Kabinet wil telecomproviders verplichten om telefoonspoofing aan te pakken

| AE 12738 | Ondernemingsvrijheid | 17 reacties

Het kabinet komt later dit jaar met een voorstel om de Telecommunicatiewet zo aan te passen dat telecomproviders worden verplicht om telefoonspoofing aan te pakken. Dat las ik bij Security.nl, dat zich baseert op een brief aan de Tweede Kamer van demissionair minister Grapperhaus. Een logische maatregel lijkt me dat je niet zomaar toestaat dat iedere klant ieder nummer als afzender kan sturen, waar ik vorig jaar over blogde. Eind vorig jaar besloten banken na overleg met minister Hoekstra om slachtoffers van telefoonspoofing met terugwerkende kracht te vergoeden. 96 procent van de slachtoffers is inmiddels vergoed. Dat voelt als een stuk meer geld dan zo’n maatregeln.

Helaas komt het steeds vaker voor dat oplichters (“phishers”, in het jargon) gebruik maken van gespoofte telefoonnummers. Dat is logisch, want als een slachtoffer het werkelijke nummer van een bank als beller ziet, zal hij eerder het verhaal geloven natuurlijk. En technisch is dit simpel: telecomproviders hanteren in de praktijk geen enkele beperking , zoals dat het ingestelde nummer ergens aan jouw bedrijf gekoppeld moet zijn in de administratie van de telecomprovider. Ik weet niet waarom dat niet gebeurt.

Nu is er dus een plan om de wet aan te passen om hier regels voor te maken:

De regels voor nummerdoorgifte (de afzenderinformatie van een oproep of bericht) zullen daarbij worden aangepast en ook zal het gebruik van alfanumerieke informatie worden betrokken door hieraan passende voorwaarden te verbinden. Het wetsvoorstel omvat voorts een beperking van het extraterritoriale gebruik van nummers uit het nummerplan. Bij de regels voor nummerdoorgifte zullen concrete verplichtingen bij telecomaanbieders worden gelegd, en zal nadrukkelijk ook de rol van de aanbieder van de telecomdienst van waaruit de oproep plaatsvindt of het bericht wordt gestuurd, worden geadresseerd.
De kern van het probleem – als ik het ondertussen goed begrijp – is dat telecomproviders vaak geen eigen infrastructuur hebben, maar deze inkopen bij een grotere partij. Dat kan zelfs bij meerdere lagen (ik koop bij A, die inkoopt bij B, die weer bij C, enzovoorts tot ergens bij X of Y). En als je dan als X of Y dat mogelijk wil maken, dan is controleren of de klanten van A wel gerechtigd zijn tot die nummers wel héél veel rompslomp. Zeker omdat het dan gaat om A1 t/m A9001 bij wijze van spreken.

Desondanks lijkt me een check als deze de enige mogelijkheid. Het enige alternatief dat ik kan bedenken is een zwarte lijst – gij zult niet toestaan dat er met deze nummers outbound gebeld wordt, behalve provider K want die hééft de bank als klant – maar dan moet dat continu geupdate worden en is er discussie over wie er wel of niet op mag. Alleen banken, ook betalingsproviders, en hoe zit het met pakketbedrijven zoals DHL waar ook veel oplichting plaatsvindt (“Uw pakketje vereist inklaringskosten”)?

Arnoud

Bol.com trapte in phishingmail en maakte 750.000 euro over naar oplichters

| AE 12647 | Ondernemingsvrijheid, Regulering | 28 reacties

Bol.com heeft 750.000 euro overgemaakt naar oplichters nadat het bedrijf in een phishingmail was getrapt, las ik bij Tweakers. De rechtbank Midden-Nederland oordeelde recent dat men argwanender had moeten zijn. Weliswaar klopte het afzendermailadres (door een computerhack) en leken ook layout en namen correct, maar het taalgebruik was van het niveau Google Translate halfbakken Engels en dat is voor twee jarenlang samenwerkende Nederlandse bedrijven bepaald gek.

Op 25 november 2019 werd een e-mail aan ‘supplierfinance@bol.com’ gestuurd met onder meer de volgende inhoud: ‘Bijgevoegd vindt u onze nieuwe betalingsroute zoals opgedragen door het management, doe het nodige voor de volgende betaling. Alvast bedankt!’. Afzender: meneer [A], wiens mailbox was gehackt “via de cloud”. Het vonnis bevat een printscreen van de gehele mail. De strekking: een verzoek om betalingen voortaan niet meer over te maken aan de bij Bol.com bekende bankrekening van Brabantia Netherlands maar aan een Spaanse bankrekening die ten name van ‘Brabantia International B.V.’ zou staan.

De oplichter bleek hardnekkig want de navolgende dagen werd een keurige reminder gestuurd (“Kunt u bevestigen dat uw crediteurenadministratie is bijgewerkt als bijgevoegd.“) Uiteindelijk werd daarop gereageerd, maar die mail bleef buiten het zicht van de gehackte Brabantia-medewerker. Daarna dacht Bol.com alles geregeld te hebben en werden de verkoopopbrengsten keurig overgemaakt naar het nieuwe nummer. Na zo’n 750.000 euro niet te hebben gekregen, trok het Brabantse bedrijf aan de bol, sorry bel, en kwam de fraude uit.

Wie draait daar voor op? Het begon dus bij een overgenomen mailbox van een medewerker van Brabantia, en ook kon men bij het briefpapier-template van Brabantia, zodat het op zich echt doen lijken van de berichten mogelijk was. De inhoud van de mails gaf echter te denken:

Om te beginnen bevat deze merkwaardige fouten als ‘Houd he [?] rekening mee’ en de frase ‘een wijziging in onze bankrekeninggegevens hebben voor incaende [?] betalingen’, waarbij ‘incaende’ meer dan een gewone typefout lijkt. Bovenal roept de frase ‘moten all incoming betalingen have been overgemaakt’ onmiddellijk grote vraagtekens op, zelfs als een zekere mate van gebrekkig taalgebruik of een overmatig gebruik van het Engels voor lief wordt genomen.
Bol.com moest begrijpen dat dergelijke frases praktisch niet van directeuren van Brabantia Netherlands afkomstig kunnen zijn of door hen kunnen zijn goedgekeurd. Dat met de daarop volgende Engelstalige passage ‘niets mis is’, zoals Bol.com benadrukt, doet hier niet aan af, nog afgezien van het feit dat het gebruik van de Engelse taal in deze context op zich zelf al tot twijfel had moeten leiden.

Vanwege al deze omstandigheden is de conclusie voor de rechter helder: Bol.com had beter op moeten letten, en zij heeft dus wanprestatie gepleegd jegens Brabantia door die 750k niet te betalen op de rekening waar die hoorde te komen.

Het enige vind ik steekhoudende tegenargument is dat Bol.com dus had gereageerd naar Brabantia (het gehackte mailadres) en dat men daar het niet opgepakt had. Dat kwam omdat de crimineel mails met als afzender Bol.com in het mapje “RSS Feeds” (zo’n standaardmap van Outlook die niemand wil) had laten komen en automatisch als gelezen gemarkeerd. Zo kon die keurig reageren maar zou de medewerker die waarschijnlijk niet zien. Je zou dan zeggen: die berichten zijn bij Brabantia aangekomen, het niet checken van dat mapje is voor rekening van dat bedrijf dus die hadden het moeten zien. Alleen:

Bij de vraag of Bol.com te goeder trouw was bij de betalingen, is bepalend of zij had moeten twijfelen (zie hiervoor in 3.11). Hiervoor heeft de rechtbank vastgesteld dat Bol.com door de brief van 25 november 2019 ernstig moest twijfelen. Die ernstige twijfel wordt naar het oordeel van de rechtbank niet weggenomen doordat Brabantia Netherlands de bevestiging van Bol.com onbeantwoord heeft gelaten.
Bol.com had al moeten twijfelen vóórdat ze een reply stuurde, laat staan voordat ze het rekeningnummer aanpaste. En dan kun je dus niet zeggen “jullie hebben nooit gereageerd op ons bericht dat we het nummer aangepast hebben”. Ook het sturen van betalingsaankondigingen hielp haar niet, als leverancier hoef je daar niet naar te kijken en al helemaal niet te denken, wat raar dat ze vier weken na de aankondiging nog niet betaald hebben.

Ook een argument van Bol.com was dat Brabantia haar mailboxen beter had moeten beveiligen, bijvoorbeeld met tweefactorauthenticatie. Dan was de inbraak waarschijnlijk niet gelukt, en had dit alles voorkomen kunnen worden. Een terechte klacht, en dit had ook zeker de doorslag gegeven als de mail perfect Nederlands was geweest en een Nederlands IBAN was gebruikt. Maar dat was dus niet zo, en precies  daarom had Bol.com argwanender moeten zijn. Als de afzender klopt maar de inhoud bizar is, dan is er iets mis. En dan ligt de bal écht bij jou als ontvanger.

Arnoud

Banken gaan namen en adressen van internetoplichters geven

| AE 12496 | Privacy, Regulering | 18 reacties

De Nederlandse banken gaan op verzoek de namen en adressen van internetoplichters verstrekken aan slachtoffers van internetfraude. Dat las ik bij Privacynieuws. Slachtoffers kunnen dan via een civiele procedure proberen hun gestolen geld terug te vorderen. Na een gesprek met justitieminister Grapperhaus hebben banken eind vorig jaar besloten om onder voorwaarden de NAW-gegevens te overhandigen.

Het probleem van fraude en oplichting via internet is zo oud als, eh, internet: je weet niet met wie je aan de andere kant zaken doet, dus een fraudeur kan eenvoudig je geld of spullen afhandig maken en ondanks vele beloftes zijn wederprestatie niet nakomen. Of dat oplichting is, is de vraag, maar wie beroep of gewoonte maakt van via internet handelen zonder te leveren is in ieder geval strafbaar. Net als die Whatsappfraudeurs met hun “hoi mam ik ben mijn telefoon kwijt”-oplichterij.

Kom je bij het vervolgpunt: wie moet je hebben? Een anoniem mailadres of snel Marktplaats-account met prepaid 06 is zo gemaakt, en dan sta je dus nergens. Het bankrekeningnummer is vaak het enige aanknopingspunt, alleen blijken banken zich op het (op zich begrijpelijke) standpunt te stellen dat zij niet kunnen zien of er een strafbaar feit is gepleegd en dat ze vanuit privacyoogpunt niet zomaar persoonsgegevens afgeven. Ook stichting Brein kreeg ongelijk toen zij in 2013 deze probeerde te krijgen (ja, met Lycos/Pessers).

In november meldde minister Grapperhaus aan de Kamer dat er over deze situatie gesproken is, en dat er nu een doorbraak is gekomen:

De Nederlandse banken hebben mij naar aanleiding van deze gesprekken recent laten weten te hebben besloten een procedure in het leven te roepen om de NAWgegevens van een fraudeur aan slachtoffers van fraude te verstrekken. Het doel van de procedure is om benadeelden in de gelegenheid te stellen om, onder voorwaarden en met inachtneming van privacywetgeving (zoals de hierna genoemde 21 dagen termijn), met de vermeende fraudeur in contact te kunnen komen. De procedure houdt in dat de fraudeur eerst gevraagd wordt om het geld terug te storten. Als dat niet binnen 21 dagen is gebeurd, worden de NAWgegevens van de vermeende fraudeur verstrekt.
De procedure start nadat het slachtoffer aangifte heeft gedaan. Zo is bekend wie de gegevens eist, en zit er enige check op: valse aangifte is strafbaar, en vanwege de keten slachtoffer-politie-bank-rekeninghouder is het eenvoudig om daar op terug te komen. Ook bij eigenrichting weet je nu snel wie de (mogelijke) dader is.

Blijf je zitten met het probleem van de geldmuilezels: mensen die hun bankrekening verhuren “omdat er toch niets op staat en ik rood staan heb uitgezet”. En dan inderdaad 30% krijgen van het bedrag dat er op gestort wordt. Want met deze procedure kom je daar uit, en niet bij de werkelijke dader. Maar wellicht dat deze nieuwe procedure helpt om katvangers af te schrikken.

Arnoud

Wacht, Marktplaatsoplichting is geen oplichting?

| AE 12345 | Informatiemaatschappij | 22 reacties

Een verrassing voor velen: de bekendste vorm van online oplichting, namelijk gewoon het geld pakken en niet leveren, is juridisch geen oplichting. Kwam recent nog langs en het blijft verwarrend. Maar de kern is dat we niet iedere vorm van wanprestatie tot een strafbaar feit willen verheffen, zeker omdat het wetsartikel voor oplichting uitgaat van echt… Lees verder

Advocaat VS die fraudeerde met gedeelde pornofilms krijgt celstraf

| AE 11339 | Intellectuele rechten | 6 reacties

Een Amerikaanse advocaat die online fraudeerde met gestolen en eigen porno, krijgt een gevangenisstraf van veertien jaar. Dat meldde de NOS onlangs. De advocaat, bekend onder de handelsnaam Prenda Law, deelde pornografische films en klaagde downloaders aan vanwege het schenden van auteursrechten die zogenaamd bij zijn cliënten zouden berusten. Een lucratieve business, in een slordige… Lees verder

John de Mol start rechtszaak tegen Facebook om nepadvertenties

| AE 11312 | Ondernemingsvrijheid, Uitingsvrijheid | 28 reacties

Talpa-oprichter John de Mol spant een kort geding aan tegen Facebook. Hij eist dat het sociale netwerk stopt met het tonen van nepadvertenties voor bitcoinproducten waarin zijn naam en foto worden gebruikt. Dat meldde het FD onlangs. De ondernemer is niet de enige: ook foto’s van zanger Waylon, presentator Matthijs van Nieuwkerk en techondernemer Alexander… Lees verder

Is een belastingsoftwaremaker aansprakelijk voor valse aangiftes?

| AE 7467 | Ondernemingsvrijheid | 19 reacties

Belastingsoftwaremaker Intuit heeft de e-filing van belastingaangiftes via TurboTax tijdelijk stopgezet vanwege vermoedelijke fraude, las ik bij Slashdot. Criminelen zouden de identiteit van derden hebben gestolen en via TurboTax grootschalig valse aangiftes doen. Het bedrijf deed dit nadat de staat Utah 28 zekere fraudegevallen en 8.000 mogelijke fraudegevallen bij hen meldde. Wat voor mij de… Lees verder