Door Ivanhoe: Het bekende ‘hey pap’-smsje. Ik kan het nog steeds uitleggen naar mezelf toe, maar heb gelijk echt volledig in de emotie van mijn dochter willen helpen gezeten, waardoor ik veel signalen gemist heb (en achteraf natuurlijk wel heel goed waarnam).
Het spijt me voor je dat dit je is overkomen.
Ik ben met betalen voor een AH-cadeaukaart opgelicht met iDEAL. En een best bedrag natuurlijk. Ik heb het zelf getest. Je bestelt je AH-cadeaukaart en kiest voor betalen met iDEAL. De weblink van de iDEAL-pagina kun je kopiëren en bijvoorbeeld in een bericht op WhatsApp delen met iemand. Op die link klikkend opent een pagina in je webbrowser. De link is ook te kopiëren en in een andere browser te plakken. Betalen met iDEAL gaat nog steeds prima.
Ik kan er met mijn verstand niet bij, dat dit zo makkelijk te gebruiken is voor oplichting.
Als ik in de ING-app zit kan ik geen screenshot maken, dus waarom kun je dan wel de iDEAL-weblink kopieren? Is er niet iets op te vinden, dat dat niet kan?
Ik denk dat dat tegenvalt. Als alle parameters van de betaling in de link staan doet de browser een zogenaamde GET-request. Er is een alternatieve manier om dergelijke gegevens door te geven, met iets dat POST heet. Dan worden de parameters niet als onderdeel van de URL doorgegeven maar met de request-gegevens die onder water over de lijn gaan meegestuurd. Het zou dus op het eerste gezicht kunnen helpen als iDeal alleen POST zou accepteren. Het is alleen kinderspel om ergens een webserver op te zetten die een GET omzet in de overeenkomstige POST, en dan ga je alsnog de mist in.
Daarnaast is mijn idee erover, dat dit betalingsproces via iDEAL makkelijk te beveiligen moet zijn door bij iDEAL een account te moeten hebben om gebruik te kunnen maken van iDEAL.
Maar dat is ook zo, al zit er nog een betaalprovider tussen. Dit is een betaling aan Albert Heijn, niet aan de oplichter, die (of een katvanger) ontvangt de e-mail waarmee de cadeaukaart kan worden afgehaald.
De eerdere iDEAL-app zou hiervoor nieuw leven ingeblazen kunnen worden. De oplichting van het doorkopiëren van een iDEAL-betaallink zou dan vergezeld kunnen gaan van gegevens van de afzender. In mijn geval dus bijvoorbeeld naam, email-adres en telefoonnummer van mijn dochter. Dat zou het criminelen toch flink lastiger moeten kunnen maken om een willekeurig iemand te kunnen doen geloven met naaste familie te maken te hebben. Privacy-bezwaren zou je kunnen ondervangen in de gebruiksvoorwaarden.
De gegevens op die link zijn gegevens die iDeal nodig heeft om de betaling af te kunnen handelen. Extra persoonsgegevens toevoegen kan niet op basis van gebruiksvoorwaarden, daarvoor vereist de AVG afzonderlijke, expliciete toestemming voor precies dat doel. En daar zijn uitstekende redenen voor.
Mensen hebben twee modi van denken: snel en langzaam. Snel denken werkt op basis van een soort stelsel van vuistregels die je hersenen hebben opgebouwd. Die zijn niet nauwkeurig, maar essentieel om te kunnen overleven. Als je bijvoorbeeld opeens een spookrijder op je af ziet komen op de snelweg moet je echt meteen reageren, en niet eerst alle mogelijkheden afwegen, dan ben je te laat en waarschijnlijk dood. Het langzame denken is het beredeneren van dingen, dingen tegen elkaar afwegen, verstandig zijn. Zonder dat vermogen zouden we als mensheid vermoedelijk nog niet eens zo ver zijn dat we een hut konden bouwen om in te wonen.
Wat oplichters steevast proberen is je in de modus van snel denken krijgen, want dan ben je onnauwkeurig en maak je fouten. Dat wordt gedaan door je angst aan te jagen, het gevoel te geven dat de situatie heel urgent is en je meteen moet handelen, of bijvoorbeeld door je te laten geloven dat iemand die je na staat dringend hulp nodig heeft. En zoals je hebt ondervonden werkt dat.
De fundamentele zwakheid in ons betaalsysteem is in dit kader dat betalingen direct worden afgehandeld. Het is die snelheid waar oplichters dankbaar misbruik van maken, die sluit uitstekend aan bij dat snelle denken dat ze bij ons weten op te roepen. Maar behalve een fundamentele zwakheid is het ook iets dat ons een hoop voordelen heeft opgeleverd. Ik zie dat echt niet weer afgeschaft worden, buiten de vertraging van 4 uur op het verhogen van je betaallimiet die banken steeds meer hanteren (die de gelegenheid tot langzaam denken geeft). Ik ben bang dat de rest lapwerk is waar oplichters wel omheen weten te werken.
Al lang voordat het probleem met oplichters op het internet zo groot was als nu constateerde ik al dat ik in andere situaties, bijvoorbeeld als opeens een bedelaar me om wat geld vraagt, of iemand die voor een goed doel werkt, of als opeens een verkoper voor de deur staat die op me in begint te praten, ik me altijd
overvallen voel en, als ik vanuit dat gevoel bijvoorbeeld wat geld geef aan een bedelaar of een goed doel, daar altijd achteraf het onbevredigende gevoel bij heb dat ik geen keuze heb gemaakt om die gift te doen maar dat het me is overkomen, en dat ik de keuze effectief voor me heb laten maken.
Als iemand geld van me wil is er
altijd tijd om even na te denken, het is echt
nooit zo urgent dat het op seconden of minuten of zelfs uren aankomt, er is geen brand en er is geen spookrijder. Dat heb ik mezelf ingepeperd, en peper ik mezelf regelmatig opnieuw in, om me te wapenen tegen dit soort situaties. Ik vertrouw mezelf simpelweg niet als ik me overvallen voel door iemand die een beroep op me doet, en dan doe ik niets tot ik heb kunnen nadenken. Ik peper mezelf daarbij in dat ik me niet schuldig hoef te voelen, tegenover wie dan ook, om de tijd te nemen om langzaam na te denken. Als ik iemand tegenover me heb die me daar niet de gelegenheid toe geeft dan is die fout bezig en heeft die botte pech. Als iemand mijn hulp vraagt mag ik die hulpvraag overdenken en er zelf een doordachte keuze over maken. Altijd.
Ik weet niet of het altijd zal werken, het is niet zo dat ik geen "zwakke" momenten heb (ik zet het tussen aanhalingstekens omdat het een op zich sterke reactie is die soms misplaatst is), maar dit werkt voor mij al tientallen jaren goed. Het helpt ongetwijfeld dat ik geen kinderen heb en dat ik niet een heel impulsieve persoonlijkheid heb.
Wat belangrijk is hierin, en ik hoop dat ik anderen daarmee een goede tip aan de hand doe, is dat ik niet reageer op het feit dat iemand een oplichter kan zijn. Dat werkt niet goed omdat je dan meteen een vrij complex stelsel van omstandigheden moet beoordelen, en dat vermogen is nou precies wat men zo goed bij je weet uit te schakelen. Ik reageer op iets ontzettend simpels en basaals:
dat ik me overvallen voel. Dat is alles. Dat is zo simpel dat het mogelijk is om zelf je reactie erop te conditioneren. De beslissing om iemand met geld of iets anders van waarde te helpen moet even wachten tot ik me niet meer overvallen voel en na heb kunnen denken.