Nee, ze zijn niet laks. Die afdeling krijgt gewoon het geld en de resources niet om er iets mee te doen.

Het is voor de meeste banken goedkoper om af en toe een klant schadeloos te stellen dan actief op jacht te gaan naar dit soort oplichters. Lullig maar zo werkt het nu eenmaal.

Ik mag toch hopen dat dat niet de reden hiervan is. Dit zou impliceren dat er gefraudeerd kan worden zonder dat dit gevolgen heeft, dat lijkt mij meer op een uitnodiging om het ook eens te proberen. De bank betaald dan wel, het is ten slotte toch maar geld dat ze gekregen hebben.

Klopt helemaal!

Ik dacht dat ze mij vergeten waren om een ontvangstbewijsje te sturen zoals ze beweren op de site.
In ieder geval...inderdaad..nog nooit een antwoord mogen ontvangen over die mailtjes.

Als klant zijnde heeft het inderdaad nauwelijks gevolgen. De bank vergoed, in de meeste gevallen, de schade. Ik geloof dat ze dat alleen niet doen als de klant echt aantoonbaar nalatig is geweest. Slachtoffers van dit soort phishing acties worden over het algemeen zonder problemen schadeloos gesteld.

Dit betekent overigens niet dat de bank er verder niets mee doet. Mocht er iemand tegen de lamp lopen dan zal de bank zeker proberen haar schade weer te verhalen op de dader.

En wie denk je dat uiteindelijk die schade betaald? De bank? Die verhaald het weer op zijn klanten door hogere tarieven in te voeren of door te reorganiseren omdat de winst achterblijft bij de verwachting. Uiteindelijk zal het altijd op de klant verhaald worden, hoe je het ook bekijkt,


Als dit echt waar is dan vraag ik me nog meer af waarom ze niet meer informatie willen? Hoe beter getraceerd en gedocumenteerd lijkt me zinvol bij de bewijsvoering. Vandaar nogmaals mijn vraag: Waarom willen ze niet meer informatie hebben?

Mee eens maar daar gaat zo'n vervalst phishing emailtje niet echt bij helpen. Vergeet niet dat die dingen worden verstuurd vanaf gekraakte computers. Echt heel veel "bewijs" haal je er niet uit, je kunt er dus vrijwel niets mee.

Daar heb je wel een punt ja. Om misverstanden te voorkomen, ik ben geen prive gebruiker maar dit is mijn werk. Wij hebben sinds begin vorig jaar een slordige 40.000 euro uitgegeven aan beveiligingsapparatuur en abbonementen en die geeft me ietwat meer informatie dan een gemiddelde gebruiker kan achterhalen. En om vooraf al te constateren dat het geen toegevoegde waarde heeft zonder te weten hoe en wat vind ik behoorlijk kortzichtig.

Overigens kun je wel helpen. Dat doe je door de email te traceren en wat abuse emails te sturen. Ook daar krijg je niet altijd reactie op maar ik krijg toch regelmatig van dit soort berichten terug:


In dit geval ging het om een website die misbruikt werd door phishers. Ik had weinig hoop want het leek zo'n 'bulletproof' hoster maar toch.. Niet geschoten is altijd mis en nu schoot ik raak ^_^

Als we nu met z'n allen er voor kunnen zorgen dat geinfecteerde computers zo snel mogelijk gemeld worden en de ISPs deze ook zo snel mogelijk weer verhelpen wordt het vanzelf beter. Hoop ik tenminste...

Je lijkt te denken dat het gaat om een handvol mailtjes die door een engineer persoonlijk bekeken worden, en die dan heel hard gaat hakken op het afzender IP adres ?

(Tenminste, afgezien van wat header informatie vraag ik me af wat je dan meer kunt leveren ? )
Dat is niet zo heel interessant, een geinfecteerd consumenten PC'tje.

Meer interessant is welke phishing URL genoemd wordt in de mail, om die (als het een nog onbekende is) zsm uit de lucht te laten halen.

Ik verwacht dat er achter het mail adres een redelijk geautomatiseerde setup zal staan die de mails parsed, en kijkt of er nog iets "nieuws" bij zit vergeleken met andere informatie.

Een beetje jammer dat er dan geen auto-acknowledgement met "dank je wel" op terug komt (hoewel, dat is ook lastig om goed te doen, want je wilt geen mail-bom versterker zijn bij vervalste afzenders).

Kortom, stuur de mail inclusief headers, het nut is om de bank inzicht te geven welke phishing mails door de spamfilters slippen en welke nieuwe URLs er rond gaan.

Nee, die ilusie heb ik niet. Een van mijn vragen aan de bank was dan ook in welk formaat zij de mail willen ontvangen zodat ze optimaal gebruik kunnen maken van mijn melding, zelfs dat willen ze niet kwijt. Ik ben best bereid hier tijd en aandacht aan te besteden, waarom kunnen zij dat dan niet. Ik verricht feitelijk een gratis dienst voor de bank door ze te informeren.

Ik snap ook best dat ze niet zomaar het achterste van hun tong laten zien (zou ik ook niet doen), maar waarom kan ik me dan nergens registreren zodat ze weten wie de melding doet. Op die manier kunnen ze controleren wie een melding doet en dan zal het vertrouwen in de melding eerder gegeven kunnen worden.

Ik ben zelf klant bij deze bank en zou me desnoods kunnen registreren met mijn bankpas, dus waar zit het probleem?

Misschien zijn ze de mails nog aan het onderzoeken? Het kan zijn dat ze wellicht volgende week wel reageren. Het kan heus zijn dat er meerdere mensen die mail hebben gerapporteerd en dat het al in behandeling is. Het bestrijden van de phishing kan zomaar meer prioriteit hebben als het sturen van een reply (ook al zou ik dat ook wel verwacht hebben binnen een werkdag of drie).
Mails met headers en al zijn helemaal tof voor die mensen.

Zit je op een plek waar je serieus grote mailvolumes ziet langskomen en een _snelle_ melding van van phishes kunt geven ?

Waarom je blijkbaar weinig reactie krijgt weet ik niet; Ik gok op hetzij drukte, hetzij automatische filtering.
(bij zo'n publiek 'dump' adres zullen echt volumes binnenkomen waar je niet handmatig gaat zitten lezen, dus als je daarnaar gemaild hebt kan het best verder ongezien gebleven zijn).

Kijk, dat bekende dump adres is opgezet voor meldingen door 'het publiek' , dan mag je er wel van uit gaan dat ze er iets achter hebben zitten wat niet zo kieskeurig is en kan omgaan met de manieren waarop de gemiddelde eindgebruiker een mailtje forward. Fwd, mail in attachment, noem maar op
Leuk dat je wat extra's wilt leveren, maar op beperkte schaal is dat gewoon de moeite niet.
Ik zou zeggen, stuur je phish oogst met headers erbij op, het wordt gevraagd en een zo af en toe is er meerwaarde dat een URL of kleine run nog niet via een andere bron gezien is, of geeft het inzicht in de omvang van een phish run.

bedrijven als FOX-IT en RSA doen alle fraude afhandelingen voor banken in Nederland.

de banken zelf hebben dit allemaal uitbesteed. Een bedrijf als RSA krijgt per phishing URL die ze offline krijgen zo'n 500 euro.

Laten we dát nu maar eens voor de zoveelste keer nuanceren, Peter. (zucht)

1. Die schade door fraude is openbaar. En bedraagt rond €45.000.000,- waarvan €30.000.000 wordt teruggehaald.
2. Dat bedrag is niet uit te drukken in promillages van het Nederlands pinpas en/of internet betalings verkeer. Is eerder pico, nano en zelfs dat is moeilijk.
3. De Nederlandse banken hebben - helaas nog steeds, maar zakelijk terecht - een monkey beleid: ALLE slachtoffers van misbruik van een pas, hetzij skimming, hetzij internet, worden 100% vergoed.
4. Daar is een reden voor: Nederlandse banken zijn - gedwongen - extreem veilig ten opzichte van de rest van de wereld.
5. En gelukkig is het niet aan iedereen voorbehouden daar van kennis te hebben, al is het beslist geen security by obscurity.
6. Jaren geleden? Dan heb je geen recht van spreken. Punt.

Als gebruikers nou eenmaal dom zijn, wat moet ABN hieraan doen ? is toch logisch

Maar zit je niet met een paar problemen? Grootste probleem: hoe vind je uberhoubt de dader? Een Linux computer met een beetje fatsoenlijke repository database geeft je GRATIS de tools om gebruik te maken van de meest zware versleutelingen. Wat er in jouw data packets stond is dan al onleesbaar. Dat verbergt nog niet hoe de data stromen gelopen hebben, maar daar is sinds kort TOR voor uitgevonden (ook gratis te gebruiken en ZEER betrouwbaar. Het is immers niet voor niets zo succesvol ingezet tijdens de arabische lente)
Vervolgens zit je met het punt dat als je de vermoedelijke daders eindelijk op het spoor bent loopt je spoor dood omdat een of andere bananenstaat geen uitleveringsverdrag met Nederland heeft.
Computercriminelen lopen pas tegen de lamp op het moment dat hun zwakte (de zwakte van elke computer gebruiker), namelijk gemakzucht, opspeelt - wanneer ze fouten gaan maken. Maar dat kan erg lang duren en ben je wel mooi afhankelijk van wanneer die crimineel eindelijk zijn hoofd eens stoot.

Anderzijds loop ik me soms ook dood te ergeren aan die zogenaamde "slachtoffers" van phishing mail. Je weet gewoon dat je bank nooit naar die gegevens zal vragen, en je weet dat mailtjes van iemand kunnen lijken te komen waar ze in werkelijkheid niet vandaan komen. Naar mijn mening een gevalletje 1+1=2. En mensen die dan beginnen met "jamaar ik ben niet zo technisch!" die moeten zich nog eens achter de oren krabben wat ze dan op internet te zoeken hebben. Met je auto ga je ook niet zomaar de weg op als je niet weet waar alle knopjes en dingetjes voor zijn, en weet hoe heel het auto-rijden gaat. Als je het inet opgaat dien je ook _enigsinds_ te weten wat potencieel gevaarlijk is, en als je het risico neemt.... tja, pech dan als je schade loopt...

Wat jij hier stelt is dat DE bank geen geld/tijd/resources wil steken in dit soort dingen...
dat noem ik wel laks!

Alle reacties zo doorlezend denk ik dat ik de discussie wil beëindigen van mijn kant uit.

De manier van fraudebestrijding van de bank is dermate ondoorzichtig voor mij dat ik hier dan ook geen enkele tijd meer aan ga besteden. Als het doel van de bank is om mensen die welwillend zijn als n00b te behandelen zonder aansziens des persoons dan verdienen ze ook niet beter als bestolen te worden (mijn mening dus.) En ik moet me eigenlijk ook wel een beetje bij de laatste schrijver aansluiten, iemand die hier intrapt verdient het eigenlijk ook. Net zoals de bank die schijnbaar meer geeft om media stilte dan fraudebestrijding.

Beter lezen knul. Het is goedkoper om af en toe een klant schadeloos te stellen. Als een bank 10 miljoen moet uitgeven om de boel veiliger te maken (zonder garantie dat het 100% veilig is) en het kost 'maar' 5 miljoen om af en toe zo'n klant af te kopen wat denk je dat een bank doet? Bedenk dat een bank een commerciele instelling is en geld wil verdienen.

Wellicht dat SirDice een gedegen kennis heeft van de schade die door deze praktijken ontstaan? Ik kan namelijk geen duidelijke cijfers vinden en dan lijkt mij de term 'af en toe een klant schadeloos stellen' volkomen uit de lucht gegrepen en nergens op gebaseerd.

Laten we wel wezen, het bankwezen in zijn geheel heeft laten zien dat ze in ieder geval feilloos in staat zijn om maatschappij ontwrichtende constructies op te stellen waar nagenoeg de gehele westerse maatschappij onder lijd. Dit in gedachten houdend vind ik je uitspraken op het naïeve af.

Ik heb jarenlang, als security specialist, voor een bank/verzekeraar gewerkt.

En hoe lang is dit geleden als ik vragen mag? Iedereen hier gaat er maar vanuit dat de banken verstandige beslissingen nemen, maar vanuit mijn standpunt doen ze alles behalve dat. Dit hebben ze ook uitgebreid gedemonstreerd om vervolgens op geld van de belastingbetaler voort te kunnen gaan met waar ze mee bezig waren.

Als je als bank eerst pinbetalingen dubbel afschrijft (alleen ABNAMRO is dit gelukt met de storing vorige week als ik goed heb?) en hierna ALLE pinbetalingen terugboekt, ook de niet dubbele. Dan lijkt mij dit wel iets te zeggen over inzicht (gebrek aan). En ik moet dan ervan uitgaan dat met mijn informatie iets nuttigs gebeurd?

Een jaartje of 6 geloof ik.

In die tijd was de schade door dit soort fraude aanzienlijk kleiner, lijkt mij. Van de ene kant word door de banken moord en brand geschreeuwd over skimmen, fishing en aanverwante fraude, heeft de opsporing, preventie en kennis ook een soortgelijke stap gemaakt? Roepen is een ding, er ook daadwerkelijk iets aan doen niet. In het perverse systeem dat wij economie noemen is het niet aanpakken van dit soort fraude ongunstiger voor de bank dan het wel aanpakken. Ik vermoed dat ze liever drie keer zoveel schade terug betalen dan dat ze toegeven dat het een onhandelbaar probleem begint te worden waar ze geen antwoord op hebben. Zolang als niet duidelijk is hoeveel de klanten van dergelijke instituten jaarlijks betalen voor het compenseren zal er ook niemand (met grond in ieder geval) kunnen protesteren. Dit alles zou niet door een bank maar door een onafhankelijke toezichthouder moeten worden behandeld.

Geen flauw idee, de schade was er, ook toen al. Bedragen heb ik nooit gezien, alleen voorstellen om dingen beter te maken die afgeschoten werden.

Ja. Ook toen was de schade verwaarloosbaar en het reparatiemodel - heel erg veel - kostbaarder dan de vergoeding.
In 2000 bedroeg de totale transactiefraude in Nederland 30.000,000 gulden en daar zat nogal een grote niet pas of internet gerelateerde bij.
Meeste fraude was toen credit cards gerelateerd. Nu ook nog, trouwens. iDeal fraude is slechts enkele duizenden euri (ja, echt waar) die niet verklaard kunnen worden uit verwijtbaar dom gedrag. En zelfs dat is vergoed.

"Wat jij hier stelt is dat DE bank geen geld/tijd/resources wil steken in dit soort dingen... dat noem ik wel laks!"

Dat hangt ervanaf wat duurder is; de fraude bestrijden, of de schade accepteren en slachtoffers schadeloos stellen. Uiteindelijk is het een kosten/baten afweging. Indien het meer kost om de fraude te bestrijden dan om slachtoffers schadeloos te stellen, waarom zou een bank hier dan in investeren ?

Beveiliging en fraudebestrijding zijn een middel om onnodige kosten tegen te gaan, en geen doel op zich.

In principe moet ik je hier gelijk in geven. Echter, als dit je uitgangspunt is dan creëer je een situatie die je niet in de hand hebt en bevorder je fraude. Die jongens staan natuurlijk niet stil, zeker niet als ze zien hoe weinig de banken hier tegen doen. Als vervolgens de balans omslaat en de fraudekosten hoger worden als de kosten van een fraudeafdeling die goed werkt dan heb je niet een twee drie die afdeling volledig draaiend. Ze beginnen met een achterstand van jaren en die zal eerst ingelopen moeten worden.

Het lijkt alsof banken er niets aan doen omdat het weinig in het nieuws komt.

Banken hebben al sinds jaar en dag dergelijke afdelingen. Fraude is niet iets 'nieuws' voor een bank. Het enige verschil is dat het nu meer lijkt voor te komen dan een paar jaar geleden.

Het mail adres om phishing mails the melden is niet noodzakelijk voor een bank, die zijn al op de hoogte van dit soort mail runs op het moment dat ze gedaan worden. Het is er alleen maar om eventueel uitzonderingen op te pikken (phishing mails zijn tot nog toe zelden op individuen gericht) en gebruikers het idee te geven dat ze ergens terecht kunnen met de mail die ze hebben ontvangen.

Dat er geen respons komt, al is die automatisch, is wel gewoon slordig natuurlijk.

Ook het sturen van evt. "extra" informatie is redelijk nutteloos, elke mail run wordt al bekeken door specialisten en die kunnen zelf ook wel jouw "extra" informatie opzoeken. Het is tenslotte waar ze voor betaald worden.