Hoe bewijs ik dat mijn grootouders niet online gokken?

bank-inloggen.pngEen lezer vroeg me:

Bij mijn grootouders is ongeveer 5.000 euro van de bankrekening gehaald. Dit is gebeurd via internetbankieren, er zijn credits bij een online casino gekocht via iDeal. Nu zegt de bank dat de transacties zijn gemaakt vanaf hetzelfde IP-adres als altijd. Zij schuiven de schuld dus terug, en mijn grootouders moeten nu bewijzen dat zij niet gokverslaafd zijn. Is dat niet de omgekeerde wereld?

Het is theoretisch mogelijk maar zeer onwaarschijnlijk dat een derde het IP-adres van dit huis heeft misbruikt. Het kan natuurlijk dat het betreffende draadloze thuisnetwerk niet goed genoeg beveiligd is, maar dat zou alleen verklaren hoe iemand het internet op kon via dat netwerk (en dus met dat IP-adres).

Voor internetbankieren is meer nodig: je hebt bij zo ongeveer alle banken een of ander apparaatje nodig (zie plaatje, de e.dentifier van de ABN Amro) dat werkt met je pinpas. Zonder pinpas zal inloggen op de banksite eenvoudig niet gaan. Kapen van zo’n beveiligde internetverbinding kán natuurlijk maar ik zou dat wel erg knap vinden.

Als het om een aankoop via creditcard is gedaan, dan zou ik wellicht nog denken aan misbruik van gestolen gegevens bij een andere site (zoals een webwinkel). Of Paypal: iemand kan het wachtwoord geraden hebben. Maar het bevreemdt wel dat dan óók het IP-adres van het slachtoffer is misbruikt. Waarom zou een creditcarddief die moeite nemen?

De grote vraag, hoe vervelend ook, is dus of het écht niet mogelijk is dat iemand in het huis dit gedaan heeft. Een huisgenoot, een schoonmaakster, een familielid dat op visite was. Want gezien deze feiten zie ik niet echt een cyber-/hack-verklaring als meest voor de hand liggend.

Hebben jullie nog tips?

Arnoud

85 reacties

  1. Dit heeft alle schijn van de nu populaire methode van oplichting waarbij mensen worden gebeld door een supportmedewerker van “Microsoft” die zogezegd even wat instellingen moet veranderen, en met een combi van social engineering en remote access je rekening plundert.

    1. Hoe dat werkt: Crimineel belt op met verhaal dat hij supportmedewerker is van bijvoorbeeld Microsoft en dat een storing op de pc van klant is gedectecteerd. Aangeboden wordt dit probleem te verhelpen, tegen een redelijk, laag bedrag aan servicekosten. Vervolgens vraagt de crimineel toegang op afstand, en doet, zichtbaar voor de klant, een aantal ingewikkelde handelingen. Daarna volgt de betaling: Via internetbankieren helpt de crimineel met invullen van rekeningnr en bedrag. Dit ziet er voor klant goed uit, deze accepteert. In werkelijkheid wordt echter een veel hoger bedrag naar andere rekening geaccordeerd, dit wordt verhuld door een stukje software wat op de client is geïnstalleerd (en daarna weer verwijderd).

      Vraag dus aan de grootouders of iemand in de afgelopen tijd telefonisch heeft geholpen met de pc. Vervolgens of daar iets voor betaald moest worden – dan weet je genoeg. Om te overtuigen kun je nog aantonen dat het veronderstelde lage betaalde bedrag nergens op afschriften is terug te vinden.

    2. Het verhaal suggereert dat de grootouders al eerder gegokt hebben bij hetzelfde casino. Als dat inderdaad zo is dan lijkt het me wel een heel groot toeval dat deze mensen precies via dat casino het geld wegsluizen. Waarschijnlijker lijkt me dan dat de ene grootouder de andere niet durft toe te geven dat deze € 5000 vergokt heeft.

  2. Want gezien deze feiten zie ik niet echt een cyber-/hack-verklaring als meest voor de hand liggend.

    Ja, ik toch wel. Naast de theorie van Eelco kan een man-in-the-middle attack gewoon op de lokale PC hebben plaatsgevonden. Dus als ze niet gebeld zijn door zo’n “support medewerker” dan zou ik eens beginnen met een grondige malware scan.

    Het is in ieder geval meer voor de hand liggend dan schoonmaaksters en bezoekers, die weten immers de (bij de meeste banken) benodigde PIN-code niet.

    1. Ik zie alleen niet zo hoe zo’n hacker de betalingen verifieert mbv een e.dentifier. Maar hoe zit het juridisch gezien? Waar ligt de bewijslast? Heb je überhaupt recht op iets, of is dat een service van de bank en zit je dus aan hun regels vast? Dat laatste lijkt me het meest voor de hand liggend, maar ik weet niet of dat echt zo is.

  3. Lijkt mij dat er een stuk malware actief is op de PC, die de betaalgegevens heeft onderschept. Vervolgens kan de malware de betaling accorderen, en die draait op de PC van de slachtoffer, dus zal dit ook met het IP-adres van het slachtoffer doen.

    Gek genoeg is de ing.bank de veiligste bank, aangezien die een SMS stuurt met de accoord-code inclusief het bedrag.

    De onveiligste zijn de banken die via een USB-kabel de e-reader eraan hebben hangen, want die driver kan ook onderschept worden zodat de edentifier altijd “accoord” terug geeft. (Doe dit dus nooit! Koppel je e-dentifier niet aan je PC, ook al krijg je daardoor wat voordelen!).

    1. Dat moet je toch even uitleggen. Die e-reader via usb geeft toch geen binair “akkoord” of “niet akkoord”, maar signt, naar ik aanneem, een nonce. Dat signen lijkt me onmogelijk om in de driver te omzeilen. Wat mis ik?

        1. In beperkte mate kan dat met elk verificatiesysteem, of je het kastje nou aan de computer hangt of niet. Bij hogere bedragen weet ik dat de ABN Amro het bedrag ook laat invoeren in het kastje. Als je dan nog een te hoge betaling verifieert ben je gewoon niet slim bezig. Wat nog wel kan gebeuren is dat een bedrag dat je wel wilt overmaken, ineens naar een ander rekeningnummer gaat.

      1. De e-reader communiceert met de computer door middel van een stuk software op je computer.

        als dat stuk software besmet is door malware, kan de client (je webpagina) dus elk antwoord krijgen wat de malware wenst. Ik neem aan dat er encryptie plaatsvind tussen het kastje en de computer, maar zolang dit door de bank niet bekend wordt gemaakt vertrouw ik er niet op en is geen kabel beter dan een kabel waar je niet van weet hoe het werkt.

        Als je geen USB kabel gebruikt, communiceert de e-reader met de client (webbrowser) door middel van een token. Software op je computer is dan helemaal niet meer van belang (zelfde als de TAN-codes van de ing bank).

        1. als dat stuk software besmet is door malware, kan de client (je webpagina) dus elk antwoord krijgen wat de malware wenst.

          Nee, dat klopt dus niet. De e-dentifier genereert een cryptografische handtekening m.b.v. data die van de gebruikte pas af te lezen is (en die de bank dus ook heeft). Die handtekening is wat er over de USB-kabel verstuurd wordt, en daar het niet meer overgetypt hoeft te worden, kan het dus om een grotere hoeveelheid data gaan (wat de beveiliging ten goede komt, omdat er meer mogelijke responses zijn).

          Dan kan je installeren op je PC wat je wilt, maar die gaat nog steeds geen geldige handtekening kunnen genereren waar je bank mee akkoord gaat – immers, het heeft de pasgegevens niet.

          1. Inloggen kan altijd, daarvoor is geen transactie-challenge nodig. Steek je pas erin, PIN intypen en je krijgt de login code. Dat kan malware dus ook vragen. Een betalingsopacht autorisieren vereist wel iets dat transactie-gerelateerd is. Maar wat je dan doet is de gebruiker wat anders tonen (10 euro servicekosten aan Microsoft) dan wat je aan de bank hebt gegeven (3000 euro aan PietjePuk Ltd te Malta). De challenge toon je, de gebruiker typt die over in de e-dentifier, geeft je de respons en jij stuurt dat door.

    2. Of dat de Ing de veiligste bank is weet ik niet. het systeem waarbij 2 aparte kanalen (internet en gsm netwerk) worden gebruikt is in theorie perfect, maar tegenwoordig zijn deze zo verstrengeld dat van echte scheiding weinig sprake is. de meeste GSM’s hebben (mobiel) internet, en bijna alle populaire Apps hebben toegang tot je SMS inbox (facebook, whatsapp, hangouts)

      het systeem van de Rabobank is mijns insziens beter, omdat het geheel offline werkt. de Random reader wist zichzelf als hij wordt opengemaakt. je hebt dus een secret key, die wordt gehasht met de tijd en de key op je bankpas.

      helaas zijn er ook trojans/virussen die vragen of je je random reader wil ‘synchroniseren’, waardoor onwetende mensen dus gewoon betalingen goedkeuren.

      1. De ING is zeker niet de veiligste bank, want ook daar zijn aanval vectoren mogelijk.

        Pincode afkijken + telefoon jatten is meestal voldoende om toegang te krijgen, aangzien de ing-app de SMS dan waarschijnlijk naar dezelfde telefoon stuurt als waar de APP op draait.

      2. Het systeem met twee kanalen kan een zwakte hebben. Als een man in the middle jouw web pagina manipuleert en jij vraagt om een token en je krijgt er één dan maakt het niet uit dat ze geen toegang tot je telefoon hebben. Ze zullen die afvangen zodra je hem invoert in de browser.

        Als echter in de SMS met de code ook het bedrag en de rekening nummers staan waarnaar wordt overgeboekt is het wel voldoende. Maar dan moet de gebruiker dat natuurlijk wel controleren.

  4. Mee eens, dit is waarschijnlijk gebeurd door malware op de PC van de grootouders, of anders iemand die een man-in-the-middle attack heeft uitgevoerd. Veel van die plunder-acties gebeuren door zulke malware en/of een mitm atack. Beide zorgen ervoor dat de transactie van hetzelfde IP komt. Dus ‘Het was hetzelfde IP adres’ getuigt van een groot gebrek aan ICT kennis bij de bank.

  5. Ik ben wel benieuwd welke bank dit is geweest. Ik ben een paar weken terug bij een security symposium geweest van FoxIT (was jij daar niet ook bij Arnoud?) waar een medewerker van de ING een interessant verhaal ophing over hun detectie van frauduleuze betalingen. Onderdeel daarvan is het opbouwen van een profiel van de klanten waarmee kan worden bepaald of een betaling wel bij het profiel hoort. Dit lijkt mij een duidelijk voorbeeld van een betaling welke niet bij het profiel hoort, behalve natuurlijk als je grootouders vaker dit soort betalingen doen. De ING specialist ging zelfs zo ver om te stellen dat het hele systeem van tancodes en kastjes helemaal niet nodig is omdat hun detectiesystemen zo goed in elkaar zitten.

    1. Ik vermoed eigenlijk hetzelfde als Erik al eerder zei. Deze grootouders*hebben al eerder betalingen gedaan aan (online) casino’s en nu durft iemand dit niet op te biechten. De bank geeft aan dat je moet bewijzen dat je niet gokverslaafd bent. Bij een eenmalige betaling aan een casino zou de bank waarschijnlijk met een andere mededeling komen.

      Ik verwacht dat elke bank dergelijke systemen heeft en dat die ook vrij goed werken en dat deze betaling dus redelijk in het profiel paste 🙂

      Verder zou ik bij de bank kijken of je verdere gegevens kan krijgen over die betaling. Misschien een useragent zodat je kan zien vanaf welke/wat voor machine deze is gedaan. En verder natuurlijk navraag doen bij het casino maar bij een casino op Bermuda wordt dat wat lastig verwacht ik.

      *Dit kan natuurlijk ook de schoonmaker, butler of kleinkind zijn

  6. Er wordt gesteld dat er al eerder vanaf dat IP-Adres credits gekocht zijn maar is er toen ook gebruik gemaakt van hetzelfde rekeningnummer? En zo ja hoe vaak en wanneer. Als die grootouders internetbankieren dan kan je heel makkelijk even naar de transacties van het afgelopen jaar kijken en deze vergelijken met de data van dat casino, als ze dit willen geven.

    1. Er wordt gesteld dat er al eerder vanaf dat IP-Adres credits gekocht zijn

      Volgens mij wordt gesteld dat er al eerder vanaf dat IP adres transacties zijn gedaan. Ik ga er echter van uit dat reguliere banktransacties zijn, niet naar dat casino. Maar de oorspronkelijke vraagsteller had dat inderdaad duidelijker kunnen verwoorden.

          1. Wat ik nergens hoor is in wiens naam het casino account is. Als dat op naam van de bank klant staat dan kan hij het casino laten uitbetalen. Als zijn casino account (ook) gehackt is, dan is het geld vanaf het casino account pas verdwenen en lijkt het mij dat hij niet bij de bank maar bij het casino moet zijn.

            En als hij inderdaad een komma vergeten is en al zijn credits onoplettend opgegokt heeft zie ik ook niet hoe de bank daar voor op moet draaien. Het artikel heeft to leuke discussies geleid, maar ik denk dat deze zaak op zich op basis van de feiten duidelijk zou moeten zijn. Alleen kennen wij ze niet allemaal.

        1. Het waren credits om in datzelfde casino te spelen. Alleen waren dat altijd veel kleinere transacties
          Oh, dat is echt niet hoe ik het las, ik dacht ook dat het om andere banktransacties ging. In dat geval is de kans een stuk kleiner dat er sprake is van malware. Immers is er dus geen geld overgemaakt naar een volledig onbekende derde partij maar naar een partij waar men gewoon klant was. Eigenlijk zeg je dus niet “Nu zegt de bank dat de transacties zijn gemaakt vanaf hetzelfde IP-adres als altijd.” maar “Nu zegt de bank dat mijn grootouders vaker zaken deden met dit online casino”.

          Wat weer raar is want de titel van je blog is ‘hoe bewijs ik dat mijn grootouders niet online gokken’.

          Ik snap het niet meer zo.

        2. Alleen waren dat altijd veel kleinere transacties.
          Dat suggereert juist dat deze grootouders wel degelijk een gokje waagden! En dan is het mogelijk dat de grootouders gewoon een menselijke fout hebben gemaakt of mogelijk zelfs bewust eens flink wilden gokken. Dat betekent eigenlijk ook dat de bank hier verder eigenlijk buiten zou staan. Het lijkt mij een legitieme transactie, ook al is het bedrag opeens een beetje hoog. Het casino heeft geld ontvangen en geeft dus credits terug. Nu is het dus de vraag waar die credits zijn gebleven! Sowieso zijn deze grootouders dan enigszins onverantwoord bezig geweest door online te gokken, zeker indien deze illegaal opereert in Nederland. (Want voorlopig heeft Holland Casino hier een monopolie.)

  7. Het fijne van Ideal is natuurlijk ook dat je precies kunt zien wanneer het bedrag betaalt is. Klinkt heel voor de hand liggend hoor, maar het eerste dat ik zou doen is de browser history van je ouders checken. En mocht daar niets in staan, dan zoeken op cookies en tijdelijke internetbestanden die eventueel kunnen tonen dat iemand op dat moment op die pc op de site van dat casino is geweest.

  8. Merk op dat de ABN AMRO weliswaar een e-dentifier heeft waar een pasje in moet, maar de meeste andere banken niet. De Triodos bank en ASN bank gebruiken een apparaatje met pincode (zonder pas lezer). De ING gebruikt een SMS code.

    Iemand noemde hierboven ook een man-in-the-middle aanval. Dat kan hier ook niet, omdat het van hetzelfde IP komt. Een man-in-the-browser attack is wel goed mogelijk (geïnstalleerd door een trojan of iets dergelijks).

    1. Man in the middle kan als je toegang tot het wireless netwerk weet te krijgen en alle verkeer naar het internet via jouw pc weet te laten lopen (IP van jouw pc de default gateway maakt en op jouw pc de router de default gateway maakt.) Uiteraard moet je dan wel toegang hebben verkregen tot zowel de PC als het draadloosnetwerk.

      1. Dat kan niet zo makkelijk hoor, omdat bankverkeer van https gebruikmaakt, en daarbij door de browser wordt gecontroleerd of het certificaat echt van de bank is. Een mitm heeft dat certificaat niet, en moet daarom een zelfgesigneerd certificaat gebruiken. De browser geeft dan een waarschuwing, en je moet je best doen om de site dan alsnog te gebruiken (je moet op kleine rode ipv op grote groene knopjes drukken). Je hebt als gebruiker een mitm dus direct door. Internetbankieren op een onbeveiligd wifi-netwerk kan daarom geen kwaad.

        1. Jij gaat er vanuit dat de klant uberhaupt de echte website van de bank te zien krijgt en niet iets wat door de mitm geheel wordt voorgeschoteld op basis van de echte website die hij voor zich heeft. Hoeveel gebruikers zullen doorhebben dat de site die ze bekijken niet over https gaat en niet de banksite is, maar een perfectie kopie?

          In ieder geval zullen ze nooit een certificaat waarschuwing krijgen.

          klant <--HTTP--> man in the middle <--HTTPS--> Bank

  9. Klinkt als Zeus (of andere banking trojan). Het is een man-in-the-browser attack waarbij de malware de gegevens van en naar de bank aanpast voordat het in de browser getoond wordt op deze manier doe je een betaling naar een ander zonder dat je het door hebt. Ze gaan zelf zover dat ze de getoonde transacties en totalen aanpassen zodat het lijkt of de reguliere betaling gedaan is.

  10. “Het is theoretisch mogelijk maar zeer onwaarschijnlijk dat een derde het IP-adres van dit huis heeft misbruikt.” Als econometrist gaan de rillingen mij over het lijf als juristen, advocaten, aanklagers of rechters beginnen over waarschijnlijkheid. Op de een of andere manier ziet men daar bewijs in, terwijl het eigenlijk helemaal niets zegt. Statistische kansen kan je namelijk niet op een individuele casus toepassen!

    Om het verkeerde idee wat te illustreren: Het is ook erg onwaarschijnlijk dat ergens de bliksem inslaat, toch slaat bliksem altijd ergens in. Hoe vaak gebeurt er niet iets waarvan je roept “Wat is de kans?” Er zijn zoveel dingen die onwaarschijnlijk zijn dat ze je gebeuren, dat je vrijwel zeker iets onwaarschijnlijks overkomt. Moet ik het nog over Lucia de Berk hebben?

    We weten allemaal dat ‘man in the middle’ aanvallen en malware aanvallen gebeuren. De kans dat het een specifiek iemand overkomt is (gelukkig) nog klein. Maar daaruit mag je dus niet de conclusie trekken dat als iemand denkt dat het hem is overkomen ddit niet waar is omdat het wel erg onwaarschijnlijk is. Statistiek is geen bewijs, het kan je in sommige situaties helpen een beeld te vormen.

    Een ander voorbeeld: DNA tests hebben een onnauwkeurigheid van 0.1%. Je mag dit niet op een enkele test toepassen en dan zeggen dat die wel goed moet zijn want de kans op een fout is zo klein. (Meer info). Er zijn (enge) mensen die een DNA database willen aanleggen van alle Nederlanders, omdat dat zo makkelijk is om criminelen mee op te sporen.

    Ik twijfel er niet aan dat dit laatste juist is, alleen als 0,1% van de tests fout gaat (een match oplevert terwijl die er niet is of geen match terwijl je wel de juiste persoon test) en je voer 17 miljoen tests uit dan heb je wel een idee hoeveel van die tests ongeveer fout zullen zijn. (Naar verwachting 17.000!) Er is een kleine kans dat je dader niet in de testset zit en een grote kans dat je een match hebt met onschuldige mensen.

    Uiteraard kan je alle kleuters en jongere kinderen uitsluiten. En als je bij een verkrachting DNA voor de test uit sperma hebt gehaald kan je ook alle vrouwen al uitsluiten. Zo’n DNA test kan voor opsporingsdoeleinden dus best nuttig zijn, maar je zal altijd nog iets anders moeten vinden om zekerheid te krijgen. In het strafrecht is dit als ik mij niet vergis ook vereist, er is additioneel bewijs nodig.

    ( Inzake de rechters van Lucia de Berk: Toen ik tijdens de zitting in hoger beroep de rechter duidelijk trachtte te maken hoe statistiek werkt, en ik vertelde over het maken van berekeningen onder bepaalde hypotheses, werd ik onderbroken: ‘Mijnheer Meester, hier in de rechtszaal houden we ons niet bezig met hypothetische situaties, maar met de realiteit.’ )

    En dan komen we bij het problematische civiel recht, waar de eis minder streng is en je het meest overtuigende bewijs moet neerleggen. Een DNA test overkomen in het civiel recht met een 0,1% kans op een fout zal je niet lukken en dus ben je al snel de sigaar als er een foute DNA test is gedaan. Met het nog lage aantal gevallen van bankfraude via Malware en mitm aanvallen is dit ook zo. Je hebt dan maar te hopen dat je de malware nog op je PC vindt en dat ze niet een echte mitm aanval hebben uitgevoerd waarbij geen enkel bewijs op je pc staat.

    In deze casus dus even iemand met verstand naar de PC laten kijken wat hij daarop vindt en inderdaad even uitzoeken of er een ‘support’ bedrijf heeft gebeld. Maar de bank in kwestie maakt zich er naar mijn mening makkelijk vanaf door naar het IP adres te verwijzen. Het is bijvoorbeeld zoals eerder genoemd interessant om te weten of er eerder al onbetwiste betalingen aan dit casino zijn gedaan. Dat is namelijk extra informatie die onafhankelijk is van het IP adres.

    1. Ik snap je punt maar rechters zitten met een praktisch probleem: er is hier een geschil en daar moet hier en nu een oplossing voor komen. Er zijn altijd theoretische mogelijkheden die voor of tegen elk scenario pleiten. Hoe maak je daar een keuze in? Je kunt niet je hele leven livestreamen en bij de notaris laten vastleggen.

      Hoe zou je hier willen zien dat het gaat? Stel de trojan is niet meer te vinden op de PC. Dan kun je twee dingen doen volgens mij: 1) de grootouders moeten het dragen want ze kunnen fraude niet hardmaken 2) de bank moet het dragen want die kan fraude niet uitsluiten Beiden zitten me niet lekker want ze kunnen ten onrechte zijn. Maar wat is optie 3?

      1. Ik zie ook geen andere optie als 1 of 2, maar in plaats van meteen aansprakelijkheid uit te sluiten door te wijzen op het IP adres, kan de bank natuurlijk ook wijzen op een expert die zij vertrouwen met de tip om deze de PC te laten controleren op malware. Telefoontjes van support bedrijven zijn bij je telefonie provider bekend etc…

        Phising en malware is een reëel probleem, waarbij dat laatste echt aantoonbaar is, maar dan moet je wel weten hoe je dat moet doen. De meeste normale gebruikers zullen dat niet weten en wat mij betreft valt het on de zorgplicht van de bank om in dit soort situaties de klant informatie te verschaffen die hem kan helpen.

        1. Hier ga je dan wel voorbij aan het ‘feit’ dat volgens mij de bank niet verantwoordelijk gesteld kan worden voor fraude welke gepleegd is door nalatigheid van de klant. Sterker nog, sinds ongeveer een jaar hebben de meeste banken in hun gebruikersvoorwaarde staan dat de gebruiker zelf verantwoordelijk is voor de beveiliging van hun computer en dat de bank niet aansprakelijk kan worden gesteld wanneer er gebruik wordt gemaakt van internetbankieren met een computer zonder beveiligingssoftware en/of up-to-date software. Het is dan ook verstandig om mensen met minder kennis van zaken een cursus te laten volgen om zich veilig op het internet te kunnen bewegen. Een mooi startpunt hiervoor is de oude campagne ‘drie keer kloppen’ en de nieuwe campagne van de Nederlandse banken op https://www.veiligbankieren.nl

          Zelf zou ik het ook geen slecht idee vinden om mensen een examen af te nemen voordat zij überhaupt op internet worden toegelaten met onderwerpen als “wat is de echte downloadknop”, “wat doe je met deze banner”, “herken de phishing(mail)”, “hoe houdt ik mijn software up-to-date en waarom is dat belangrijk”. Helaas is dit in de praktijk onmogelijk te implementeren.

          1. Peter, in hoeverre kun je de klant nalatig noemen als hij door de bank uitgenodigd is tot elektronisch betalen, waarbij de banken weten dat de gemiddelde klant niet de kennis heeft om de gemiddelde computer (Microsoft) veilig te houden. Dan kun je in de algemene voorwaarden wel de aansprakelijkheid bij de klant leggen, maar dat is het afschuiven van verantwoordelijkheid op een incompetente partij. Helaas komen banken te vaak onder hun verantwoordelijkheid uit.

            1. Ik ben ook niet in staat een auto te onderhouden zodat hij veilig blijft voor mij en de mensen om mij heen. Daarom laat ik er eens in de zoveel tijd iemand naar kijken die daar wel verstand van heeft. En daar betaal ik die persoon dan voor. Ik zie geen enkele reden waarom digibeten dat niet kunnen doen voor hun computers.

              1. Bij een auto moet je echter wel een rijbewijs halen dat op zijn minst aangeeft dat je enigszins kunt rijden. Dat dat bij de meeste bestuurders na een paar jaar niet meer het geval is is materiaal voor een andere discussie. Van een computer kan echter iedereen zomaar gebruik maken. Je kunt als ‘monteur’ een digibeet niet beschermen wanneer de computer een paar keer per jaar in je handen komt. Het kan wel degelijk bijdragen aan de veiligheid, dat ontken ik niet. Maar het grootste probleem zit toch echt nog steeds met een muis in de hand.

              2. Waarom is er geen verplicht computerrijbewijs? Waarom is er geen verplichte periodieke keuring van computers? Waarom is er geen typegoedkeuring (veilgheidskeuring) voor software en hardware? Waarom zijn softwarebakkers niet aansprakelijk voor schade door gebreken in hun product? Waarom moedigen banken aan tot het gebruik van structureel onveilige computers voor het doen van bankzaken? En hoe durven ze de aansprakelijkheid daarvoor te verleggen?

                1. Waarom is er geen verplicht computerrijbewijs? Waarom is er geen verplichte periodieke keuring van computers? Waarom is er geen typegoedkeuring (veilgheidskeuring) voor software en hardware? Waarom zijn softwarebakkers niet aansprakelijk voor schade door gebreken in hun product?

                  Omdat we in een vrij land wonen, en niet in een nanny state. In mijn ogen is dat prima. Sommige mensen moeten dingen nou eenmaal de hard way leren, of leren het helemaal niet. Vooral voor oudere mensen is het lastig, maar onze generatie en die na ons hebben daar minder last van. Gewone domheid daargelaten. Daarnaast bewijst een rijbewijs ook niet echt dat je een goede chauffeur bent op dit moment, en dan hebben we het over een tamelijk onveranderlijke activiteit. Computers en het internet veranderen constant, dus dan zou je elk half jaar een nieuw computerbewijs moeten halen.

                  Waarom moedigen banken aan tot het gebruik van structureel onveilige computers voor het doen van bankzaken? En hoe durven ze de aansprakelijkheid daarvoor te verleggen?
                  Omdat ze geld willen verdienen, plain and simple.

                2. Waarom is er geen verplicht computerrijbewijs?
                  Dit is veel te duur om in te voeren en daarnaast voorkomt het niet dat mensen toch een computer en Internet gebruiken zonder zo’n bewijs. Het is een wassen neus en levert alleen een schijngevoel van veiligheid op. Daarnaast is dit bewijs geen garantie dat iemand daadwerkelijk goed om kan gaan met het Internet. Er zijn genoeg ervaren ICT’ers die beter zouden moeten weten maar toch in van alles en nog wat in trappen.
                  Waarom is er geen verplichte periodieke keuring van computers?
                  Nogmaals, wie gaat dat betalen en hoe wil je dat regelen? Ieder jaar met je desktop naar de winkel gaan voor een APK-keuring? Of komt de monteur bij jou thuis? En ook dit levert alleen een schijn van veiligheid op. Alsof een houten hekje om een weiland de wandelaars buiten het weiland weet te houden. Daarnaast is er veel te veel gecomputeriseerd. Niet alleen de desktops en mobiele telefoons moet je dan steeds nakijken, maar ook de diverse tablets en zelfs de vele spelconsoles en Smart-TV’s. Is gewoon niet te doen maar klinkt leuk voor een politieke partij die extra stemmen wil winnen van domme Nederlanders. Levert misschien wel een extra zetel op…
                  Waarom zijn softwarebakkers niet aansprakelijk voor schade door gebreken in hun product?
                  Gebreken horen erbij en daarnaast zijn er teveel factoren die dit soort gebreken kunnen veroorzaken. Omdat er miljoenen verschillende computer-configuraties bestaan zijn er ook miljoenen varianten waarin zaken mis kunnen gaan. Daarnaast is veel software niet het werk van 1 bedrijf maar een compilatie van componenten van diverse partijen die ieder weer hun eigen bugs aan een systeem kunnen toevoegen. Een beetje webpagina moet al via meerdere browsers worden ondersteund en een kwetsbaarheid in een browser (of een plugin voor die browser) kan de gehele pagina al onveilig maken. Daarnaast is het ontwikkelen van foutloze software vrijwel onmogelijk omdat de ontwikkeltijd voor een dergerlijk product dusdanig lang duurt dat tegen de tijd de software uit komt, het alleen nog draait op verouderde hardware. Of oudere besturings-systemen. Veel bedrijven hebben geinvesteerd om b.v. voor Windows XP software te ontwikkelen en hebben daarnaast hun kennis moeten bijwerken voor Vista, Windows 7, Windows 8 en 8.1 en binnenkort Windows 9. Hoe vervelend ook, software is mensenwerk en hedendaagse software is extreem complex. Als je het vergelijkt met het maken van een auto (minus de boordcomputers, want hey… Die willen software) dan is een auto maken een makkie vergeleken met software produceren.
                  Waarom moedigen banken aan tot het gebruik van structureel onveilige computers voor het doen van bankzaken?
                  Winstbelang. Ze moeten de klant iets aanbieden want anders gaat de klant met zijn geld naar een andere bank. Sowieso kunnen banken ook niet bijhouden wat een computer nou structureel onveilig maakt. Dat hangt voor een belangrijk deel af van hoe geliefd een bepaald systeem is onder de hackers en malware-makers. Op dit moment is vooral Windows favoriet voor hackers omdat er zoveel over bekend is en al zoveel informatie over te vinden is. Linux en OS-X zijn veel minder gewild maar dat kan makkelijk veranderen als die systemen populairder worden. Veel mensen weten het niet maar de oude Amiga-computers hadden ook best veel te maken met malware domweg omdat ze zo populair waren. Net als de oudere Apple-systemen en MS-DOS. Maar ja, toen ging het vooram om infecties via besmette diskettes. Tegenwoordig zijn er veel meer mogelijkheden om besmet te raken.
                  En hoe durven ze de aansprakelijkheid daarvoor te verleggen?
                  Ze gooien gewoon een visje uit om te proberen of ze zo de schade bij de consument kunnen leggen. Probleem is dat het voor banken best een aardige schadepost is, hoewel ze best wel iets kunnen missen. En banken willen ook winst maken dus die schadepost willen ze kwijt. En dat is lastig, omdat ze ook de klant tevreden moeten houden en de concurrentie bereid is om wat extra schade te krijgen als dit hem veel meer klanten oplevert. De realiteit is gewoon dat de klanten van het huidige systeem altijd nog meer voordeel dan ongemak hadden. Maar als het economisch wat minder gaat dan wordt wel eens gekeken wat er gedaan kan worden om te bezuinigen. De schade op de klant afschuiven is daar een voorbeeld van. Veiligere systemen zijn wel degelijk mogelijk. Het kost alleen veel geld om te ontwikkelen en die kosten zijn meer dan de schade die ze op dit moment krijgen. Dus accepteren ze gewoon deze fraude-schade omdat het goedkoper is!

                  1. Wim, Patrick, Matthijs en Peter, zullen we dan maar stoppen met het zoeken naar overeenkomsten tussen computers en automobielen?

                    Bij auto’s is er een overheid die (h)erkent dat er structurele veiligheidsaspecten aan auto’s en autogebruik kleven; bij computers en computergebruik leeft het veiligheidsbesef minder of niet. Is dit terecht? Zo niet, hoe moeten we de problemen die daar uit ontstaan oplossen?

                    1. Nee, de veiligheidsaspecten van computers worden al heel lang erkent maar het is gewoon een veel te groot gebied. We kunnen het wel veiliger maken maar dan gaan de nieuwe ontwikkelingen veel minder hard. Als je alleen al kijkt naar wat er de afgelopen 50 jaar allemaal is bedacht en uitgevonden op computergebied… Gewoon enorm. Een computer ter grootte van een huiskamer 50 jaar geleden past tegenwoordig om mijn pols en heeft dezelfde rekenkracht! Maar je kunt merken dat op bepaalde gebieden wel goed over veiligheid wordt nagedacht. Kijk naar de luchtvaart, de scheepvaart en de ruimtevaart. De apparatuur die ze daarbij gebruiken is qua moderne maatstaven verouderd en het klinkt vreemd dat ze met oude software en apparatuur werken. Maar die systemen hebben zich bewezen als veiliger! Omdat een softwarefout bij deze dingen kunnen resulteren in grote explosies en miljoenen euros schade worden er gewoon vaak systemen gebruikt die mogelijk al een decennia in gebruik zijn. (Maar goed, ze draaien ook niet op Windows of Linux.) Het probleem is gewoon dat veilige software veel langer nodig heeft om zich te bewijzen en ook veel langer gebruikt wordt. Bij moderne software krijg je toch al gauw iedere twee jaar een update. Bij mobiele apps voor tablets en mobieltjes kun je zelfs maandelijks nieuwe updates krijgen! Zo vaak wordt software nu eenmaal bijgewerkt. Maar de software voor de onze luchtmacht heeft zich al jarenlang bewezen en zal niet zomaar een upgrade krijgen. En daar gaat het om. Hoeveel schade kan er uiteindelijk ontstaan. En om eerlijk te zijn, die paar duizend euro’s die van een bankrekening gejat kunnen worden is relatief gezien maar een hele kleine schadepost. Een auto die tegen een paaltje botst levert al snel meer schade op. En daarop wordt uiteindelijk het veiligheids-aspect gebaseerd.

                      1. Wim, ik ben het met je eens dat er terecht hogere eisen gesteld worden aan auto’s en vliegtuigen dan aan kantoor-PC’s. Een rijbewijs voor auto’s: terecht, van met een auto heb je zo een voetganger of fietser kapot gereden. Rijbewijs voor een computer? Als je documenten kwijtraakt door onvoorzichtig surfen: eigen schuld.

                        Wim, een belangrijk punt; ontwikkelaars van PC software kiezen liever voor het opleveren van extra functionaliteit dan aan een investering in veiligheidsaudits. En, zoals je al aangeeft, gebeurt dat op rationele gronden. Maar nu komt de juridische hamvraag: Welke aansprakelijkheid horen softwaremakers te dragen voor de gevolgen van hun keuzes? En ook: Welke aansprakelijkheid hoort een bank te nemen bij het aanbieden van Internetbankieren?

                        1. Een bank die extra functies boven veiligheid verkiest behoort gewoon zelf de verantwoordelijkheid voor misbruik te dragen. Het is immers hun keuze geweest. En daarbij ook nog eens een keuze waar de klant geen weet van heeft. De bank loopt immers geen reclame te maken met wij kiezen voor extra features boven veiligheid…

                          1. Jammer genoeg zijn klanten er medeschuldig aan. Dit komt omdat klanten kiezen voor banken die hen het meeste opleveren. Ze kijken te weinig naar hoe de bank hun bankzaken beschermt. Sterker nog, veel klanten laten zich leiden door allerlei cadeautjes die de banken geven als je een rekening bij hen opent. Een spaarpot of grote, oranje leeuw is al voldoende voor ouders om voor hun kind een rekening te openen. Of een extra hoge rente. (Of juist lage rente in geval van leningen.) De klant vraagt helemaal niet om beveiliging! De ING is behoorlijk populair met internet-bankieren omdat je alleen maar een telefoon en een webbrowser nodig hebt. Andere banken willen juist een pasje en reader erbij en die moet je maar net meenemen als je op reis gaat. Je merkt het ook met nieuwere functies zoals betalen via je mobiele telefoon en diverse apps voor de banken waarmee je kunt gaan bankieren (tot een bepaald, laag bedrag) zonder ooit je pas nodig te hebben. Alleen maar een pincode ter beveiliging. Ik kan dus zo 200 euro van mijn AMRO rekening overmaken naar een andere rekening (moet ik wel eerder aan hebben betaald of geld van hebben ontvangen) zonder een pasje nodig te hebben. De klant krijgt waar hij om vraagt en de klant vraagt niet om extra veiligheid…

                            1. De klant gaat er vanuit dat de experts van de bank wel goed zullen hebben nagedacht over de beveiliging, en dat de experts van de bank er voor zullen zorgen dat hun bankrekening niet geplunderd wordt.

                              De banken zijn ook al sinds jaar en dag bezig het beeld te scheppen dat ‘jouw geld bij de bank veilig is’, dus wat mij betreft is deze verwachting van de klanten terecht.

                              1. Tja, dat is hetzelfde als klanten van de slager die rundvlees verwachten en geen paardenvlees als ze een biefstuk kopen. Beiden zijn gewoon onder de noemer “biefstuk” te koop maar het is altijd even handig om navraag te doen als je weet dat je slager ook paardenvlees verkoopt. Je hebt als klant nu eenmaal ook je eigen onderzoeksplicht. Ik zie banken overigens meer adverteren met “gemakkelijk” dan “veilig”. En gemak vinden klanten belangrijker dan beveiliging. Klanten gaan veel te gemakkelijk om met hun geld, of juist enorm onzorgvuldig. Als je beseft dat er nog steeds mensen in de 419-scams trappen dan moet je gewoon beseffen dat mensen gewoon extreem dom kunnen zijn. Hopelijk schudden de bankschandalen, de schandalen rond Vestia en de schandalen rond KPMG de consumenten wat meet wakker. Maar ja, als mensen dan zo dom zijn om hun tas met daarin 80.000 Euro gewoon vergeten in een restaurant dan heb ik toch echt grote twijfels over de gemiddelde klant. Klanten zijn gewoon slordig!

                                1. het is altijd even handig om navraag te doen als je weet dat je slager ook paardenvlees verkoopt.

                                  De meeste klanten weten dat niet. Ik vind ook niet dat je dat van de klant kunt verwachten. Zelfde als bankveiligheid. Als banken niet adverteren met veiligheid, dan zullen klanten er vanuit gaan dat het wel goed zit met de veiligheid. Dat is toch vanzelfsprekend?

                                  Wat ik zei over banken die met veiligheid adverteerden, dat was vroeger. Ze hebben jarenlang het beeld geschapen dat je geld veilig is, en nu dat helemaal vastgeroest is, gaan ze daaraan morrelen in de naam van “gemakkelijkheid” zonder te vermelden dat de veiligheid daardoor steil omlaag gaat.

                                  Daarom vind ik dat je als klant er nog steeds vanuit mag gaan dat de bank goed voor de veiligheid zorgt, en als dat mis gaat, dat zij er dan voor opdraaien.

                                  1. Er is bijvoorbeeld restaurant Piet de Leeuw in Amsterdam waar ze lekkere biefstukken verkopen. Echter, tot voor het paardenvlees-schandaal werd er niet vermeld dat het om paardenvlees ging. Tegenwoordig staat het apart vermeld op het menu en kun je als klant dus kiezen. Rundvlees is daarbij wel 5 euro duurder… De term biefstuk is in het algemeen van toepassing op rundvlees, maar dat komt omdat rund gewoon een populair stuk vlees is. Maar het is gewoon de benaming van een mager stuk vlees en kan dus ook van varkens, herten, struisvogels en paarden komen. Er zijn echter maar weinig slagers die standaard naast rund, schaap en varken ook paard verkopen. Daarnaast worden er maar relatief weinig paarden geslacht en zijn er nog minder geschikt voor consumptie. Dit omdat we paarden niet fokken als onderdeel van de voedselketen maar voor andere doeleinden. Er is ook niets mis met slagers die paardenbiefstuk verkopen als het maar enigszins duidelijk is dat het om paardenvlees gaat. Het is pas een probleem als de klant bewust misleid wordt. Maar als je weet dat een slager ook paardenvlees verkoopt, wat vaak wordt aangegeven, dan kun je beter even vragen welk soort vlees de biefstuk is…

                                    1. Het woord “biefstuk” betekent letterlijk “een stuk rund” (bief komt via-via van het latijn ‘bovem’ (koe, os)). Niet raar om te verwachten dan je rundvlees krijgt als je biefstuk bestelt. Paardenbiefstuk zou dus beter ‘equistuk’ of iets dergelijks genoemd kunnen worden, maar paardenbiefstuk is wmb acceptabel 🙂

                                      1. Tja, de benamingen voor vlees nemen het tegenwoordig niet zo nauw meer met de ware herkomst. Het restaurant serveert overigens haas (filets) en nee, die komen niet van hazen. 🙂 Of de ossehaas, die eigenlijk van gecastreerde stieren afkomstig moet zijn. En dan ga ik het maar niet over hotdogs hebben. 🙂 Beefsteak wordt in het Engels vertaald als “a steak cut from beef cattle” en gelukkig hebben ze het over ‘beef cattle’ want anders vallen er ook paarden onder. Maar ja, ‘steak’ is daar ook een apart woord en kan in principe van ieder dier zijn. Maar wil je het nauwkeurig benoemen dan is het een paardenstuk of paardenhaas. Maar haas is al voldoende, behalve dat je dan niet weet van welk dier het komt.

                                        Tja, en rosbief dan? Een paard (ros) en een rund (bief) in 1 woord…

                                        Okay, nog 1 opmerking. Je zou verwachten dat het ‘bief’ deel uit het engels komt als variant op ‘beef’. Maar het Nederlands heeft ook veel Franse leenwoorden en dan heeft ‘bief’ opeens een andere betekenis. Maar ja, “bereiken stuk” klinkt niet. Er kan misschien ook een andere Franse variant erop zijn gebruikt. Maar de Engelse variant klinkt logischer.

                                        1. He ja, gezellig. Leuke off-topic gesprekjes over de herkomst van vleeswaren 🙂 Maar goed, bief in het frans is natuurlijk beauf. Steak kan inderdaad elk dier zijn, zolang het geroosterd kan worden aan een stok (hint). Rosbief komt van ‘roast beef’, wat niets te maken heeft met ros (ros -> ors -> hors -> horse).

                                          En daarom, beste leden van de jury, zijn deze grootouders niet gokverslaafd (Chewbacca defense).

          2. Die nieuwe voorwaardes van de banken zijn volgens mij niet geheel in overeenstemming met wet en regelgeving omdat het de bank is die moet aantonen dat de persoon nalatig is geweest en niet de gebruiker die moet aantonen dat hij of zij correct heeft gehandeld.

    2. “Het is theoretisch mogelijk maar zeer onwaarschijnlijk dat een derde het IP-adres van dit huis heeft misbruikt.” Als econometrist gaan de rillingen mij over het lijf als juristen, advocaten, aanklagers of rechters beginnen over waarschijnlijkheid. Op de een of andere manier ziet men daar bewijs in, terwijl het eigenlijk helemaal niets zegt. Statistische kansen kan je namelijk niet op een individuele casus toepassen! Om het verkeerde idee wat te illustreren: Het is ook erg onwaarschijnlijk dat ergens de bliksem inslaat, toch slaat bliksem altijd ergens in. Hoe vaak gebeurt er niet iets waarvan je roept “Wat is de kans?” Er zijn zoveel dingen die onwaarschijnlijk zijn dat ze je gebeuren, dat je vrijwel zeker iets onwaarschijnlijks overkomt.

      Als een man verbrand uit een weiland komt dan zal niemand zeggen dat hij niet door de bliksem is geraakt omdat dat statistisch onwaarschijnlijk is.

      Het gaat om het afwegen van de waarschijnlijkheden van verschillende scenarios. De bank zal aannemelijk proberen te maken dat er gegokt is, de grootouders zullen proberen duidelijk te maken dat er ingebroken is.

      Welke van de twee scenarios statistisch onwaarschijnlijker is heeft hier weinig mee te maken, het gaat hier natuurlijk om specifieke omstandigheden en een specifiek geval.

      1. Het probleem met met het grote vertrouwen is dat als jou iets onwaarschijnlijks overkomt en je waarschijnlijkheden gaat afwegen je een soms onoverkomelijk probleem hebt.

        De Nederlandse post is redelijk betrouwbaar, toch raken ze wel eens iets kwijt. Hoe ga jij ooit bewijzen dat jij iets niet ontvangen hebt als het tegenargument is “De post is heel betrouwbaar, het is wel heel toevallig dat je net die belangrijke brief niet hebt ontvangen”? Bewijzen dat je wel ontvangen hebt is makkelijk, je hebt de brief, andersom heb je de statistiek tegen je.

        Door het belang wat aan statistiek wordt gehangen zal, ondanks dat het bekend is dat er post zoek raakt, niemand ooit in een rechtzaak kunnen bewijzen dat hij niets heeft gehad. Omdat ieder individue zal worden weggestuurd met de mededeling dat het wel heel onwaarschijnlijk is. Daarom kan je een veroordeling nooit alleen op statistisch bewijs baseren. Het kan slechts ondersteunen bij de bewijsvoering.

        De casus hier is echter vrij duidelijk op te lossen zonder op statistiek terug te vallen. 1. De bank heeft het IP adres vanwaar de opdracht is gegeven, deze behoort toe aan de klant. Een verifieerbaar feit. Het bewijst dat vanaf het netwerk van de klant opdracht is gegeven. Hij stelt dat dit wel de klant moet zijn geweest.

        1. De klant stelt dat hij het niet was, maar een ander dus toegang tot zijn netwerk had. Dit is niet verifieerbaar en dus geen feit.

        2. Wel kan de klant een expert zijn PC laten doorzoeken en als die malware vindt waarmee derden vanaf het netwerk van de klant opdrachten hadden kunnen versturen is dat een verifieerbaar feit. Dit laatste feit zorgt ervoor dat de bank niet meer kan claimen dat het IP adres bewijst dat de klant de opdracht heeft verstuurd er is immers aantoonbaar een andere mogelijkheid.

        Dan is het tenslotte aan de rechter te bepalen wie in dat geval opdraait voor de schade. Oftewel had de klant zijn netwerk beter moeten beschermen, of had de bank een andere beveiliging moeten gebruiken die hier niet gevoelig voor is?

        Als een man met brandwonden bij de verzekering aanklopt dat hij door de bliksem is getroffen en de verzekeraar zou een belang hebben dat te ontkennen zie ik dat wel degelijk gebeuren. De man zal dan naar een arts moeten om die te laten onderzoeken waar de verwondingen door veroorzaakt zijn.

        1. De juiste manier van redeneren is dat je de waarschijnlijkheid van de ene mogelijkheid tegen die van de andere mogelijkheid afweegt. In het voorbeeld van de niet ontvangen brief moet je de kans op niet-ontvangen afwegen tegen de kans dat een willekeurig persoon die zulk een brief krijgt, zal liegen dat hij deze niet heeft ontvangen. Dat laaste is natuurlijk niet makkelijk te berekenen, maar dat is een implementatiedetail.

          1. Mijn punt is dat die afweging op het individuele geval onzin is. Het heeft geen enkele houdbare basis! En als je toch wil weten wat er fout mee kan gaan hier nogmaals mijn link inzake wat er mis ging bij Lucia de Berk.

            Stel dat het om onafhankelijke kansen gaat: A heeft 10% kans van optreden en B heeft 80% kans en er is 10% kans dat geen van beide plaats vindt. Je kan achteraf echter alleen maar vaststellen dat A of B is gebeurt of dat niets is gebeurt. De redenatie die jij nu voorstelt is dat als je achteraf vaststelt dat A of B is gebeurt je moet concluderen dat B is gebeurt want dit is immers veel ( wel 8x) waarschijnlijker. Vooraf kan je stellen dat als er iets gebeurt dat met kans 11% A is en met kans 89% B. Tot zover wat je op basis van kansrekening (en statistiek om tot de 10% en 80% incidenties te komen) kunt zeggen.

            Nu heeft deze situatie zich voorgedaan en constateer je een toestand waarin A of B gebeurt moet zijn. Je kunt dan niet meer zeggen dat met 11% kans A is gebeurd en met 89% kans B. Het is namelijk al gebeurd en dus is het deterministies. Of A is gebeurd of B is gebeurd er is geen onzekere gebeurtenis meer. De uitspraak B is gebeurd want dat is veel waarschijnlijker is gewoon fout, maar wel wat rechters doen!

            Stel dat je nu een methode vindt om achteraf vast te stellen of het A of B is geweest. Je kunt dan zeggen dat je verwacht dat 11% van de gevallen door A veroozaakt zal zijn en 89% door B. Na controle hoeft dit niet exact te kloppen, maar hoe meer waarnemingen je hebt hoe dichter het bij deze verdeling zal komen te liggen. Met één waarneming zal je die verdeling nooit krijgen, sterker met minder dan 100 waarnemingen kan je deze verdeling niet eens krijgen (11 en 89 hebben geen GGD, 11 is een priemgetal)

            Dus nogmaals kansrekening en statistiek kan niet gebruikt worden om uitspraken te doen over een enkele gebeurtenis.

            1. Natuurlijk kan dat wel.

              Het doel van het rechtssysteem is (even heel simplistisch gezegd) om het aantal ‘correcte’ uitspraken te maximaliseren.

              Wat je doet is, gegeven alle bekende informatie, berekenen in hoeveel van de gevallen met deze zelfde informatie A is gebeurd, en in hoeveel van de gevallen B. Daaruit trek je de conclusie dat met waarschinlijkheid x A is gebeurd, en met waarschijnlijkhetd y B. Als y nu veel groter is dan x, dan moet je, als rechtssysteem, ervoor kiezen om B als ‘bewezen’ te betitelen, dan krijg je namelijk als rechtssysteem het maximale aantal ‘juiste’ uitspraken.

              NB: Dit gaat over civiele rechtspraak. Strafrechtelijk is het doel van het rechtssysteem anders, en ga je dus navenant anders om met waarschijnlijkheden.

              1. Wat je bedoelt is het kan eigenlijk niet maar we doen het toch omdat we niets beter weten te bedenken. We nemen daarmee voor lief dat er onschuldigen schuldig worden bevonden. En als je denkt dat dat in het strafrecht niet gebeurt? De zaak tegen Lucia de Berk was volledig gebaseerd op statistisch ‘bewijs’ en zie hier wat voor schade je aanricht door zo grandioos de fout in te gaan.

                Op zijn minst mogen alle rechters verplicht een opleiding statistiek gaan volgen op een iets hoger niveau dan de middelbare school voor ze uitspraken doen niet geremd door enige onkunde (in de statistiek, ongetwijfeld kennen ze de wet wel)

    3. ik leg dit altijd zo uit: stel dat uit een analyse volgt dat een match tussen jouw DNA en het DNA dat bij een misdrijf gevonden is zo goed is dat de wetenschapper zegt dat de kans dat ze niet hetzefde zijn 1 op anderhalf miljoen is.

      De meerderheid zal besluiten dat het zo goed als zeker is dat jij de dader bent.

      Terwijl de waarheid is dat er in Nederland 15 miljoen mensen rondlopen, dus dat er 10 mensen zullen zijn met een gelijke match. Objectief is dus de kans dat jij de dader bent slechts 10 procent.

      1. En dan vergeet je nog even dat het ook kan zijn dat de dader iemand is die bij de test niet tot een match kwam! Je hebt dus nog steeds 15 miljoen verdachten 😉

        Wel heb je bij de 10 mensen met een match de beste kans dat de dader er tussen zit, dus kan je je verdere zoektocht uit efficientie het best op deze groep richten.

        1. En om het nog complexer te maken: er is een aandoening genaamd Chimera en deze kan voor een afwijkend DNA-profiel zorgen. Een mooi voorbeeld hiervan is Lydia Fairchild, die in problemen kwam na haar echtscheiding, waarbij even een DNA-analyse werd gedaan van de ouders en kinderen om te bepalen of de vader wel de echte vader was. Dat was het geval, maar moeder was niet de echte moeder, terwijl ze wel degelijk die drie kinderen “uitgepoept” heeft. Daardoor werd ze aangeklaagd wegens fraude en waren er nog enkele andere problemen totdat werd vastgesteld dat deze vrouw DNA van twee personen bevat! Haar baarmoeder had ander DNA dan haar huid en wangvliezen!

    4. Een ander voorbeeld: DNA tests hebben een onnauwkeurigheid van 0.1%. Je mag dit niet op een enkele test toepassen en dan zeggen dat die wel goed moet zijn want de kans op een fout is zo klein. (Meer info). Er zijn (enge) mensen die een DNA database willen aanleggen van alle Nederlanders, omdat dat zo makkelijk is om criminelen mee op te sporen. Ik twijfel er niet aan dat dit laatste juist is, alleen als 0,1% van de tests fout gaat (een match oplevert terwijl die er niet is of geen match terwijl je wel de juiste persoon test) en je voer 17 miljoen tests uit dan heb je wel een idee hoeveel van die tests ongeveer fout zullen zijn. (Naar verwachting 17.000!) Er is een kleine kans dat je dader niet in de testset zit en een grote kans dat je een match hebt met onschuldige mensen.

      Je voert geen 17 miljoen tests uit maar 1 test die je in theorie tegen 17 miljoen profielen aanlegt. Het kan best zijn dat 0,1% van DNA test iets fout gaat maar dat zegt niet dat er dan meteen een ander persoon in aanmerking komt maar eerder dat de dader niet herkent zal worden. Zelfs als er bij minder dan 1 op de 1000 DNA test iemand anders uit die 17 milljoen zou vallen dan zal dat eigenlijk vrijwel nooit een probleem opleveren omdat de kans juist bij zoveel mensen de kans ongelooflijk klein is dat een matchende persoon een andere relatie met het misdrijf zal hebben. Het zal hoogstens een uitbreiding van het onderzoek opleveren. Alleen als een match valt binnen een bepaalde beperkte groep mensen die gelegenheid tot het plegen van het misdrijf hadden en die bijvoorbeeld vallen binen een daderprofiel (zoals bij de zaak Vaatstra) zal het voldoende bewijskracht hebben om iemand veroordeeld te krijgen

      De kans dat er bijvoorbeeld foute identificaties gemaakt worden met het tonen van video beelden bij Opsporing Verzocht is VEEL VEEL groter. En dat is wel een geaccepteerde opsporingsmethode.

      Een heel belangrijk argument tegen een DNA database vormen de kosten. Nu in 1 keer een dergelijke database aanleggen van iedereen in nederland kost een paar miljard en jaarlijks nog tientallen miljoenen in onderhoud. Je zou wel heel veel winst moeten boeken in opsporing om een dergelijke investering waar te maken.

      Een ICT medewerker van een opsporingsdienst heeft me wel eens verteld hij had uitgerekend dat het alleen financieel verantwoord zou zijn als je voortaan van alleen mannen van 12 jaar en ouder het DNA profiel zou vastleggen. Na 15-20 jaar zou de opbrengst tov de jaarlijkse kosten ongeveer gelijk zijn (15 -20 miljoen euro) en vervolgens zou het iets aan geld opleverenen en gek genoeg kun je er uiteindelijk ook vrouwelijke daders mee opsporen adhv familie relaties. Maar politiek houdt niet van DNA databases en ook zeker niet van oplossingen die pas na 15 jaar rendabel zijn en ook alleen profielen van mannen opslaan zou ook niet goed vallen dus zal het nooit voorgesteld worden.

      1. Het bijhouden van DNA profielen kan iets voordeliger worden als het naast opsporing ook voor andere doeleinden gebruikt kan worden. Denk bijvoorbeeld aan wetenschappelijke doeleinden en het vaststellen van stambomen. Ook opsporing van genetische afwijkingen kan zo op grote schaal worden uitgevoerd. En nog veel meer. Het enige probleem hierbij is vooral de privacy. Overigens hoeft de verdachte niet in de DNA databank te zitten maar kan het al voldoende zijn als een naast familielid (vader, broer, opa) in de database zit. Men heeft dan geen complete match maar kan dan wel bepalen dat de dader mogelijk verwant is aan deze personen en binnen enkele families dus het onderzoek verder voortzetten. (Niet alleen via DNA maar ook gewoon even informeren en uithoren.) Het bijhouden van DNA profielen is iets dat ze bij b.v. rashonden en andere huisdieren, onze veestapel en de dieren in dierentuinen willen gaan bijhouden. Bij huisdieren is dat belangrijk ter bestrijding van erfelijke ziektes en diverse rashonden worden al gescreend op potentieel erfelijke afwijkingen. Als ze die hebben dan mag er eigenlijk niet mee gefokt worden. Idem met de veestapel, aangezien een enkele stier tegenwoordig duizenden nakomelingen kan krijgen. Als daar nieuwe fokstieren tussen zitten is de kans op inteelt erg groot. En dierentuinen hebben sowieso een probleem dat het lastig is een gezonde populatie van dieren te houden zonder inteelt. Daarvoor komen ze eigenlijk wat dieren voor tekort. Om die reden is in Denemarken b.v. een giraf geslacht omdat hij nergens terecht kon waar geen familie woonde. En wat het lastiger maakt is dat dieren in het wild vaak diverse ondersoorten kennen en men in dierentuinen deze ondersoorten liever niet met elkaar kruizen.

        1. Het bijhouden van DNA profielen kan iets voordeliger worden als het naast opsporing ook voor andere doeleinden gebruikt kan worden. Denk bijvoorbeeld aan wetenschappelijke doeleinden en het vaststellen van stambomen. Ook opsporing van genetische afwijkingen kan zo op grote schaal worden uitgevoerd. En nog veel meer. Het enige probleem hierbij is vooral de privacy.

          Een DNA profiel voor identificatie (opsporing en rampen) is eigenlijk niet veel meer dan een set van 13 of 15 cijfertjes die 13 of 15 onderscheiden delen van het DNA identificeren. Deze paar gegevens zeggen niets over een persoon. Daarom is een DNA profiel voor identificatiedoeleinden ook vrijwel niet privacygevoelig.

          Met zo’n minuscuul gegevenssetje dat nog geen miljoenste deel van iemands DNA informatie bevat kun je natuurlijk niks voor wetenschappelijke doeleinden of genetische afwijkingen. Daarvoor zou je veel grotere grote delen van het DNA moeten vastleggen en dat is veel duurder zowel om te bepalen als om vast te leggen.

          1. Tja, al zijn het maar 13 nummertjes, het is wel in staat om de 17 miljoen verdachten in Nederland te reduceren tot enkele duizenden. Mogelijk zou je de ethniciteit van de dader ermee kunnen bepalen zodat je weer dat de verdachte onder een bepaalde bevolkingsgroep gezocht moet worden. Of binnen bepaalde families. De vraag is alleen of die nummertjes ook onderverdeeld zijn op ethniciteit of niet. Ik neem aan van niet, maar weet dat niet zeker. Wel denk ik dat als een verdachte op 11 van de 13 punten overeen komt met het profiel van de dader, dat het zeer waarschijnlijk kan zijn dat de dader qua ethniciteit op deze verdachte zal lijken. Immers, het DNA geeft aan dat ze grote overeenkomsten hebben.

  11. Zou het nog een rol kunnen spelen dat de bank een betaling heeft gefaciliteerd naar een in Nederland illegaal opererende instantie?

    Ik begrijp dat financiële transacties naar illegale online casino’s niet onder het strafrecht vallen. Maar als er in het verleden vaker op dezelfde manier mensen zijn opgelicht met (grote) betalingen naar dit specifieke casino of naar vergelijkbare casino’s, komt dan de zorgplicht van de bank niet om de hoek kijken? Uiteraard er van uitgaande dat het hier om een geslaagde phishing poging/malware gaat.

  12. Als bank zou ik natuurlijk meteen beweren dat hetzelfde IP-adres is gebruikt. Of dat zo is, zal zij zonder rechterlijk bevel waarschijnlijk niet hoeven aan te tonen, of wel?

    Als eerste stap is het misschien aan te raden om te controleren of de grootouders bij hun provider daadwerkelijk een vast IP-adres hebben.

    Mag een bank overigens IP-adressen voor lange tijd bewaren, onder het mom van fraudeopsporing?

  13. Even een ander puntje… Dat online casino, richt zich dat op Nederlanders? En zo ja, is deze dan wel legaal in Nederland? Want als dat casino illegaal opereert in Nederland dan had die betaling volgens mij niet plaats mogen vinden. Een aangifte tegen dat casino, misschien? En bij de bank dus vragen om dit geld terug te storten omdat het een criminele organisatie betreft die Nederlanders oplicht.

    Tja, hoe het gebeurd kan zijn? Het kan natuurlijk altijd zo zijn dat een der grootouders toch online gokt maar dat de ander daar niets van weet. Dat is mijn eerste gedachte. Mijn tweede gedachte is, aangezien het om een ouder stel gaat, dat een hulpverlener of schoonmaakster in huis de computer heeft gebruikt en daarbij de tancodes van het stel weet te vinden. Webbrowsers onthouden namelijk het wachtwoord van iDeal (bij mij in ieder geval) dus het enige wat een dief dan nog nodig heeft is de juiste TAN code. Als die via een mobiele telefoon worden aangeleverd dan hoeft de dief verder alleen nog over die mobiele telefoon te beschikken en Kassa! Zo veilig is de ING dus niet. De ABN-AMRO is in dat opzicht iets veiliger omdat je daar wel een apparaat en je pas nodig hebt. Maar voor de ING dus niet!

    1. De ABN-AMRO is in dat opzicht iets veiliger omdat je daar wel een apparaat en je pas nodig hebt

      Je hebt alleen je pas (één van je passen) nodig. Je hebt wel een apparaat nodig, maar dat is niet aan je pas of rekening gebonden. Met de reader van de buren werkt het ook.

      1. Klopt wel. Een van je pasjes plus een willekeurige reader is al voldoende. Maar dat zijn twee dingen die je nodig hebt die je niet op een computer kunt vinden. Bij de ING kan het wachtwoord al opgeslagen zijn in de browser en dan heb je alleen nog de mobiele telefoon nodig. Kans bestaat dat deze gewoon in de buurt van de computer ligt zonder extra beveiliging. Een simpel toestel als de DORA voor ouderen zal niet snel beveiligd zijn door de eigenaar maar kan wel SMS-berichten ontvangen. Maar het kan natuurlijk ook dat dit stel gewoon een papiertje met TANcodes erop gebruiken. Even een kopie van maken en klaar! Wachtwoord van de ING ook even ‘stelen’, wat bij sommige browsers gewoon kan door de opgeslagen wachtwoorden te bekijken en klaar! De ING is wat mij betreft dan ook onveiliger dan andere banken omdat je pas totaal niet nodig is.

  14. Is het niet zinvol om info aan de goksite te vragen. Zij kunnen mogelijk wel bevestigen of het geld nog aanwezig is adhv de gegevens bij de overboeking. Mogelijk kunnen ze bevestigen dat het geld wel of niet gebruikt is met een account die via het IP adres van de grootouders was ingelogd.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.