ING hoeft klant die oplichter toegang gaf tot rekening niet te vergoeden
ING hoeft een klant die een oplichter toegang tot zijn rekening gaf en vervolgens voor 2500 euro werd bestolen niet te vergoeden. Dat heeft het financiële klachteninstituut Kifid bepaald. De klant bood op Marktplaats een videorecorder te koop aan en werd door een oplichter benaderd die aangaf het apparaat te willen kopen.
De oplichter vroeg de ING-klant om een foto te maken van de videorecorder en zijn betaalpas en die samen met zijn geboortedatum en e-mailadres door te sturen, wat de klant ook deed. Hierna stuurde de oplichter via e-mail een link waarmee de klant op zijn bankomgeving kon inloggen. Vervolgens klikte de klant op "samsung activeren", vulde een tan-code in en gaf het getoonde bevestigingsnummer door aan de oplichter.
Door deze stappen te doorlopen activeerde de klant de mobiel bankieren app van ING op het toestel van de oplichter. Die kon zo bij de rekening van de klant en maakte zo'n 2500 euro over. De ING-klant ontdekte deze transactie een dag nadat die had plaatsgevonden. Volgens de klant had de onbevoegde transactie niet kunnen plaatsvinden als de beveiliging van de bank goed was geweest. Hij verzocht ING dan ook om de geleden schade te vergoeden.
De bank weigerde dit, waarop de klant naar het Kifid stapte. Het klachteninstituut stelt dat de klant zich niet heeft gehouden aan de voorschriften voor veilig bankieren. "Hij heeft persoonlijke gegevens (e-mailadres, foto betaalpas en geboortedatum) gedeeld met een derde. Daarna heeft hij een niet beveiligde link gebruikt voor het inloggen op zijn digitale omgeving en een bevestigingscode met de derde gedeeld. De derde heeft zijn mobiele telefoon kunnen toevoegen aan de digitale omgeving van consument."
Door het niet volgen van de regels is de klant "grof nalatig" geweest, zo oordeelt het Kifid. De handelingen die de klant uitvoerde zijn voor een normale overboeking niet vereist. "Juist omdat consument een heel stappenplan moest doorlopen, had hij op enig moment argwaan moeten krijgen. Hij had vraagtekens moeten zetten bij deze wijze van het overboeken van de verkoopprijs en daarover contact moeten opnemen met de bank of van de verkoop kunnen afzien", stelt het klachteninstituut verder. "Door toch het gehele stappenplan uit te voeren, kan zijn gedrag als bewust roekeloos nalaten worden gekwalificeerd." De vordering werd dan ook door het Kifid afgewezen (pdf).
Als je zelf je gegevens aanlevert dan vraag je erom.
A fool and his money are soon parted.
Suck to be you
Daar staat dat de klant 2500 euro buit maakte. Dan heeft hij geen reden om te klagen.
De vraag die je dan kan stellen: doet de ING wel genoeg om dit soort phishing tegen te gaan? Niet onder de bankenwetgeving (PSD2 etc.), maar onder de privacywet (AVG, Artikel 32) dus. Volgens mij kom je dan op de discussie welk authenticatie niveau wel voldoende is voor het inloggen op je bankrekeningen. Net zoals DigiD Hoog verplicht is voor het inzien van medische gegevens, kan je je afvragen of er bij banken ook niet sprake moet zijn van dergelijk sterke authenticatie. Want een beetje TAN codes overtypen is vrij eenvoudig en kan je op geen enkele manier zien als 'sterke' authenticatie.
(En nee, DigiD Hoog bestaat (nog) niet, maar dat staat hier los van.)
Het verschil is echter dat de AFM met PSD2 daar veel zwaardere eisen aan stellen dan wat het AP voldoende vindt. Het Ap vind een kopietje paspoort met verwijderen van gegevens goed.
De AFM (DNB) eist dat er de wettelijke verplichting gebruik bsn nageleefd wordt. Vandaar een kopie en live foto met het nieuwe controleren bij bijvoorbeeld ICS cards. Banken zijn verplicht de gegevens gekoppeld aan een bsn door te geven.
Privacy beschermt zo de oplichters witwassers en meer fout volk. Wwft is bedoeld om dat tegen te gaan.
https://www.consumentenbond.nl/betaalrekening/wwft-en-heridentificatie
https://www.betaalvereniging.nl/actueel/achtergrondinformatie/in-het-kort/ken-uw-klant-in-het-kort/
Je weet dat er genoeg opa's en oma's klant zijn bij de ING en liever niet online zaken doen maar soms gewoonweg moeten en niet helemaal up2date zijn qua kennis en campagne's over phishing?
De vraag is een beetje hoe je die mensen nog goed kan voorzien of voorlichten en tevens het veilig allemaal laten doorgaan..
Blijft een lastig verhaal awareness kweken..
ING zou dat gemakkelijk kunnen voorkomen door in de activatieprocedure van de app een stap op te nemen waarbij ING de rekeninghouder een papieren brief stuurt met een activatie-code en een aanhef die begint met uit te leggen dat de rekeninghouder op het punt staat de ING app te activeren waarmee de rekening beheerd (en leeggehaald) kan worden.
In plaats van een papieren brief te sturen zou ING natuurlijk ook de rekeninghouder even kunnen opbellen. Ook zouden ze de rekeninghouder kunnen vragen om (met legitimatie) naar een ING kantoor te komen.
Maar dat is allemaal maar lastig. Minder klanten zouden die ING app gaan gebruiken en het kost ING gemakkelijk enkele EUROs aan frankering en papier en/of menskracht. Dat ze daarmee de minder ICT savvy klanten een schade van duizenden EUROs kunnen besparen vindt ING niet zo belangrijk.
ING genereert een SMS TAN Code om 13:59.
ING accepteert deze TAN code nog steeds tijdens de transactie om 17:18.
Dat kan toch niet waar zijn ING? Zo slecht geregeld? Begin nu eens dit terug te brengen naar 1-2 minuten.
ING genereert een SMS TAN Code om 13:59.
ING accepteert deze TAN code nog steeds tijdens de transactie om 17:18.
Dat kan toch niet waar zijn ING? Zo slecht geregeld? Begin nu eens dit terug te brengen naar 1-2 minuten.
Dus dat je zelf in de settings moet aangeven of je een APP wilt en ook hoeveel.
Dan moet je voor je je APP activeert en voor je deze cloned naar een ander toestel (dat is ook een mogelijkheid!) deze
setting aanpassen. Daarbij kunnen ze dan aangeven wat de consequenties zijn.
Tuurlijk het gaat bepaalde mensen niet helpen. Maar het kan in ieder geval snelle misbruikers een beetje remmen.
(je kunt wel allerlei andere dingen instellen, bijvoorbeeld limieten van bankpassen, wel/net draadloos betalen, etc)
Want dit verhaal valt in dezelfde categorie als je pincode aan derden verstrekken. Goed om te zien dat voor deze domheid de bank en daarmee de maatschappij niet hoeft op te draaien.
we dingen ouderen en zwakkeren in de samenleving te digitaal bankieren en sluiten alle kantoren en vertellen dat ze heel goed moeten opletten want er zijn criminelen en boeven en we maken ze voor dom uit als er eentje iemand eens te vlug / slim af is geweest...
wat een fijne samenleving is het toch...
Als je zelf je gegevens aanlevert dan vraag je erom.
A fool and his money are soon parted.
Suck to be you
Je kunt je ook afvrange of de bank wel goed automatiseerd. Het zijn altijd automatiserings projecten gericht op hun eigen bedrijfsprocessen. Als ik een bank kon kopen, had ik het wel anders gedaan.
Beide statements zijn onjuist. Rabobank heeft hier enorm veel last van en is terughoudend met vergoedingen.
Men was bezig om de boel te migreren maar daar is men halfweg mee gestopt "ivm Corona".
Ik weet niet of dat weer is doorgezet.
Zelf heb ik een ING scanner en dat is zeker te weten een beter systeem dan de Rabo scanner.
Maar er zijn nog ING klanten met papieren TAN sheets en met TAN via SMS.
En dan zijn er degenen die een APP gebruiken. Dat lijkt een goed idee door veiligheid van de telefoon en de communicatie
met de bank, maar de methode voor het toevoegen van een telefoon is een zwak punt als je nog met die oudere validatie
werkt of als je al een APP hebt op een andere telefoon. Dan kun je "simpel" een telefoon toevoegen door een QR code
te scannen en allerlei waarschuwingen weg te klikken. Daar kunnen criminelen misbruik van maken.
Men was bezig om de boel te migreren maar daar is men halfweg mee gestopt "ivm Corona".
Ik weet niet of dat weer is doorgezet.
Zelf heb ik een ING scanner en dat is zeker te weten een beter systeem dan de Rabo scanner.
Maar er zijn nog ING klanten met papieren TAN sheets en met TAN via SMS.
En dan zijn er degenen die een APP gebruiken. Dat lijkt een goed idee door veiligheid van de telefoon en de communicatie
met de bank, maar de methode voor het toevoegen van een telefoon is een zwak punt als je nog met die oudere validatie
werkt of als je al een APP hebt op een andere telefoon. Dan kun je "simpel" een telefoon toevoegen door een QR code
te scannen en allerlei waarschuwingen weg te klikken. Daar kunnen criminelen misbruik van maken.
Je weet dat er genoeg opa's en oma's klant zijn bij de ING en liever niet online zaken doen maar soms gewoonweg moeten en niet helemaal up2date zijn qua kennis en campagne's over phishing?
De vraag is een beetje hoe je die mensen nog goed kan voorzien of voorlichten en tevens het veilig allemaal laten doorgaan..
Blijft een lastig verhaal awareness kweken..
Probleem is dat we altijd denken dat ouderen niets kunnen en houden we oude methodes, zoals overschrijvingsformulieren, heel lang in stand om ouderen tegemoet te komen. Na 20 jaar moet die methode dan echt verdwijnen en moeten die ouderen ineens 20 jaar aan technische vooruitgang tot zich nemen. Vervolgens wordt er dan gezegd dat er geen rekening gehouden wordt met ouderen.
We moeten niet doen alsof ouderen achterlijk zijn en niets meer kunnen. Men moet veel sneller oude procedures en methodes uitfaseren zodat ouderen in kleine stapjes met de tijd mee kunnen gaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
