ING hoeft slachtoffer van nep ‘LinkedIn-helpdesk’ niet te vergoeden

ING hoeft een klant die werd opgelicht door iemand die zich voordeed als de helpdesk van LinkedIn niet te vergoeden, las ik bij Security.nl. Het financiële klachteninstituut Kifid oordeelde dat de transactie binnen de risicosfeer van de klant viel en niet die van de bank. De klant had vanwege een probleem met haar LinkedIn-account hulp gezocht en was bij een oplichter terechtgekomen, die haar wijs had gemaakt dat ze twee euro moest betalen en erin slaagde tweehonderd te pakken te krijgen. Eigen schuld, aldus de bindende uitspraak.

De klant was op zoek naar hulp voor een probleem met haar LinkedIn-account, en vond een oplichter die zich voordeed als de LinkedIn-helpdesk. Die had bedacht dat je als authenticatie twee keer een euro moet betalen, die je daarna terug zou krijgen. In plaats daarvan werd twee maal honderd euro afgeschreven. Toen de vrouw eiste dat dit terugbetaald werd, werd ze nogmaals genept en bleek er tweehonderd euro extra afgeschreven in plaats van vierhonderd terug.

Nadat een en ander uitkwam, deed de klant aangifte en eiste bij de ING het geld terug. Dat is niet raar: de wet legt in beginsel álle risico bij niet-toegestane online betalingen bij de bank (art. 7:529 lid 1 BW), zij het met een eigen risico van maximaal €150. Een uitzondering hierop is als sprake is van fraude, opzettelijk handelen of grove nalatigheid aan de zijde van consument.

We spreken van een “niet-toegestane” betaling als de consument daar geen instemming voor heeft gegeven (art. 7:522 BW). Daar kunnen afspraken over de procedure over gemaakt worden, bijvoorbeeld dat je toestemming geeft door via internetbankieren met je authenticatiekastje of -app een bepaalde handeling te verrichten en een code in te voeren.

Nu Consument zelf de betalingen heeft verricht en bovendien de oplichter toegang heeft gegeven tot haar computer waardoor hij de overgeboekte bedragen kon manipuleren, al was zij zich hiervan niet bewust, bestaat voor de Bank geen verplichting de door Consument gevorderde schade te vergoeden.
Dat klinkt wel erg makkelijk, gezien de zorgplicht van een bank. De uitspraak is erg kort zodat details over wat er precies gebeurd is. Ik lees dat de vrouw twee keer een iDeal-betaling aangeboden kreeg, waarmee dus die 200 euro werd afgeboekt. Maar was dit een phishing-iDeal betaling waarbij het leek of er één euro werd betaald, of heeft zij niet goed gekeken dat er 200 stond bij het af te boeken bedrag? En wat moet ik met ” Consument is op verzoek van de oplichter ook naar een website gegaan en heeft de oplichter daarmee (onbewust) toegang gegeven tot haar computer. ” in relatie tot het betalen?

Het maakt voor mij wezenlijk uit of je niet oplet bij het bedrag dat in een eerlijke iDeal-link staat dan wel dat die link nep is en op de achtergrond wat anders naar de bank stuurt. Dat laatste hoort niet mogelijk te zijn en vind ik altijd het risico van de bank. Als ik een transactie autoriseer en het bedrag kan anders zijn dan ik denk, dan is de autorisatie ontoereikend en heb ik geen instemming gegeven. Maar let ik niet op dat er 200 bij “Bedrag” staat (bijvoorbeeld door de mooie praatjes aan de telefoon) dan zou ik het eerder mijn risico vinden.

Arnoud

15 reacties

  1. Als ik het goed lees is het een tech-support scam waarbij de scammer met een remote-desktop tool de webpagina manipuleert. Het scherm wordt even op zwart gezet, de scammer past bedragen aan mbv de ‘Inspector’ in de browser, en laat de gebruiker het scherm weer zien. Dat zou de situatie kunnen veranderen in ‘grove nalatigheid’.

    Wat wel interessant is is het gebruik van een iDeal-betaling: dat suggereert dat de ontvanger een onderneming is waarbij de ontvangende bank (of PSP) degelijke KYC heeft (moeten) uitvoeren. De ontvangende bank/PSP zal in het algemeen – juist voor dit soort situaties – een ‘borgpotje’ van de ontvanger hebben. Dat lijkt me een veel praktischere kant om het geld terug te halen (en ik zou eigenlijk van de ING in dit geval verwachten dat zij dit voor je doen).

    1. Het lijkt me makkelijk, om het een scammer moeilijk te maken zoiets te flikken. Bij de bevestig-knop check je nog een keer of het bedrag-element nog steeds het te verwachten bedrag bevat. Natuurlijk kun je ook daar omheen, maar waarschijnlijk niet zo makkelijk als even het scherm een paar seconden op zwart.

      Dit soort beveiligingen moet de bank wel weer inbouwen, waar mogelijk. Als ze dat nalaten, zou het moeilijker moeten zijn de klant aan te spreken op nalatigheid.

      1. Of zelfs een checksum / signering van de hele innerHTML in het iDeal component. Uiteindelijk zal het bijna altijd mogelijk zijn om zoiets te omzeilen wanneer je ‘fysieke’ toegang hebt tot de client, maar je mag van een bank verwachten dat ze het zo moeilijk als mogelijk maken.

  2. Wat Martijn als reactie schrijft is inderdaad waarschijnlijk wat hier aan de hand is. Als ik er als “technisch expert” naar kijk zou ik oordelen dat dit klopt: de bank zal vrijwel zeker een “second factor” bevestiging hebben gestuurd waarin het juiste bedrag staat, en het slachtoffer heeft die simpelweg niet gelezen zoals natuurlijk wel de bedoeling had moeten zijn.

    1. Jaron, die tweede factor van een bank bevat zelf geen informatie over het bedrag. Wanneer je op iDeal klikt, wordt je doorgeleid naar een webpagina waar het bedrag op staat. Vanaf daar voer je de verificatie uit met je app of card reader. Heeft iemand de mogelijkheid om de informatie op je computer te manipuleren, zou dat ook met deze informatie kunnen en dus zie je dat dan niet. Enige oplossing zou zijn om altijd op je telefoon of reader ook het bedrag van de transactie zelf in te moeten vullen. Maar dat vergt aanpassingen en is foutgevoelig, want een tikfout in het bedrag zou een transactie laten mislukken. Dan gaan de klanten waarschijnlijk klagen dat het veel te moeilijk is.

      1. Dat is wel exact wat de Rabobank heeft. Met die reader maak je een foto van een code (à la QR) en dan zie je op je reader wat de opdracht inhoudt. Die bevestig je, en dan krijg je de responscode terug die je op iDeal invoert. Ideaal en nagenoeg fool-proof wat mij betreft.

        1. ING heeft dat ook. Om de Ideal-betaal-opdracht te bevestigen krijg je een SMS of een notificatie in de app. In beide staat het bedrag en de naam van de begunstigde. Als dat bedrag afwijkt van het bedrag wat je dacht te betalen, dan weet je dat er iets niet in orde is (en dan hang op, klik weg en bel uw bank).

  3. Uit de PDF van KiFiD https://www.kifid.nl/wp-content/uploads/2020/11/Uitspraak-2020-871.pdf

    3.3 In dit kader is van belang dat Consument zelf de transacties heeft verricht. Hoewel de oplichter om de transacties heeft verzocht en Consument in de veronderstelling was dat zij twee betalingen deed van € 1,00 per stuk, is de oplichter op geen enkele manier betrokken geweest bij de overboeking, noch is de betaalpas en/of pincode van Consument afhandig gemaakt. Zij heeft de betalingen zelf verricht, waardoor geen sprake is van een niet toegestane transactie, zoals bedoeld in artikel 7:522 lid 2 BW.
    3.4 Nu Consument zelf de betalingen heeft verricht en bovendien de oplichter toegang heeft gegeven tot haar computer waardoor hij de overgeboekte bedragen kon manipuleren, al was zij zich hiervan niet bewust, bestaat voor de Bank geen verplichting de door Consument gevorderde schade te vergoeden.
    Volgens mij spreekt dit elkaar tegen? Als je de overgeboekte bedragen manipuleert dan ben je toch betrokken bij de transactie (waar de bedragen een onderdeel van vormen)? Vaag verhaal in ieder geval.

  4. Dit maakt weer eens duidelijk wat de toegevoegde waarde van bijv. de rabobank scanner is (ING heeft een scanner, maar een die niet de bankpas gebruikt). De belangrijke gegevens zijn te zien (en verifiëren) op het scherm van de scanner. De scanner kan niet door oplichters en/of hackers gemanipuleerd worden. Natuurlijk moet de klant alsnog het scherm bekijken, maar dat is niet heel lastig. Leuk is dat hetzelfde ook mogelijk is met de app (ook de app op de mobiel is behoorlijk afgeschermd en moeilijk te manipuleren – zeker niet via een QR code). Helaas is het niet duidelijk wat er precies gebeurde (met welke beveiligingstechnieken), maar het lijkt dat ook ING nu een voldoende beveiliging heeft (via app of scanner waardoor de opdracht zichtbaar is voor de consument bij de bevestiging). Helaas zijn oplichters er goed in om mensen te misleiden of afleiden, maar dat is niet echt de schuld van ING.

  5. Ben ik nu de enige die het raar vind dat de ING hier zou moeten betalen?

    Stel, mijn naam is John Doe. Iemand heeft iets te koop, weet via via dat ik iets verkoop dat zij zoekt. Ze zoekt op mijn naam, en warempel, ze vind iemand met mijn naam, die ook verkoopt wat zij wil kopen, de website lijkt zelfs op die van mij. Nu wordt ze via die persoon opgelicht. Lijkt me sterk dat IK dan aansprakelijk ben voor een betaling die iemand overmaakt naar iemand die zich voordoet als mij. Ik weet niet eens dat die website bestaat. Het feit dat de betaling loopt VIA de ING en misschien wel een andere bank maakt die bank nog niet schuldig. Je stelt de provincie toch ook niet aansprakelijk als iemand je berooft en wegrent over de openbare weg? En hoe verwacht je dat de ING een betaling van 200 euro als verdacht kan zien? De betaling loopt via IDEAL, lijkt mij dat het een probleem is van de persoon zelf (Politie) en/of ideal.

    Iemand uit mijn vriendenkring is ook kortgeleden opgelicht op deze manier, de persoon heette heel anders dan de persoon die vermeld werd bij het chatten, maar daar had ze niet op gelet.

    1. De aansprakelijkheid zou m.i. ontstaan als de iDeal procedure rammelde, bijvoorbeeld omdat het getoonde bedrag eenvoudig te manipuleren was of jij in je tweefactorbevestiging geen bevestiging van het bedrag krijgt. Als een crimineel op mijn laptopscherm van 200 2 kan maken, en de app zegt alleen “weet u het zeker”, dan zou ik de bank nalatigheid verwijten want dan betaal ik 200 euro terwijl ik mocht denken dat het 2 was.

  6. of jij in je tweefactorbevestiging geen bevestiging van het bedrag krijgt

    Dit is dus iets wat bij ING prima geregeld is: bij een bevestiging via de ING app krijg je altijd het over te boeken bedrag te zien, waarna je moet bevestigen met je app PIN. Wordt er nog gebruik gemaakt van de ouderwetse TAN codes per SMS, dan staat in de SMS het over te boeken bedrag genoemd. Ik kan me voorstellen dat mensen er niet op letten (als je in je “overboek flow” zit, dan weet je waar je moet kijken), maar ING heeft het hoe dan ook laten zien ter bevestiging. Mocht er gebruik gemaakt worden van de (antieke) TAN codes op papier, dan is de check er niet.

  7. Ik durf zelfs de hele lezing van de klager in twijfel te trekken. Een aantal feiten over een iDeal betaling :

    • De authorisatie van de betaling gaat altijd via de website van de bank.
    • Het kunnen uitvoeren van een betaling is onderheving aan een overeenkomst met de bank. Om consumenten te behouden dan ze met X partijen een implementatie moeten doen zit d’r meestal een partij voor die dit voor je doet (Payment Service Provider). Voordat je een betaling doet moet je een aantal parameters meegeven (bedrag, omschrijving, wat andere dingen), en die gegevens worden in alle implementaties die ik ken gehashed, met of een crypto signature, of een hash met een secret value die alleen de PSP en de klant kennen.

    Dat is al ongeveer een jaar of 10 zo, en ik ken er niet een die anders werkt. Zodra je dat bedrag dus van 2 on 200 veranderd faalt de hash validatie, en gaat het feest niet door. Ten tweede hebben alle banken het bedrag tegenwoordig in de authorisatie staan, en staat het ook nog eens uidelijk op de site van de bank zelf.

    Ik geloof d’r dus helemaal niks van dat de bedragen zijn veranderd.

  8. De criminele partij manipuleert het bedrag ook niet in de iDeal transactie, maar in het scherm van de consument. Je kunt een getoonde webpagina immers live editten met de juiste malafide scripts. Dan zie ik in beeld een iDeal pagina met “2 euro” maar gebeurt de transactie dus met 200.

    Natuurlijk zou het dan wel op moeten vallen op je random reader of app waarin je de bevestiging geeft, aangezien daar ook het getal moet staan. Wellicht dat er voor 200 gekozen is omdat een snelle blik op een kleine tekst met “200” lijkt op “2,00”? Laat ik het zo zeggen: de ING app toont niet in 100-punts niet-te-missen lettertype een apart blokje met het bedrag.

    1. Uiteindelijk is het volgens mij een relatief onbelangrijke discussie waar het, technisch gesproken, precies is misgegaan. Voor de klant (en ook voor de bank) is het eindresultaat hetzelfde.

      Vanuit de kant van de bank kun je zeggen: Tja, de klant heeft iemand anders zijn computer laten overnemen tijdens de betaling, dat is zijn eigen risico, daar is geen kruid tegen gewassen.

      Vanuit de kant van de klant kun je zeggen: Dat overnemen van mijn computer is gebeurd, maar IT-ers weten dat dat kan en wat de gevolgen kunnen zijn, ik als consument niet, en dus was de bank nalatig omdat er onvoldoende waarborgen zaten in het systeem voor de niet-uitzonderlijke situatie dat de computer is overgenomen.

      Voor mij gaat het er meer om: had de bank deze mogelijkheid moeten voorzien en passende waarborgen moeten inbouwen, of had de klant maar beter moeten opletten? Ik neig naar het tweede, maar als je ziet hoe hard de banken online bankieren hebben gepusht valt er ook wel iets voor het eerste te zeggen. (Je moet tegenwoordig wel online bankieren, of je nu wilt of niet, of je als klant nu voldoende controle hebt over jouw kant van de technologie of niet)

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.