Opgelicht?! opgelicht-logo

meer NPO start
Opgelicht?!
  • Phishingtruc via de telefoon

    Het zal je maar gebeuren. Op je 75e al je spaarcentjes kwijtraken. Omdat je slachtoffer bent geworden van phishing. Het overkwam mevrouw van Leest.

    Mail van bank

    Mevrouw van Leest ontving in april een mail van haar bank, de Rabobank. Ze moest op een link klikken. Mevrouw van Leest vertrouwt het niet, print de mail uit en geeft hem aan een lokale bankmedewerker. Die bevestigt haar vermoeden. De mail is niet van de bank afkomstig. Ze zal de melding doorgeven aan het fraude-bestrijdingsteam.

    Telefoontje afdeling fraudebestrijding

    Mevrouw van Leest gaat op vakantie. Op de dag van thuiskomst wordt ze gebeld. Een mevrouw van de afdeling fraudebestrijding van de Rabobank. Ze vertelt dat de pas van mevrouw geskimd is in Duitsland. Mevrouw is daar inderdaad geweest, enkel om te tanken. De medewerkster vraagt haar mee te werken om haar pas te blokkeren. Mevrouw wil dit niet. Toch wordt ze overtuigd, doordat de bank-medewerkster haar rekeningnummer, pasnummer, geboortedatum, adres en geheim telefoonnummer wist te melden. Dit zijn gegevens die de bank alleen kan weten.

    Random Reader

    De bankmedewerkster vraagt mevrouw van Leest haar pas en Random Reader te pakken. Ze moet haar pincode invoeren, maar die hoeft ze niet op te noemen. De code die terugkomt op het schermpje van de Random Reader moet ze doorgeven aan de medewerkster. Mevrouw, zo overtuigd van de goede bedoelingen van de bank, geeft de code af. Deze handeling dient nog een maal herhaald te worden. Alles is naar volle tevredenheid afgerond. Ze mag echter 24 uur lang niet internetbankieren.

    6200 euro overgemaakt

    Toch vertrouwt mevrouw van Leest het niet helemaal. De volgende morgen logt ze vroeg in op haar internetbankieren. Ze krijgt de schrik van haar leven. Haar spaarrekening is geplunderd. Als ze goed kijkt, ziet ze dat er 6200 euro van haar spaarrekening is overgemaakt naar haar rekening courant. Vervolgens is die 6200 euro naar twee verschillende rekeningen overgemaakt. Ze belt direct naar de bank met het verzoek het geld direct te storneren. Het is echter al te laat. Het geld is al overgemaakt!

    Onderzoek

    De bank stelt een onderzoek in. Ze concludeert dat mevrouw van Leest niet in aanmerking komt voor vergoeding van de schade die is ontstaan door het misbruik van haar bankrekening. De bank meldt verder: “Uit de onderzoeksgegevens is naar voren gekomen dat bij de door u betwiste overboeking gebruik is gemaakt van de juiste, bij uw pas behorende pincode. Hieruit blijkt dat u vertrouwelijke gegevens bekend heeft gemaakt aan een derde. Op grond van de voorwaarden is de rekeninghouder volledig aansprakelijk voor de gevolgen van misbruik van de rekening als hij zijn I- en S-code niet geheim heeft gehouden. Zo heeft er misbruik van uw bankrekening kunnen plaatsvinden en heeft u schade geleden.”

    Mevrouw van Leest krijgt hulp van een advocaat die zich haar zaak aantrekt. De beide dames bezochten vorige week, samen met Opgelicht?!, het regiokantoor in Kerkrade met de vraag of de zaak toch niet nog een keer opnieuw bekeken kan worden. Het Limburgse kantoor is bereid om, zonder camera, nog 1 keer naar haar verhaal te luisteren. De bank zal haar zaak opnieuw bekijken en een paar dagen later uitspraak doen; de bank blijft bij hun standpunt haar schade niet te vergoeden.

    Alle banken

    Niet alleen klanten van de Rabobank worden slachtoffer van dit soort fraude. Alle banken krijgen te maken met vervalste mails waarin klanten verzocht wordt op een link te klikken. Daarmee worden privacygevoelige gegevens uit je computer getrokken, waardoor de fraude mogelijk is.

    Privé-gegevens

    Danny Mekic, internetspecialist, ziet vaak deze gevallen van fraude voorbij komen.

    “Banken zullen nooit om privé-gegevens vragen. Op het moment dat een bankmedewerker in werkelijkheid echt zo werkt in het opnoemen van al je privé-gegevens om je te overtuigen; ‘ik ben het echt’, zou ik op zijn minst een klacht indienen over die medewerker, want dat is ook niet hoe privé-gegevens hoeven te zijn. Een professionele bankmedewerker zal dan zeggen: mevrouw ik begrijp uw zorgen, belt u ons hoofdnummer terug en vraag naar mij. Dat is de professionele reactie. En als iemand al je gegevens opnoemt, dan is het foute boel.”

    Volgens Mekic zijn de methoden die banken gebruiken min of meer allemaal even veilig. Waar banken volgens hem wel verschil in zouden kunnen maken is de voorlichting over gevaren van internetfraude aan hun klanten.

    Social engineering

    Criminelen maken namelijk misbruik van social engineering. Door vertrouwen te wekken bij de klanten, met zinnen als “ik hoef je pincode niet”, wordt een gevoel van geruststelling gecreëerd. Zodra de klant daar in mee gaat, wordt de klant misleid.

    De banken hebben hun eigen voorwaarden gesteld over het afgeven van vertrouwelijke gegevens aan derden. Zodra dit gebeurt, dan vervalt het recht op vergoeding. Mekic kan zich daar wel in vinden: “we kunnen aan de ene kant denken. Het is ook het probleem van de bank en die moeten dan de schade vergoeden. Aan de andere kant: stel dat we dat met elkaar afspreken, dan wordt het wel heel makkelijk om geld weg te sluizen. Dan spreken wij met elkaar af, bel me even. Doe je voor als de Rabobank, of een andere bank, dan sluizen we mijn geld even via jouw rekening weg, dan bel ik de bank op. En dan zeg ik dat iemand die zich voordeed als mijn bank mij om die codes heeft gevraagd, ik gewoon van de bank het geld terug gestort krijg. Als banken daar aan gaat beginnen, dan weet ik een ding zeker: dan is hun kas wel heel snel leeg. Dat is ook waarom in dit soort gevallen waarbij mensen zelf hun beveiliging niet laten werken door dus die codes af te staan, ook al deden ze dat zonder te weten wat er vervolgens kon gebeuren. Dat is de reden waarom banken alsnog niet over kunnen gaan tot schadevergoeding.”

    Banken blijven waarschuwen

    De banken blijven hun klanten waarschuwen tegen deze fraude. Zo waarschuwt de Rabobank recent in een melding: criminelen spelen in op actuele situaties. Zo kunnen zij u via de mail of telefonisch benaderen. Zij kunnen dan bijvoorbeeld aangeven dat u als gevolg van dit onderhoud of recente storingen, beveiligingssoftware moet installeren of een account moet deblokkeren. Ga hier niet op in. Klik niet op de link, verwijder de mail of beëindig het gesprek. Neem bij twijfel contact op met uw lokale bank.

    Reactie Rabobank

    Naar aanleiding van het verhaal van mevrouw van Leest, geeft de Rabobank ons de volgende reactie:

    "De Rabobank adviseert klanten over fraude en wat de bank zelf doet om fraude te voorkomen.

    daarnaast biedt de bank (oudere) klanten de gelegenheid om kosteloos deel te nemen aan een cursus Rabo Internetbankieren. Deze cursus wordt in samenwerking met de ouderenbonden gegeven. In deze cursussen krijgen klanten ook adviezen en tips op welke wijze met zo veilig mogelijk kan internet bankieren.

    Voor ‘telefonische phishing’ waarschuwt de bank al vanaf mei 2010. Dat gebeurt via de website, berichten in de secure-inbox in internetbankieren en via mededelingen nadat de klanten zijn ingelogd in internetbankieren. Ook in de media en via nvb-campagnes worden klanten daarop gewezen.

    Wat betreft het vergoedingenbeleid phishing, heeft de bank online een uitleg geplaatst.

    De Rabobank onderzoekt en beoordeelt iedere fraudemelding afzonderlijk en vergoedt normaal gesproken de schade als gevolg van frauduleus handelen wanneer klanten zorgvuldig handelen. De bank vraagt hun klanten dan ook om nooit toegangs- en signeercodes te delen met anderen (ook al doen die anderen zich bijvoorbeeld voor als medewerkers van de Rabobank). Als de klant deze codes wel deelt, beschouwt de Rabobank dit als onzorgvuldig handelen en kan de Rabobank besluiten niet tot vergoeding van schade over te gaan.

    Het kan voorkomen dat er door de Rabobank niet adequaat (bijvoorbeeld: niet alert handelen door de bank na snelle melding van phishing door een klant waardoor de klant alsnog schade lijdt) wordt gehandeld of fouten (bijvoorbeeld: niet tijdig opheffen van een krediet van een klant waardoor de klant nu schade lijdt) worden gemaakt waar de klant niet de dupe van mag worden. Het kan ook gebeuren dat er door de Rabobank richting de klant zekere verwachtingen zijn gewekt (nl. dat de schade vergoed zal worden). In die gevallen kan, ondanks dat de klant zijn codes aan een derde heeft afgegeven, toch besloten worden tot geheel of gedeeltelijke (coulance)vergoeding over te gaan.

    Voor alle duidelijkheid: schade die klanten lijden als gevolg van malware (virussen) wordt vergoed.

    Het beleid is centraal vast gesteld maar de uiteindelijke afweging per individueel geval ligt bij de lokale Rabobanken. Zij kunnen uiteindelijk als beste beoordelen of er sprake is van bijvoorbeeld een schrijnend geval, of onzorgvuldig handelen door medewerkers van die bank. In geval van twijfel is er een commissie waarin vertegenwoordigers van lokale banken en Rabobank Nederland zitten. Lokale Rabobanken kunnen daar eventueel de casus voorleggen waarna de commissie een advies kan geven.

    Overigens is bovenstaande al beleid sinds tweede helft 2010."

    Gerelateerd

    Reacties (0)

    Op de Opgelicht?! website moet je 'overige cookies' accepteren om te reageren op artikelen.

  • Ook interessant