel mensen denken dat minder op hoeven te letten "omdat het toch wel vergoed wordt."

Wel vervelend voor deze ING klant..

Inderdaad. Dat is precies het soort dingen dat banken en creditcardbedrijven op systeemniveau kunnen doen om een hoop schade te voorkomen, en voor veel rekening/kaarthouders zal dat inderdaad snel zat zijn.

Het valt me op dat in dit en het vorige geval het bedrag dat de klant dacht te betalen €1,85 was en het werkelijke bedrag €18xx. Het begint allebei met een 1 en een 8 en lijkt genoeg op elkaar om erin te trappen als je niet meer dan oppervlakkig in je app controleert wat je doet.

Dit lijkt mij geen MITM, maar vermoedelijk een link naar een fake website in combinatie met onoplettendheid en handig inspelen op veel voorkomende onoplettendheid door de daders.

Ik hink bij dit soort dingen nog wel eens op twee gedachten over waar de verantwoordelijkheid en de bijbehorende aansprakelijkheid gelegd moet worden.

De ene kant is dat financiële instellingen systemen neerzetten die door mensen bediend worden maar die duidelijk door hoe snel een handeling definitief is niet geschikt zijn voor hoe mensen eigenlijk functioneren. Het is niet zo dat mensen in het echt geen fouten maken, we maken voortdurend foutjes. Dat desondanks het meeste wat we doen goed gaat is omdat we die foutjes direct weer corrigeren. Als iets te snel definitief is dan kan dat corrigeren niet meer. Bij kleine bedragen ben je geneigd meer risico te nemen dan bij grote bedragen. Bij €1,85 let je nauwelijks op, bij €1800 heel goed. Het systeem werkt in de hand dat mensen de nonchalance die bij kleine bedragen hoort zonder dat ze daar erg in hebben op grote bedragen toepassen. Je kan wel roepen dat de klant oplettend moet zijn, maar die gedraagt zich eigenlijk heel normaal en zelfs rationeel. Dat maakt dat het systeem slecht aansluit bij hoe mensen functioneren, en dat is de verantwoordelijkheid van financiële instellingen. Mens-machine-interfaces moeten niet alleen goed op de machine maar ook goed op de mens aansluiten.

De andere kant is dat onoplettendheid van mensen uit gemakzucht wel heel ver gaat. Vroeger moest je ook om €1,85 over te maken een girootje schrijven, in een envelop doen, die dichtplakken en hem naar de brievenbus brengen. Iets betalen mag wat moeite kosten, dat verdient je oplettendheid. Zo'n 20-25 jaar geleden begon ik me in toenemende mate te verbazen over mensen die, toen nog sinds kort, online konden overboeken en daarbij een digipass moesten gebruiken, die steen en been klaagden over het drie keer moeten intoetsen van een paar cijfers (pincode, challenge en response), alsof dat niet veel minder tijd en inspanning kostte dan dat girootje schrijven en op de bus doen. En het idee dat je, als je op reis een overboeking wilde kunnen doen, dat piepkleine apparaatje bij je moest hebben vonden verschillende mensen die ik toen sprak volstrekt onacceptabel. Alsof je dat eerst wel kon zonder er iets voor bij je te hebben. Een flinke groep mensen heeft met een in mijn ogen absurde gretigheid die gemakzucht omarmd, ze wilden dingen snel en vooral gedachteloos kunnen doen. Dat is zoiets als je neus pijnlijk stoten tegen een lantaarnpaal omdat je het verdomd te kijken waar je loopt en dan moord en brand schreeuwen omdat de gemeente lantaarnpalen heeft neergezet. In dit geval heb je op je app verdorie what you see is what you sign en dan ben je te beroerd om even anderhalve seconde zorgvuldig te kijken naar wat je goedkeurt? Wow!

Die twee kanten zijn lastig met elkaar in balans te brengen, maar ze zijn er wat mij betreft allebei. Zowel de financiële instellingen als individuele mensen doen er goed aan om het hoge, gedachteloze tempo dat kennelijk zo aantrekkelijk en zelfs verslavend is weer terug te draaien.

Zoiets is weer heel vervelend als je een auto wilt kopen. Je zoekt er bij de dealer een uit en wilt die dan direct betalen om hem mee te kunnen nemen. Zeker als de dealer niet in de buurt zit, is het vervelend om een 2e keer te moeten terugkomen.

Er zijn genoeg voorbeelden waar direct betaald moet worden. Vroeger deed je dat dan contant, maar een directe betaling via de bank is wel zo handig.

Stel ik word bestolen op straat en iemand gaat er vandoor met 200 euro.
Kan ik dan naar de ECB gaan om daar te vragen of ik mijn geld terug kan krijgen?
Ze hebben tenslotte de bemiddeling gedaan voor de transactie, zonder de ECB geen flappen.

De logica ontgaat mij volledig bij deze kwesties.

Dit zou voor een rechtbank wel zijn gewonnen. Zoals iedereen weet zijn creditcardopdrachten terugdraaibaar. De bank heeft zich niet ingespannen dit te doen. De stelling dat een klant moet onderbouwen dat credit card betalingen terugdraaibaar zijn is natuurlijk onzinnig. Dit is algemene kennis over Mastercard transacties en wordt ook uitgelegd op de site van ING:

https://www.ing.nl/particulier/betalen/creditcards/geldterugservice

De bank heeft gefaald deze antifraudemaatregel direct toe te passen. Dat de klant de betaling heeft bevestigd doet niets af van het feit dat hier sprake is van fraude.

Hoeveel auto's koop jij per dag? En zo niet, hoe vaak in een opwelling? Waarom ben jij geen egoïst?

En zelfs als je vindt van niet: ik heb al vaker voorgesteld dat beperkingen voor iedereen zouden moeten gelden, tenzij je daar bezwaar tegen maakt op een filiaal van jouw bank na fatsoenlijk jouw identiteit te hebben aangetoond.

Een idee zou kunnen zijn dat je niet uitsluitend jouw onderbuik leegt in een reactie, maar óók (nog beter: éérst) de moeite neemt om (in veel van de andere reacties) te lezen wat de verschillen zijn tussen offline berovingen op straat en online berovingen op internet.

En te lezen wat bijvoorbeeld de wet daarover zegt.

Weet je trouwens hoe we jouw soort reageerders noemen?

Gewoon de optie invoeren dat ouderen of wie het ook wilt instellen transacties boven een bepaald bedrag naar een niet eerder gebruikte rekeningnummer gecontroleerd kan worden door je kinderen of een ander vertrouwd persoon d.m.v. een push notificatie. Zo moeilijk hoeft het allemaal niet te zijn.

Je kan zeggen wat je wilt, maar uiteindelijk is het de schuld van het slachtoffer. Te veel fijne mensen mensen. En ja, er zijn goeie oplichters, maar zelfs die slagen alleen als het slachtoffer naïef is.