image

Politie pakt verdachten op voor oplichting via QR-codes

donderdag 25 juli 2019, 12:47 door Redactie, 36 reacties

De politie heeft afgelopen maandag twee mannen van 26 jaar uit Rotterdam aangehouden op verdenking van het oplichten van tientallen mensen via QR-codes. De politie ontving de afgelopen weken rond de dertig aangiftes van mensen die waren opgelicht, zo laat een woordvoerster van de politie Rotterdam aan Security.NL weten. Eén van de slachtoffers was voor 5.000 euro bestolen.

De verdachten benaderden mensen van hun eigen leeftijd en deden dit op een vlotte en beleefde manier, aldus de woordvoerster. De verdachten stelden dat ze geld voor de parkeerautomaat nodig hadden, maar even geen geld op hun rekening hadden staan. Vervolgens vroegen ze slachtoffers om geld naar hun rekening over te maken dat ze het slachtoffer contant betaalden. De enige vereiste handeling voor het overmaken was het scannen van een QR-code op de telefoon van de verdachte. In werkelijkheid gaven slachtoffers de verdachten daarmee toegang tot hun rekening.

"Alle slachtoffers bankieren bij ING", aldus de woordvoerster. ING biedt gebruikers de mogelijkheid om een tweede toestel toegang tot de bankomgeving te geven. De oplichters stelden in dat hun toestel aan een andere rekening moest worden toegevoegd. De ING-app genereert hiervoor een QR-code. Deze code moest vervolgens met de telefoon van het slachtoffer worden gescand. Hierna verscheen er een scherm op de telefoon van het slachtoffer dat er op akkoord moest worden gedrukt voor het toevoegen van het tweede toestel.

Op dat moment werden slachtoffers door de verdachten afgeleid en stelden dat ze gewoon op akkoord kon drukken, maar het kwam ook voor dat de verdachten het toestel uit de handen van de slachtoffers trokken en zelf op akkoord drukten. Op dat moment hadden de verdachten volledige toegang tot de bankomgeving van het slachtoffer en konden zo geld naar andere rekeningen overmaken.

De politiewoordvoerster laat weten dat ING van de fraude op de hoogte is. De bank stelt dat gebruikers echter zelf op akkoord klikken voor het toevoegen van het tweede toestel. Vanwege het grote aantal slachtoffers dat in korte tijd werd gemaakt besloot de politie in het centrum van Rotterdam via flyers en stoepborden te waarschuwen. De twee verdachten werden afgelopen maandag op heterdaad in Den Haag betrapt.

Image

Reacties (36)
25-07-2019, 13:07 door Anoniem
In dit artikel klinkt het een beetje alsof men ING verandwoordelijk houd.
Maar kom op mensen , de slachtoffers moeten gewoon heel alert zijn voor ze zoiets doen!
Ik bedoel als iemand op zo'n manier naar je toe komt moet je gewoon alert zijn en ZELF het bedrag overmaken.
Van ING naar ING zit er tegenwoordig geen vertraging meer in een gewone overboeking.
Dus bij twijfel gewoon zelf overmaken en vragen naar de IBAN van de begunstigde. Dan kun je altijd nog naar de politie met deze IBAN om de persoon te melden als je het idee hebt dat er sprake is van mogelijke oplichting.
25-07-2019, 13:16 door Anoniem
De bank stelt dat gebruikers echter zelf op akkoord klikken voor het toevoegen van het tweede toestel.
Ook nadat ze gehoord hadden dat de verdachten het toestel uit de handen van de slachtoffers trokken en zelf op
akkoord drukten? Of hebben ze dat niet afgewacht?
25-07-2019, 13:28 door Anoniem
Tjsa, een q-code is een q-code. vooraf zie je er als mens niet aan of het een tikkie is of het activeren van een 2e toestel.
Maar ja, extra toegang activeren in 1 minuut. Snelheid/gebruiksgemak en veiligheid gaan nou eenmaal zelden samen.

Misschien toch maar wat extra waarschuwingsschermpjes en een extra beveiligingscode vereisen om de gebruiker duidelijk te maken dat dit echt gaat om wat anders dan een betaling
25-07-2019, 13:35 door Anoniem
Grappig hoe ze reclame maken met hetgene wat juist zo gevaarlijk is:

Op een extra toestel activieert u de app binnen 1 minuut.
25-07-2019, 14:00 door buttonius
Ik vind dat ING hier mede schuldig is door het veel te gemakkelijk te maken een additioneel toestel te machtigen.

Op z'n minst zou daar een bedenktijd van (bijvoorbeeld) een uur in moeten zitten waarna de gebruiker nogmaals de machtiging moet bevestigen. Een briefje naar je huisadres met een eenmalige autorisatie code kan ook, maar duurt natuurlijk langer. Maar ze zouden je ook even kunnen bellen om te vragen of je weet wat je doet. Dat doen ze ook af en toe als ik met mijn credit card iets betaal waar ze (kennelijk) twijfels over hebben. Eventueel kan de app de gebruiker laten kiezen op welke manier ING de aanvraag zal verifiëren

Weer zo'n reden waarom die ING app niet op mijn telefoon komt (ja; ik bankier bij ING en binnenkort verwacht ik transacties te moeten bevestigen met een of andere "sleutelhanger" van ING).
25-07-2019, 14:03 door Anoniem
?

Als de app is toegevoegd moet er nog altijd met een pin code worden ingelogd op de ap om bij de bankomgeving te komen.

Hoe komen ze aan de pin code ?
25-07-2019, 14:13 door Anoniem
Door buttonius: (ja; ik bankier bij ING en binnenkort verwacht ik transacties te moeten bevestigen met een of andere "sleutelhanger" van ING).
Dat ding is wel even wat groter dan een sleutelhanger hoor, en er zit ook geen ring aan.
25-07-2019, 14:17 door Anoniem
Heeft ING de schade al volledig vergoed? En ING vergeet de immateriële schade niet, deze mensen vertrouwen nooit iemand meer.
25-07-2019, 14:21 door Anoniem
Een paar interessante problemen. Zoals dat je dus gewoon niet weet wat zo'n QR-code werkelijk betekent. Of dat "mobiel bankieren" dus inderdaad betekent dat je je hele rekening met complete inhoud riskeert iedere keer dat je dat "app" gebruikt.

Ook wel goed nog maar weer eens te leren dat ING meer opheeft met excuses verzinnen waarom het de klant z'n eigen schuld zou zijn dan dat ze zich over de door hun geschapen problemen bekommeren.

En oh ja, als de gemeente gewoon contant accepteerde om voor parkeren te betalen, dan hadden deze handige zware jongens veel minder kans om met hun gebabbel te overtuigen. "Nou, dan betaal je toch contant?" Maar nee, dat kan niet, met dank aan de gemeente.
25-07-2019, 15:06 door Anoniem
Opvallend, dat bijna iedereen hier, standaard complot denkers, de ING de schuld geven van de domheid van de gebruikers. Andersom, als de ING de boel helemaal dicht zou timmeren, klagen dezelfde mensen ook weer, dat het zo onvriendelijk is. Dus hoe je het went of keert, het is Nooit goed!
25-07-2019, 15:34 door Anoniem
Wat is er mis met cash?
25-07-2019, 15:42 door spatieman
Door buttonius: Ik vind dat ING hier mede schuldig is door het veel te gemakkelijk te maken een additioneel toestel te machtigen.

Op z'n minst zou daar een bedenktijd van (bijvoorbeeld) een uur in moeten zitten waarna de gebruiker nogmaals de machtiging moet bevestigen. Een briefje naar je huisadres met een eenmalige autorisatie code kan ook, maar duurt natuurlijk langer. Maar ze zouden je ook even kunnen bellen om te vragen of je weet wat je doet. Dat doen ze ook af en toe als ik met mijn credit card iets betaal waar ze (kennelijk) twijfels over hebben. Eventueel kan de app de gebruiker laten kiezen op welke manier ING de aanvraag zal verifiëren

Weer zo'n reden waarom die ING app niet op mijn telefoon komt (ja; ik bankier bij ING en binnenkort verwacht ik transacties te moeten bevestigen met een of andere "sleutelhanger" van ING).

niet alleen de ING maakt gebruik van die QR code voor het pairen van een 2e toestel hoor.
25-07-2019, 15:44 door Anoniem
Door Anoniem: Tjsa, een q-code is een q-code.
Het heet QR-code, niet q-code.
25-07-2019, 16:41 door Lex Borger
Door Anoniem: ?

Als de app is toegevoegd moet er nog altijd met een pin code worden ingelogd op de ap om bij de bankomgeving te komen.

Hoe komen ze aan de pin code ?

Dus: NOOIT je telefoon unlocked aan een vreemde geven, en zeker niet met een ingelogde (bankieren) app. Dan kan er veel meer mis gaan, QR-code of niet.
25-07-2019, 16:59 door Anoniem
Door Anoniem: Wat is er mis met cash?
Daarmee is het risico dat het van je gestolen wordt door een onverlaat op straat nog veel groter!
En dan is er ook niemand meer die je het kunt verwijten en die je kunt bewegen het te vergoeden.
Dus nee, dat is geen goed alternatief.
25-07-2019, 17:51 door Anoniem
Door Anoniem:
Door Anoniem: Wat is er mis met cash?
Daarmee is het risico dat het van je gestolen wordt door een onverlaat op straat nog veel groter!
En dan is er ook niemand meer die je het kunt verwijten en die je kunt bewegen het te vergoeden.
Dus nee, dat is geen goed alternatief.

Met cash ga je niet met alles wat je hebt over straat. Met de app heb je je hele hebben en houwen bij je. Lekker veilig...
25-07-2019, 17:59 door Anoniem
Door Anoniem:
Door Anoniem: Wat is er mis met cash?
Daarmee is het risico dat het van je gestolen wordt door een onverlaat op straat nog veel groter!
En dan is er ook niemand meer die je het kunt verwijten en die je kunt bewegen het te vergoeden.
Dus nee, dat is geen goed alternatief.
Nou... het is waar dat je je eigen verantwoordelijkheid moet nemen met contant, in de zin dat je geen poot hebt om op te staan om met je bank te bakkeleien of dat zij het even willen vergoeden. Maar merk op dat als je je op je bank verlaat ze nog steeds beginnen met jou de schuld geven ook al is het iets dat zij, en niet jij, verzonnen hebben.

Met contant heb je precies in de hand hoeveel er van je gejat kan worden. Je kan er bijvoorbeeld voor kiezen om net genoeg contant voor een krant en een kop koffie mee te nemen, dat uit te geven, en na de koffie met je krantje weer naar huis te kuieren.

Wat je met deze "app" niet zomaar kan doen, want dan moet je eerst een tweede rekening openen, daar al je geld op storten, en dan zorgen dat deze ene app alleen toegang heeft tot deze rekenening waar je dan precies de prijs van een krantje en een kop koffie op kan storten.

In die zin is contant een veel tastbaarder en veel beheersbaarder alternatief. En je loopt ook nog eens niet het risico niet bij je geld te kunnen omdat je batterij leeggeraakt is... of je telefoon gejat. Die zelf ook nog wel iets meer kost dan een kopje koffie en een krant. Als je dat allemaal bijelkaar optelt dan is jouw redenering ineens nogal vol met gaten en vergeetachtigheid om alle kosten en risicos mee te tellen.
25-07-2019, 19:43 door Anoniem
Proficiat politie! Goed gedaan!
25-07-2019, 20:24 door karma4
Door Anoniem: Opvallend, dat bijna iedereen hier, standaard complot denkers, de ING de schuld geven van de domheid van de gebruikers. Andersom, als de ING de boel helemaal dicht zou timmeren, klagen dezelfde mensen ook weer, dat het zo onvriendelijk is. Dus hoe je het went of keert, het is Nooit goed!
Ontzettend lang zeuren van de ING dat mobiel bankieren zo veilig is en dat er nooit wat mee mis kan gaan.
Dit is de eerste hack en het heeft nog geen paar weken geduurd. Geen 2fa want mobieltje. En dan zo ING niet schuldig zijn?
25-07-2019, 20:34 door Anoniem
Door karma4:
Door Anoniem: Opvallend, dat bijna iedereen hier, standaard complot denkers, de ING de schuld geven van de domheid van de gebruikers. Andersom, als de ING de boel helemaal dicht zou timmeren, klagen dezelfde mensen ook weer, dat het zo onvriendelijk is. Dus hoe je het went of keert, het is Nooit goed!
Ontzettend lang zeuren van de ING dat mobiel bankieren zo veilig is en dat er nooit wat mee mis kan gaan.
Dit is de eerste hack en het heeft nog geen paar weken geduurd. Geen 2fa want mobieltje. En dan zo ING niet schuldig zijn?
Wat is de hack, een gebruiker, die domme dingen doet?
26-07-2019, 00:36 door Anoniem
Daarom ben ik zo blij met de Blokada app.
Alleen niet te verkrijgen in de Google webshop, je moet ervoor bij Aptoide zijn.

Wel even Blokada uitschakelen voor een noodzakelijke android update.
Maar verder "toppie" hoor.

Moraal van het verhaal: "het gemak dient de cybercrimineel".

Twee-fasen vergrendeling neemt een heleboel gevaren weg,
maar dan altijd nog moet je weten wat je doet.

Een klik in volle onbedachtzaamheid, maakt dat men even later schreit.

luntrus
26-07-2019, 02:25 door Anoniem
Dit zie ik in de wereld van software en apps wel vaker mis gaan: men test onvoldoende op mogelijkheden tot misbruik van nieuwe functionaliteiten. In dit geval is er dus een legitieme reden waarom de app deze qr-code genereert, echter heeft er blijkbaar niemand bij stil gestaan dat deze feature vrij eenvoudig misbruikt kan worden.
Wellicht is het een idee om HR te verzoeken wat 'street-wise' en 'onguur' volk aan te trekken voor de test afdeling. Deze mensen zijn doorgaans opportunisten die overal mogelijkheden en kansen zien, ook in bankieren apps. Het zou - hoe krom het ook klinkt - de veiligheid ten goede komen.
26-07-2019, 08:04 door Anoniem
Door Anoniem:
Door karma4:
Door Anoniem: Opvallend, dat bijna iedereen hier, standaard complot denkers, de ING de schuld geven van de domheid van de gebruikers. Andersom, als de ING de boel helemaal dicht zou timmeren, klagen dezelfde mensen ook weer, dat het zo onvriendelijk is. Dus hoe je het went of keert, het is Nooit goed!
Ontzettend lang zeuren van de ING dat mobiel bankieren zo veilig is en dat er nooit wat mee mis kan gaan.
Dit is de eerste hack en het heeft nog geen paar weken geduurd. Geen 2fa want mobieltje. En dan zo ING niet schuldig zijn?
Wat is de hack, een gebruiker, die domme dingen doet?
"Hack" is ondertussen een volstrekt lege term, dus zeg maar waar het werkelijk over gaat in plaats van met bangmaakwoorden je punt proberen te maken. Want dan krijg je inderdaad terechte vragen die neerkomen op "ja wat is het nou?"

Waar het hier over gaat is dat gebruikers van deze "app" misleid worden om de oplichter toegang te geven tot hun rekening. Dus een stukje "social engineering" (ook al zo'n bijna-lege term) mogelijk gemaakt door specifieke functionaliteit in een "app" dat kennelijk niet meer doet dan een hele grote "ja! doe maar!" knop te presenteren in combinatie met een "qr-code" waarvan je aan de buitenkant niet ziet wat het apparaat erin leest.

Dat is dus niet zozeer "de gebruiker die domme dingen doet", maar "de gebruiker die bewogen wordt domme dingen te doen onder valse voorwendselen". Hij denkt dat'ie één ding doet, wat er werkelijk gebeurt is iets totaal ànders. Had de gebruiker door wat er wèrkelijk ging gebeuren dan had'ie het nooit gedaan!

Dat verschilletje is waarom je dit niet op "gebruikers doen dom" mag afschuiven, ongeacht hoe populair dat in zekere "computer security" kringen wèl is. De bank die dit mogelijk, zelfs onbedoeld makkelijk, gemaakt heeft (voor oplichters) met z'n "app" is hier daarom wel degelijk als mede-mogelijkmaker aan te wijzen. Onbedoeld, maar daarom niet minder gehouden hun klanten schadeloos te stellen. Zij zijn de ondernemer en hen behoort het ondernemersrisico dus toe en zij vonden het nodig deze "app" met deze functionaliteit niet alleen in de markt te zetten, maar ook zwaar te promoten boven alle andere toegangsmogelijkheden tot je bankrekening.

Dat ze niet bedoelden dat oplichters met babbeltruuks ook van die functionaliteit gebruik (dus misbruik) konden maken verandert niet dat ze gehouden zijn niet de (gehele) schade bij de eindgebruiker te doen belanden. Ook al probeerden ze dat in eerste instantie wèl.
26-07-2019, 08:17 door Anoniem
Door Anoniem:
Door Anoniem: Wat is er mis met cash?
Daarmee is het risico dat het van je gestolen wordt door een onverlaat op straat nog veel groter!
En dan is er ook niemand meer die je het kunt verwijten en die je kunt bewegen het te vergoeden.
Dus nee, dat is geen goed alternatief.
Ik zie toch niet zo snel iemand z'n portemonee aan een wildvreemde geven. Dus veel een veel veiliger.

Buiten dat: dit is gewoon verwijtbaar gedrag van de telefoon eigenaar. Dus dat gaat heus niemand vergoeden. Hoop ik.
26-07-2019, 08:55 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Wat is er mis met cash?
Daarmee is het risico dat het van je gestolen wordt door een onverlaat op straat nog veel groter!
En dan is er ook niemand meer die je het kunt verwijten en die je kunt bewegen het te vergoeden.
Dus nee, dat is geen goed alternatief.
Ik zie toch niet zo snel iemand z'n portemonee aan een wildvreemde geven. Dus veel een veel veiliger.
Dan woon je zeker niet in de grote stad? Hier is dat (zeker in bepaalde wijken) een vrij regelmatig voorkomen fenomeen
hoor... vooral als het donker is.
26-07-2019, 08:57 door karma4
Door Anoniem: ...
Dat ze niet bedoelden dat oplichters met babbeltruuks ook van die functionaliteit gebruik (dus misbruik) konden maken verandert niet dat ze gehouden zijn niet de (gehele) schade bij de eindgebruiker te doen belanden. Ook al probeerden ze dat in eerste instantie wèl.
Goede uitleg en antwoord, thanks, …..

Door Anoniem: [
Ik zie toch niet zo snel iemand z'n portemonee aan een wildvreemde geven. Dus veel een veel veiliger.
..Buiten dat: dit is gewoon verwijtbaar gedrag van de telefoon eigenaar. Dus dat gaat heus niemand vergoeden. Hoop ik.
Kennelijk nooit van straatroof en overvallen gehoord. https://data.politie.nl/#/Politie/nl/navigatieScherm/thema?themaNr=47007 Waar jij vraagtekens bij zet wordt gewoon bijgehouden als statistiek - tellingen. Omdat het vaak voorkomt.t
26-07-2019, 10:20 door Anoniem
Door Anoniem: Wat is er mis met cash?
Overval gevoelig?
Verlies gevoelig?
Veel nodig tov een bankpasje.
Muntgeld is zwaar en lastig.
Traag met betalen.
Je moet weten hoeveel je nodig hebt, als je het wilt gebruiken.
Indien je meer als 250 euro nodig hebt, moet je het bij een automaat halen van je eigen bank.

Is dus verre van ideaal tegenwoordig.
26-07-2019, 10:27 door Anoniem
Mooi zo'n smartphone waar je tegenwoordig alle financiele handelingen makkelijk mee kan koppelen. Zo'n perfect computertje met de optimale beveiliging van een volwaardige pc ;-). Smart is die zeker en zeker voor beide partijen ;-)
Gebruikersgemak gaat voor security.
26-07-2019, 10:30 door Anoniem
Door Anoniem: Dat is dus niet zozeer "de gebruiker die domme dingen doet", maar "de gebruiker die bewogen wordt domme dingen te doen onder valse voorwendselen". Hij denkt dat'ie één ding doet, wat er werkelijk gebeurt is iets totaal ànders. Had de gebruiker door wat er wèrkelijk ging gebeuren dan had'ie het nooit gedaan!
Ik vermoed dat die app wel degelijk de gebruiker laat zien wat er gaat gebeuren en om een bevestiging vraagt, maar dat er een groep gebruikers is die dan nog niet snappen wat er gebeurt of die zich door de wijs laten brengen door zo'n handige oplichter. Ter vergelijking: ik weet wel zeker dat de Raboscanner duidelijk laat zien waar je voor tekent en dat er toch mensen zijn die als daar ondubbelzinnig op staat dat er €10000 overgeboekt gaat worden toch doorgaan en de code geven aan een oplichter die iets anders beweert.
Dat verschilletje is waarom je dit niet op "gebruikers doen dom" mag afschuiven, ongeacht hoe populair dat in zekere "computer security" kringen wèl is.
Ik ben het met je eens dat het op dom doen afschuiven niets oplost. Dat neemt niet weg dat er daadwerkelijk domme mensen rondlopen, per definitie heeft de helft van de bevolking een IQ onder de 100. Er zijn ook mensen die tijdelijk dingen niet overzien, zoals iedereen die een burn-out heeft gehad uit eigen ondervinding zal kunnen bevestigen. En er zijn ouderen wiens cognitieve vermogens achteruit gaan.

En dan zijn er mensen die niet per se dom zijn maar reageren op iets dat ze lastig vinden door hun verstand op nul te zetten. Ik heb bijvoorbeeld meegemaakt dat ik iemand uit probeerde te leggen dat je een url niet in de Google-zoekpagina moeten invullen die als beginscherm was ingesteld (die kwam daardoor op andere websites terecht dan hij dacht) maar in de adresbalk, om stuk te lopen op het feit dat hij de adresbalk nog niet waarnam als ik hem met mijn vinger op het beeldscherm aanwees. En heel vergelijkbaar, toen ik eind jaren '70 na de middelbare school gevraagd werd iemand wiskundebijles te geven bleek die zich bij voorbaat afgesloten te hebben voor alles wat hij moeilijk vond, of dacht te vinden, waardoor alles wat ik uitlegde het ene oor in en het andere oor uit ging. En meerdere keren is mijn hulp gevraagd door iemand wiens fietsketting van een tandwiel was gelopen die nog niet begreep dat die ketting eraf lag als die ernaar keek. Mensen die zo reageren zijn er volop. Misschien doen die dom, misschien hebben die totaal geen probleemoplossend vermogen en kunnen ze niet anders, maar ze zijn er volop.

Dat is een gegeven waar banken en andere bedrijven rekening mee te houden hebben. De reactie erop lijkt te zijn dat men het nóg simpeler en vervolgens nóg veel simpeler probeert te maken, soms simpeler dan nog verantwoord is (denk aan de mededeling "slotje is veilig" bij websites die jarenlang is verkondigd). Dat laatste is duidelijk niet een goede manier om met deze mensen om te gaan, omdat men iets creëert dat niet meer klopt en dus niet goed kán gaan, alleen heb ik geen idee hoe je iemand kan bereiken die op blanco gaat en niets meer laat doordringen.

Natuurlijk moet iets dat deze mensen wel aankunnen beschikbaar blijven, zoals ouderwets bankieren op papier, maar dan nog zit je met het probleem dat een flink deel van die mensen toch voor de computer zal kiezen omdat ze hun eigen beperkingen niet onderkennen.

De bank die dit mogelijk, zelfs onbedoeld makkelijk, gemaakt heeft (voor oplichters) met z'n "app" is hier daarom wel degelijk als mede-mogelijkmaker aan te wijzen. Onbedoeld, maar daarom niet minder gehouden hun klanten schadeloos te stellen. Zij zijn de ondernemer en hen behoort het ondernemersrisico dus toe en zij vonden het nodig deze "app" met deze functionaliteit niet alleen in de markt te zetten, maar ook zwaar te promoten boven alle andere toegangsmogelijkheden tot je bankrekening.
Sterker nog, een bank is helemaal geen gewone onderneming, een bank heeft een actieve zorgplicht.

ING zit naar mijn smaak veel te sterk op de lijn dat alles zo "makkelijk" (lees: laagdrempelig) mogelijk moet worden gemaakt en klantvriendelijk doet tot dat misgaat, dan krijg je met een juridische afdeling te maken die beter "eigen schuld" kan zeggen dan jij dat kan tegenspreken.

Maar tegelijk zou ik niet weten hoe je het goed moet doen bij die groep mensen die domweg niet in zich opnemen wat duidelijk voor hun snufferd staat. Mensen die een spoorwegovergang oversteken terwijl de lichten knipperen, de bellen rinkelen en de bomen omlaag staan heb je ook, en zo indringend als een bewaakte spoorwegovergang krijg je een app op een smartphone of een website in de verste verte niet. Er zit een grens aan de mogelijkheden om dit op te lossen, denk ik.
26-07-2019, 11:56 door Anoniem
Door Anoniem: Mooi zo'n smartphone waar je tegenwoordig alle financiele handelingen makkelijk mee kan koppelen. Zo'n perfect computertje met de optimale beveiliging van een volwaardige pc ;-). Smart is die zeker en zeker voor beide partijen ;-)
Gebruikersgemak gaat voor security.
Heb ik geluk dat de ING app niet op mijn oude smartphone werkt. Ik betaal toch alleen thuis, en heb een ING scan apparaatje. Niet al te snel, maar wél safe...
26-07-2019, 12:35 door Anoniem
Door Anoniem:
Heb ik geluk dat de ING app niet op mijn oude smartphone werkt. Ik betaal toch alleen thuis, en heb een ING scan apparaatje. Niet al te snel, maar wél safe...
Rare opmerking, je hoeft die App niet te installeren, maar je mag/kan het doen.
26-07-2019, 13:03 door Anoniem
Door Anoniem:
Door Anoniem: Dat is dus niet zozeer "de gebruiker die domme dingen doet", maar "de gebruiker die bewogen wordt domme dingen te doen onder valse voorwendselen". Hij denkt dat'ie één ding doet, wat er werkelijk gebeurt is iets totaal ànders. Had de gebruiker door wat er wèrkelijk ging gebeuren dan had'ie het nooit gedaan!
Ik vermoed dat die app wel degelijk de gebruiker laat zien wat er gaat gebeuren en om een bevestiging vraagt, maar dat er een groep gebruikers is die dan nog niet snappen wat er gebeurt of die zich door de wijs laten brengen door zo'n handige oplichter.
Er zijn mensen die zo vaak en zo veel popups gezien hebben* dat ze ze eerst wegklikken en nog een keer op het eerste knopje drukken voor ze (mischien) gaan nadenken waar die popup mischien toch vandaan zou kunnen komen (en soms helemaal niet, en wellicht vast komen te zitten in een klik-popup-klikweg-... lus).

Dat is dan een stukje conditionering die weinig met nadenken van doen heeft. Maar dus wel in de hand gewerkt wordt door minder-dan-direct-informatieve meldingen.**

* Waarin de fabrikant ogenschijnlijk met zoveel mogelijk woorden zo min mogelijk probeert te zeggen. Simpel voorbeeld is waar Unix (linux) "file not found" zegt, krijg je twee regels "windows was unable to ..." in cmd.exe. Die breedsprakigheid voegt niets toe maar kost wel extra moeite om te lezen.
** Alweer windows zit vol met "het zou mogelijk mischien wel eens kunnen dat..." zonder dan te kunnen vertellen wat de directe gevolgen voor deze actie gaan zijn. Terwijl de computer dat, zeker in het geval van drivers en systeemonderdelen met gedocumenteerde onderlinge afhankelijkheden aan-en-uitzetten, toch uit zou moeten kunnen rekenen.

Ter vergelijking: ik weet wel zeker dat de Raboscanner duidelijk laat zien waar je voor tekent en dat er toch mensen zijn die als daar ondubbelzinnig op staat dat er €10000 overgeboekt gaat worden toch doorgaan en de code geven aan een oplichter die iets anders beweert.
Een ander aspect (dan popup-murwheid) is dat veel mensen niet direct niet technisch onder legd zijn (dat ook niet) maar vooral, niet op feiten afgaan, maar op gevoel.

Daarin ligt de kracht van zo'n babbeltruuk. De oplichter doet z'n best om te laten zien dat'ie jou vertrouwt, dus verwacht'ie dat jij hem vertrouwt. Dus als'ie zegt dat het goed is, nou... "het leek toch zo'n aardige man" is een rode draad in oplichtingszaken.

Duidelijke berichtgeving is dus niet automatisch een panacea. Maar onduidelijke berichtgeving helpt zeker niet.

De volgende vraag is dan "wat is wel en wat is niet duidelijke berichtgeving". Hoe presenteer je welk bericht, voor elk bericht, meegenomen de specifieke situatie, etc. Let ook op dat de percepties hier van de "app"-bouwer en de eindgebruiker totaal verschillend kunnen zijn.

Dat verschilletje is waarom je dit niet op "gebruikers doen dom" mag afschuiven, ongeacht hoe populair dat in zekere "computer security" kringen wèl is.
Ik ben het met je eens dat het op dom doen afschuiven niets oplost. Dat neemt niet weg dat er daadwerkelijk domme mensen rondlopen, per definitie heeft de helft van de bevolking een IQ onder de 100.
Dan is dus de vraag "welk IQ heb je nodig om deze toepassing zelf veilig te kunnen gebruiken?"

"App"-ontwikkelaars, zoals zoveel programmeurs, vinden zichzelf graag slim (of ze het nu zijn of niet) maar hebben vaak niet zoveel voeling met wat voor hun gebruikers een goed idee is en wat niet. Vervolgens hebben "we" het resulterende probleem van slecht bruikbare interfaces proberen op te vangen met "user interface designers", wier ideetjes zeker niet allemaal slecht waren (maar ook zeker niet allemaal goed) en ondertussen "user experience designers" die kennelijk vooral bezig zijn met gevoelswapperij en met wat andere webshits (technische term) nu weer hip hot en happening lijken te vinden.

Dat zal bijdragen aan de kennelijke zaak dat dat vereiste IQ vaak een stukje hoger dan strict noodzakelijk ligt. Wat toch een redelijk fors probleem is als je heel je samenleving door zulke "apps" wil laten overnemen. (Nog afgezien van of dat op andere gronden wel zo wenselijk is.)

Er zijn ook mensen die tijdelijk dingen niet overzien, zoals iedereen die een burn-out heeft gehad uit eigen ondervinding zal kunnen bevestigen. En er zijn ouderen wiens cognitieve vermogens achteruit gaan.

En dan zijn er mensen die niet per se dom zijn maar reageren op iets dat ze lastig vinden door hun verstand op nul te zetten. [...]
Je geeft mooie voorbeelden, maar ik knip ze toch even weg. Je zal altijd mensen hebben die, in context kortgesloten, op te lichten zijn. Maar je kan nog steeds veel doen om te zorgen dat bijvoorbeeld bankier-"apps" redelijk robuust zijn op handige babbeltruuks van oplichters.

En, nouja, "lastig vinden", als het te complex is dan raak je het overzicht kwijt en heb je geen idee meer van waar je mee bezig bent. Dus dan lijkt "dan maar niets doen" vaak een veiligere optie. En laten we wel wezen, "apps" voegen vooral bergen complexiteit toe, net als websites dat deden, en meer van die nieuwerwetse rommel. Net als de regeltjes van de samenleving dat doen, overigens. Die ook (vrijwel) nooit simpeler worden, en er dus maar weer voor zorgen dat meer mensen niet "mee" kunnen. Waar we dan wat aan doen door er bijvoorbeeld een sociaal poppetje naartoe te schuiven.

Mensen die zo reageren zijn er volop. Misschien doen die dom, misschien hebben die totaal geen probleemoplossend vermogen en kunnen ze niet anders, maar ze zijn er volop.
En toch komen ze mee, min of meer. Dus hoe doen ze dat dan? Lijkt me een interessante vraag.

Dat is een gegeven waar banken en andere bedrijven rekening mee te houden hebben. De reactie erop lijkt te zijn dat men het nóg simpeler en vervolgens nóg veel simpeler probeert te maken, soms simpeler dan nog verantwoord is (denk aan de mededeling "slotje is veilig" bij websites die jarenlang is verkondigd).
Dat is wat mij betreft intellectuele luiheid van de zichzelf-slim-vinders, programmeurs en hun managers incluis.

Zeker bij het hele PKI-gebeuren (en dus ook "slotje is veilig") is er een complete infrastructuur neergepoot die nu nauwlijks meer weg te krijgen is zonder dat er echt is nagedacht wat dat nou betekende, laat staan dat de gevolgen begrepen waren. Of zelfs nu werkelijk doorgrond zijn. In die zin is PKI een slecht idee dat maar niet wil sterven.

Dat laatste is duidelijk niet een goede manier om met deze mensen om te gaan, omdat men iets creëert dat niet meer klopt en dus niet goed kán gaan, alleen heb ik geen idee hoe je iemand kan bereiken die op blanco gaat en niets meer laat doordringen.
Ik denk dat je dat niet moet proberen. Ik denk dat je dan je verlies moet nemen en toegeven dat je al veel eerder de strijd al verloren hebt.

Maar je hebt dus een duidelijk verhaal nodig. Zoals bijvoorbeeld macos dat altijd al veel meer had dan windows. Van zoiets simpels als command-V, command-C, command-X dat later door windows gekopieerd is, maar waar het de mac-community is die zulke consistentie verwacht en luid eist, tot complete handboeken "hoe ontwerp ik de UI van mijn applicatie", die apple voor elke nieuwe OS release weer bijwerkt. De software is niet perfect maar er spreekt een heel duidelijke verhaallijn uit, die de concurrentie niet kent en die daar dus ook niet de vruchten van kan plukken.

Bij gebrek aan een expliciet verhaal krijg je dat het na een tijdje min-of-meer uitkristalliseerd, maar dan krijg je iets wat min-of-meer bruikbaar is voor degenen die er tegen heug en meug toch mee volhard hebben. Dat kan beter.

Natuurlijk moet iets dat deze mensen wel aankunnen beschikbaar blijven, zoals ouderwets bankieren op papier, maar dan nog zit je met het probleem dat een flink deel van die mensen toch voor de computer zal kiezen omdat ze hun eigen beperkingen niet onderkennen.
Meer omdat de bank zo hard "het papierloze" promoot en een steeds hoger prijskaartje aan papier hangt.

Wat mij betreft een voorbeeld van paard-achter-de-wagen-"automatisering", wat ook helaas veelal de enige smaak automatisering is die te krijgen is. Zoals bij iedere partij die groots inzet op "apps"; ing onder andere, de ns ook bijvoorbeeld.

ING zit naar mijn smaak veel te sterk op de lijn dat alles zo "makkelijk" (lees: laagdrempelig) mogelijk moet worden gemaakt en klantvriendelijk doet tot dat misgaat, dan krijg je met een juridische afdeling te maken die beter "eigen schuld" kan zeggen dan jij dat kan tegenspreken.
Ze willen dat je geld rolt, of jij dat ook wil interesseert ze dan weer minder. En ze willen "hip en happening" lijken uit marketeering-oogpunt. En zodra het misgaat komen de juristen om zoveel mogelijk de puinhopen elders te stallen. Bij de klant bijvoorbeeld. Maar met klassiek bankieren hebben ze al jaren steeds minder mee te maken. De andere banken idem dito, trouwens, ing is echt niet de enige.

Maar tegelijk zou ik niet weten hoe je het goed moet doen bij die groep mensen die domweg niet in zich opnemen wat duidelijk voor hun snufferd staat. Mensen die een spoorwegovergang oversteken terwijl de lichten knipperen, de bellen rinkelen en de bomen omlaag staan heb je ook, en zo indringend als een bewaakte spoorwegovergang krijg je een app op een smartphone of een website in de verste verte niet. Er zit een grens aan de mogelijkheden om dit op te lossen, denk ik.
Een van de dingen die wel leken te werken (was mijn indruk) waren de "wil je blijven leven, wacht dan even"-bordjes. Het gaat er dus ook om hoe je het geheel presenteert, cq. wat de verhaallijn erachter is. Zie ook de "bob"-campagne. Ik heb hier een boekje "positioning" dat eenzelfde soort verhaal ophangt maar dan toegespitst op hoe je producten verkoopt.

Zoals je bijlesleerling: Als je gelooft dat het moeilijk is dan is en blijft het dat ook ongeacht de werkelijkheid. Pedagogisch gezien had je dus eerst dat probleem moeten onderkennen en daar iets aan moeten doen, want het blokkeerde alles wat je aan inhoudelijks probeerde te doen.

Als je een ding goed in de vingers hebt dan weet je waar je op moet letten. Als je dat niet weet dan ontgaan de meest voor de hand liggende dingen je nog. "App"-bouwers en -proponenten vergeten wel eens dat de vaardigheden die zij hebben niet door alle andere beoogde gebruikers gedeeld worden. Dus daarin schuilt al gevaar waar bijvoorbeeld oplichters handig gebruik van kunnen maken.
26-07-2019, 13:36 door Anoniem
Door Anoniem:
Door Anoniem: Wat is er mis met cash?
Overval gevoelig?
Verlies gevoelig?
Veel nodig tov een bankpasje.
Muntgeld is zwaar en lastig.
Traag met betalen.
Je moet weten hoeveel je nodig hebt, als je het wilt gebruiken.
Indien je meer als 250 euro nodig hebt, moet je het bij een automaat halen van je eigen bank.

Is dus verre van ideaal tegenwoordig.

Digitale betaalopties:
Werken niet als de stroom, het internet of de mobiele verbinding uit valt
Het is super makkelijk om veel meer uit te geven dan eigenlijk de bedoeling was
Als je geskimmed of opgelicht wordt kan je je volledige banksaldo verliezen
Als je geskimmed of opgelicht wordt kan je juridisch verantwoordelijk worden gesteld voor criminele acties die anderen met jouw rekening hebben uitgevoerd
Kunnen aan meerdere apparaten worden gekoppeld, zelfs zonder dat je dat zelf door hebt
Krijgen steeds meer gemakkelijke functies waar je vaak niet vanaf weet en die oplichters kunnen gebruiken om je geld afhandig te maken
Je moet zo vaak je pin en andere codes intoetsen dat afkijken steeds makkelijker wordt
Een eenmaal geopende app kan worden misbruikt door simpel je telefoon af te pakken
Een pin code is nauwelijks beveiliging als die onder dreiging afhandig gemaakt kan worden
enz
enz

Dus wellicht ideaal in gebruiksgemak, maar rampzalig voor wat betreft veiligheid en zekerheid
26-07-2019, 14:27 door Anoniem
Door Anoniem: Daarom ben ik zo blij met de Blokada app.
Alleen niet te verkrijgen in de Google webshop, je moet ervoor bij Aptoide zijn.
Het is alleen zo jammer dat je daarnaast dan geen firewall kunt gebruiken.
26-07-2019, 17:08 door Anoniem
Door Anoniem:
Door Anoniem: Daarom ben ik zo blij met de Blokada app.
Alleen niet te verkrijgen in de Google webshop, je moet ervoor bij Aptoide zijn.
Het is alleen zo jammer dat je daarnaast dan geen firewall kunt gebruiken.

Als Google het weet dan ben je echt safe ;-)
27-08-2019, 12:37 door Anoniem
Een al wat ouder artikel, maar voor mij weer even relevant omdat vandaag door de politie extra informatie over mijn voorval werd gevraagd; bij mij is namelijk ook geprobeerd om mij op deze manier op te lichten.

Ik heb zelf een achtergrond in IT Security en een universitaire opleiding informatica, dus ik weet wat social engineering inhoudt. Zonder deze achtergrond was echter de kans zeer groot geweest dat ik ook slachtoffer was geworden. Ik ben redelijk goedgelovig, de oplichters kwamen zeer beleefd over en hadden een goed verhaal. Het feit dat ik in een goede stemming was na een leuk avondje dansen met enkele drankjes werkte ook in hun voordeel.

Door Anoniem:Ik bedoel als iemand op zo'n manier naar je toe komt moet je gewoon alert zijn en ZELF het bedrag overmaken.

Dit was het eerste wat ik voorstelde, zij gaven echter het tegenargument dat zij een Belgische ING rekening hadden, waarbij overschrijven langer zou duren terwijl een QR-betaalopdracht direct verwerkt zou worden.

Uiteindelijk ben ik gezwicht voor hun verhaal en heb de QR-code gescand, er vanuit gaande dat de ING app daarna nog om een bevestiging en/of pincode zou vragen. Ze gaven mij weinig tijd om de (enigzins cryptische) bevestigingsmelding aandachtig te lezen en probeerden deze melding voor mij te bevestigen, dus heb ik de melding snel weggeklikt.

Aangezien ik het wel interessant begon te vinden vanuit mijn security-achtergrond, ben ik nog even met ze in gesprek gebleven. Bij een volgende poging lieten ze mij op hun telefoon exact de stappen zien hoe ze dat betaalverzoek aanmaakten, waarbij mij opviel dat de lijst met eerdere betaalverzoeken leeg was (dus waar kwam de vorige QR-code vandaan?). Na een korte afleidingsmanoeuvre (waarbij ze waarschijnlijk van telefoon wisselden), probeerden ze mij opnieuw een QR-code te laten scannen, waar ik uiteraard niet meer op in ben gegaan.

Moraal van dit verhaal; na dit zelf te hebben meegemaakt kan ik me zeer goed voorstellen dat mensen hier intrappen. Het is onterecht om dit op de 'domheid' van gebruikers van de ING app af te schuiven.

Mijn inziens kan ING meerdere dingen doen om dit soort fraude te voorkomen, zoals:
- Het proces omdraaien; in de reeds geactiveerde app een menu-optie om controle over de rekeningen over te dragen aan een nieuwe app, en de resulterende QR-code te scannen in de te activeren app op het andere apparaat.
- Onder QR-codes in tekst aan te geven wat voor actie er met deze QR-code wordt uitgevoerd.
- In plaats van de redelijk cryptische melding 'U activeert een app', een duidelijkere melding te geven zoals 'U activeert de ING app op een ander apparaat, waarmee deze app volledige toegang heeft tot uw bankrekeningen'
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.