Jaar cel voor hacken en phishing, maar creditcardgegevens kun je niet stelen

| AE 9128 | Strafrecht | 20 reacties

Een man uit Amsterdam heeft vrijdag een celstraf van één jaar gekregen omdat hij verschillende websites heeft gehackt, e-mailadressen heeft gestolen en zich in phishing-e-mails heeft voorgedaan als een creditcardbedrijf. Dat meldde Nu.nl onlangs. Hij had ook creditcardgegevens te pakken gekregen, maar deze heeft hij niet gestolen want dat kan juridisch niet, zo blijkt uit het vonnis.

De man had tussen 2014 en 2016 via diverse phishingmails en -sites zich voorgedaan als creditcardfaciliteerder ICS om zo mensen over te halen hun logingegevens te verstrekken. Op die manier kreeg hij creditcarddata te pakken. Justitie wilde dit aanpakken door hem verduistering (onrechtmatig verwerven van een goed anders dan door diefstal) ten laste te leggen. Op zich niet ondenkbaar, want digitale goederen zoals Runescape-objecten of belminuten zijn te stelen, dus waarom creditcarddata niet?

Nou ja, omdat het verschil tussen die objecten en minuten enerzijds en creditcarddata anderzijds is dat die laatste niet “individualiseerbaar” is. Een belminuut is na een minuut op, en een virtueel zwaard kan worden afgepakt en is dan weg. Een creditcardnummer kan wel worden gekopieerd en gebruikt, maar daarmee is het nummer nog niet op.

Wél wordt hier het phishen van dergelijke gegevens gezien als oplichting. Iets dat vroeger niet kon – toen moest er zaken of geld worden afgetroggeld – maar sinds een paar jaar wel: het aftroggelen van informatie met listige kunstgrepen is ook oplichting. En oplichting is ook een ernstig misdrijf met stevige strafmaxima, dus dat is wel een billijke uitkomst. Ook het scannen en binnendringen van diverse websites (om daar de phishingsites te hosten) wordt strafbaar geacht, gewoon ouderwets computervredebreuk.

Leuk detail nog: bewijs was verkregen uit zijn laptop, die in de slaapkamer was aangetroffen bij een huiszoeking. Op de laptop had een politieagent de programma’s Sendblaster Pro, Gr3eNoX Exploit Scanner, Havij en een phishingwebsite gezien, waarna hij deze in beslag nam. Volgens de verdachte had dat niet gekund, omdat de laptop een screensaver had die de agent dan moet hebben weggeklikt. En dat zou dan onrechtmatig zijn, want bij een huiszoeking mag je niet zomaar in een computer kijken. Hoe dat precies zit met die screensaver wordt niet duidelijk, maar de rechtbank gelooft de agent dat deze de programma’s zag en herkende, waarmee de doorzoeking rechtmatig was.

En oh ja wie nog denkt dat rechtbanken technofoob zijn, moet dit vonnis sowieso even lezen.

Arnoud

Hoezo mag internetshoppen vanaf 2018 alleen nog met een apart betaalkastje?

| AE 9030 | Webwinkels | 25 reacties

webshop-closed-gesloten-geschlossen.pngVanaf 2018 moeten we alle internetaankopen afrekenen met een nieuw ‘pasjeskastje’, omdat de Europese bankentoezichthouder dat veiliger vindt, las ik in de Financiële Telegraaf. De Europese Bank Autoriteit (EBA) heeft nieuwe regels opgesteld voor veilige financiële transacties, en daaruit volgt dat alle transacties boven de 10 euro vanaf eind volgend jaar met een identificatie-apparaatje goedgekeurd moeten worden. Wacht even, wie is de EBA en hoezo bepalen zij dat?

De Europese Bankenautoriteit (EBA) is belast met het toezicht op de banken in de Europese Unie. Zij is een van de financiële toezichthouders die in 2010 zijn ingesteld naar aanleiding van de economische crisis en de grote begrotingstekorten van een aantal EU-lidstaten.

Eén van de taken van de EBA is invullen van de technische normen uit de Payment Service Richtlijn 2, de voorgestelde Europese regels over financiële transacties en bankieren die als opvolger dient van de wetgeving uit 2007. Deze werd in januari aangenomen en zal vanaf 13 januari 2018 van toepassing zijn.

Recent publiceerde de EBA haar consultation paper over dit onderwerp. Hierin suggereert ze allerlei technische en organisatorische maatregelen om betalen en bankieren veiliger te maken. Het belangrijkste voorstel is om een sterke klantauthenticatie in te voeren met eenmalige codes per transactie, die ook nog eens transactieafhankelijk zijn.

Die sterke authenticatie moet een tweefactorauthenticatie zijn, aldus de consultatie: iets dat je weet (zoals een pincode), en/of iets dat je hebt (zoals een kastje), en/of iets dat je bent (bijvoorbeeld een biometrisch kenmerk). Alleen als twee van die dingen ingevoerd worden, mag de transactie worden uitgevoerd. Op zich is tweefactorauthenticatie verstandig, dus niet gek dat dat hier opduikt.

Wel is het natuurlijk een tikje omslachtig, zeker bij kleine transacties. Vandaar dat men voorstelt een uitzondering in te voeren voor transacties op afstand met een waarde van minder dan 10 euro.

Ik haal echter nergens uit dat er een apart kastje móet komen (maar vind het dan weer wel knap hoe de Telegraaf dat ding dan pasjeskastje noemt en je meteen weet wat ze bedoelen.) De paper signaleert dat er een risico is met tweefactorauthenticatie op bijvoorbeeld een smartphone. Als iemand dat apparaat weet te kraken, dan wordt het mogelijk om een valse transactie uit te voeren. Je onderschept de watjeweet-factor door een neptoetsenbord en je vangt de input van de vingerafdrukscanner op, en hopla.

Een apart kastje voorkomt zulke aanvallen, dus logisch dat dat een oplossing kan zijn. Maar het móet niet:

Where any of the elements of strong customer authentication or the authentication code, is used through a multi-purpose device including, but not limited to, mobiles phones and tablets, the authentication procedure shall provide measures to mitigate the risk of the multi-purpose device being compromised.

Voorbeelden van zulke maatregelen zijn gescheiden trusted execution environments, zodat een hack of malware niet meteen het hele apparaat overneemt.

Dus nee, ik zie nadrukkelijk nergens staan dat er een kastje moet komen. Sterker nog, ik zie nergens überhaupt een aanbeveling voor een apart kastje. Dus tenzij ik iets mis, is dat bericht juridisch onjuist.

Arnoud

Rus mag van rechter kleine lettertjes creditcardcontract wijzigen

| AE 5826 | Contracten | 22 reacties

kleinelettertjes.pngEen Russische rechter heeft een man in het gelijk gesteld die eigenhandig de kleine lettertjes in zijn creditcardcontract had gewijzigd, meldde onder meer het AD. In 2008 kreeg de man een aanbod voor een creditcard van de Russische bank Tinkoff Credit Systems (TCS). Hij scande de tekst in, paste deze aan met onder meer nul procent rente en een boetebeding op contractswijziging en stuurde dit ondertekend terug. De bank gaf hem vervolgens de kaart maar rekende wel rente, en stuurde ook nog eens nieuwe voorwaarden toe. Bij de incassoprocedure voor de rente bepaalde de rechter dat de voorwaarden van de Rus bindend waren en niet die van de bank.

Kan dat zomaar? Nou ja, op zich wel. Als iemand met een contract aankomt, staat het de wederpartij vrij om in dat contract wijzigingen voor te stellen. Ook als het kleine lettertjes zijn, ze in een PDF zitten en er “Algemene voorwaarden” bij staat of er “Onze voorwaarden zijn niet onderhandelbaar” bij staat. Alles is onderhandelbaar, de vraag is alleen hoe je de wederpartij ervan overtuigt akkoord te gaan met je onderhandelvoorstel.

Hier was het echter geen uitonderhandeld maatwerkcontract waar men beiden aan vast zat. De bank dacht dat haar eigen standaardvoorwaarden waren geaccepteerd, en de creditcardhouder meende dat juist zíjn getypte voorwaarden bindend waren. Als ik dit bericht goed begrijp, dan heeft de bank zijn ingestuurde document ondertekend en geretourneerd. Dat maakt de bewijslast makkelijk: de bank is dan akkoord gegaan met zijn voorwaarden. Bij mijn creditcards heb ik nog nooit iets met handtekening teruggehad – dat hóeft ook niet in Nederland, het feit dat je creditcard werkt bewijst dat je mag kredietkaarten, maar met handtekening bewijst het wel makkelijker wáár men akkoord mee gegaan is.

Het verweer van de bank dat ze de ingestuurde voorwaarden niet heeft gelezen, doet niet heel sterk aan. Dat doen wij ook niet als de bank ons algemene voorwaarden in de brievenbus dumpt, en de wet vermeldt bij ons zelfs expliciet (art. 6:232 BW) dat dat geen argument is. Maar de voorwaarden van deze Rus zijn moeilijk ‘algemeen’ te noemen, omdat hij ze maar één keer gebruikt.

Bovendien, en dit is waar het dubieus wordt, hij heeft moeite gedaan om de voorwaarden eruit te laten zien als de originele voorwaarden van de bank. Dat riekt naar misleiding: als ik zeg “dit is jouw tekst, ik ben akkoord dus laten we tekenen” en het ís niet jouw originele tekst dan is dat contract niet rechtsgeldig gesloten. De vraag is dus, hoe duidelijk was het voor de bank dat meneer geen contract van de bank accordeerde maar een eigen contractsvoorstel instuurde?

De advocaat van de man wijst erop dat de bank wel degelijk gewerkt heeft met zijn voorwaarden: de door hem ingevulde onbeperkte kredietlimiet was daadwerkelijk ingevoerd, hij had onbeperkt krediet en geen limiet. En die situatie kan alleen maar ontstaan als bij de bank iemand die tekst las en dacht, goed dat gaan we even in orde maken. En dán is het moeilijk verdedigbaar dat je misleid bent.

De bank heeft ondertussen gemeld aangifte van fraude (oplichting) te hebben gedaan. Ik denk dat dat in Nederland ook zo zou gebeuren. Plus, ik twijfel of er überhaupt gekeken zou worden naar de ingezonden voorwaarden.

Arnoud

Mogen kinderen betalen in sociale games?

| AE 2708 | Contracten | 44 reacties

Via internetspellen als Farmville en Happy Harvest betalen kinderen soms tientallen euro’s voor zaken als het onderhouden van een digitaal tuintje, las ik bij Adformatie. Hoogleraar Jeugd en Media Patti Valkenburg wil paal en perk stellen aan deze praktijk, onder meer door een vernieuwde Kinder- en Jeugdreclamecode. Deze code bevat -voor zover ik kan zien-… Lees verder

Mijn kind heeft credits gekocht op Facebook, wat nu?

| AE 2537 | Beveiliging | 61 reacties

Een lezer vroeg me: Mijn kinderen spelen op Facebook allerlei spelletjes, en gebruiken daarbij het account van mij of van mijn vrouw. Bij sommige spellen kun je via extra credits hogerop komen, maar die moet je dan kopen. Onze dochter van 9 ontdekte echter dat onze creditcardgegevens werden onthouden door Facebook, zodat ze snel voor… Lees verder

Is Sony aansprakelijk voor gestolen Playstation-gegevens?

| AE 2518 | Beveiliging | 26 reacties

Sony stelt zichzelf niet aansprakelijk in het geval een onbevoegde buitenstaander zichzelf toegang verschaft tot persoonlijke gegevens, las ik bij Nu.nl. Dat zou blijken uit de TOS van de dienst. Bij een inbraak werden persoonsgegevens en creditcardinformatie gestolen uit de databases van het Playstation Network van Sony. Hoewel het CVV-getal niet is gestolen, kan er… Lees verder

Creditcardmaatschappij mag dierenporno weigeren af te rekenen

| AE 2023 | Contracten | 7 reacties

Creditcardbetalingsbedrijf PaySquare is niet verplicht haar diensten aan pornobedrijf Cybermedia te leveren. Dat blijkt uit een vonnis van de rechtbank Utrecht van afgelopen week. PaySquare was erachter gekomen dat Cybermedia onder andere dierenporno verspreidde (hoewel daar niet voor betaald hoefde te worden), en voerde toen eenzijdig een contractswijziging door dat “goederen/diensten aanbieden die de goede… Lees verder

Creditcard-maatschappij niet aansprakelijk voor inbreuk door website

Perfect 10, de pornoboer met de vele rechtszaken, heeft onlangs een zaak verloren waarin ze probeerde creditcard-maatschappijen aansprakelijk te houden voor inbreuk op auteursrecht door betaalsites. Dat meldt de Register: Perfect10, which touts its products as featuring “tasteful copyrighted images of the world’s most beautiful natural models,” sued Visa, MasterCard and others after sending repeated… Lees verder