Bunq hoeft slachtoffer "PayPal" medewerker geen 70.000 euro te vergoeden
Bunq hoeft een klant die door een zogenaamde PayPal-medewerker werd opgelicht geen 70.000 euro te vergoeden, zo heeft het financiële klachteninstituut Kifid bepaald. De klant werd vorig jaar gebeld door een oplichter die zich voordeed als medewerker van PayPal. De oplichter stelde dat het PayPal-account van de klant was gehackt en hij AnyDesk op zijn smartphone moest installeren.
Via AnyDesk kreeg de oplichter toegang tot de telefoon van de bunq-klant. In een periode van 2,5 uur werden vervolgens 27 betalingstransacties verricht, met een waarde van meer dan 69.000 euro. Achteraf realiseerde de bunq-klant dat de transacties niets te maken hadden met zijn PayPal-account en hij was opgelicht. Veertig minuten na de laatste reactie blokkeerde de klant zijn rekening.
De klant vroeg bunq vervolgens om de schade te vergoeden, maar de bank weigert dat. Daarop stapte de klant naar het Kifid en vorderde 70.000 euro van bunq. Volgens de klant moet de bank zijn schade vergoeden, omdat die onvoldoende maatregelen heeft getroffen om te voorkomen dat bijna al het geld dat op de betaalrekening stond, zo'n 74.000 euro, binnen een halve dag op frauduleuze wijze naar andere bankrekeningen kon worden overgemaakt.
Verder stelt de klant dat bunq allerlei mogelijkheden heeft om het gestolen geld terug te krijgen, maar de bank geen actie heeft ondernomen om dat te doen. Daarbij wijst de klant ook naar het feit dat de frauduleuze overboekingen zijn overgemaakt van de betaalrekening naar bankrekeningen bij Europese banken. Het zou voor bunq daarom mogelijk moeten zijn om die banken te vragen de betalingstransacties te annuleren.
Volgens het Kifid is er in deze zaak sprake van toegestane betaaltransacties, omdat de klant zijn beveiligingscode met de oplichter heeft gedeeld. Bunq heeft daarnaast bewijs uit haar administratie gedeeld waaruit blijkt dat voorafgaand aan alle zevenentwintig betalingstransacties telkens de beveiligingscode van de klant is ingevoerd.
"Daarmee staat voor de commissie ook vast dat de consument zélf deze betalingstransacties heeft geauthenticeerd, zodat deze in juridische zin zijn aan te merken als ‘toegestane betalingstransacties’", aldus het klachteninstituut. "De omstandigheid dat de consument zich op een later moment heeft gerealiseerd dat hij is misleid en dat hij onder invloed van die misleiding heeft ingestemd met de betalingstransacties, maakt dit oordeel niet anders."
Het Kifid vindt ook dat het coulancekader daet bunq toepast voor slachtoffers van phishing en bankhelpdeskfraude niet op deze zaak van toepassing is. De vordering van de klant wordt dan ook afgewezen (pdf).
Alleen dit al is dus een kul-argument van Kifid. Bovendien doet de bunq-app kennelijk geen moeite om op de aanwezigheid van AnyDesk op de smartphone of tablet te checken.
Tevens hoeft het slachtoffer niet willens en wetens Anydesk te hebben geïnstalleerd. In https://infosec.exchange/@ErikvanStraten/113987804370380156 laat ik, met screenshots, zien dat cybercriminelen nepwebsites optuigen waar je zogenaamd een gratis virusscanner zou kunnen downloaden - waarna die download een Anydesk app blijkt te zijn. Als mensen zelf nooit met RAT's (Remote Access Tool) werken, is de kans zeer groot dat zij geen idee hebben wat AnyDesk is (naast dat dit ook de naam van een virusscanner-app zou kunnen zijn).
Mensen worden er ingeluisd dankzij techniek die dit mogelijk maakt.
Banken zijn zakkenvullers over de ruggen van kwetsbare klanten. Naast dat zij miljardenwinsten maken, belazeren zij ook de belastingdienst. Een voorbeeld van deze week: https://nos.nl/artikel/2569086-abn-betaalt-14-miljoen-euro-boete-voor-hulp-bij-belastingontduiking-uit-fortis-tijd.
Alleen dit al is dus een kul-argument van Kifid. Bovendien doet de bunq-app kennelijk geen moeite om op de aanwezigheid van AnyDesk op de smartphone of tablet te checken.
Tevens hoeft het slachtoffer niet willens en wetens Anydesk te hebben geïnstalleerd. In https://infosec.exchange/@ErikvanStraten/113987804370380156 laat ik, met screenshots, zien dat cybercriminelen nepwebsites optuigen waar je zogenaamd een gratis virusscanner zou kunnen downloaden - waarna die download een Anydesk app blijkt te zijn. Als mensen zelf nooit met RAT's (Remote Access Tool) werken, is de kans zeer groot dat zij geen idee hebben wat AnyDesk is (naast dat dit ook de naam van een virusscanner-app zou kunnen zijn).
Mensen worden er ingeluisd dankzij techniek die dit mogelijk maakt.
Banken zijn zakkenvullers over de ruggen van kwetsbare klanten. Naast dat zij miljardenwinsten maken, belazeren zij ook de belastingdienst. Een voorbeeld van deze week: https://nos.nl/artikel/2569086-abn-betaalt-14-miljoen-euro-boete-voor-hulp-bij-belastingontduiking-uit-fortis-tijd.
Ik hoor u regelmatig vertellen over de zaken die de banken verkeerd doen.
Maar hoe pakken wij de criminelen aan die nog steeds kans zien om mensen op deze wijze te beroven en daar schathemeltje rijk mee worden?
Volgens mij lukt dat alleen als niemand meer in deze oplichtingspraktijken trapt.
Het helpt mijns inziens niet als banken altijd alle schade vergoeden.
Op die manier zal bankenfraude alleen maar lucratiever worden.
Daarbij gaat het om Windows RAT's (Remote Access Tool) die slachtoffers downloaden van sites die sterk op de echte website van antivirusmaker Bitdefender lijken (zie de plaatjes bovenin het Domaintools-artikel).
Slachtoffers kan dus (telefonisch door nep-bankmedewerkers) worden wijsgemaakt dat zij een (gratis) virusscanner moeten downloaden, zogenaamd om daarmee uit te sluiten dat hun apparatuur gecompromitteerd is. Door de download (in dit geval BitDefender.zip) te openen en te installaren, wordt juist malware geïnstalleerd - zonder dat het slachtoffer dit beseft.
Daarbij gaat het om Windows RAT's (Remote Access Tool) die slachtoffers downloaden van sites die sterk op de echte website van antivirusmaker Bitdefender lijken (zie de plaatjes bovenin het Domaintools-artikel).
Slachtoffers kan dus (telefonisch door nep-bankmedewerkers) worden wijsgemaakt dat zij een (gratis) virusscanner moeten downloaden, zogenaamd om daarmee uit te sluiten dat hun apparatuur gecompromitteerd is. Door de download (in dit geval BitDefender.zip) te openen en te installaren, wordt juist malware geïnstalleerd - zonder dat het slachtoffer dit beseft.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Online Tech event @Rijksoverheid #security
Benieuwd hoe het is om als securityspecialist bij de Rijksoverheid te werken? Tijdens dit online event op 2 juni hoor je hoe security-specialisten bijdragen aan de veiligheid van Nederland, wat hun werk inhoudt en welke vacatures er zijn. Meld je aan voor een gratis ticket.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?