Nieuw op Ius Mentis: Fraude en misbruik van betaalmiddelen

| AE 4633 | Security | 27 reacties

Eindelijk tijd voor weer eens een artikel op mijn site: Fraude en misbruik van betaalmiddelen.

Elektronisch betalingsverkeer (zoals creditcard, pinnen of internetbankieren) is kwetsbaar voor allerlei vormen van fraude. Pincodes kunnen worden afgekeken, websites vervalst (“phishing”) en passen kunnen worden gestolen. De wet bepaalt dat de bank in principe hier het risico voor draagt, met een eigen risico voor de klant van maximaal € 150.

Bij opzet en grove nalatigheid door de klant komen de niet-geautoriseerde betalingen volledig voor rekening van de klant. Wanneer daarvan sprake is, hangt heel erg van de specifieke situatie af. Banken stellen in hun algemene voorwaarden allerlei veiligheidsvoorschriften. Dat mag, en het niet opvolgen daarvan is een belangrijke factor om te bepalen of sprake is van grove nalatigheid. Wel moeten de voorwaarden natuurlijk redelijk zijn.

Dat inschatten wanneer nalatigheid grof is, blijkt nog een hele klus. De rechtspraak en uitspraken van de geschillencommissie laat nogal wat situaties zien, van open fietstassen tot portemonnees die met ketting aan de broek vastzitten maar waar dan stiekem de pinpas uit gehaald is.

Wat ik níet vond, waren uitspraken over internetbankieren en wanneer je laten pakken door phishers grove nalatigheid oplevert. Dat je in een criminele truc trapt, is niet automatisch grof nalatig zo blijkt uit een uitspraak over de “tientjestruc” (waarbij je afgeleid wordt door een tientje op de grond zodat men je net gepinde geld kan stelen).

Hebben jullie voorbeelden van wat je wél grof nalatig zou vinden bij internetfraude?

Arnoud

Deel dit artikel

  1. Het is in deze tijd grove nalatigheid als je geen of een verouderde virusscanner op je computer hebt staan. Je besturingssysteem waarschuwt hier namelijk ook voor. Als bewezen kan worden dat die waarschuwingen getoond zijn, vind ik “grove nalatigheid” bewezen.

  2. Wat ik storend vind in deze discussie is dat internetbankieren afgedwongen wordt door de banken. Ik word bijna verplicht om mijn bankzaken online te regelenen. Niet iedereen is handig genoeg met internet en computers om de risico’s te begrijpen. Ik vind dan ook dat banken moeten kiezen, of ze bieden mensen nog steeds kwalitatief goede offline diensten aan, of ze nemen zelf het risico. (of komen met een fool-proof veilige oplossing)

  3. De ontwikkelingen rond ‘het nieuwe pinnen’ met chip zijn ook interessant. Daar zijn wel Britse rechtzaken over geweest volgens mij. Misschien ook wel Nederlandse.

    http://en.wikipedia.org/wiki/ChipandPIN#Banks.27_liability ‘in many cases banks refused to reimburse cardholders who reported unauthorised card use, claiming that their systems could not fail and consequently the cardholder must have acted “without reasonable care”‘

    http://en.wikipedia.org/wiki/EMV#2010:HiddenhardwaredisablesPINcheckingonstolencard ‘they had found “a flaw in chip and PIN so serious they think it shows that the whole system needs a re-write” that was “so simple that it shocked them”‘

  4. Niet zozeer een voorbeeld van grof nalatigheid, maar wel een vraag: In de voorwaarden van de bank wordt inderdaad verwezen naar virusscanners e.d., maar wat als die er niet zijn voor een bepaald OS? Op Linux draai ik er geen en ja je hebt er wel een paar, maar wanneer is een virusscanner genoeg voor een bank? Wat te denken van de smartphones? De banken pushen/adverteren zelf om het te gebruiken? Je kunt tegenwoordig bij de ABN met een 5 cijferig pincode inloggen op de website. Wellicht met beperkt internet bankieren, maar toch. Ik vind de banken er zelf verantwoordelijk voor dat ze internet bankieren aanbieden via onveilige middelen. De banken mogen blij zijn dat we het gebruiken, anders moeten ze zelf weer aan het werk om het betalingsverkeer af te handelen. Wellicht moeten ze zelf maar eens een veilige manier van hun services aanbieden. Nu gaan ze HUN verantwoordelijkheid afwentelen op de klant. En mocht de wet aan de klantzijde staan….probeer dan eerst je recht nog maar te krijgen…Banken hebben denk ik een iets langere adem als het op rechtzaken aan zou komen…

  5. Dat je in een criminele truc trapt, is niet automatisch grof nalatig zo blijkt uit een uitspraak over de “tientjestruc” (waarbij je afgeleid wordt door een tientje op de grond zodat men je net gepinde geld kan stelen).

    Wanneer zou dat wel ‘grof nalatig’ kunnen zijn? Het is toch niet voor niets een criminele truuk?

    p.s. De rechterkolom met laatste reacties toont niet de laatste reacties. Ik zie bijvoorbeeld een oude reactie op een artikel van gisteren terwijl alleen op dat datzelfde artikel al zeker 4 recentere reacties aanwezig zijn

  6. Grof en nalatig vind ik het dat er een creditcard op mijn adres werd bezorgd inclusief pincode. Het adres klopte ook, alleen was de naam van de geaddresseerde compleet anders. Een dag later een tweede envelop met een bankpasje erbij. En ook daarna heb ik post ontvangen voor deze persoon, ondanks het feit dat ik keurig netjes aan de bank had doorgegeven dat dit alles niet klopte. Tja, deze post is ook eigenlijk alleen maar reclame, maar toch… Kennelijk heeft iemand een verkeerd adres doorgegeven en die persoon heeft niet door dat het adres verkeerd is. En de bank onderneemt geen actie om die persoon op de hoogte te stellen en schijnt alleen de betreffende rekeningen geblokkeerd te hebben. De bankpasjes zijn versnipperd en in twee vuilniszakken weggegooid. (Iedere zak met snippers van een half pasje.) Die zijn dus niet te misbruiken. Toch vind ik het opvallend dat iemand een verkeerd adres kan doorgeven en de bank kennelijk niets controleert maar gewoon bankpasje en creditcard toekent. Grove nalatigheid dus van zowel de bank als deze klant, waar iemand behoorlijk wat misbruik van had kunnen maken. Ik had misschien wel een paar duizend Euro kunnen opnemen (op een plek zonder camera) en daarna de pasjes kunnen weggooien en dan hadden bank en klant beiden een groot probleem gehad.

      • De creditcard die ik ontving was niet van de ABN-AMRO maar een of andere krediet-maatschappij, die op hun beurt weer met de ABN samenwerkte. De controle was om die reden waarschijnlijk ook een beetje laks. Ik had de eigenaar misschien via Google kunnen opsporen om zo extra details over die persoon te weten te komen om zo langs de controlevragen heen te komen, maar had daar gewoon geen zin in.

        Misschien had ik beter contact kunnen opnemen met een journalist van een groot, Nederlands dagblad, om te controleren wat we allemaal met die pas konden doen, om daar dan weer een artikel over te schrijven voor in die krant. Had wel interessant kunnen zijn. Had daar alleen geen zin in dus dan maar meteen de schaar erin…

  7. Er zijn nieuwe phishing technieken die gebruik maken van virussen. Een geupdate virusscanner detecteerd deze niet altijd. Zo’n virus vangt bank websites af: De URL en het certificaat blijven hetzelfde, alleen de locatie waar het formulier naar toe gestuurd wordt, is gewijzigd. Dit is dus vrijwel niet te detecteren door gebruikers. Voor zover ik weet worden gebruikers schadeloos gesteld door banken als ze op deze manier de mist ingaan.

    Verder vind ik ten opzichte van nalatigheid ook leeftijd een rol spelen. Oudere mensen zijn eerder het slachtoffer van phishing technieken. Dan kun je wel duidelijk maken dat men nooit de pincode mag afgeven, als je opgebeld wordt door een “bankmedewerker” die een veiligheidstoets doet en naar je pincode vraagt, dan is dat heel lastig inschatten. Ik vind dat niet grof nalatig. Het Milgram experiment toont aan dat mensen heel gevoelig zijn voor authoriteit. In het voorbeeld dat Arnout eerder melde: Een man in een zwart pak komt aan de deur, geld dit al helemaal. Er is dan een directe sociale druk. Zo’n man kan waarschijnlijk zijn verhaaltje heel goed verkopen en een reden geven waarom de bankpas moet worden afgegeven. Social engineering is effectiever dan phishing of virussen. Grove nalatigheid omdat een vrouwtje van 80 zich iets laat aansmeren door een boef?

    Verder worden minderjarigen slachtoffer van katvangerconstructies. Zij geven, ondanks de voorwaarden die stellig zijn dat je nooit je bankpas mag afgeven, hun bankpas + code af aan “vrienden” in ruil voor een Happy Meal of 75E. Deze rekening wordt dan gebruikt voor fraude, en de rekeningeigenaar wordt aangerekend als fraudeur. De slachtoffers worden schadeloos gesteld en dit verhaalt op de rekeningeigenaar. Ook wordt de rekeningeigenaar opgeslagen in het incidentenregister, wat betekend dat je nergens meer een bankrekening kan openen en als fraudeur te boek staat. Hoewel het dom en laakbaar is om je bankpas af te geven, kan ik me voorstellen dat minderjarigen hier een fout maken (die niet proportioneel is qua aansprakelijkheid en opname in incidentenregister). Zeker als er druk op hen wordt gezet.

    http://zoeken.rechtspraak.nl/detailpage.aspx?ljn=BV2295

    waaronder “Voorwaarden gebruik betaalpassen en creditcards”, die, voor zover thans relevant, luiden: “(…) 7 Bewaren 7.1 U moet uw betaalkaart altijd veilig bewaren. (…) 7.2 U moet uw pincode altijd voor uzelf houden. (…)”

    …Bank N.V. de benadeelde rekeninghouder schadeloos heeft gesteld, waardoor wij nu een vordering op u hebben.

    “(…) Ik ben in begin van augustus 2010 benaderd door een vriend van mij [D] wonende op [adres]mij opgebeld met de vraag of ik een zakcentje wilde verdienen? Hij vertelde dat ik 75 euro zou gaan verdienen. Ik kon dit verdienen door middel van mijn pinpas af te geven. Dit leek mij wel leuk omdat vrienden van mij vaak gingen zwemmen en bowlen en dit leek mij ook leuk om te doen. Ik heb hierop geantwoord ja waarom niet. Ik ben toen vervolgens naar hem toe gegaan en heb hem mijn bankpas gegeven.

    Ik was 2 dagen daarna op de A J Ernststraat samen met [D]. Toen ik hier was vroeg hij mij naar de pincode van mijn bankpas. Ik vond het in begin een beetje raar maar ik was bang dat hij me anders zou gaan slaan. (…) Hij heet mij vroeger ook wel vaker geslagen en getrapt. (…) Ik was op dat moment dan ook weer erg bang en voelde mij bedreigd. Ik heb toen uit eindelijk besloten om de pincode te geven omdat ik bang was dat hij me ging slaan en zijn woede op mij zou afgaan reageren. (…)”

    Banken hebben er zelf voor gekozen om digitaal te gaan en de loketten te sluiten. Slachtoffer worden van digitale fraude, en dit niet vergoed krijgen van de bank, zou mijn inziens dus in alleen de meest extreme gevallen van nalatigheid moeten kunnen.

  8. Tja, het is natuurlijk heel sneu als iemand bedreigd of opgelicht wordt, maar nu wordt de verantwoordelijkheid wel heel gemakkelijk doorgeschoven naar de bank. Vervang om een neutrale blik te krijgen de pas, pincode of random reader eens door iets soortgelijks als een sleutel. Als je de werkster de sleutel van je kluis geeft en ze haalt er meer uit dan afgesproken, moet de leverancier van de kluis dat dan vergoeden? Als je onder bedreiging je autosleutel afgeeft, moet de autodealer je dan een nieuwe auto geven?

    En nog een aanvulling op het artikel: wat geldt voor codes via mail geldt natuurlijk ook voor andere communicatiemiddelen. Een bank zal ook niet om pincodes vragen via de telefoon of aan de deur.

    • Een bank zal ook niet om pincodes vragen via de telefoon of aan de deur.
      Desondanks zullen er nog best veel mensen hun pincode telefonisch doorgeven als een bankmedewerker hen belt om te melden dat hun pas is gevonden en ze even moeten controleren of het de juiste pas is. Of de klant dus even de pincode wil doorgeven. Het aantal personen dar daar nog steeds intrapt is schrikbarend hoog. Maar er is natuurlijk ook nog de skimming-truuk. Bij een pinautomaat wordt een kleine camera opgehangen die de toetsaanslagen van de klant registreert. Een van de daders staat dan in de buurt om de zakken van de klant te rollen nadat deze heeft gepint. Met een beetje geluk merkt het slachtoffer de diefstal niet en heeft de camera de juiste pincode geregistreerd. En Kassa! En dan is er nog de mogelijkheid dat een pinautomaat gewoon wordt nagemaakt en men bij een winkel inbreekt om het apparaat te vervangen door een nep-apparaat. Dit apparaat moet dan alle pincodes accepteren en de beveiligings-chips uitlezen om zo genoeg gegevens te verzamelen om de pas na te maken. En het apparaat moet gewoon alle betalingen met pinpas goedkeuren want de winkelier merkt dat meestal toch niet meteen op. De winkelier loopt dan veel inkomsten mis omdat er geen betalingen daadwerkelijk worden uitgevoerd en het pin-apparaat stuurt alle gegevens gewoon door naar de criminelen die meteen met de binnenkomende data aan de slag gaan. Als het een benzinepomp betreft met vier drukke kassa’s dan kan de winst behoorlijk oplopen. Zeker als maar 1 van de 4 kassa’s op deze manier is gehackt, omdat dan 75% van alle betalingen gewoon worden uitgevoerd. Maar goed, dit werkte prima met de magneetstrip maar is minder succesvol met de modernere chippas.

      Maar er zijn ook genoeg kwetsbare bevolkingsgroepen die eenvoudig opgelicht kunnen worden. Denk aan bejaarden in een bejaardentehuis. (Of zwaar gehandicapten.) Als een bejaarde het huis niet uit kan, dan zou deze een verpleegster kunnen vragen om even geld te pinnen. De verpleegster weet daarna ook meteen de pincode, wat dus kansen biedt voor misbruik. En hoewel 99% van alle verpleegsters best eerlijk zijn, zijn het de enkele rotte appels tussen hen die de boel belazeren.

  9. Een van de oudste trucs is een email met de mededeling, dat de bank een probleem heeft gehad (of iets dergelijks) met een link om even je gegevens te verifieren. En dan vrolijk naar Pin en Tan gaan vragen. Er zijn nog steeds mensen die hierop ingaan en de gevraagde gegevens inderdaad leveren. Sorry, maar dit is intussen wel grof nalatig. Alle banken die ik ken waarschuwen nadrukkelijk ervoor op de mails te reageren of zonder dat je zelf een aktie hebt ondernomen pin en/of tans tegeven.

    • Ja en nee. Jij en ik zouden ernstig nalatig zijn, maar een dementerende grootmoeder of iemand met mentale problemen kan veel eenvoudiger in dit soort valstrikken trappen. Ook veel jongere tieners kunnen in dit soort valstrikken trappen, vooral indien ze zelf een pinpas hebben gekregen. En dan zijn er nog al die mensen die vrijwel nooit met computers in aanraking komen en dus weinig technische ervaring hebben. En dan denk ik aan bijvoorbeeld immigranten en vluchtelingen die hier in Nederland een permanente verblijfs-status hebben gekregen. Er zijn gewoon nog veel kwetsbare groepen in Nederland die hier in kunnen trappen uit onwetendheid. En enkele regeltjes in een folder dat de bank nooit om een pincode zal vragen zal daar niet tegen helpen. Deze mensen moeten duidelijk te horen krijgen dat ze hun pincode nooit aan een ander afstaan.

  10. Ik ben hier geneigd om een behoorlijk grote verantwoordelijkheid bij de banken te laten liggen. Immers, mijn banksaldo is gewoon een schuld van de bank aan mij. Als iemand anders zich voordoet als mijzelf en vervolgens “geld overboekt” heeft diegene de /bank/ bedrogen, niet mij. De controlemethodes die valide zijn om jezelf richting de bank te authenticeren worden eenzijdig door de bank vastgesteld en het is wmb dus ook aan hen om ervoor te zorgen dat die methodes afdoende betrouwbaar zijn. (en daar dan voor hen de goede afweging te maken tussen enerzijds overhead wegens omslachtige beveiligingsprocedures, en anderszijds schade door valse overboekingen).

    Als je dus in een list van een scammer trapt, per ongeluk een keylogger installeert, of per ongeluk je gegevens aan een onbevoegde verstrekt, komt dat wmb dus voor risico van de bank. Alle waarschuwingen, skim-preventietechnieken, ssl-certificaten en wat dan ook ten spijt. (Ik wil de mensen die bij elke certificaatwaarschuwing op “ja” klikken niet de kost geven!)

    Het wordt wat mij betreft pas anders als er hetzij opzet in het spel is (de buurman je pincode geven, die gaat pinnen, jij vordert het geld terug), of de manier waarop je gegevens prijsgegeven zijn wel zo ontzettend stom is dat je van niemand meer kunt verwachten dat ze dit geloven. Het moet dus gewoon kenbaar zijn dat je wordt opgelicht. (Een site met “vul hier je gegevens in zodat wij geld van je rekening kunnen halen” is wmb kenbaar. De nigeriaanse prins die voor de afwikkeling van zn erfenis eerst een $2000 zekerheidsstelling moet hebben misschien net nog. Je gegevens invullen op de uiterst nuttige website “creditcardonthouder.nl” is dat denk ik al niet meer.

  11. De eenvoud waarmee de banken de voorwaarden opstellen en daarmee de bewijspositie van de gebruiker bepalen is mij een doorn in het oog. Ik wacht nog op de rechter die een bank nalatig vind omdat hij niet is meegegaan in het beveiligingsbeleid van een andere bank. Daarvoor is een maatregel als het default blokkeren van buitenlandse opnamen een eerste stap in de goede richting. Geef de klant de keuze om zijn (opgedrongen) risico te beperken.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS