ICS-klant krijgt 9.000 euro schade door phishingaanval niet vergoed
Een klant van International Card Services (ICS) krijgt de ruim 9.000 euro schade die hij als gevolg van een phishingaanval leed niet vergoed. Dat heeft het financiële klachteninstituut Kifid bepaald. Het slachtoffer ontving eind vorig jaar een e-mail die van Netflix afkomstig leek en hem verzocht om zijn nieuwe creditcardgegevens door te geven.
De klant heeft vervolgens op een phishingpagina zijn creditcardnummer, vervaldatum en veiligheidscode (CVC) ingevuld. Ook vulde de klant een via sms ontvangen verificatiecode in. Met deze gegevens is de creditcard vervolgens door een derde gekoppeld aan Apple Pay. De aanvaller heeft een dag later zeven transacties voor een bedrag van meer dan 9.200 euro uitgevoerd. Dezelfde dag detecteerde het fraudemonitoringssysteem van ICS betalingen, waarna de creditcard werd geblokkeerd en de klant gebeld.
Diezelfde dag ontving de klant een e-mail van ICS waarin stond dat de creditcard was geblokkeerd, omdat de klant slachtoffer was geworden van phishing. Verder stond in het bericht dat de fraudeurs er niet in geslaagd waren transacties met de creditcard uit te voeren. De klant wil dat ICS de geleden schade vergoedt. Hij stelt onjuist te zijn ingelicht. Daarnaast heeft de klant naar eigen zeggen niet grof nalatig gehandeld. De website waarop hij de gegevens invulde leek volledig legitiem en hij was zich er niet van bewust dat het om fraude ging. In deze periode werden meer klanten slachtoffer van een dergelijke phishingaanval. Volgens de klant wijst dit op een structureel beveiligingsrisico bij ICS.
De creditcardmaatschappij laat in het verweer weten dat een medewerker per ongeluk de optie "geen schade" in het systeem aanklikte, waardoor de e-mail werd verstuurd waarin er stond dat er geen schade was veroorzaakt. Dit is geen aanleiding om de schade te vergoeden, omdat die hier niet door is veroorzaakt, aldus het Kifid. "Op het moment dat ICS contact opnam met de consument was de schade al ontstaan en had deze niet meer voorkomen kunnen worden." Volgens het klachteninstituut heeft de klant door het verstrekken van zijn gegevens "grof nalatig gehandeld".
Het klachteninstituut stelt daarnaast dat banken en andere financiële instellingen al jaren voor phishing waarschuwen. "Dat de oplichtingsvorm via Netflix mogelijk nieuw was, maakt nog niet dat ICS onvoldoende heeft gewaarschuwd voor dergelijke vormen van oplichting. Om Apple Pay te kunnen koppelen zijn de gegevens van de creditcard nodig en een SMS die wordt verzonden naar het telefoonnummer van de consument. In die SMS wordt bovendien – zoals hiervoor al is overwogen – gewaarschuwd voor fraude." Het Kifid komt dan ook niet tot de conclusie dat de beveiliging bij ICS onvoldoende op orde was en wijst de vordering van de klant af (pdf).
Daardoor zijn creditcardbetalingen op internet extreem fraudegevoelig. En daarom namen, tot voor kort, creditcardmaatschappijen dit risico voor hun rekening.
Nu de phishingsites, die steeds "beter" worden, ons steeds meer om de oren vliegen, verplaatsen creditcardmaatschappijen de risico's naar klanten.
Financiële instellingen, Big Tech en browserfabrikanten laten eindgebruikers in de steek.
[1] Recent voorbeeld, met screenshot: https://infosec.exchange/@ErikvanStraten/114734401548121349.
heeft – in juridische zin – grof nalatig gehandeld door per SMS ontvangen beveiligingscodes
door te geven aan de oplichters, waarmee deze Apple Pay konden activeren en transacties
konden uitvoeren.
Dit is een vaak gebruikte oplichterstruc.
Maar niet iedereen is daarvan op de hoogte (blijkt dan maar weer).
Zowel de onafhankelijke geschillencommissies als onafhankelijke rechters zijn vrij evident.
Misschien ditzelfde traject eens inzetten bij Apple Pay? Veel succes!
Het zijn niet enkel eindgebruikers die misbruikt worden voor frauduleuze zaakjes...
Ik mis expliciete bashing van alle niet-EV SSL.
heeft – in juridische zin – grof nalatig gehandeld door per SMS ontvangen beveiligingscodes
door te geven aan de oplichters, waarmee deze Apple Pay konden activeren en transacties
konden uitvoeren.
Dit is een vaak gebruikte oplichterstruc.
Maar niet iedereen is daarvan op de hoogte (blijkt dan maar weer).
Een voorbeeld. Mijn vriendin heeft een zorgverzekering bij IZZ, tegenwoordig VGZ - waar zij zelden inlogt. Gisteren wilde ze iets wijzigen aan de automatische incasso en logde met DigiD in op https://mijn.vgz.nl. Foutmelding: uw BSN is onbekend. We bellen met VGZ: "ja verwarrend, u moet inloggen op https://www.izzdoorvgz.nl (organisaties zullen heus nooit absurde domeinnamen gebruiken die phishers zouden kunnen registreren). Inloggen lukte daar wel.
Kort daarna ontving ze een SMS van "VGZ" met de volgende letterlijke tekst:
Uit het redactie-artikel:
Etc.
Nooit is een gebed zonder end en vaak een leugen. Gevolg: voor heel veel mensen werken dit soort "regels" niet.
Zeer fraudegevoelig en daarom heb ik de aanbiedingen van mijn bank om een creditcard aan te vragen altijd genegeerd.
Ik mis expliciete bashing van alle niet-EV SSL.
Vermoedelijk om dezelfde reden als waarom je ook geen tegenargument aanvoert voor de stelling van @Erik van Straten:
Zeer fraudegevoelig en daarom heb ik de aanbiedingen van mijn bank om een creditcard aan te vragen altijd genegeerd.
Dat is een prima keus als je geen auto's huurt, niet buiten NL (en later Europa) op vakantie (of zakelijk) ging , en genoeg hebt aan webshops waar je met IDEAL kunt betalen .
Als je dat soort dingen _wel_ doet snap je waarom mensen wel een creditcard willen/moeten nemen.
Kunnen alle vegetariers ook even posten dat ze de slager niet missen ?
@ 13:04 Anoniem
Het is heel normaal dat je via SMS een code ontvangt en die in een webpagina invoert. Zelfs DigiD maakt daar gebruik van.
PS. binnenkort hebben wij allen debitcard met CVC code om betalingen te doen. Gelukkig kan er niet meer afschreven worden dan op de rekening aanwezig is.
Zeer fraudegevoelig en daarom heb ik de aanbiedingen van mijn bank om een creditcard aan te vragen altijd genegeerd.
Dat is een prima keus als je geen auto's huurt, niet buiten NL (en later Europa) op vakantie (of zakelijk) ging , en genoeg hebt aan webshops waar je met IDEAL kunt betalen .
Als je dat soort dingen _wel_ doet snap je waarom mensen wel een creditcard willen/moeten nemen.
Kunnen alle vegetariers ook even posten dat ze de slager niet missen ?
Ik ben veganist. Ik mis de slager niet en de melk- en de kaasboer ook niet.
Evenals de eierboer, die mis ik ook niet.
Een mens kan prima leven zonder dierlijke producten.
En wat blijkt? Ik kan ook prima zonder creditcard door het leven.
Ik maak namelijk principiële keuzes ipv zonder na te denken alles maar voor zoete koek te slikken.
knip
Ik maak namelijk principiële keuzes ipv zonder na te denken alles maar voor zoete koek te slikken.
De volgende bankpas die jij krijgt is er eentje van MasterCard of Visa en zo kunt je alles doen dat je ook kunt met een creditkaart maar gelukkig geen krediet krijgen. De bankpas is nu een debitcard geworden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?