image

Hoogleraar: bank moet klant die fout maakt niet aan maximale schade blootstellen

maandag 10 mei 2021, 14:12 door Redactie, 21 reacties

Banken moeten klanten die een keer een fout maken, bijvoorbeeld doordat ze in een phishingmail trappen, niet meteen aan de maximale schade blootstellen, zo stelt Michel van Eeten, hoogleraar Bestuurskunde bij de sectie Organisation & Governance (OG) aan de TU Delft, en specialist in internetveiligheid, tegenover televisieprogramma Kassa.

Volgens Van Eeten is het lastig voor mensen om allerlei scams te herkennen. "Onderscheid maken tussen nep en echt vereist eigenlijk heel veel expertise over computers, over informatiediensten, over betalingsverkeer, en zelfs experts hebben dat maar gedeeltelijk. Zelfs bij beveiligingsbedrijven trappen mensen in phishingmails en dan niet twee procent maar dertig procent. Als die mensen voor de bijl gaan dan weet je gewoon dat consumenten uiteindelijk nooit de expertise zullen opbouwen om altijd nep van echt te kunnen onderscheiden."

Banken wijzen klanten op allerlei zaken wat ze niet moeten doen, maar daarmee proberen ze de verantwoordelijkheid bij hun klanten te leggen, stelt Van Eeten: "Dat hele hameren op voorlichting en communicatie naar klanten is eigenlijk een manier om te zeggen 'het is jouw verantwoordelijkheid'. Wij hebben het uitgelegd, als je er nu nog intrapt is het jouw schuld. Heel veel veiligheidsbeleid is er nu op gebaseerd om mensen te leren wat ze niet moeten doen en dat zijn vaak ook nog heel moeilijke omschrijvingen, die als je er goed naar kijkt totaal niet duidelijk zijn."

Zodra een crimineel eenmaal toegang tot de rekening heeft is de mogelijke schade voor klanten vaak maximaal, wat mede door de standaardinstellingen in de hand wordt geholpen. Zo is de standaard limiet bij ABN Amro bij gebruik van de e.dentifier 250.000 euro. ASN besloot de daglimiet onlangs aan te passen van 25.000 naar 5.000 euro. ING wijzigde de wachttijd voor het aanpassen van de daglimiet naar vier uur.

"99 procent van de mensen verandert nooit de standaardinstellingen. Dan moet je zorgen dat die instellingen in het belang van die mensen zijn neergezet", merkt Van Eeten op. Volgens de hoogleraar leren banken veel over criminelen dankzij hun slachtoffers. "Dat zou er toe moeten leiden dat die slachtoffers met een bepaald mededogen bejegend worden en de aanpassingen die banken doen laten zien dat zij die gevallen kunnen voorkomen als ze willen."

De hoogleraar stelt dat het nemen van verantwoordelijkheid op de manier waarop de bank veronderstelt, namelijk dat klanten alle vormen van fraude herkennen, voor heel veel mensen niet gaat lukken. "Dat is voor hele competente gebruikers prima, maar er zullen ook mensen zijn die door de bomen het bos niet zien." Het is daarom belangrijk dat als klanten een keer een fout maken ze niet meteen aan maximale schade zijn blootgesteld. "En dat is nu helaas wel zo. En daar zou je in de beveiliging een oplossing voor moeten bieden. Dat eigenlijk het maken van fouten minder drastische consequenties heeft dan het nu heeft", aldus Van Eeten.

Reacties (21)
10-05-2021, 15:00 door Anoniem
Eerste vraag moet wel zijn of er een verantwoordelijkheid ligt bij de bank. Indien ik telefonisch wordt opgelicht, is mijn telco in principe ook niet verantwoordelijk.

En ik verwacht ook niet dat bank of telco mijn schade herstellen, tenzij ze daar (mede-) verantwoordelijk voor zijn.
10-05-2021, 15:45 door Anoniem
Door Anoniem: Eerste vraag moet wel zijn of er een verantwoordelijkheid ligt bij de bank. Indien ik telefonisch wordt opgelicht, is mijn telco in principe ook niet verantwoordelijk.

En ik verwacht ook niet dat bank of telco mijn schade herstellen, tenzij ze daar (mede-) verantwoordelijk voor zijn.
Wat zou je dan kwijt moeten raken bij jouw telco?
10-05-2021, 15:46 door Anoniem
Goed, laten de banken dan maar een soort van verzekering ontwikkelen waarbij je als klant dus jezelf kunt indekken tegen dit.

Doen auto verzekeraars ook. Maak je schade, dan ga je meer verzekering betalen, want schade vrije jaren gaan terug.

Wat mij betreft kun je dus zelf kiezen voor een extra soort verzekering bij de bank, en de bank mag daar dan extra geld voor rekenen. Dan hoef ik, die dat niet wil, niet op te draaien voor de kosten van mensen die het wel willen.

Anders gaan de banken dit gewoon weer doorberekenen naar al hun klanten, en wordt de bankrekening nog weer duurder.

TheYOSH
10-05-2021, 15:46 door Anoniem
Wij moesten destijds allemaal een bankrekening. Nu wij met z'n allen een bankrekening hebben hebben wij gelijk de controle erover voor een heel groot deel van de hand gedaan richting de banken. En die zijn maar uit op één ding zoveel mogelijk geld verdienen aan ons. De zorg voor haar klanten is nog nooit zo slecht geweest.
10-05-2021, 16:11 door Anoniem
Vandaag een sms-je ontvangen van "digid" dat ik 707.33 euro terug krijg als ik het linkje even volgde. :-)

Natuurlijk meteen op geklikt. Maar njet echt.

Wat ik me wel afvraag: Hoeveel mensen trappen in zoiets?
10-05-2021, 16:32 door Anoniem
Door Anoniem: Eerste vraag moet wel zijn of er een verantwoordelijkheid ligt bij de bank. Indien ik telefonisch wordt opgelicht, is mijn telco in principe ook niet verantwoordelijk.

En ik verwacht ook niet dat bank of telco mijn schade herstellen, tenzij ze daar (mede-) verantwoordelijk voor zijn.
Vanuit het perspectief van de banken en hun systemen is het overduidelijk de klant die wat fout doet, die maakt namelijk geld over terwijl die dat overduidelijk niet zou moeten doen.

Alleen is het voor de mensen die erin trappen helemaal niet overduidelijk is wat er misgaat. Die snappen eigenlijk geen ene donder van hoe de systemen van banken gebruiken en juist omdat dat ver boven hun pet gaat zijn ze makkelijke slachtoffers voor de oplichters die misbruik van hun verwarring erover maken.

Het punt is dat de interfaces naar de banksystemen waar die klanten mee werken door de banken voor die klanten zijn gemaakt. Die kunnen dingen wel degelijk inrichten op een manier die de schade helpt beperken, zoals deze hoogleraar aangeeft.

Waar je de verantwoordelijkheid legt heeft een praktische kant. Als leden van een groep die het eigenlijk boven de pet gaat ieder voor zich de juiste dingen moeten leren doen dan weet je dat het dweilen met de kraan open is. Als een grote partij die de kennis en kunde heeft om in een klap voor iedereen wat te regelen iets slims regelt dan weet je dat iedereen ermee geholpen is. Als die grote partij alleen in beweging komt als hij er verantwoordelijk voor gesteld wordt dan is dat een reden om de verantwoordelijkheid daar ook te leggen. Je verbetert de situatie door ergens te duwen waar het effect heeft, niet door ergens te duwen waar het geen effect heeft. Zo simpel is het.
10-05-2021, 18:41 door Anoniem
Door Anoniem:
Door Anoniem:En ik verwacht ook niet dat bank of telco mijn schade herstellen, tenzij ze daar (mede-) verantwoordelijk voor zijn.
Wat zou je dan kwijt moeten raken bij jouw telco?
Naja, als de telco niet met duizenden euro's schadevergoeding komt, dan moet de verkoper van de telefoon maar betalen.
10-05-2021, 19:51 door karma4
"99 procent van de mensen verandert nooit de standaardinstellingen. Dan moet je zorgen dat die instellingen in het belang van die mensen zijn neergezet", ...
Dat is het enige steekhoudende argument., als je bij voorbaat gaat uitkeren omdat er mogelijk spraken van een foutje is dan krijg je snel de makkelijke oplichting wat de bank/verzekering betaald toch wel. Daar wordt niemand beter van.
10-05-2021, 20:07 door Anoniem
Natuurlijk trappen veel mensen in de phishing mails. Die phishing mails worden namelijk gemaakt door heel bekwame en bewuste slechteriken. Het maken van een phishing mail is zelfs een professie geworden. Slechte ontwikkeling geweest (voor ons brave burgers), maar je moet je ogen hiervoor niet sluiten.

Natuurlijk trapt niet iedereen er altijd in. Denk dan niet dat iedereen er nooit in trapt. Ook een bewust bekwame goede burger kan op enig moment een zwakheid hebben (drukte, lawaai, stress, etc). Ook een bewust bekwame goede burger zal op enig moment het pantser, het schild, de bescherming laten zakken.

Net als bij vliegen. Als er iets fout gaat in het vliegtuig mag het vliegtuig niet kunnen neerstorten. Er zijn altijd meerdere failsafes in een vliegtuig aanwezig waardoor een foutje niet onmiddellijk tot een ongeluk leidt. Dat is ook zo op de weg, in de auto, etc.

Ook in de IT zijn er vele failsafes. Zoals beveiliging in de diepte. En dan verwondert het mij dat er rond mails géén failsafes bestaan. Dat een (door bewust bekwame slechteriken aangebracht) linkje in de mail tot grote ongelukken leidt.
- Ik snap best dat een linkje gemakkelijk is voor de gebruiker. Die is ook heel gemakkelijk voor de bewust bekwame slechterik. misschien dat soort linkjes verbieden?
- Het (in de zakelijke wereld) verplicht stellen van digitale handtekeningen op emails kan al een heleboel ellende voorkomen. De IT (geleverd door wie dan ook) moet de validatiecheck op de handtekeningen kunnen uitvoeren. Dan is in ieder geval de bewust bekwame slechterik op te sporen en ander de bewust slechte CA aansprakelijk te stellen.

En natuurlijk kan je ook organisatorisch verbeteringen aanbrengen om opsporing te vereenvoudigen, risico voor de slechterik te vergroten en/of schade voor de goede burger te beperken. Onmogelijk? In de luchtvaart is het gelukt, in het verkeer is het ook gelukt. Dus niet zeggen dat iets niet kan omdat het moeilijk is of omdat er ook begeleidende of additionele maatregelen nodig zijn.

Het is niet alleen een probleem van de banken (dat zouden sommigen wel willen), het is niet alleen een probleem van klanten van banken (dat zouden veel banken wel willen), en is een probleem va iedereen. En speelt op alle IT dienstverlening.

graag reacties ;-)
10-05-2021, 20:59 door Anoniem
deze hoogleraar heeft het bij het juiste eind ! als de manier van bankieren in de praktijk te lastig is voor de mensen, dan heeft de bank fundamenteel een plicht en inderdaad het afschuiven van die plicht naar de klant a la 'je moet maar digitaal slimmer worden' voor producten waar vele bank klanten NIET om gevraagd hebben is veel te eenzijdig. Banken zullen die strategie uitmelken en rekken totdat regelgeving de zaak vast gaat leggen, niet eerder en tot die tijd hoop ik maar dat er niet te veel mensen bedonderd worden en zo van een koude kermis thuis komen!

voor al die kereltjes die 'maar je maakt het zelf over?' ... bij een aanrijding waarbij je ook nog eens voorang had kun je ook zeggen 'maar je steekt toch zelf over?'.
10-05-2021, 21:30 door Anoniem
Banken hebben vele duizenden mensen in dienst om financiële fraude te detecteren. Hoe moeilijk kan het dan zijn om financiële fraude te detecteren? Want bij alle fraude is er ook sprake van witwassen, datgene waar deze medewerkers zouden moeten zien. Hoe kan het dan zijn dat er nog zoveel fraude is?
ABN AMRO:
Ruim 3.400 medewerkers van ABN AMRO houden zich dagelijks bezig met het beoordelen van nieuwe en bestaande klanten

ING:

4,000 colleagues working on KYC

Rabobank:
As such, Rabobank on-boarded and trained an additional workforce of around 800 KYC employees in the Retail Netherlands domain, increasing the total number of individuals dedicated to KYC activities worldwide around 4000.

Dat zijn er al meer dan 11.000 die blijkbaar liggen te slapen:
Sterke stijging cybercriminaliteit leidt tot meer schade
https://www.nvb.nl/nieuws/sterke-stijging-cybercriminaliteit-leidt-tot-meer-schade/

Ik snap die hoogleraar wel, leg de bal neer daar waar het probleem het meest effectief kan worden aangepakt: De banken.
10-05-2021, 22:46 door Anoniem
Door Anoniem:
Door Anoniem: Eerste vraag moet wel zijn of er een verantwoordelijkheid ligt bij de bank. Indien ik telefonisch wordt opgelicht, is mijn telco in principe ook niet verantwoordelijk.

En ik verwacht ook niet dat bank of telco mijn schade herstellen, tenzij ze daar (mede-) verantwoordelijk voor zijn.
Vanuit het perspectief van de banken en hun systemen is het overduidelijk de klant die wat fout doet, die maakt namelijk geld over terwijl die dat overduidelijk niet zou moeten doen.

Alleen is het voor de mensen die erin trappen helemaal niet overduidelijk is wat er misgaat. Die snappen eigenlijk geen ene donder van hoe de systemen van banken gebruiken en juist omdat dat ver boven hun pet gaat zijn ze makkelijke slachtoffers voor de oplichters die misbruik van hun verwarring erover maken.

Het gaat meestal helemaal niet over "de systemen", men laat de klant gewoon vrijwillig geld overboeken op andermans
rekening onder ophangen van een kletsverhaal. Daar gaan systemen niks aan veranderen, dan moet je de mogelijkheid
van overboeken afsluiten. En dat gebeurt ook wel, met limieten, tijdvertraging voor aanpassing van limieten, etc.
10-05-2021, 23:14 door Anoniem
De bank moet wel 's leren dat als ik granulaire beveiliging wil - dat ze dat moeten kunnen implementeren. Geen bankieren via telefoon en geen bankieren met apps op smartphones of tablets. Men weigert dat - wel ik heb die weigering via het bankair berichtensysteem mooi afgedrukt in een kaftje als bewijsmateriaal tegen de bank.
Ik viel achterover van de risico's die banken durven nemen.
Geen connecties met 3e partijen hun apps - geen andere banken - leuk van de EU - maar 't is mijn geld en ik wil fort Knox als bank - niks anders!
11-05-2021, 00:41 door Anoniem
Door Anoniem: Vandaag een sms-je ontvangen van "digid" dat ik 707.33 euro terug krijg als ik het linkje even volgde. :-)

Natuurlijk meteen op geklikt. Maar njet echt.

Wat ik me wel afvraag: Hoeveel mensen trappen in zoiets?
Volgens mijn aangifte van dit jaar heb ik toevallig recht op 707 euro teruggave (voor de zekerheid nog net even gecontroleerd). Ik ben bang dat ik erin zou trappen. Mijn telefoonnummer weten ze in ieder geval ivm de 2 traps authenticatie.
11-05-2021, 09:20 door Anoniem
Door Anoniem: Het gaat meestal helemaal niet over "de systemen", men laat de klant gewoon vrijwillig geld overboeken op andermans
rekening onder ophangen van een kletsverhaal. Daar gaan systemen niks aan veranderen, dan moet je de mogelijkheid
van overboeken afsluiten. En dat gebeurt ook wel, met limieten, tijdvertraging voor aanpassing van limieten, etc.
Dat wordt allemaal door ICT-systemen afgehandeld, dus dit gaat wel degelijk over die systemen. De limieten, tijdvertragingen en dergelijke maatregelen zijn er pas als ze in die systemen geïmplementeerd zijn.

Dat het ertoe doet hoeveel de klant van dergelijke systemen begrijpt blijkt duidelijk uit alle scams waarin een klant wordt wijsgemaakt dat zijn rekening gecompromitteerd is en hij al zijn geld naar een "veilige" rekening moet overmaken. Dat haakt in op het beeld dat een rekening bij de bank een soort kluisje is waar de bank niet aan kan komen zodat de klant een handeling moet doen. In werkelijkheid is het een record in dezelfde database waar die "veilige" rekening ook instaat en waar de bank gewoon volledig toegang toe heeft, het beeld van een soort kluisje is volstrekt onzinnig. Wie iets snapt van hoe een database of zelfs maar een papieren administratie werkt snapt dat er iets niet klopt, wie geen donder van dat soort dingen snapt trapt er makkelijker in.
11-05-2021, 09:40 door Anoniem
Door Anoniem:
Door Anoniem: Vandaag een sms-je ontvangen van "digid" dat ik 707.33 euro terug krijg als ik het linkje even volgde. :-)

Natuurlijk meteen op geklikt. Maar njet echt.

Wat ik me wel afvraag: Hoeveel mensen trappen in zoiets?
Volgens mijn aangifte van dit jaar heb ik toevallig recht op 707 euro teruggave (voor de zekerheid nog net even gecontroleerd). Ik ben bang dat ik erin zou trappen. Mijn telefoonnummer weten ze in ieder geval ivm de 2 traps authenticatie.
DigiD stuurt ]b] NOOIT [/b] een bericht daarover.
11-05-2021, 09:46 door Anoniem
Door Anoniem:
Door Anoniem: Vandaag een sms-je ontvangen van "digid" dat ik 707.33 euro terug krijg als ik het linkje even volgde. :-)

Natuurlijk meteen op geklikt. Maar njet echt.

Wat ik me wel afvraag: Hoeveel mensen trappen in zoiets?
Volgens mijn aangifte van dit jaar heb ik toevallig recht op 707 euro teruggave (voor de zekerheid nog net even gecontroleerd). Ik ben bang dat ik erin zou trappen. Mijn telefoonnummer weten ze in ieder geval ivm de 2 traps authenticatie.
Laat dan bij deze tot je doordringen dat je nooit op die manier door de belastingdienst wordt benaderd. Als die iets van je willen krijg je een brief en/of een bericht in je berichtenbox op mijn.overheid.nl. Voor dat laatste krijg je alleen een e-mail met de mededeling dat er een bericht voor je is zonder een link erheen. Dat laten ze na juist om te voorkomen dat het verschil tussen echte berichten en scams te klein wordt.

En sta er ook even bij stil dat in je belastingaangifte alle bedragen op hele euro's worden afgerond. Dat die 707 euro opeens 707,33 is klopt daar niet mee. Reageer niet alleen op overeenkomsten maar wees juist alert op dit soort verschillen, dat zijn vaak signalen dat er iets niet klopt.

Vraag je altijd af of wat je binnenkrijgt wel klopt, en neem even de tijd om erover na te denken. Geef de ander liever het nadeel dan het voordeel van de twijfel. Bij zelfs een kleine twijfel is een telefoonnummer zo opgezocht en geeft een telefoontje duidelijkheid. Een gebruik dan niet een telefoonnummer uit een bericht waar je over twijfelt maar zoek het zelf op.

Als iets je verrast, aangenaam of onaangenaam, als je erdoor overvallen wordt, als je het idee krijgt dat je direct ergens op moet reageren en geen tijd hebt om na te denken, word juist dan extra voorzichtig, want oplichters gebruiken dat om je ondoordachte dingen te laten doen. Direct reageren is helemaal goed als er tijdens een partijtje voetbal een bal op je afkomt of als er in het verkeer iets onverwachts gebeurt, maar als je onverwacht wordt verteld dat je geld gaat ontvangen of kwijtraken dan moet je vooral niet je eerste impulsen volgen maar even rustig dingen op een rijtje zetten. En daar heb je ook tijd voor. Als de indruk wordt gewekt dat die tijd er niet is dan heb je vrijwel zeker met een oplichter te maken.
11-05-2021, 10:06 door Anoniem
Door karma4:
"99 procent van de mensen verandert nooit de standaardinstellingen. Dan moet je zorgen dat die instellingen in het belang van die mensen zijn neergezet", ...
Dat is het enige steekhoudende argument., als je bij voorbaat gaat uitkeren omdat er mogelijk spraken van een foutje is dan krijg je snel de makkelijke oplichting wat de bank/verzekering betaald toch wel. Daar wordt niemand beter van.

je had een andere stelling toen ik opperde standaard SMBv1 op windows UIT te hebben ipv aan toen all hell los brak bij maersk. is dit nu je verworven inzicht? dan zeg ik mooi. is dit een draai om je gelijk te willen krijgen? ga weg dan!
11-05-2021, 12:53 door Anoniem
Door Anoniem: De bank moet wel 's leren dat als ik granulaire beveiliging wil - dat ze dat moeten kunnen implementeren. Geen bankieren via telefoon en geen bankieren met apps op smartphones of tablets. Men weigert dat - wel ik heb die weigering via het bankair berichtensysteem mooi afgedrukt in een kaftje als bewijsmateriaal tegen de bank.
Ik viel achterover van de risico's die banken durven nemen.
Geen connecties met 3e partijen hun apps - geen andere banken - leuk van de EU - maar 't is mijn geld en ik wil fort Knox als bank - niks anders!
Wil jij ook extra betalen voor de functionaliteiten die jij wilt hebben ?

Ik vermoed dat het antwoord nee zal zijn.
11-05-2021, 19:10 door karma4
Door Anoniem: je had een andere stelling toen ik opperde standaard SMBv1 op windows UIT te hebben ipv aan toen all hell los brak bij maersk. is dit nu je verworven inzicht? dan zeg ik mooi. is dit een draai om je gelijk te willen krijgen? ga weg dan!
Waarom zo gepikeerd?
Bij maersk waren alle problemen al lang en breed bekend maat geen enkele invloedrijke manager wilde dat dossier op zijn bordje hebben, dus gebeurde er niets. De gevolgen op wachten totdat het fout gaat is dat het fout gaat.

Die zelfde houding heb ik hier, als de bank te weinig duidelijkheid biedt op wat vertrouwd is en wat niet en wat ongewoon is waardoor het verstandig is er wat langer over te doen, dan is de bank nalatig (het terechte argument). Zou me niets verbazen met een gelijkwaardige management cultuur als bij Maersk (waar is het anders?).

Is de bewering dat dat de bank ongeacht de situatie gewoon geld moet geven aan opgelichte mensen zonder verdere onderbouwing of onderzoek dan vraag je er om dat de bank opgelicht wordt.
Type A dan wel B fout, er zijn meerdere kanten aan een zaak.
11-05-2021, 19:47 door Anoniem
Door Anoniem: Banken hebben vele duizenden mensen in dienst om financiële fraude te detecteren. Hoe moeilijk kan het dan zijn om financiële fraude te detecteren? Want bij alle fraude is er ook sprake van witwassen, datgene waar deze medewerkers zouden moeten zien. Hoe kan het dan zijn dat er nog zoveel fraude is?
ABN AMRO:
Ruim 3.400 medewerkers van ABN AMRO houden zich dagelijks bezig met het beoordelen van nieuwe en bestaande klanten

ING:

4,000 colleagues working on KYC

Rabobank:
As such, Rabobank on-boarded and trained an additional workforce of around 800 KYC employees in the Retail Netherlands domain, increasing the total number of individuals dedicated to KYC activities worldwide around 4000.

Dat zijn er al meer dan 11.000 die blijkbaar liggen te slapen:
Sterke stijging cybercriminaliteit leidt tot meer schade
https://www.nvb.nl/nieuws/sterke-stijging-cybercriminaliteit-leidt-tot-meer-schade/

Ik snap die hoogleraar wel, leg de bal neer daar waar het probleem het meest effectief kan worden aangepakt: De banken.

Als mensen een overboeking doen, van hun eigen pc/mobiel met hun eigen identifier is dat een legitieme transactie en geen fraude. Ik ben het wel met anderen eens dat mensen hun verantwoordelijkheid niet nemen en de 'defaults' niet controleren. Daar zouden de banken ook iets aan kunnen doen. Echter, dan zal de phishing email hier ook wel een 'handleiding'voor geven.... Bij twijfel, bel iemand (niet omgekeerd), vraag een bekende, maar doe niets.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.