image

ICS hoeft schade van 1880 euro door malafide DHL-mail niet te vergoeden

vrijdag 8 maart 2024, 14:58 door Redactie, 19 reacties

ICS hoeft een klant die via een malafide DHL-mail voor 1880 euro werd opgelicht niet te vergoeden. Dat heeft het financiële klachteninstituut Kifid bepaald. De klant ontving begin vorig jaar een e-mail die van DHL afkomstig leek en waarin werd gesteld dat er een bedrag van 1,85 euro moest worden betaald vanwege een te bezorgen pakket.

De klant klikte op de link in de e-mail die naar een nagemaakte DHL-pagina wees. Op deze pagina heeft de klant de gegevens van zijn creditcard ingevoerd voor het betalen van de 1,85 euro. Vervolgens heeft de klant in de ICS-app de betalingstransactie goedgekeurd. Op het transactieoverzicht van zijn creditcard zag de klant dat er 1880 euro was afgeschreven.

Een kwartier nadat de frauduleuze transactie had plaatsgevonden meldde de klant dit bij ICS en vroeg om een vergoeding van de transactie. Twee weken later voerde ICS een creditcorrectie van 1880 euro door, maar die werd vijf dagen later ongedaan gemaakt. De creditcardmaatschappij liet de klant vervolgens weten dat hij niet schadeloos werd gesteld, omdat de klant zelf toestemming voor de transactie had gegeven.

Daarop stapte de klant naar het Kifid. Hij stelt dat hij geen toestemming voor de transactie van 1880 euro heeft gegeven, wel voor de transactie van 1,85 euro. Na goedkeuring in de app van de betaling van 1,85 euro zijn het bedrag en de begunstigde veranderd, aldus de klant, die stelt dat de frauduleuze transactie het gevolg is van een fout in het autorisatieproces van ICS. Tevens stelt de klant dat hij de transactie op tijd bij ICS rapporteerde, maar dat het bedrijf geen actie ondernomen heeft.

Goedkeuring

ICS laat in zijn reactie weten dat de klant de betaling van 1880 euro heeft goedgekeurd, wat ook uit een verstrekte uitdraai blijkt. "De enkele stelling van de consument dat hij in de app een betaling van een bedrag van 1,85 euro aan DHL, en niet een bedrag van 1.880 euro aan [begunstigde], heeft goedgekeurd is onvoldoende om te twijfelen aan de juistheid van de door ICS overgelegde uitdraai", aldus het Kifid.

"Dat de consument op het moment dat hij de betaalopdracht in de app goedkeurde in de veronderstelling was dat hij een bedrag van 1,85 euro zou gaan betalen, maakt dit niet anders. Dat ligt naar het oordeel van de commissie in zijn eigen risicosfeer. Het had op de weg van de consument gelegen om op dat moment te verifiëren of het bedrag dat hij zou gaan betalen correct was", zo laat het klachteninstituut verder weten.

ICS stelde ook dat het bedrag en de begunstigde na goedkeuring van een transactie niet kunnen veranderen. Daarnaast was de betalingstransactie vrijwel direct onherroepelijk nadat de klant die had goedgekeurd, waardoor ICS die niet kon terugdraaien, zo merkt het Kifid op. Wat betreft het feit dat ICS het bedrag eerst crediteerde en daarna alsnog afschreef wordt gewezen naar de algemene voorwaarden over betwiste transacties en maakt niet dat ICS de schade van de klant moet vergoeden, aldus het Kifid dat de vordering van de klant afwijst (pdf).

Reacties (19)
08-03-2024, 15:53 door Anoniem
Goh, al eeuwen betaalt men met het handje en je voelt gewoon dat 1,85 en 1880,- heel anders aanvoelt. Waarom stapt men nu af van een bewezen methode en gaat men over op een zo'n fraude gevoelige dienst?
08-03-2024, 16:25 door majortom
Betekent dit dat ICS een contract heeft afgesloten met een frauduleuze partij? Dus hoe sterk is de zaak van ICS nu werkelijk? Dat ze een log kunnen laten zien dat er 1880 is afgeschreven lijkt me nogal wiedes. Maar overboeken naar een frauduleuze partij lijkt me toch een foutje van ICS.

Ik ken de app niet van ICS, maar vraag me dan ook af wat die voor informatie toont. Uiteindelijk trek je als klant altijd aan het kortste eind als een interne ICS log (die wellicht ook nog gefabriceerd is after the fact) als bewijs geldt. Moet je dan als klant van alle online transacties dan ook screenshots maken en bewaren als een soort van bonnetje?
08-03-2024, 16:39 door Anoniem
"Dat de consument op het moment dat hij de betaalopdracht in de app goedkeurde in de veronderstelling was dat hij een bedrag van 1,85 euro zou gaan betalen, maakt dit niet anders. Dat ligt naar het oordeel van de commissie in zijn eigen risicosfeer. Het had op de weg van de consument gelegen om op dat moment te verifiëren of het bedrag dat hij zou gaan betalen correct was", zo laat het klachteninstituut verder weten.

Kifid had op zijn minst moeten zeggen hoe een klant dan wèl kan bewijzen dat het slechts om €1,85 ging. Of vind Kifid dat de 'risicosfeer' van de klant oneindig groot is zodra de klant van een app gebruik maakt?

Het lijkt erop dat Kifid niet gelooft dat de klant de waarheid spreekt en wel gelooft dat ICS de waarheid spreekt. Waarom? Ik zie daarvoor nergens een onderbouwing..
08-03-2024, 16:41 door Anoniem
In de ICS-app wordt gevraagd om toestemming te geven voor de transactie. Het bedrag staat duidelijk vermeld. Ik controleer dit altijd.
08-03-2024, 16:43 door Erik van Straten
@majortom: dat je met een creditcard geen risico's loopt t.g.v. frauduleuze transacties, is dus, met terugwerkende kracht t/m 1 maart 2023, definitief een fabeltje.
08-03-2024, 17:35 door Anoniem
Zo langzamerhalnd lijkt het meer nieuwswaarde als er WEL vergoeding betaald moet worden..
08-03-2024, 18:35 door Anoniem
Door Anoniem: In de ICS-app wordt gevraagd om toestemming te geven voor de transactie. Het bedrag staat duidelijk vermeld. Ik controleer dit altijd.

Precies dit. De beste persoon houdt vol, ook al is het niet vol te houden, dat het lage bedrag in de app stond. Aangezien financiele instellingen overal logs van bijhouden, zeker voor acties waarbij klanten later zaken kunnen ontkennen zoals hier, geloof ik ICS wel dat er echt geen 1,85 stond.
08-03-2024, 20:55 door Anoniem
Door Anoniem:
"Dat de consument op het moment dat hij de betaalopdracht in de app goedkeurde in de veronderstelling was dat hij een bedrag van 1,85 euro zou gaan betalen, maakt dit niet anders. Dat ligt naar het oordeel van de commissie in zijn eigen risicosfeer. Het had op de weg van de consument gelegen om op dat moment te verifiëren of het bedrag dat hij zou gaan betalen correct was", zo laat het klachteninstituut verder weten.

Kifid had op zijn minst moeten zeggen hoe een klant dan wèl kan bewijzen dat het slechts om €1,85 ging. Of vind Kifid dat de 'risicosfeer' van de klant oneindig groot is zodra de klant van een app gebruik maakt?

Het lijkt erop dat Kifid niet gelooft dat de klant de waarheid spreekt en wel gelooft dat ICS de waarheid spreekt. Waarom? Ik zie daarvoor nergens een onderbouwing..
Wel dat is makkelijk te verifieren. komt er bij een wijziging in prijs tijdens een sessie een andere prijs te staan voor confirmatie of foutmelding dan heeft de klant niet zitten op te letten komt dat niet dan is het een exploit. Ik zet mijn geld in op het eerste anders hadden we namelijk al lang een schandaal met chargebacks gezien.

Dominos was paar jaar geleden zo dom om hun app de betaling verificatie lokaal af te laten wikkelen dus je kon de status simpelweg van not paid to paid zetten kreeg je bestelling en dominos dacht dat je betaald had. In dit geval lijkt dat niet mogelijk te zijn geweest want het was een externe koppeling.
08-03-2024, 21:57 door Anoniem
Door Anoniem:
Door Anoniem: In de ICS-app wordt gevraagd om toestemming te geven voor de transactie. Het bedrag staat duidelijk vermeld. Ik controleer dit altijd.

Precies dit. De beste persoon houdt vol, ook al is het niet vol te houden, dat het lage bedrag in de app stond. Aangezien financiele instellingen overal logs van bijhouden, zeker voor acties waarbij klanten later zaken kunnen ontkennen zoals hier, geloof ik ICS wel dat er echt geen 1,85 stond.

Lijkt mij ook. Afhankelijk van de gebruikte device(s) - was het desktop + app-op-mobiel , of was het hetzelfde (mobiele) device waarop zowel de fraude sessie als de ics app draaide - is het best voorstelbaar dat de klager de authenticatie in de app gedachteloos deed en vrijwel direct terug ging (terug keek) naar de dhl-phish pagina .

De klager kan dan heel wel 'geen actieve herinnering' [letterlijk, te goeder trouw] hebben aan het hogere bedrag in de app in alleen het getoonde bedrag in de phish pagina.

Toen de ING nog sms authenticatie codes deed was het voor hen een ervaringsfeit dat mensen - ondanks een volkomen ander bedrag in de SMS dan wat ze dachten te kopen - klakkeloos de verificatie code overtikten.

Wat dat betreft is het (helaas) ook zeker te verwachten dat er een groep klanten is die een transactie routinematig authoriseert op een app ondanks een ander bedrag of andere bestemming dan wat ze binnen de 'aankoop pagina' denken aan te geven.
08-03-2024, 22:23 door Briolet
Het begint eigenlijk al met het slecht controleren van de afzender van de mail. DHL gebruikt een dmarc policy 'reject'. Dus vervalste mail zou niet eens afgeleverd moeten worden. Als er wel iets afgeleverd is, zal het een foutieve afzender hebben. Bij een goede afzender heb je nog geen garantie, maar bij een foute weet je zeker dat het nep is.

Overigens vreemd dat DHL nooit het top level domein '.dhl' gebruikt voor hun mail. Dat domein is al sinds 2016 geregistreerd door de Deutsche Post AG. Dat zou al hun mail nog unieker maken. Het tld wordt alleen bij specifieke websites gebruikt, zoals https://mydhl.express.dhl. Dan zou het ook sneller opvallen dat je op een nepsite zit.
09-03-2024, 09:32 door Anoniem
Wat is er nu gekocht voor die 1880 euro? Want daar zit dan nu wel een aankoopverzekering op toch, is dat uitgeleverd?
09-03-2024, 12:16 door karma4 - Bijgewerkt: 09-03-2024, 12:18
Door Anoniem: In de ICS-app wordt gevraagd om toestemming te geven voor de transactie. Het bedrag staat duidelijk vermeld. Ik controleer dit altijd.

Door Erik van Straten: @majortom: dat je met een creditcard geen risico's loopt t.g.v. frauduleuze transacties, is dus, met terugwerkende kracht t/m 1 maart 2023, definitief een fabeltje.

Deze twee zijn met elkaar in tegenspraak.
Je betaalt en ziet het bedrag dat je betaalt of het gaat om een frauduleuze actie.

Het lijkt er op dat de betaling zelf niet als frauduleus aangemerkt is. In dat geval is de kaart accepterende partij degene die een probleem krijgt. Het gaat hier niet om kaart accepterende partij maar het uitvoeren van een betaling. Dat is een ander iets
De betaling met een verkeerd bedrag is het achterliggende risico. Alsof je zelf geld naar een verkeerd bankrekeningnummer overmaakt.

Door Anoniem: .... Wat dat betreft is het (helaas) ook zeker te verwachten dat er een groep klanten is die een transactie routinematig authoriseert op een app ondanks een ander bedrag of andere bestemming dan wat ze binnen de 'aankoop pagina' denken aan te geven.
Tja duidelijk, eens.
09-03-2024, 17:27 door Anoniem
ICS helpt dus criminelen om hun misdaad mogelijk te maken (wat zegt de wet daar ook alweer over?) en het Kifid vindt dit allemaal prima.
09-03-2024, 18:00 door Erik van Straten - Bijgewerkt: 09-03-2024, 18:14
Door Anoniem: Wat is er nu gekocht voor die 1880 euro? Want daar zit dan nu wel een aankoopverzekering op toch, is dat uitgeleverd?
Mocht dat niet sarcastisch bedoeld zijn: als een dief 1880 Euro van jou steelt, denk je dan dat die dief jou gaat vertellen waar zij of hij dat geld aan gaat uitgeven?

In https://www.security.nl/posting/833217/Internet%3A+toenemende+impersonatie ga ik (diep) op deze casus (en de hufterigheid van Kifid) in.
09-03-2024, 18:13 door Erik van Straten - Bijgewerkt: 09-03-2024, 18:14
(sorry, dubbele post)
11-03-2024, 11:03 door Anoniem
In het hele verhaal ontbreekt waar het geld naar toe is gegaan. Er is ergens een rechtsvorm die een creditcard contract heeft afgesloten met een Acquirer, aldanniet via een tussenpartij. De Acquirer heeft overduidelijk een oplichter in de boeken en zou derhalve aansprakelijk moeten zijn voor deze vorm van fraude. Echter, het creditcard schema zit zo in elkaar dat de aansprakelijkheid voor een fraude-transactie bij de uitgever van de kaart ligt indien de consument de betaling heeft goedgekeurd in de app (3DSecure stap).

De Acquirer gaat op deze manier wel heel makkelijk vrijuit. Bovendien pakken ze nog een mooi percentage op deze transactie.
11-03-2024, 15:15 door Erik van Straten
@Anoniem 11:03: dank voor de interessante aanvulling!
11-03-2024, 16:29 door Anoniem
Die persoon moet gewoon een nieuwe case maken niet van fraude maar van niet levering, effectief is de dienst niet geleverd want het pakket is niet aangekomen. Dan heeft het nieuwe beroep kans van slagen. als men het dan verwerpt met er was geen pakket besteld dan was het dus wel fraude.

Ik kreeg dezelfde spam, en toevallig verwacht ik iets uit de UK waarvoor ik mogelijk kosten moet betalen. Dus ik twijfelde of dit klopte, echter er ontbrak elke informatie over het pakket (waarvandaan, welke afzender) dus ik neem maar aan dat het niet juist was (tevens klopte de links niet)
28-10-2024, 10:00 door Anoniem
Ik heb dezelfde kwestie nu ook, maar heb nog nooit een betaling goed gekeurd via de app. Nu tegen de 700 euro afgeschreven door 5 partijen. 5 Betwistingsformulieren moeten invullen met mails erbij aan de betreffende partijen. Ik vind het eigenlijk van de zotte. Hier ben je toch tegen verzerkerd?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.