SNS moet fraudeslachtoffer deels vergoeden wegens niet waarschuwen ING
SNS Bank moet een slachtoffer van bankhelpdeskfraude deels vergoeden omdat de bank ING, waar het geld van het slachtoffer naartoe werd overgemaakt, niet heeft gewaarschuwd, zo heeft het financiële klachteninstituut Kifid geoordeeld. Het slachtoffer heeft zowel een rekening bij SNS als ING. Eind 2023 wordt het slachtoffer gebeld door een oplichter die zich voordoet als SNS-medewerker.
De oplichter vertelt het slachtoffer dat zijn bankpassen zijn geïnfecteerd waardoor een malafide transactie heeft kunnen plaatsvinden. De oplichter weet het slachtoffer zover te krijgen dat die het programma AnyDesk op zijn computer installeert, waardoor het systeem op afstand door de oplichter kan worden overgenomen. De oplichter weet het slachtoffer ook zover te krijgen dat die zijn bankpassen in een enveloppe doet en meegeeft aan een ‘koerier’. Ook de pin- en beveiligingscodes, die nodig zijn om transacties en wijzigingen in opnamelimieten goed te keuren, geeft het slachtoffer door aan de oplichter.
Dezelfde dag nog wordt er 4.000 euro overgeboekt van de spaar- naar de betaalrekening van het slachtoffer bij SNS. Een uur later wordt er honderd euro van de betaalrekening opgenomen. Vervolgens wordt de opnamelimiet voor contante opnames verhoogd naar 3500 euro. Daarna wordt er bijna duizend euro overgemaakt naar de ING-rekening die het slachtoffer heeft en wordt deze duizend euro van de ING-rekening opgenomen en 500 euro van de creditcardrekening.
Nadat de duizend euro is overgemaakt naar de ING-rekening probeert SNS het slachtoffer te bellen, maar er wordt niet opgenomen. Uit voorzorg blokkeert SNS de bankpassen en houdt de bank de vertragingstermijn van vier uur voor het doorvoeren van de aangevraagde limietverhoging aan. Ongeveer een uur later komt de bank wel telefonisch in contact met het slachtoffer. Die is op dat moment ook nog via een andere telefoon in gesprek met de oplichter.
De echte SNS-medewerker vraagt het slachtoffer vervolgens om het gesprek met de oplichter te verbreken. Tevens wordt geadviseerd om meteen ING te bellen om de bankpassen bij ING te laten blokkeren. In totaal weten de oplichters 1550 euro te stelen. SNS vergoedt uit coulance 100 euro. Het slachtoffer wil dat de bank de geleden schade vergoedt. De bank weigert dit, waarop het slachtoffer naar het Kifid stapt. Dat zegt dat het coulancekader. voor slachtoffers van bankhelpdeskfraude niet van toepassing is. Dat geldt alleen als er sprake is van toegestane betalingstransacties waarbij de betaler de transactie zelf heeft geïnitieerd.
Toch moet SNS het slachtoffer deels vergoeden. Volgens het Kifid blijkt uit de omstandigheden in deze zaak dat de bank namelijk het vermoeden had dat iets niet in de haak was en er mogelijk sprake was van fraude. Dit was de reden dat de bank twee minuten na de overboeking van de bijna duizend euro van de betaalrekening naar de ING-rekening heeft geprobeerd om telefonisch contact met het slachtoffer op te nemen.
Toen dat niet lukte heeft de bank uit voorzorg de bankpassen en de betaalrekening van het slachtoffer geblokkeerd. SNS had echter ook ING kunnen waarschuwen, aldus het Kifid. De bank wist dat er geld was overgeboekt naar ING en dat het slachtoffer ook daar een rekening had. Gelet op de overboeking had SNS kunnen weten dat het slachtoffer ook via de ING-rekening werd opgelicht. "Gesteld noch gebleken is dat het voor de bank in dit geval onmogelijk en/of onredelijk bezwarend was om ING Bank te waarschuwen", zo stelt het klachteninstituut.
Als SNS wel actie had ondernomen, had ING de tweede opname van 450 euro kunnen blokkeren. Daarom vindt het Kifid dat SNS dit bedrag aan het slachtoffer moet vergoeden. Daarnaast moet de bank 100 euro gerechtelijke kosten aan het slachtoffer vergoeden (pdf).
Leerpuntje voor de telefoon-ID-haters , die menen dat een "mannetje aan de deur dat een ID controleert" zoveel betrouwbaarder is.
meteen actie hebben ondernomen en de ING betaalrekening hebben geblokkeerd. Maar de
eerste opname van € 500,- van de ING rekening heeft om 18:30 uur plaatsgevonden, dit is
één minuut na de belpoging van de bank. Daarom is niet aannemelijk dat deze opname van
de ING rekening voorkomen had kunnen worden. Deze opname blijft dan ook voor rekening
van de consumenten. De tweede opname van € 450, - van de ING rekening vond plaats
om 18:37 uur. Wel aannemelijk is dat ING Bank de tweede opname zou hebben voorkomen,
als de bank haar had gewaarschuwd. De bank dient daarom het bedrag van € 450, - aan de
consumenten terug te betalen.
Ik lees als een tik op de vingers dat banken _gezamelijk_ in het schuitje zitten en geacht worden ook de concullega's te helpen om fraude te voorkomen, niet alleen het eigen stoepje schoonhouden.
En - erg waarschijnlijk - als de ING wel gewaarschuwd was door de SNS maar niet geacteerd zou hebben, zou dan ING in dat geval de schade hebben moeten vergoeden .
Waardeloze uitspraak!
Ik heb ook nog ASN en gebruik voor grote stortingen nog steeds de digipas. Hebben ze nog.
Zou banken sieren deze als standaard in te voeren voor het overstorten van grotere bedragen (limiet is in te stellen). Of zelfs verplicht als rekening niet in NL is. Zorgen dat het zonder de digipas niet kan en ook dat het niet kan aangepast worden in de app. Een trigger van nieuw authenticatie middel aka telefoon, dan ook binnen 48 uur grote bedragen blokkeren. Gebruik de oude maar of valideer als extra de digipas.
Tja als je de digipas meegeeft aan een koerier dan ben je nog steeds de klos maar dat is dan echt je eigen stomme...
Misschien moeten banken wat duidelijker melden aan hun gebruiker.
GEEF NOOIT je pas af aan een ander
GEEF NOOIT je pincode aan een ander
OOK NIET AAN DE BANK!
Maar dan nog.....
Leerpuntje voor de telefoon-ID-haters , die menen dat een "mannetje aan de deur dat een ID controleert" zoveel betrouwbaarder is.
Je weet kennelijk niet hoe een persoonlijke ID controle werkt. Bij AMP Groep ontvangt de aanvrager bericht wanneer de opnemer verschijnt en toont ook een foto van deze persoon. Zodoende is er wederzijdse identificatie. De controle wordt aangekondigd door de bank.
Je lijkt te beweren dat identificatie via de telefoon veiliger is. Dat is natuurlijk niet zo. Er gaan meer persoonlijke gegevens naar de andere partij dan als je gewoon je paspoort toont. Die video die wordt gemaakt kan worden uitgelekt en worden misbruikt. Een telefoon is een niet te beheren of te beheersen apparaat voor de gebruiker, een gebruiker weet niet of die besmet is of niet.
Als AI wat vlugger wordt, stelt deze manier van identificeren weinig meer voor.
Identificatie moet volgens de wet worden gedaan door een paspoort te tonen en een kopie moet worden bewaard door de bank vanwege de witwaswetgeving (die overigens kant noch wal raakt, maar dat is een andere kwestie). De filmmethode is bedacht door banken die wat minder geld wilden besteden ten koste van de privacy van de klant.
Leerpuntje voor de telefoon-ID-haters , die menen dat een "mannetje aan de deur dat een ID controleert" zoveel betrouwbaarder is.
Je weet kennelijk niet hoe een persoonlijke ID controle werkt. Bij AMP Groep ontvangt de aanvrager bericht wanneer de opnemer verschijnt en toont ook een foto van deze persoon. Zodoende is er wederzijdse identificatie. De controle wordt aangekondigd door de bank.
Weer iemand die het probleem niet snapt.
Hier werd de 'pinpas koerier' aangekondigd door "de bank" - en werden de passen en de pincodes braaf meegegeven.
En dan gaat iemand zitten beweren dat zulke mensen _wel_ kunnen controleren of moeten geloven dat ze contact hebben met 'de echte' AMP groep , en dat een foto die verschijnt op de een of andere web app van een mannetje dat zo meteen gaat komen voor een ID controle de echte identificatie zoveel beter maakt .
Is de BMP groep al begonnen ('wij zijn hetzelfde als de AMP groep, gewoon de concurrent. Oh, heeft de bank niet verteld dat ze nu ook met ons werken . Wij werken efficienter en onze mensen komen met de e-bike )
Het is maar niet tussen de oren te krijgen van al die paranoide "experts" - al hun verzinsels werken alleen "beter" wanneer de gebruiker "het goed doet" - en ook behoorlijk expert is die zich bij alles kan afvragen 'is dit echt, weet ik zeker dat het echt is' - en zich realiseert wat hij doet .
Leerpuntje voor de telefoon-ID-haters , die menen dat een "mannetje aan de deur dat een ID controleert" zoveel betrouwbaarder is.
Je weet kennelijk niet hoe een persoonlijke ID controle werkt. Bij AMP Groep ontvangt de aanvrager bericht wanneer de opnemer verschijnt en toont ook een foto van deze persoon. Zodoende is er wederzijdse identificatie. De controle wordt aangekondigd door de bank.
Weer iemand die het probleem niet snapt.
Hier werd de 'pinpas koerier' aangekondigd door "de bank" - en werden de passen en de pincodes braaf meegegeven.
En dan gaat iemand zitten beweren dat zulke mensen _wel_ kunnen controleren of moeten geloven dat ze contact hebben met 'de echte' AMP groep , en dat een foto die verschijnt op de een of andere web app van een mannetje dat zo meteen gaat komen voor een ID controle de echte identificatie zoveel beter maakt .
Is de BMP groep al begonnen ('wij zijn hetzelfde als de AMP groep, gewoon de concurrent. Oh, heeft de bank niet verteld dat ze nu ook met ons werken . Wij werken efficienter en onze mensen komen met de e-bike )
Het is maar niet tussen de oren te krijgen van al die paranoide "experts" - al hun verzinsels werken alleen "beter" wanneer de gebruiker "het goed doet" - en ook behoorlijk expert is die zich bij alles kan afvragen 'is dit echt, weet ik zeker dat het echt is' - en zich realiseert wat hij doet .
Nee, jij bent degen die het niet snapt. Identificatie is alleen nodig bij rekeningaanvraag, een handeling die de bank wettelijk eist.
Bij heridentificatie log je in en kijk je of daar een bericht is. Of je belt zelf naar de bank.
Je scenario is er een waar alleen mensen met een verstandelijke beperking in trappen, en die trappen nu eenmaal overal in. Dan ga je bijvoorbeeld ook niet internetbankieren voor afschaffen omdat AI makkelijk iemand kan immiteren.
Je richt je op de methode, maar het is de wijze van communicatie waar je naar moet kijken. Die moet beveiligd zijn en controleerbaar.
Leerpuntje voor de telefoon-ID-haters , die menen dat een "mannetje aan de deur dat een ID controleert" zoveel betrouwbaarder is.
Je weet kennelijk niet hoe een persoonlijke ID controle werkt. Bij AMP Groep ontvangt de aanvrager bericht wanneer de opnemer verschijnt en toont ook een foto van deze persoon. Zodoende is er wederzijdse identificatie. De controle wordt aangekondigd door de bank.
Weer iemand die het probleem niet snapt.
Hier werd de 'pinpas koerier' aangekondigd door "de bank" - en werden de passen en de pincodes braaf meegegeven.
En dan gaat iemand zitten beweren dat zulke mensen _wel_ kunnen controleren of moeten geloven dat ze contact hebben met 'de echte' AMP groep , en dat een foto die verschijnt op de een of andere web app van een mannetje dat zo meteen gaat komen voor een ID controle de echte identificatie zoveel beter maakt .
Is de BMP groep al begonnen ('wij zijn hetzelfde als de AMP groep, gewoon de concurrent. Oh, heeft de bank niet verteld dat ze nu ook met ons werken . Wij werken efficienter en onze mensen komen met de e-bike )
Het is maar niet tussen de oren te krijgen van al die paranoide "experts" - al hun verzinsels werken alleen "beter" wanneer de gebruiker "het goed doet" - en ook behoorlijk expert is die zich bij alles kan afvragen 'is dit echt, weet ik zeker dat het echt is' - en zich realiseert wat hij doet .
Nee, jij bent degen die het niet snapt. Identificatie is alleen nodig bij rekeningaanvraag, een handeling die de bank wettelijk eist.
Bij heridentificatie log je in en kijk je of daar een bericht is. Of je belt zelf naar de bank.
Zoals je ook hier kunt lezen - diverse banken moeten een heridentifcatie doen .
En je hoeft alleen maar te beweren dat dat moet, als oplichter zijnde.
Maar echt, je snapt het gewoon niet.
Je scenario is er een waar alleen mensen met een verstandelijke beperking in trappen, en die trappen nu eenmaal overal in.
Dat kunnen deze opgelichte klanten in hun zak steken, blijkbaar.
Waarom je het niet snapt : jij richt je verhaal nu alleen op identificatie .
Mijn punt - aan al die schrijvers hier die zo ageren tegen devices - is dat deze casus het zoveelste voorbeeld is waarom "bezoek in persoon" geen verbetering is (en eerder een verslechtering is) .
Want het zwakke punt is typisch : "de simpele burger" begrijpt feitelijk het proces niet , begrijpt de consequentie van handelingen niet , en KAN gewoon "een mannetje aan de deur" niet identificeren (qua werkrelatie).
"de bank zei dat ze zouden komen om te helpen mijn rekening te beveiligen" .
"de politie zei dat ze zouden komen om mijn juwelen veilig te stellen" .
Dat uniform is (amper) identificatie. Een geplastificeerde badge met een naam, foto en logo kun je feitelijk ook niks mee.
Een paspoort/ID kaart zou iets zeggen - hoewel een hoop mensen ook de echtheidskenmerken niet herkennen - alleen een ID van iemand zien zegt weer niks of die persoon nu echt "van de bank" is .
En maar heel weinig onthouden het ook nog .
Dan ga je bijvoorbeeld ook niet internetbankieren voor afschaffen omdat AI makkelijk iemand kan immiteren.
AI kan de app geen NFC validatie van een ID laten sturen.
Je richt je op de methode, maar het is de wijze van communicatie waar je naar moet kijken. Die moet beveiligd zijn en controleerbaar.
En dat ga je hooguit bereiken voor technerds - de beveiliging tegen afluisteren is vrij simpel, de - voor de simpele burger - controleerbaarheid van "de echte" afzender is ontzettend moeilijk .
Volgen de AP is dat een schending van de privacy, die heeft elk soort contact in dat soort gebeuren bij voorbaat verboden.
Wordt interessant als de SNS de AP hiervoor aansprakelijk gaat stellen. De kifid had dat in deze bij zijn overwegingen moeten meenemen. Daar gaat iets in deze niet geheel lekker. Wordt leuk als het aan een rechter voorgelegd wordt.
Volgen de AP is dat een schending van de privacy, die heeft elk soort contact in dat soort gebeuren bij voorbaat verboden.
Wordt interessant als de SNS de AP hiervoor aansprakelijk gaat stellen. De kifid had dat in deze bij zijn overwegingen moeten meenemen. Daar gaat iets in deze niet geheel lekker. Wordt leuk als het aan een rechter voorgelegd wordt.
...
SNS had echter ook ING kunnen waarschuwen, aldus het Kifid.
Nog even en een bank moet verplicht de steevaste bezwaarprocedure bij Kifid starten voor de "benadeelde" klant.
Volgen de AP is dat een schending van de privacy, die heeft elk soort contact in dat soort gebeuren bij voorbaat verboden.
Wordt interessant als de SNS de AP hiervoor aansprakelijk gaat stellen. De kifid had dat in deze bij zijn overwegingen moeten meenemen. Daar gaat iets in deze niet geheel lekker. Wordt leuk als het aan een rechter voorgelegd wordt.
stroman .
je hebt een hekel aan de AP /AVG, dus verzin je dat een dergelijke waarschuwing niet zou mogen (om maar te benadrukking hoe belachelijk dat is volgens jou ).
Als de ING waarschuwen voor een verdachte transactie werkelijk op basis van de AVG geblokkeerd zou zijn hadden - natuurlijk - de juristen van de SNS die de zaak verdedigenden (evenals de bijbanende rechters bij het Kifidf) dat wel naar voren gebracht .
Nu moeten we natuurlijk maar geloven dat een ITer (die er wel vaker feitelijk naast zat) zou weten dat een keuze waarvoor ze de veroordeling kregen eigenlijk geen veroordeling had mogen zijn . Suuurrre .
Leerpuntje voor de telefoon-ID-haters , die menen dat een "mannetje aan de deur dat een ID controleert" zoveel betrouwbaarder is.
Je weet kennelijk niet hoe een persoonlijke ID controle werkt. Bij AMP Groep ontvangt de aanvrager bericht wanneer de opnemer verschijnt en toont ook een foto van deze persoon. Zodoende is er wederzijdse identificatie. De controle wordt aangekondigd door de bank.
Weer iemand die het probleem niet snapt.
Hier werd de 'pinpas koerier' aangekondigd door "de bank" - en werden de passen en de pincodes braaf meegegeven.
En dan gaat iemand zitten beweren dat zulke mensen _wel_ kunnen controleren of moeten geloven dat ze contact hebben met 'de echte' AMP groep , en dat een foto die verschijnt op de een of andere web app van een mannetje dat zo meteen gaat komen voor een ID controle de echte identificatie zoveel beter maakt .
Is de BMP groep al begonnen ('wij zijn hetzelfde als de AMP groep, gewoon de concurrent. Oh, heeft de bank niet verteld dat ze nu ook met ons werken . Wij werken efficienter en onze mensen komen met de e-bike )
Het is maar niet tussen de oren te krijgen van al die paranoide "experts" - al hun verzinsels werken alleen "beter" wanneer de gebruiker "het goed doet" - en ook behoorlijk expert is die zich bij alles kan afvragen 'is dit echt, weet ik zeker dat het echt is' - en zich realiseert wat hij doet .
Nee, jij bent degen die het niet snapt. Identificatie is alleen nodig bij rekeningaanvraag, een handeling die de bank wettelijk eist.
Bij heridentificatie log je in en kijk je of daar een bericht is. Of je belt zelf naar de bank.
Zoals je ook hier kunt lezen - diverse banken moeten een heridentifcatie doen .
En je hoeft alleen maar te beweren dat dat moet, als oplichter zijnde.
Maar echt, je snapt het gewoon niet.
Ik heb nu al meerdere keren uitgelegd waar je denkfout zit. Maar je blijft maar doorrammelen. Je klinkt als iemand die wanhopig probeert wettelijke in-persoon identificaties af te schaffen omdat die een belang heeft in oncontroleerbare smartphone apps op onveilige smartphones.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
(Senior) Informatie Beveiligingsadviseur - CISO Office
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Wil jij je op strategisch niveau bezighouden met de beveiliging van informatie waar niets mee fout mag gaan? Wij geven jou volop gelegenheid om samen met deskundige collega’s te werken aan beleid, procedures, advies, risicomanagement, metrics en projecten rond informatiebeveiliging.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?