In mijn opinie is een hoax te wijten aan onachtzaamheid van de gebruiker.
Wat is de reactie van een bank als je je bankpas met pincode aan een
derde geeft??? Volgens mij verschuift de aansprakelijkheid dan van bank
naar gebruiker.

Het lijkt dus logisch dat banken niet aansprakelijk zijn voor de gevolgen van
een foax (een hoax waarmee fraude wordt gepleegd).

--Leon.

Vanzelfsprekend moeten ze het zelf vergoeden.

Maar mijn vraag is.. wie zou volgens de topicstarter dan anders voor de
kosten moeten opdraaien?

mijn eerste reactie zou zijn: tuurlijk niet, als de gebruiker zo 'dom' is om zijn
gegevens af te staan dan is dat zijn probleem, waar ligt anders de grens.

maar na het te overdenken kom ik wellicht tot het volgende standpunt:
zouden de banken hun systeem niet zo moeten maken dat er een
soort 'rolling codes' gebruikt worden. Ala de handzenders van (moderne)
autoalarmen. Of zoals de digipas van de Rabo...?

"als de gebruiker zo 'dom' is " : die zijn er nu eenmaal, en niet zo'n beetje ook.
Ik ken bejaarden die voor het eerst een computer kopen. Kun je die iets
kwalijk nemen ? Ik vind van niet.
"'rolling codes' " voor je code, da's wel een goed idee.

Ik denk dat het gebruik van het woord kosten misleidend is. Want waar
bestaan die kosten eigenlijk uit? Een opsomming:
- Het maken van een goedgelijkende website
- Het hosten van een webserver
- Het (opstellen en) versturen van (miljoenen?) e-mails
- Het ophalen van e-mail
- Het onderzoeken van klachten over fraude

Allemaal kosten. En wie betaalt die eigenlijk? Juist, fraudeur en bank. De
kosten voor de gebruiker zijn minimaal. En de controlemogelijkheden voor
die gebruiker zijn groot:
- naar welke website word je gestuurd;
- is de 'veilige' verbinding met die website tot stand gebracht met een
goedgekeurd (gatver...) certificaat;
- komt de naam van dat certificaat overeen met de naam van de website;
- wat is het beleid van de bank met betrekking tot het uitsturen van e-mails;
- etc...

De kosten voor de beveiliging worden gedragen door de bank en de
leverancier van de software waarmee de verbinding naar de website wordt
gelegd. De gevolgen van een foax voor de gebruiker kunnen oplopen.
Maar met common sense (goedkoop!) eenvoudig te ontlopen.

Mochten banken de gevolgen van een foax moeten betalen dan wordt het
aantrekkelijk voor fraudeurs enkel en alleen daarom fraude te plegen. Ultimo
zouden ze zichzelf 'slachtoffer' kunnen maken. Succes lijkt dan verzekerd.

"- naar welke website word je gestuurd; "
--> de leek ziet het verschil niet, een webpagina die er mooi uitziet is
voldoende. Hoe zou en leek dat moeten zien ?
"- is de 'veilige' verbinding met die website tot stand gebracht met een
goedgekeurd (gatver...) certificaat; "
Waarschuwing wordt weggeklikt, dat is de normale gang van zaken. Welke
leek weet nu wat een certificaat is ? Bovendien is mijn ervaring dat
certificaten slecht geimplementeerd zijn: waarschuwingen over certificaten
zijn vaak het gevolg van slordigheden van de beheerder van een site, nieuwe
server bijvoorbeeld.
"- komt de naam van dat certificaat overeen met de naam van de website; "
Geen mens die dat controlleert.
" wat is het beleid van de bank met betrekking tot het uitsturen van e-mails; "
Geen idee wat het beleid van mijn bank hierin is. Wel eens een brief
ontvangen waarin het beleid uiteengezet wordt ? Ik niet.

Kortom, theoretisch-technisch zit het best leuk in elkaar maar in de praktijk
wordt het met dit soort maatregelen niet veiliger. Ja, is heel dom, eigen
schuld dikke bult ed. maar zo werkt het nu eenmaal in de praktijk. Dat is de
menselijke factor.
Burgers dienen beschermd te worden omdat ze de techniek niet kunnen
overzien maar er wel van afhankelijk zijn (en dat gaat maar verder).

Elk half jaar krijg ik post van de Rabo-bank waarin staat hoe geweldig het
allemaal is om via het Inet je zaakjes te regelen en wanneer ik mijn Rabo
Box op kom halen. Nooit dus.
Banken pushen hun klanten wel om ermee te gaan werken
(kostenbesparing, snap ik wel)

Misschien dat banken gewoon een inbelnummer beschikbaar kunnen
stellen, dan hoeft men niet over het Inet naar de bank. Beschermt ook tegen
onzorgvuldig gebruik, bijv. op het werk. (collega van mij deed zijn zaakjes op
het werk, via het LAN. Ik had gemakkelijk een hele Man-in-the-Middle aanval
uit kunnen voeren.)
Dat is de reden waarom ik mijn Rabo-rekening NIET via het Inet regel, maar
mijn Postbankrekening WEL (direct inbelnummer). Evt. zou nog iets gedaan
kunnen worden met CallerID van je telefoonlijn.
Probleem helemaal opgelost !

Klopt. Fraudeurs zijn ook maar mensen.

[boerenverstand-mode]
Nog nooit (!) heb ik van één van mijn banken e-mail mogen ontvangen. Krijg
ik wel e-mail van mijn bank denk ik twee dingen: 1) spam, 2) foax.
[/boerenverstand-mode]

Het wordt pas echt ingewikkeld als e-mail wél een geaccepteerd
communicatiemedium zou zijn. Maar volgens andere berichten zou dat wel
eens nooit kunnen gebeuren.

Natuurlijk moet een BANK niet opdraaien hiervoor.

Banken waarschuwen zelf al dat ``Je alleen je gegevens moet
invoeren als de URL inderdaad bijvoorbeeld
https://bankieren.rabobank.nl is.

Het is niet alleen ``Social Engineering'' wat als methode
wordt gebruikt. Meestal worden deze in combinatie met andere
vulnerabilities gebruikt (zoals de URL @ parsing
vulnerability in Internet Explorer -- welk nog STEEDS
ongepatched is).

Deze laatstgenoemde kan een gebruiker ``tricken'' om te
denken ``Dit is de echte site van de bank.''

Is de bank in deze situatie verantwoordelijk!? Ik dacht het
niet.

Het is in feite de schrijver / opdrachtgever van dat bewuste
operating system / browser-component die verantwoordlijk is
voor deze mogelijkheid tot fraude -- deze software is
namelijk niet voldoende getest gebleken.

Banken kiezen kennelijk een onveilige manier van telebankieren en
volgens voorgaande reactie moet de klant opdraaien voor evt. schade.
Da's de omgekeerde wereld.

Banken maken gebruik van de aanwezige infrastructuur die aanwezig is. Als
deze redenatie word gevolgd kun je de openbare weg (die gebruikt wordt bij
een ramkraak of overval) ook wel afbreken ...

Banken zouden ook voor inbelverbindingen kunnen kiezen]/. Dat is ook
een aanwezige infrastructuur.

Je kunt je kind naar school laten gaan via een hele drukke en gevaarlijke
weg, of je laat je kind langs een minder gevaalijke route naar school fietsen,
of je brengt 'm zelf in de auto (met airbags e.d.) naar school, nog veiliger. Dat
is een keuze.

Je argumenten kloppen niet:

"het hebben van een telefoonlijn. En die heeft niet iedereen- "
Ja, en Internet heeft wel iedereen?

Je tweede argument: je vergeet de menselijke factor en dat niet iedereen
ICTer is. En is het Internet soms gratis ?
Niet zo lang geleden gebruikte ik n.b. de telefoonlijn om het Inet te bereiken,
nu gaat het via aDSL, dus ook via het telefoonnet !

Derde argument: ja natuurlijk, maar dan liefst wel om te beginnen op een
veilig stukje weg. En ook al letten ze goed op (kind van 8 jaar ??) dan nog zou
ik ze liever via een veilige weg naar school laten fietsen dan via een drukke
gevaarlijke weg (met rondscheurende ICT-leasbakken ;-). Je hebt zelf geen
kinderen, he ?

Wie wel een telefoonlijn heeft *kan* internet nemen.
Wie geen telefoonlijn heeft *kan* internet nemen.

In beide gevallen kan de dienst die de bank via internet aanbiedt bereikt en
gebruikt worden.

Mensen worden ook niet geboren met de gave te kunnen fietsen ... leren dus.

Het internet wel, de verbinding er naar toe niet.

Of ik geen, een of tien kinderen heb doet niet ter zake.

Ik ben van mening dat mijn argumenten kloppen. Zoals aangetoond.

De laatste reactie even kort samengevat: Internet is gratis en komt door de
lucht bij jouw thuis, iedereen moet verplicht een ICT-cursus gaan volgen en
kinderen stuur je via de meest gevaarlijke route naar school.

Samenvatten is overduidelijk niet je sterkste punt ...

Om terug te komen op het onderwerp: banken kiezen duidelijk voor de voor
hun het goedkoopste oplossing om te komen tot een zo groot mogelijk winst.
Vervolgens gaan ze roepen dat deze optie absoluut veilig is en als het fout
gaat gaan ze de klant ervoor verantwoordelijk stellen. Begrijpelijk, maar fout.
Maar nog doller maakt die sukkel het die de schrijver / opdrachtgever van dat
bewuste operating system / browser-component die verantwoordlijk is
voor deze mogelijkheid tot fraude verantwoordelijk wil gaan stellen. Dus niet
de bestuurder van de auto die dronken achter het stuur zit en bovenstaande
kinderen heeft aangereden moet worden aangeklaagd, maar de uitvinder van
alcohol, het wiel, en natuurlijk de misdadiger die de auto heeft uitgevonden.
Jullie zijn het jaar weer goed begonnen, of hebben jullie nog last van de
alcohol van het oude jaar.

De bank doet enkel uitspraken over de
veiligheid van de eigen website. Wie dat
niet begrijpt . . . tsja.

..sterk argument hoor, ik ben meteen om :-))

De bank is 100% verantwoordelijk voor de door haar aangeboden diensten.
Als de bank bewust kiest voor onveilige technologien, dan is het risico voor
de bank, tenzij de bank kan aantonen dat de client nalatig is geweest.
(uitspraak van geschillencommissie van de banken en ook jurisprudentie bij
kantonrechters)
Voorbeeld: pinpassen zijn minder veilig dan ander manier van identificatie
en authenticatie. Tenzij de bank kan aantonen dat de client onveilig met de
pincode is omgegaan, is de bank verantwoordelijk voor fraude (zoals bij de
recente fraudes bij pin automaten, waarin een verborgen camera de pincode
kon stelen en een gemonteerde magneet lezer de kaartgegevens kon
kopieren).

Mee eens en ter aanvulling:
Vergelijk het met creditcard betalingen. Daar zitten ook bepaalde risiko's aan
en die zijn bekend. De creditcardmaatschappijen nemen het risiko op zich en
vergoeden evt. schade. Dat is hun 'business model'. Wordt het ze te bont en
willen ze fraude terugdringen dan zijn ze zelf aan de bal door bijv. betere
cards te verstrekken (met een chippie o.i.d.). Dat doen ze dan ook steeds.

Kom op zeg.. als je zo dom bent dat je valt voor die hoaxes, dan is het je
eigen schuld dat je getilt word. Als je niet met een computer kan omgaan,
volg dan eerst een computercursus (Internet Rijbewijs)!

Bovendien HOEF je niet gebruik te maken van de online-bankieren
mogelijkheden.. je kan ook naar het 'analoge' locket gaan. En dat is
precies wat iedereen zou moeten doen die NIET genoeg kennis van
zaken heeft om online zijn financiele zaken af te handelen.

Bovendien: Stel dat de bank wel de schade vergoed, wie betaald dat dan?
De bank gaat gewoon de kosten rechtstreeks doorrekenen over alle
gebruikers..

Met andere woorden: Ik moet dan meer betalen omdat andere gebruikers niet
met een computer kunnen omgaan.

Lijkt me ook geen goeie nee, dus kunnen we met zn allen
als "computerkenners" op de " kleintjes" passen.

Mensen bewust maken van de gevaren is een begin en dat begin is er
d8 ik al redelijk.

Wat de banken wel mogen doen is een adviseur bij de mensen thuis
laten komen, daar zijn ze toch al zo goed in, laten ze die pc dan ook
maar meteen even meepakken in hun adviezen. Vooral als ze zo
graag willen dat de klant online gaat bankieren.... ;o)

Izzy

"dom", je bedoelt waarschijnlijk "onwetend op computergebied".

Je HOEFT inderdaad niet via Internet te bankieren, maar als een onwetend
persoon bij de bank komt krijgt 'ie daar een fantastische verhaal te horen en
dat de beveiliging helemaal okay is. Hoe moet zo'n persoon dat
beoordelen? Hij denkt "de bank heeft uiteraard alles goed voor elkaar".
Dat is de 'trust' de banken hebben, je geeft ze ook jouw geld in beheer. Als
jij daar komt en over mogelijk lekken begint tegen de dame achter de balie
krijg je de meest stompzinnige antwoorden. (ik doe dat wel eens en mijn
ervaring is dat men je eerst probeert af te poeieren met een stom verhaal,
en daarna vind men je heeel vervelend. Laats nog bij de GGGD:
bloedmonsters gaan naar een extern lab. voorzien van een 'anoniem
nummer' en dat bestaat uit je geboortedatum en eerste letters van je naam !
Ik kon tijdens het inloggen (crasht vaak) ook het account en password
gewoon meelezen, ze draaien Windows en ze hebben email op de
werkplek,: ik weet genoeg. Ik heb daar trouwens ook hun
koffieautomaat 'gehacked'!! (code afkijken) Gratis koffie uitgedeeld in de
wachtkamer hahaha)
Feit blijft dat banken de mensen pushen en dat het niet helemaal veilig is
en 'onwetende' klanten dit niet kunnen overzien..

"Ik moet dan meer betalen omdat andere gebruikers niet..." ja, da's net als
met verzekeringen ('moet ik betalen voor iemand die rookt'-verhaal),
creditcardfraude, winkeldiefstal en noem het maar op. Zelfs nog verder: er
worden met jouw belastinggeld bijv. ook wegen aangelegd waar jij
misschien nooit gebruik van zult maken enz.

Het enige punt waarin ik met je (jullie) meega is de adviserende rol van de
bank. Zou best goed zijn om een "Internetrijbewijs " (wat een knullige
naam[i/]) te verlangen, maar dat bosts met hun belang om iedereen zo snel
mogelijk aan het Inet te krijgen, wegens de kostenbesparing.
Bij veel van mijn afschriftjes stoppen ze en lading hoogglansfolders
(meteen prullebak) dus adviseren op zich willen/kunnen ze wel. Verwacht
echter niet dat ze een campagne beginnen waarin ze melden dat er evt.
problemen mee zijn. Okay, maar draai dan ook zelf op voor evt. schade.