Een klant van de Rabobank die het slachtoffer werd van een phishingaanval via Marktplaats krijgt de vierduizend euro schade niet vergoed, zo heeft het financiële klachteninstituut Kifid bepaald. Volgens het Kifid heeft het slachtoffer grof nalatig gehandeld door via haar Rabo Scanner een nieuwe mobiele telefoon voor haar betaalrekening te registreren. Met dat toestel hebben de oplichters vervolgens toegang gekregen tot haar online bankomgeving en onder meer bestellingen geplaatst en betaald.
Het slachtoffer bood een product aan op Marktplaats en werd benaderd door iemand die zich voordeed als koper. In werkelijkheid ging het om een oplichter die het slachtoffer vroeg om op een link te klikken die naar een phishingsite wees. De Rabobank-klant heeft op deze phishingsite haar gegevens ingevoerd. Daarnaast heeft ze handelingen verricht met haar betaalpas, pincode en de Rabo Scanner en heeft zij een signeercode ingevoerd. Hierdoor werd een nieuwe mobiele telefoon aan de betaalrekening van de Rabobank-klant gekoppeld.
Via de gekoppelde telefoon kon de oplichter zelfstandig betalingsopdrachten verrichten vanuit de bankomgeving van de klant. Volgens het Kifid waren de acties van de Rabobank-klant in strijd met de veiligheidsinstructies van de bank. "Van belang is verder dat bij de uitvoering van de hiervoor beschreven handelingen op de Rabo Scanner expliciet en ondubbelzinnig is weergegeven dat een toestel voor online bankieren werd geregistreerd. Daarbij is ook een gerichte waarschuwing gegeven in de zin dat de gebruiker moest stoppen als hij deze registratie niet zelf initieerde", aldus het klachteninstituut.
Daarnaast kreeg de klant via sms een bericht waarin werd bevestigd dat er een nieuwe telefoon was geregistreerd voor haar betaalrekening. Volgens het Kifid had dit bericht aanleiding voor de klant moeten zijn om onmiddellijk alarm te slaan en passende maatregelen te nemen, zoals het direct blokkeren van haar rekening en het onmiddellijk contact opnemen met de bank. "Vaststaat dat de consument dat op dat moment niet heeft gedaan, maar pas actie heeft ondernomen toen zij de frauduleuze afschrijvingen constateerde op haar rekening."
De klant stelde dat ze op het moment van de toestelregistratie bezig was met het opnieuw activeren van haar eigen Rabo App en dat zij de melding daarom niet als verdacht heeft herkend. Het Kifid kan zich niet in deze redenatie vinden. Uit de administratie van de bank blijkt dat de Rabo App niet opnieuw is geïnstalleerd. Volgens het Kifid heeft de klant meerdere duidelijke signalen genegeerd dat er een handeling werd verricht die niet met het beoogde doel overeenkwam. "Door deze signalen te negeren en de handeling toch te bevestigen door het invoeren van de met de Rabo Scanner gegenereerde signeercode, heeft de consument grof nalatig gehandeld bij het naleven van de veiligheidsregels." De vordering van het slachtoffer wordt op basis daarvan door het Kifid afgewezen (pdf).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer maak jij de stad digitaal veilig. Je bepaalt de koers voor informatiebeveiliging en zorgt dat beleid werkt. Je adviseert bestuur, stuurt een team aan en werkt samen met partners voor duidelijke keuzes met blijvende impact.
