Ik snap er niks van. Je stuurt een iDEAL link naar iemand door, en die is dan zo gek om die betaling te gaan verrichten?
Waarom zou dat "beveiligd" moeten worden? Die persoon betaalt toch gewoon voor iets? En je gaat natuurlijk niet als
je een bericht binnen krijgt met een iDEAL link die zomaar betalen zonder dat je weet waar het voor is.
Je ZIET het bedrag wat je betaalt.

Waarom zou een account dat verbeteren? Je HEBT al een account, dat is je bankrekening. Daar moet je de gegevens
van invullen, dus op deze manier kun je niet zomaar geld van een rekening afhalen ofzo.

Het probleem zit niet bij iDEAL maar bij het overmaken van geld als reactie op een bericht wat niet komt van degene
die je denkt (en onvoldoende verificatie daarvan).

Ik denk dat je hierbij een aantal dingen toch echt door elkaar haalt en niet voldoende kennis hebt om te begrijpen hoe ideal werkt of hoe ideal betalingen gedaan kunnen worden.

Ik kan hier ook een ideal link gewoon in mijn mail krijgen bij bepaalde leveranciers/bedrijven, deze link kan ik gewoon naar mijn vader via whatsapp doorsturen via whatsapp.

Het probleem hier ziet hem niet zo zeer in het issue dat iDdeal links gekopieerd kunnen worden. Het enige probleem wat ik hier zie is dat jij iedereen wil geloven die een sms stuurt dat het jouw dochter is.

De techniek heeft niet gefaald, het is de menselijk factor die hier het probleem is! Plus, privacy opgeven van heel veel mensen omdat jij moeite hebt met mensen herkennen is natuurlijk nooit de bedoeling!

Heb je de eerste alinea wel goed gelezen? Mijn gemoedstoestand?

Het 'hey-pap'-smsje laat weten dat kindlief de telefoon heeft laten vallen en een nieuwe heeft met een nieuw nummer. Of ik dan daarmee een bericht wil sturen op WhatsApp. Dat dus gedaan. En toen begon de berichtwisseling die leidde tot de iDEAL-betaallink gekopieerd krijgen, die ik gebruikt heb om te betalen. Zoals ik al aangegeven heb: ik zat dit keer gelijk volledig in de emotie om mijn dochter te willen helpen. Er is ook niemand onder mijn familie en vrienden die kan begrijpen dat dit mij gebeurd is, omdat ik er altijd zo scherp op ben. Een 40 a 50 keer hiervoor heb ik het gevaar op tijd onderkent en ben er niet ingetrapt. Dit keer helaas wel. Hou het maar op een vlaag van verstandsverbijstering, want zoiets is me overkomen.

Moeten registreren bij iDEAL zou volgens mij echt een drempel opwerpen, omdat bij dit soort oplichting het op dit moment mogelijk om anoniem een betaallink aan een 'aangehaakt slachtoffer' door te kunnen sturen. Zou je moeten inloggen op je persoonlijke iDEAL-omgeving en zou je de betaallink door te kopiëren door willen sturen aan een ander, dan kan het zo geregeld worden dat ook bepaalde gegevens van jouw account in beeld komen bij degene die de betaallink ontvangt. Dan dus het laatste moment dat je kunt constateren niet te maken te hebben met het geponeerde familielid of vriend.

Natuurlijk niet, want precies dezelfde emotie waarin je het bullshit 'telefoon kwijt, ander nummer' geloofde en niet even een (video) belletje deed heb je als je een ideal link krijgt.

Jeez - waarom denk je dat je dan WEL gaat controleren, want natuurlijk vertelt "dochter" dat ze met nieuwe telefoon een ideal link moet sturen, want d'r login stond op de oude en daar kan ze nu niet bij.

Ik zat in de emotie en ging helemaal niks controleren van wat een wildvreemde me appte, maar als het ideal link was van die vreemde zou ik dat wel controleren in al mijn emotie , en niet het lulverhaal geloven dat die link gestuurd moest worden voor een kado kaart vanaf een "vriendin" omdat ze zonder telefoon niet bij d'r eigen ideal "account" zou kunnen.

Werkelijk, waarom denk je dat dat anders gaat werken bij jou en al die anderen als het een of ander ideal account is dat gegevens laat zien , wanneer je een vreemd telefoonnummer van een "hallo pap" van je WhatsApp ook negeert en meteen je portemonee trekt ?

Je kunt accounts verzinnen wat je wilt - als mensen zich laten ompraten om al die niet-kloppende gegevens te negeren in emotie doen ze dat - en dan negeren ze even makkelijk het ideal-scenario dat je schetst waarin dan een ideal "afzender" getoond zou worden.

Mijn beste OP,

Vertrouw niets en niemand meer.
Soms maakt de oplichter een foutje en zie je meteen dat het degene achter "Hoi pap" niet kan zijn.
Maar niet altijd heb je dat geluk en kun je daar op rekenen.

Inspelen op emoties van anderen door empathieloze misdadigers is feitelijk dus onvergeeflijk.

We moeten het slachtoffer felciteren met zijn goede hart en medemenselijkheid naar zijn dierbare(n) toe,
maar toch. Je zit achteraf met een rot gevoel. Hoop dat de voorzienigheid je financieel verlies goedmaken zal.

Waarom dan bel me niet registers opheffen, nog meer digitalisering eisen.
Nog meer fouten van banksite inrichters door de vingers zien
en waarom steeds mensen een andere outlay voorschotelen, als gebruikers ergens net aan gewend zijn?

Met cybercriminelen moet je niet willen concurreren beste IT-ers,
die moet je de overheid uit de circulatie laten nemen
en net als Mitnick destijds niet meer mee laten doen.
Hij mocht niet eens meer in de buurt van een telefoon komen.

Ergo digitaal helemaal ontmantelen dus, geen smartfoon,geen computer, niet eens een digi-enkelband.
Helendaal analoog verder laten leven., Ze hebben immers bewezen niet met digitalisering te kunnen omgaan.

Dank voor je 'dappere' reportage,

#webproxy

Het feit dat Ideal betaallinks gekopieerd kunnen worden en via Whatsapp of email doorgegeven kunnen worden is juist de makkelijkheid van een Tikkie sturen of een betaalverzoek. Het is echt kl*te dat je erin getrapt bent hoor, ik hoop dat je je geld terug weet te regelen.

In dit geval zou niet het iDEAL systeem moeten worden aangepast, maar de algemene kennis van mensen.
Nee, een nummer is niet gekoppeld aan een toestel. Als je toestel gevallen is ofzo dan kun je datzelfde nummer mee nemen
naar een ander toestel. Dat is zelfs het gemakkelijkste, want dan hoef je niet te onderhandelen met de provider maar je
haalt gewoon de SIM uit het gevallen toestel en zet die in het nieuw gekochte toestel. Dat werkt voor zowat alle situaties
van "gevallen", "stuk", "in het water terecht gekomen" etc.

Pas als het toestel "gestolen" of "weg" is wordt het iets lastiger, maar dan nog is het slimste om niet een nieuw nummer
te nemen maar om de provider te benaderen voor het overzetten van het oude nummer op een nieuwe sim. Dan
voorkom je meteen dat er nog een flinke rekening voor door de dief gevoerde gesprekken komt.

Dit soort basiskennis laat he meteen alert zijn als je een bericht krijgt met "telefoon heeft laten vallen en een nieuwe
heeft met een nieuw nummer" want dan weet je al dat er iets raars aan de hand is en kun je daar eens naar vragen.
En hoe meer free-format vragen je stelt in een dergelijke discussie, hoe meer kans dat er iets gebeurt waardoor jij door
hebt dat het je dochter helemaal niet is.

Wat ik ook nooit snap is waarom mensen een dergelijke discussie helemaal voeren via whatsapp. Dat is leuk om even
een beriggie te sturen maar als er zo iets aan de hand is dan BEL je toch gewoon even?

Laatste berichtje wat ik kreeg van +4878992xxxxx

Mam mijn telefoon is gevallen.
Ik krijg nu een leentoestel.
Kan je me een WhatsApp bericht sturen naar mijn leentoestel?
Dit is het nummer +3165897xxxx

----
OP had gewoon dikke pech en had was op dat moment net niet scherp genoeg. Kun je weinig tegen doen.
Mijn alarmbellen waren:

1) ik ben een pap :)
2) als dit gebeurt, krijg ik echt geen berichtje, maar wordt ik in paniek gebeld
3) het berichtje wordt vanaf een ander nummer gestuurd dan in het bericht wordt vermeld
4) het berichtje komt vanuit het buitenland
5) wat is de logica om een whatsapp berichtje te sturen na dit bericht?
6) als je al een ander toestel gebruikt, dan stop je daar je eigen sim kaart in.
7) ik maak nooit zomaar geld over zonder context of mondelinge overeenkomst

Betekent dit dat ik nooit dezelfde fout als OP zal maken, helaas niet.

" iDEAL een account te moeten hebben om gebruik te kunnen maken van iDEAL. "

De Albert Heijn heeft zo een account, en heeft dus dat linkje gemaakt (normaal de verzender).
Als betaler heb je ook een account, je eigen bankrekening.
Meer accounts zijn dus niet nodig.

Dat linkje werkt voor een bepaalde tijd en gok dat het veel problemen zou geven als zo een link alleen voor de eerste bezoeker zou werken of dat soort technieken.

Bel vooral de bank en politie, misschien kunnen ze samen met de AH nog wel vaststellen naar wie dat bedrag aan cadeaukaarten is gegaan.

iDeal is alleen een electronische overschrijving, niet meer, niets minder.

Basis vorm social engineering niet meer dan dat gelukkig.

Een hele laag drempelige oplossing voor dit soort situaties is dat je vanaf begin met de ander een code woord afspreekt die ze mee sturen met hun bericht en nergens opslaan. Bij elke situatie dat het nodig was het code woord te gebruiken vervang je het.
Geen codewoord dan block je het nummer en je licht de andere kant in over de poging.

Tenzij een aanvaller weet dat je een codewoord gebruikt is het onmogelijk om te omzeilen als je je zelf en de ander eraan houdt. Of ze nu nummer spoofen a.i gebruiken voor stemreplicatie of zelfs een a.i generated foto of video sturen voor verificatie je bent beschermd er tegen en het excuus dat het een leentoestel is gaat ook niet op.

Als ze wel het codewoord weten dan gaan het om heel gerichte socialengineering met toegang tot de echte hardware en dan hebben we het allang niet meer over een familie scenario maar over een gerichte aanval van een high value target en dan heb je als je verstandig bent veel betere opsec al geimplementeerd.

Hier heb ik nog nooit over nagedacht maar het lijkt me wel een toepasselijke straf na het volledige vergoeden
van het slachtoffer en dan nooit meer digitaal, ben hier helemaal voor.

Hartstikke menselijk, niks om je voor te schamen en van alle tijden (eerder dachten mensen ook al dat zij de Eiffeltoren hadden gekocht, zie https://greekreporter.com/2023/01/06/con-artist-sold-eiffel-tower/).

Wat bedoel je precies met "weblink van de iDEAL-pagina", is dat 1) een link met een domeinnaam die nog eindigt op ah.nl, 2) verwijst die link naar een pagina van een betaal-provider (zo ja hoe zag die link er ongeveer uit), 3) verwees de link al naar de iDEAL pagina van jouw bank, of 4) ging het om een verkorte URL naar één van de genoemde 3 mogelijkheden (in dit geval: welke van de 3)?

Op de één of andere manier moet het door AH ontvangen geld teruggekoppeld worden aan het vrijgeven van de cadeaukaart en het verzenden van die kaart (via e-mail) naar de crimineel. Die info moet dus in de link zitten (maar ik weet niet zo snel wat je daaraan zou kunnen hebben).

Mijn snelle analyse is dat het raar is dat AH zo'n transactie uitvoert/afrondt indien de bestelling en betaling vanaf verschillende IP-adressen plaatsvinden. Zeker als je na de betaling "teruggaat" naar de bestelpagina, kan AH dit "zien" en zou kunnen vragen of het allemaal wel klopt (met grote kans dat je "ja" zegt). Maar AH kan dan óók vragen of de eerder ingevulde gegevens wel kloppen, en je zou dan kunnen zien dat het e-mailadres onbekend is. Als AH je geld niet terug wil geven (wat ik me kan voorstellen) zou je in elk geval het e-mailadres in dat van jezelf kunnen veranderen (evt. met eem veld waarin je uitlegt wat er gebeurd is).

Maar wellicht zie ik iets over het hoofd, bijv. situaties waarin het normaal is als verschillende IP-adressen worden gebruikt.

Allereerst rot voor je.

en dan zal ik wel weer de strenge ouder zijn, maar....

Een cadeaukaart is niet urgent.
Dat haar telefoon kapot gegaan is, is jammer. Maar so what.
Als een cadeukaart alles is waarvoor ze geld nodig heeft, dan kan ze langs komen.

Want dan wil ik weten wat er gebeurd is. En haar (bij voorkeur) in levende lijve zien.
Je weet maar nooit tegenwoordig wat zo'n kind kan overkomen.
Zielloze berichtjes op Whatsapp of sms zijn dan niet voldoende.

Dat is de zorg waar ik dan als ouder mee zit.
Die betaling wacht maar.


Vwb een ideal-beveiliging. Ik zie de meerwaarde niet.
Als de oplichter de link niet meer zou kunnen kopieren, dan kan hij toch altijd nog een screenshot/plaatje maken van de qr-code en die versturen. Daar is ook altijd wel een lul-verhaal voor te bedenken.
Hoe zou je dat dan willen voorkomen?

En als ook dat onmogelijk gemaakt wordt, is er wel weer een andere workaround te bedenken.
Ad nauseum.

Maak goede heldere afspraken binnen je familie. Heb je geld nodig dan langskomen of (als het urgent is) videobellen. En/of spreek een codewoord af.

En als laatste advies:
Zorg dat ze op eigen benen kunnen staan. Ook financieel.
bv doordat ze altijd contant geld bij zich hebben (100 euro of zo).
Dan zijn dit soort paniek reacties niet nodig. Want dan weet je dat zo'n SMSje onzin is.

Zoals gezegd: Ik zal wel weer te streng zijn voor mijn kinderen. Maar toch.

Dat is een nogal autistisch design .

Dat geheime codewoord staat natuurlijk of op de telefoon (die soms echt gehacked wordt) , of is - bijzonder geloofwaardig - vergeten door de paniekerende dochter.

Welke ouder gelooft nou NIET dat z'n geschrokken/dronken/verdwaalde kind het supergeheime-nooit-gebruikte codewoord vergeten is en laat de apper lekker barsten ?

Gewoon een video belletje, en een beetje familie small talk - en niet te hard in Hollywood AI-stem-en-facial deepfake geloven.
Daarmee rinkelt (in een ouder-kind of andere nauwe relatie) al heel snel het belletje "hier is iets (anders) mis dan een verloren telefoon) .

Zelfs zonder zo'n bewuste test :
(ken de klassiekers - zie Terminator 2 - "parents scene"
https://www.youtube.com/watch?v=MT_u9Rurrqg - Why is wolfie barking ?

Waarom zou je dat moeten veranderen? Daarmee trap je meteen de hele bruikbaarheid weer onderuit... dan wordt
het een codeboek ipv een codewoord.
Het was een leuk idee maar je moet dit soort dingen niet te complex maken want dan werken ze niet meer.

Hoe vaak denk je ooit echt het nodig te hebben? Je vervangt de code niet bij verkeerd gebruik enkel bij correct gebruik.
Of verliest je contact zijn, haar telefoon om de maand en moet deze constant bellen met een bruikleen toestel?

Als je het vaker nodig hebt dan 1 keer per jaar dan gaat er al echt iets goed mis als je 1 woord niet kan onthouden voor zo lang dan zie ik het heel somber in qua alertheid.

Maar als je het zonder vervangen wil gebruiken dat natuurlijk ieders eigen in de praktijk zal het het risico voor de meeste gelukkig minimaal beinvloeden.

Er is nog een reden waarom zo'n "Hoi pap" bericht ongeloofwaardig is. Dochterlief is haar telefoon kwijt, dus ze heeft geen toegang tot haar contactlijst. Blijkbaar kent ze het nummer van "pap" uit haar hoofd, want ze kan wel een berichtje sturen. Die kans is heel klein, toch?

Er zijn ook teveel betaalmethodes waardoor je door de bomen het bos niet meer ziet. En wie zich laat overhalen een betaalmethode te gebruiken waar hij/zij niet bekend mee is is makkelijker op te lichten. Ik denk dat het veel veiliger was geweest om een good old bankoverschrijving te doen naar het bekende rekeningnummer (iban) van zijn dochter.

En dit alles voor een cadeaukaart?? Weinig paniek of urgentie hier. Iemand in de problemen wil cash.

Zoals iemand anders al schreef: Dat is een nogal autistisch design .
Echt, je denkt hier als een IT-er en komt met een oplossing die in het dagelijks gebruik zwaar overkill is en alleen al
daarom niet werkt. Je bent er vast zo een die als wachtwoord niet 3p@c3hr maar een "wachtwoordzin" van 50 tekens
gebruikt.

Het afspreken van een codewoord om te weten of je met de juiste persoon te maken hebt: PRIMA idee.
Daar vervolgens overheen gooien "maar dan moet je het na 1 keer wel wijzigen": dom plan, maakt het prima idee stuk.
Als je een bericht krijgt met "hoi pap mijn telefoon is stuk" antwoord je met "ok wat is het codewoord", twee mogelijkheden:
1. er komt geen reactie of iets totaal fouts, dan weet je genoeg
2. er komt de juiste reactie. fijn. misschien check je nog wat andere dingen.
Maar dan weet nog steeds niemand anders het codewoord dus nutteloos het te veranderen.
Tenzij je zo paranoide bent dat je denkt dat alles wat je via whatsapp of sms aan elkaar gestuurd hebt (zelfs buiten een aanvalscontext in dit geval) meteen in handen van de criminelen is.

Dat is een hele goeie:
Hoeveel mobiele telefoonnummers kennen (jongere) mensen nog uit hun hoofd?
Want ze staan toch op het apparaat / hopelijk op de simkaart / misschien in de cloud backup.

En vwb de cloud backup: zou je die aan een (tijdelijk) leentoestel koppelen?
Ik niet. :-)

Zo'n berichtje rammelt aan alle kanten.


Maar... ... ...

Het vereist wel dat de ontvanger niet in de emotie vast schiet, maar na blijft denken. Emotie vs ratio.
En daar gokken de oplichters op. Dat de ontvanger gaat haasten. Niet meer helder nadenkt.
- Want een toestel is kapot.
- Het kind heeft hulp nodig van pa.
- Het kind heeft "nu" geld nodig voor welke (onzinnige) reden dan ook.

En hoe voelt dat?

Trots omdat de ontvanger zijn kind kan helpen of bezorgd/schuldig dat het kind in de problemen zit en blijkbaar hulpeloos is. Het zelf niet kan oplossen.

Want als het geen cadeaukaart was, dan had "het kind" het wel nodig gehad voor een concert, een film, uitgaan, een tijdschrift, of een sex-toy.
Ik ben eigelijk wel benieuwd wanneer het kwartje wel zou vallen bij de ontvanger.
Hoe absurd moet het verzoek worden voordat de ontvanger wel vragen gaat stellen. Argwanend wordt.


En nee, het kan iedereen overkomen. Er is altijd wel iemand die je onvoorwaardelijk wilt vetrouwen en helpen.
Maar in deze complexe wereld moet je daar (helaas) voorbereidingen voor treffen, om dit soort problemen te verminderen. Bv dat zo'n vraag nooit via sms of whatsapp gesteld gaat worden.


- Geen geld of geen toegang tot geld: dan niets kopen of betalen.
- Altijd contant geld als reserve bij je hebben. Zodat je in ieder geval altijd thuis kunt komen.
- Geld lenen/voorschieten: in persoon komen vragen en met een heel goede reden.
Dat hoort een kind van kinds af aan al mee te krijgen IMHO.

Streng? Ja.
Maar zou bouw je veiligheden in, en leer je het kind zelfstandig in deze complexe wereld te overleven zonder al te veel schulden te maken.

1] De vraag is hoi pap mijn telefoon is stuk.
2] Of de vraag is hoi pap mijn telefoon is stuk 12345.
Dan weet de vader dat het bij 2 naar alle waarschijnlijkheid zijn dochter is, maar dit moet je wel eerst
goed bespreken voor het werkt. Maar hoe dan ook de meeste trappen er in, ook zij die nu denken daar
trap ik nooit in.

Mijn dochter zat ooit in Nieuw Zeeland (voor stage) en was ook door haar geld heen. Aangezien je met een aanzienlijk tijdsverschil zit en een telefoontje erg duur is kreeg ik een berichtje (mail) voor aanvullende funding (lening). Ik heb gewoon een tegenvraag gesteld om te bepalen of ze het zelf was (een dingetje uit haar jeugd dat zij alleen kon weten). Daarnaast maak ik het dan via een eigen overboeking over op het bij mij bekende bankrekeningnummer van mijn dochter (ook al zou ze een linkje sturen). Ik vind het altijd wel opmerkelijk dat men nog steeds gewoon op een linkje klikt dat wordt opgestuurd: volgens mij wordt hier al heel lang tegen gewaarschuwd. Dat is o.a. ook de reden dat ik geen tikkies of iets dergelijks accepteer: veel te ondoorzichtig of dit legitieme linkjes zijn of niet.

Tikkies negeren uit privacy-oogpunt is eigenlijk al genoeg https://reports.exodus-privacy.eu.org/en/reports/com.abnamro.nl.tikkie/latest hun website is overigens nog een tikkeltje erger.
Nog afgezien dat Tikkie uiteraard niet gratis blijft. Banken zijn net drugsdealers, eerst lekker maken voor weinig/gratis om daarna toe te slaan.

De 'shared secret familie historie' is de beste uit het verhaal.

De aanvaller - en natuurlijk soms de realiteit - creeert wel een verhaal waarom overmaken naar de eigen bekende rekening niet gaat .
Als het verhaal is bankpas/creditcard kwijt, en hotel/hostel/universiteit/stage moet acuut (bij) betaald worden wordt het (al) lastiger om te controleren of dat rekening nummer echt hoort bij het hostel in NZ .
Of een ticket betalen op basis van een referentie nummer (aanvaller laat evt refunden) .
Haar (NL)rekening geblokkeerd (teveel vreemde pin transacties in NZ), of je wilt overmaken naar de housemate .

Als het _kan_ in het verhaal , is (zelf) overboeken naar bekende rekening van het kind/vriend etc de veiliger keuze.
Je kunt alleen plausibele en reeele situaties hebben waarin er wel een hulpvraag is, en de eigen rekening geen optie.

Dankzij Internet en de diverse app platformen is (video) bellen overal wel mogelijk - en goedkoop genoeg - geworden, dus het aspect "bellen is duur" is minder van toepassing dan in de tijd van NLG 10 per minuut naar NZ .
Tijdsverschil blijft, maar uiteindelijk is er met enige flexibiliteit wel een overlap te maken .
(als de haast zodanig is dat het 'meteen' moet is er toch een overlap dat beiden tegelijk wakker en actief zijn, en als je gewoon een slow-chat doet op periode "als de andere kant weer wakker is" kun je ook wel een validatie belletje afspreken , dan moet de ene of andere kant maar een keer wat vroeger op of wat later naar bed - geen zin in, dan is de hulpvraag ook niet _zo_ belangrijk blijkbaar.


een voice+video belletje, en wat familie small talk (wat ik ook schreef 10-5 21:01 ) is m.i. het beste praktische advies wat we "iedereen" kunnen geven om te verifieren dat de vraag en persoon echt zijn wie ze zeggen te zijn.

Nou als ik een bericht kreeg met "ik ben door mijn geld heen ik heb aanvullende funding (lening) nodig" dan wist ik
al genoeg! Dat is typische oplichters taal, Engelse teksten die automatisch vertaald zijn waarbij woorden vergeten zijn.

Het spijt me voor je dat dit je is overkomen.

Ik denk dat dat tegenvalt. Als alle parameters van de betaling in de link staan doet de browser een zogenaamde GET-request. Er is een alternatieve manier om dergelijke gegevens door te geven, met iets dat POST heet. Dan worden de parameters niet als onderdeel van de URL doorgegeven maar met de request-gegevens die onder water over de lijn gaan meegestuurd. Het zou dus op het eerste gezicht kunnen helpen als iDeal alleen POST zou accepteren. Het is alleen kinderspel om ergens een webserver op te zetten die een GET omzet in de overeenkomstige POST, en dan ga je alsnog de mist in.

Maar dat is ook zo, al zit er nog een betaalprovider tussen. Dit is een betaling aan Albert Heijn, niet aan de oplichter, die (of een katvanger) ontvangt de e-mail waarmee de cadeaukaart kan worden afgehaald.

De gegevens op die link zijn gegevens die iDeal nodig heeft om de betaling af te kunnen handelen. Extra persoonsgegevens toevoegen kan niet op basis van gebruiksvoorwaarden, daarvoor vereist de AVG afzonderlijke, expliciete toestemming voor precies dat doel. En daar zijn uitstekende redenen voor.

Mensen hebben twee modi van denken: snel en langzaam. Snel denken werkt op basis van een soort stelsel van vuistregels die je hersenen hebben opgebouwd. Die zijn niet nauwkeurig, maar essentieel om te kunnen overleven. Als je bijvoorbeeld opeens een spookrijder op je af ziet komen op de snelweg moet je echt meteen reageren, en niet eerst alle mogelijkheden afwegen, dan ben je te laat en waarschijnlijk dood. Het langzame denken is het beredeneren van dingen, dingen tegen elkaar afwegen, verstandig zijn. Zonder dat vermogen zouden we als mensheid vermoedelijk nog niet eens zo ver zijn dat we een hut konden bouwen om in te wonen.

Wat oplichters steevast proberen is je in de modus van snel denken krijgen, want dan ben je onnauwkeurig en maak je fouten. Dat wordt gedaan door je angst aan te jagen, het gevoel te geven dat de situatie heel urgent is en je meteen moet handelen, of bijvoorbeeld door je te laten geloven dat iemand die je na staat dringend hulp nodig heeft. En zoals je hebt ondervonden werkt dat.

De fundamentele zwakheid in ons betaalsysteem is in dit kader dat betalingen direct worden afgehandeld. Het is die snelheid waar oplichters dankbaar misbruik van maken, die sluit uitstekend aan bij dat snelle denken dat ze bij ons weten op te roepen. Maar behalve een fundamentele zwakheid is het ook iets dat ons een hoop voordelen heeft opgeleverd. Ik zie dat echt niet weer afgeschaft worden, buiten de vertraging van 4 uur op het verhogen van je betaallimiet die banken steeds meer hanteren (die de gelegenheid tot langzaam denken geeft). Ik ben bang dat de rest lapwerk is waar oplichters wel omheen weten te werken.

Al lang voordat het probleem met oplichters op het internet zo groot was als nu constateerde ik al dat ik in andere situaties, bijvoorbeeld als opeens een bedelaar me om wat geld vraagt, of iemand die voor een goed doel werkt, of als opeens een verkoper voor de deur staat die op me in begint te praten, ik me altijd overvallen voel en, als ik vanuit dat gevoel bijvoorbeeld wat geld geef aan een bedelaar of een goed doel, daar altijd achteraf het onbevredigende gevoel bij heb dat ik geen keuze heb gemaakt om die gift te doen maar dat het me is overkomen, en dat ik de keuze effectief voor me heb laten maken.

Als iemand geld van me wil is er altijd tijd om even na te denken, het is echt nooit zo urgent dat het op seconden of minuten of zelfs uren aankomt, er is geen brand en er is geen spookrijder. Dat heb ik mezelf ingepeperd, en peper ik mezelf regelmatig opnieuw in, om me te wapenen tegen dit soort situaties. Ik vertrouw mezelf simpelweg niet als ik me overvallen voel door iemand die een beroep op me doet, en dan doe ik niets tot ik heb kunnen nadenken. Ik peper mezelf daarbij in dat ik me niet schuldig hoef te voelen, tegenover wie dan ook, om de tijd te nemen om langzaam na te denken. Als ik iemand tegenover me heb die me daar niet de gelegenheid toe geeft dan is die fout bezig en heeft die botte pech. Als iemand mijn hulp vraagt mag ik die hulpvraag overdenken en er zelf een doordachte keuze over maken. Altijd.

Ik weet niet of het altijd zal werken, het is niet zo dat ik geen "zwakke" momenten heb (ik zet het tussen aanhalingstekens omdat het een op zich sterke reactie is die soms misplaatst is), maar dit werkt voor mij al tientallen jaren goed. Het helpt ongetwijfeld dat ik geen kinderen heb en dat ik niet een heel impulsieve persoonlijkheid heb.

Wat belangrijk is hierin, en ik hoop dat ik anderen daarmee een goede tip aan de hand doe, is dat ik niet reageer op het feit dat iemand een oplichter kan zijn. Dat werkt niet goed omdat je dan meteen een vrij complex stelsel van omstandigheden moet beoordelen, en dat vermogen is nou precies wat men zo goed bij je weet uit te schakelen. Ik reageer op iets ontzettend simpels en basaals: dat ik me overvallen voel. Dat is alles. Dat is zo simpel dat het mogelijk is om zelf je reactie erop te conditioneren. De beslissing om iemand met geld of iets anders van waarde te helpen moet even wachten tot ik me niet meer overvallen voel en na heb kunnen denken.

Uitstekend advies.
Een heleboel zaken in onze prestatiecultuur werken het langzame denken oftewel het na-denken tegen en appelleren aan snelle en impulsieve reacties (winkels worden op zo'n manier ingericht dat ze impulsaankopen bevorderen); emotionele reacties vallen daar ook onder. Internet en digitale communicatie versterken dit.
Deze "overvaltechniek" wordt ook gebruikt om mensen - liefst permanent - in een toestand te brengen waarin ze niet meer aan nadenken toekomen, aan afstand nemen t.o.v. wat de buitenwereld vraagt. (Veel psychische aandoeningen gaan gepaard met een gebrek aan concentratievermogen; ik vermoed dat de abominabele schrijf- en rekenvaardigheden van kinderen en tieners daar ook mee te maken hebben).
Dit betekent dat je als mens steeds meer moeite moet doen om ruimte (tijd) voor jezelf te creëren om deze andere manier van denken (of eigenlijk van reageren) te kunnen beoefenen.

Mooi geschreven - en het klopt , kinderen in de problemen zijn precies waarvoor vrijwel iedereen in de stand "urgent" gaat.


Zonder dat het direct oplichting is , het _is_ een feit dat die urgentie-situatie soms zodanig gecreerd wordt.

Als het om jezelf gaat :
Verkopers die NU een korting kunnen geven, of die keuken/auto/huis alleen vandaag nog voor je kunnen vasthouden .
Als je dat ding ook echt wilt/moet hebben is het ontzettend moeilijk om te denken dat er later wel weer een andere optie langskomt die je ook mooi vindt en ook nog voor een scherpe prijs.
Last minute deals zijn soms (ook echt) scherpe deals, en zijn ook wel enigszins urgent.

Of pijnlijker - ransomware, waarin de losgeld prijs stijgt - en je ook echt wat te verliezen hebt aan .

Ik had het niet voor niets over je overvallen voelen. Het is heel goed mogelijk om in een urgentie situatie wél goed na te blijven denken, de langzame modus van denken dus. Het gaat niet om het ontkennen of negeren van de urgentie, het gaat erom dat je blijft nadenken en niet puur impulsief gaat reageren in een situatie waarin dat meer kwaad dan goed doet. Dat "langzame" denken betekent niet dat je er meteen dagen op zit te zwoegen, het kan vaak genoeg in seconden tot minuten. Als die spookrijder op je afkomt duurt een seconde nadenken al te lang, vandaar "langzaam", dan moet je juist puur impulsief reageren om een kans op overleven te hebben. In al die situaties die jij noemt ben je beter af wanneer je wél even dingen op een rijtje zet en afweegt in plaats dat je enkel vanuit automatismen reageert. Ook als je kind een urgent probleem heeft leidt dat tot betere uitkomsten dan paniekvoetbal.

Ik wijs er trouwens op dat reageren op zoiets simpels als je overvallen voelen zelf een reactie vanuit de snelle denkmodus is. Je maakt er een automatisme van: als iemand dat gevoel bij je oproept trap je op de rem, stop je met reageren tot je even na hebt kunnen denken. Het werkt omdat het een reactie van de snelle denkmodus is: als je daar in wordt getrokken wordt deze reactie niet uitgeschakeld maar is hij nog beschikbaar. Het is een instrument dat helpt om die snelle denkmodus te onderbreken zodat je weer terug kan gaan naar het langzame denken.

Om nog wat dieper in te gaan op hoe ik mezelf dit bij heb gebracht: ik was toen nog niet op de hoogte van dat snelle en langzame denken, althans niet expliciet in die termen, daar kwam psycholoog Daniel Kahneman in 2011 mee met zijn boek "Thinking, fast and slow". Het begon veel eerder, in de tijd dat er veel meer bedelaars op straat verschenen in Amsterdam, waar ik toen woonde, en ik onder andere bij hun het erg onbevredigende gevoel had dat als ik ze iets gaf het niet mijn eigen keuze was geweest. Dat stoorde me genoeg om heel bewust te besluiten om domweg niets meer te geven als ik niet zeker wist dat het mijn keuze was, en ik voelde goed aan dat het hielp om daar dogmatisch in te zijn: een compromisloos nee, tenzij ik er zelf bewust voor gekozen heb. Dat betekent zeker niet dat ik nooit wat gaf, maar wel dat ik niets gaf als ik me overvallen voelde en niet had kunnen nadenken. En omdat er zat bedelaars waren, bij de ingangen van supermarkten bijvoorbeeld, kon ik dat trainen in de praktijk. De mensen die je in een winkelstraat een abonnement op een krant proberen aan te smeren idem dito. Studenten die voor goede doelen werkten en op een gegeven moment zo ver gingen dat ze voor je sprongen en je de weg blokkeerden waren ook uitstekend trainingsmateriaal. Maar het begon met een heel bewust en dogmatisch besluit over hoe ik zou reageren, en dat was denk ik de belangrijkste stap.

Ik denk dat hoe ik het nu beschrijf, als reageren op het gevoel overvallen te worden en het snelle en langzame denken van Kahneman, op hetzelfde neerkomt maar beter de kern raakt van wat er eigenlijk gebeurt; zowel waarom je zo makkelijk in verkopers- en oplichterstrucs kan tuinen, zelfs als je je ervan bewust bent, als waarom de manier waarop ik me tegen dit soort dingen wapen een goede benadering is.