Bunq hoeft slachtoffer "PayPal" medewerker geen 70.000 euro te vergoeden
Bunq hoeft een klant die door een zogenaamde PayPal-medewerker werd opgelicht geen 70.000 euro te vergoeden, zo heeft het financiële klachteninstituut Kifid bepaald. De klant werd vorig jaar gebeld door een oplichter die zich voordeed als medewerker van PayPal. De oplichter stelde dat het PayPal-account van de klant was gehackt en hij AnyDesk op zijn smartphone moest installeren.
Via AnyDesk kreeg de oplichter toegang tot de telefoon van de bunq-klant. In een periode van 2,5 uur werden vervolgens 27 betalingstransacties verricht, met een waarde van meer dan 69.000 euro. Achteraf realiseerde de bunq-klant dat de transacties niets te maken hadden met zijn PayPal-account en hij was opgelicht. Veertig minuten na de laatste reactie blokkeerde de klant zijn rekening.
De klant vroeg bunq vervolgens om de schade te vergoeden, maar de bank weigert dat. Daarop stapte de klant naar het Kifid en vorderde 70.000 euro van bunq. Volgens de klant moet de bank zijn schade vergoeden, omdat die onvoldoende maatregelen heeft getroffen om te voorkomen dat bijna al het geld dat op de betaalrekening stond, zo'n 74.000 euro, binnen een halve dag op frauduleuze wijze naar andere bankrekeningen kon worden overgemaakt.
Verder stelt de klant dat bunq allerlei mogelijkheden heeft om het gestolen geld terug te krijgen, maar de bank geen actie heeft ondernomen om dat te doen. Daarbij wijst de klant ook naar het feit dat de frauduleuze overboekingen zijn overgemaakt van de betaalrekening naar bankrekeningen bij Europese banken. Het zou voor bunq daarom mogelijk moeten zijn om die banken te vragen de betalingstransacties te annuleren.
Volgens het Kifid is er in deze zaak sprake van toegestane betaaltransacties, omdat de klant zijn beveiligingscode met de oplichter heeft gedeeld. Bunq heeft daarnaast bewijs uit haar administratie gedeeld waaruit blijkt dat voorafgaand aan alle zevenentwintig betalingstransacties telkens de beveiligingscode van de klant is ingevoerd.
"Daarmee staat voor de commissie ook vast dat de consument zélf deze betalingstransacties heeft geauthenticeerd, zodat deze in juridische zin zijn aan te merken als ‘toegestane betalingstransacties’", aldus het klachteninstituut. "De omstandigheid dat de consument zich op een later moment heeft gerealiseerd dat hij is misleid en dat hij onder invloed van die misleiding heeft ingestemd met de betalingstransacties, maakt dit oordeel niet anders."
Het Kifid vindt ook dat het coulancekader daet bunq toepast voor slachtoffers van phishing en bankhelpdeskfraude niet op deze zaak van toepassing is. De vordering van de klant wordt dan ook afgewezen (pdf).
Alleen dit al is dus een kul-argument van Kifid. Bovendien doet de bunq-app kennelijk geen moeite om op de aanwezigheid van AnyDesk op de smartphone of tablet te checken.
Tevens hoeft het slachtoffer niet willens en wetens Anydesk te hebben geïnstalleerd. In https://infosec.exchange/@ErikvanStraten/113987804370380156 laat ik, met screenshots, zien dat cybercriminelen nepwebsites optuigen waar je zogenaamd een gratis virusscanner zou kunnen downloaden - waarna die download een Anydesk app blijkt te zijn. Als mensen zelf nooit met RAT's (Remote Access Tool) werken, is de kans zeer groot dat zij geen idee hebben wat AnyDesk is (naast dat dit ook de naam van een virusscanner-app zou kunnen zijn).
Mensen worden er ingeluisd dankzij techniek die dit mogelijk maakt.
Banken zijn zakkenvullers over de ruggen van kwetsbare klanten. Naast dat zij miljardenwinsten maken, belazeren zij ook de belastingdienst. Een voorbeeld van deze week: https://nos.nl/artikel/2569086-abn-betaalt-14-miljoen-euro-boete-voor-hulp-bij-belastingontduiking-uit-fortis-tijd.
Alleen dit al is dus een kul-argument van Kifid. Bovendien doet de bunq-app kennelijk geen moeite om op de aanwezigheid van AnyDesk op de smartphone of tablet te checken.
Tevens hoeft het slachtoffer niet willens en wetens Anydesk te hebben geïnstalleerd. In https://infosec.exchange/@ErikvanStraten/113987804370380156 laat ik, met screenshots, zien dat cybercriminelen nepwebsites optuigen waar je zogenaamd een gratis virusscanner zou kunnen downloaden - waarna die download een Anydesk app blijkt te zijn. Als mensen zelf nooit met RAT's (Remote Access Tool) werken, is de kans zeer groot dat zij geen idee hebben wat AnyDesk is (naast dat dit ook de naam van een virusscanner-app zou kunnen zijn).
Mensen worden er ingeluisd dankzij techniek die dit mogelijk maakt.
Banken zijn zakkenvullers over de ruggen van kwetsbare klanten. Naast dat zij miljardenwinsten maken, belazeren zij ook de belastingdienst. Een voorbeeld van deze week: https://nos.nl/artikel/2569086-abn-betaalt-14-miljoen-euro-boete-voor-hulp-bij-belastingontduiking-uit-fortis-tijd.
Ik hoor u regelmatig vertellen over de zaken die de banken verkeerd doen.
Maar hoe pakken wij de criminelen aan die nog steeds kans zien om mensen op deze wijze te beroven en daar schathemeltje rijk mee worden?
Volgens mij lukt dat alleen als niemand meer in deze oplichtingspraktijken trapt.
Het helpt mijns inziens niet als banken altijd alle schade vergoeden.
Op die manier zal bankenfraude alleen maar lucratiever worden.
Daarbij gaat het om Windows RAT's (Remote Access Tool) die slachtoffers downloaden van sites die sterk op de echte website van antivirusmaker Bitdefender lijken (zie de plaatjes bovenin het Domaintools-artikel).
Slachtoffers kan dus (telefonisch door nep-bankmedewerkers) worden wijsgemaakt dat zij een (gratis) virusscanner moeten downloaden, zogenaamd om daarmee uit te sluiten dat hun apparatuur gecompromitteerd is. Door de download (in dit geval BitDefender.zip) te openen en te installaren, wordt juist malware geïnstalleerd - zonder dat het slachtoffer dit beseft.
Daarbij gaat het om Windows RAT's (Remote Access Tool) die slachtoffers downloaden van sites die sterk op de echte website van antivirusmaker Bitdefender lijken (zie de plaatjes bovenin het Domaintools-artikel).
Slachtoffers kan dus (telefonisch door nep-bankmedewerkers) worden wijsgemaakt dat zij een (gratis) virusscanner moeten downloaden, zogenaamd om daarmee uit te sluiten dat hun apparatuur gecompromitteerd is. Door de download (in dit geval BitDefender.zip) te openen en te installaren, wordt juist malware geïnstalleerd - zonder dat het slachtoffer dit beseft.
Alleen dit al is dus een kul-argument van Kifid. Bovendien doet de bunq-app kennelijk geen moeite om op de aanwezigheid van AnyDesk op de smartphone of tablet te checken.
Tevens hoeft het slachtoffer niet willens en wetens Anydesk te hebben geïnstalleerd. In https://infosec.exchange/@ErikvanStraten/113987804370380156 laat ik, met screenshots, zien dat cybercriminelen nepwebsites optuigen waar je zogenaamd een gratis virusscanner zou kunnen downloaden - waarna die download een Anydesk app blijkt te zijn. Als mensen zelf nooit met RAT's (Remote Access Tool) werken, is de kans zeer groot dat zij geen idee hebben wat AnyDesk is (naast dat dit ook de naam van een virusscanner-app zou kunnen zijn).
Mensen worden er ingeluisd dankzij techniek die dit mogelijk maakt.
Banken zijn zakkenvullers over de ruggen van kwetsbare klanten. Naast dat zij miljardenwinsten maken, belazeren zij ook de belastingdienst. Een voorbeeld van deze week: https://nos.nl/artikel/2569086-abn-betaalt-14-miljoen-euro-boete-voor-hulp-bij-belastingontduiking-uit-fortis-tijd.
Onderaan de streep heeft een bankmedewerker helemaal geen anydesk nodig want hij werkt bij de bank zelf en kan dus bij de backend, hoeft helemaal niet mee te kijken op het apparaat van de klant.
uiteindelijk is en blijft de zwakste schakel gewoonweg de klant die niet nadenkt.
Daarbij gaat het om Windows RAT's (Remote Access Tool) die slachtoffers downloaden van sites die sterk op de echte website van antivirusmaker Bitdefender lijken (zie de plaatjes bovenin het Domaintools-artikel).
Slachtoffers kan dus (telefonisch door nep-bankmedewerkers) worden wijsgemaakt dat zij een (gratis) virusscanner moeten downloaden, zogenaamd om daarmee uit te sluiten dat hun apparatuur gecompromitteerd is. Door de download (in dit geval BitDefender.zip) te openen en te installaren, wordt juist malware geïnstalleerd - zonder dat het slachtoffer dit beseft.
Je bent erg anti-bank en anti-kifid maar te weinig kritisch naar het denkvermogen van klanten die keer op keer zelf actief meewerken met scammers, soms zelfs als ze meermalen zijn gewaarschuwd door de bank.
Uiteindelijk houdt het gewoon op en is de klant zelf verantwoordelijk.
Misschien dat een een pasnummer redelijk uniek is; en ook niet voorkomt in datalekken? Dan zou de klant als controlevraag nog kunnen stellen of de bankmedewerkers die nummer wil opgeven voordat het gesprek voortgezet wordt.
Maar: aan de bank om een dergelijke constructie te bedenken; en dan ook te communiceren.
Misschien dat een een pasnummer redelijk uniek is; en ook niet voorkomt in datalekken? Dan zou de klant als controlevraag nog kunnen stellen of de bankmedewerkers die nummer wil opgeven voordat het gesprek voortgezet wordt.
Maar: aan de bank om een dergelijke constructie te bedenken; en dan ook te communiceren.
Zodra een 'bankmedewerker' wil dat je anydesk of een virusscanner oid installeert, is dat einde gesprek. Heb je verder geen secret codes nodig.
Liefst beëindig je sowieso het gesprek als de bankmedewerker allerlei vragen gaat stellen om je uit te peilen (social engineering).
Ik had er vorig jaar een. Die had overduidelijk informatie over mij in z'n database staan maar maakte de fout door te vragen of ik een iphone SE had en deze in oost nederland gebruikte. Dom van hem, en dat is ook totaal niet wat een bank gaat vragen als er echt iets aan de hand is.
Er zijn drie voorwaarden voor betrouwbare communicatie tussen twee partijen:
1) Dat de andere partij betrouwbaar is;
2) Dat je zeker weet dat de andere partij niet iemand anders is dan deze claimt te zijn;
3) Dat er niemand (actief) tussen jou en die andere partij zit (zich voordoend als de andere partij, mogelijk in twee richtingen) en dat er niemand "meeluistert".
Met de huidige vorm van telefonie weet de gebelde persoon niet met wie zij of hij een ononderbroken verbinding heeft, en dat los je niet op met een "shared secret" (https lost probleem 3 op, maar niet 1 en steeds minder vaak 2).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?