ICS hoeft schade van 1880 euro door malafide DHL-mail niet te vergoeden
ICS hoeft een klant die via een malafide DHL-mail voor 1880 euro werd opgelicht niet te vergoeden. Dat heeft het financiële klachteninstituut Kifid bepaald. De klant ontving begin vorig jaar een e-mail die van DHL afkomstig leek en waarin werd gesteld dat er een bedrag van 1,85 euro moest worden betaald vanwege een te bezorgen pakket.
De klant klikte op de link in de e-mail die naar een nagemaakte DHL-pagina wees. Op deze pagina heeft de klant de gegevens van zijn creditcard ingevoerd voor het betalen van de 1,85 euro. Vervolgens heeft de klant in de ICS-app de betalingstransactie goedgekeurd. Op het transactieoverzicht van zijn creditcard zag de klant dat er 1880 euro was afgeschreven.
Een kwartier nadat de frauduleuze transactie had plaatsgevonden meldde de klant dit bij ICS en vroeg om een vergoeding van de transactie. Twee weken later voerde ICS een creditcorrectie van 1880 euro door, maar die werd vijf dagen later ongedaan gemaakt. De creditcardmaatschappij liet de klant vervolgens weten dat hij niet schadeloos werd gesteld, omdat de klant zelf toestemming voor de transactie had gegeven.
Daarop stapte de klant naar het Kifid. Hij stelt dat hij geen toestemming voor de transactie van 1880 euro heeft gegeven, wel voor de transactie van 1,85 euro. Na goedkeuring in de app van de betaling van 1,85 euro zijn het bedrag en de begunstigde veranderd, aldus de klant, die stelt dat de frauduleuze transactie het gevolg is van een fout in het autorisatieproces van ICS. Tevens stelt de klant dat hij de transactie op tijd bij ICS rapporteerde, maar dat het bedrijf geen actie ondernomen heeft.
Goedkeuring
ICS laat in zijn reactie weten dat de klant de betaling van 1880 euro heeft goedgekeurd, wat ook uit een verstrekte uitdraai blijkt. "De enkele stelling van de consument dat hij in de app een betaling van een bedrag van 1,85 euro aan DHL, en niet een bedrag van 1.880 euro aan [begunstigde], heeft goedgekeurd is onvoldoende om te twijfelen aan de juistheid van de door ICS overgelegde uitdraai", aldus het Kifid."Dat de consument op het moment dat hij de betaalopdracht in de app goedkeurde in de veronderstelling was dat hij een bedrag van 1,85 euro zou gaan betalen, maakt dit niet anders. Dat ligt naar het oordeel van de commissie in zijn eigen risicosfeer. Het had op de weg van de consument gelegen om op dat moment te verifiëren of het bedrag dat hij zou gaan betalen correct was", zo laat het klachteninstituut verder weten.
ICS stelde ook dat het bedrag en de begunstigde na goedkeuring van een transactie niet kunnen veranderen. Daarnaast was de betalingstransactie vrijwel direct onherroepelijk nadat de klant die had goedgekeurd, waardoor ICS die niet kon terugdraaien, zo merkt het Kifid op. Wat betreft het feit dat ICS het bedrag eerst crediteerde en daarna alsnog afschreef wordt gewezen naar de algemene voorwaarden over betwiste transacties en maakt niet dat ICS de schade van de klant moet vergoeden, aldus het Kifid dat de vordering van de klant afwijst (pdf).
Ik ken de app niet van ICS, maar vraag me dan ook af wat die voor informatie toont. Uiteindelijk trek je als klant altijd aan het kortste eind als een interne ICS log (die wellicht ook nog gefabriceerd is after the fact) als bewijs geldt. Moet je dan als klant van alle online transacties dan ook screenshots maken en bewaren als een soort van bonnetje?
Kifid had op zijn minst moeten zeggen hoe een klant dan wèl kan bewijzen dat het slechts om €1,85 ging. Of vind Kifid dat de 'risicosfeer' van de klant oneindig groot is zodra de klant van een app gebruik maakt?
Het lijkt erop dat Kifid niet gelooft dat de klant de waarheid spreekt en wel gelooft dat ICS de waarheid spreekt. Waarom? Ik zie daarvoor nergens een onderbouwing..
Precies dit. De beste persoon houdt vol, ook al is het niet vol te houden, dat het lage bedrag in de app stond. Aangezien financiele instellingen overal logs van bijhouden, zeker voor acties waarbij klanten later zaken kunnen ontkennen zoals hier, geloof ik ICS wel dat er echt geen 1,85 stond.
Kifid had op zijn minst moeten zeggen hoe een klant dan wèl kan bewijzen dat het slechts om €1,85 ging. Of vind Kifid dat de 'risicosfeer' van de klant oneindig groot is zodra de klant van een app gebruik maakt?
Het lijkt erop dat Kifid niet gelooft dat de klant de waarheid spreekt en wel gelooft dat ICS de waarheid spreekt. Waarom? Ik zie daarvoor nergens een onderbouwing..
Dominos was paar jaar geleden zo dom om hun app de betaling verificatie lokaal af te laten wikkelen dus je kon de status simpelweg van not paid to paid zetten kreeg je bestelling en dominos dacht dat je betaald had. In dit geval lijkt dat niet mogelijk te zijn geweest want het was een externe koppeling.
Precies dit. De beste persoon houdt vol, ook al is het niet vol te houden, dat het lage bedrag in de app stond. Aangezien financiele instellingen overal logs van bijhouden, zeker voor acties waarbij klanten later zaken kunnen ontkennen zoals hier, geloof ik ICS wel dat er echt geen 1,85 stond.
Lijkt mij ook. Afhankelijk van de gebruikte device(s) - was het desktop + app-op-mobiel , of was het hetzelfde (mobiele) device waarop zowel de fraude sessie als de ics app draaide - is het best voorstelbaar dat de klager de authenticatie in de app gedachteloos deed en vrijwel direct terug ging (terug keek) naar de dhl-phish pagina .
De klager kan dan heel wel 'geen actieve herinnering' [letterlijk, te goeder trouw] hebben aan het hogere bedrag in de app in alleen het getoonde bedrag in de phish pagina.
Toen de ING nog sms authenticatie codes deed was het voor hen een ervaringsfeit dat mensen - ondanks een volkomen ander bedrag in de SMS dan wat ze dachten te kopen - klakkeloos de verificatie code overtikten.
Wat dat betreft is het (helaas) ook zeker te verwachten dat er een groep klanten is die een transactie routinematig authoriseert op een app ondanks een ander bedrag of andere bestemming dan wat ze binnen de 'aankoop pagina' denken aan te geven.
Overigens vreemd dat DHL nooit het top level domein '.dhl' gebruikt voor hun mail. Dat domein is al sinds 2016 geregistreerd door de Deutsche Post AG. Dat zou al hun mail nog unieker maken. Het tld wordt alleen bij specifieke websites gebruikt, zoals https://mydhl.express.dhl. Dan zou het ook sneller opvallen dat je op een nepsite zit.
Deze twee zijn met elkaar in tegenspraak.
Je betaalt en ziet het bedrag dat je betaalt of het gaat om een frauduleuze actie.
Het lijkt er op dat de betaling zelf niet als frauduleus aangemerkt is. In dat geval is de kaart accepterende partij degene die een probleem krijgt. Het gaat hier niet om kaart accepterende partij maar het uitvoeren van een betaling. Dat is een ander iets
De betaling met een verkeerd bedrag is het achterliggende risico. Alsof je zelf geld naar een verkeerd bankrekeningnummer overmaakt.
In https://www.security.nl/posting/833217/Internet%3A+toenemende+impersonatie ga ik (diep) op deze casus (en de hufterigheid van Kifid) in.
De Acquirer gaat op deze manier wel heel makkelijk vrijuit. Bovendien pakken ze nog een mooi percentage op deze transactie.
Ik kreeg dezelfde spam, en toevallig verwacht ik iets uit de UK waarvoor ik mogelijk kosten moet betalen. Dus ik twijfelde of dit klopte, echter er ontbrak elke informatie over het pakket (waarvandaan, welke afzender) dus ik neem maar aan dat het niet juist was (tevens klopte de links niet)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
