Uitleg over hoe een deel van de online fraude werkt, en hoe Big Tech dit faciliteert, kun je lezen in mijn (lange) artikel van afgelopen zaterdag, getiteld:
"Internet: toenemende impersonatie"
in https://security.nl/posting/833217.

Ga niet het gevecht aan want je loopt altijd er achteraan. Licht jouw klanten voor en bijvoorbeeld de Regio Bank hier geeft al informatie middagen in bejaardenhuizen om de oudjes weerbaar te maken.

"Banken en politie vinden dat criminelen online nog veel te gemakkelijk anoniem kunnen opereren of zich voordoen als iemand anders. "Het zou daarom goed zijn als aanbieders van onlinedienstverlening en bijvoorbeeld prepaid simkaarten worden verplicht om de identiteit van hun klanten te checken."

*Shrugs*

Ik denk dat er ook genoeg nuttige idioten te vinden zijn die hier mee in zouden stemmen.
Zo gaat dat in Nederland, van zeevaarders naar bange staatsafhankelijke schaapjes in een paar generaties.

Al deze totaal ondenkbare praktijken gaan er komen, daar twijfel ik niet meer aan.

Eh... niemand heeft ooit gezegd dat 'jij jij bent' op internet.
Wat een onzin om te vinden dat men zich moet legitimeren. De fout zit nog steeds in de goedgelovigheid van mensen.
Als ik op een brief zet dat-ie van de 'bank' komt... gaan we dan ook alle afzenders controleren?
Het volgende proefballonnetje voor meer controle over de burger.

Belt een bedrijf je op met verificatie zaken dan vraag je de persoon zijn naam afdeling of personeelsnummer en zegt dat je zelf terug belt. Is dat niet mogelijk dan beindig je het gesprek en doet er niks meer mee. Je zet nooit een gesprek voort van een inkomend gesprek waar informatie moet worden gevalideerd je belt altijd zelf terug.

Gaat het vervolgens mis met het nummer dat altijd al je contact is geweest dan zijn hun aansprakelijk wegens een MITM maar als je zelf het gesprek voortzet terwijl het mogelijk gespoofed is tja dan trek je vaak aan het korste eind.


Voor mail geldt je klikt nooit op links je gaat naar de bedrijfs site toe als je een login hebt je logt daar in en kijkt naar enige bericht.

Voor brieven geldt het zelfde je logt zelf in op de bedrijfs site en nooit via de link gespecificeerd in enige brief behalve de eerste welkomst brief.

Voor personen aan de deur vraag legitimatie bel het bedrijf en laat ze pas binnen na valideren van de afspraak als je die afspraak niet zelf had gemaakt. Kunnen ze niet valideren dan bel je de politie met melding mogelijk oplichters actief in gebied X

Voor transacties via applicaties zoals bij marktplaats altijd afwikkelen via je eigen apparaat en geen apps installeren op enig verzoek. Werken ze niet mee dan wens je ze een fijne dag en kapt onderhandelingen af.


Het is allemaal niet zo moeilijk. De hoofd regel is vertrouw gewoon geen informatie tenzij je het zelf net hebt aangevraagd of gevalideerd. Geen enkele los staande social engineering of phising poging komt door die regel heen. Want ze kunnen nog zo goed verhaal opdoen als de informatie bij de bron niet overeenkomt dan vallen ze al door de mand.

Tja, waren er nog maar filialen. Dan konden klanten op bezoek komen en met echt personeel spreken.

Dan kun je spoofing makkelijker afvangen met de waarschuwing:

"Wij bellen U nooit. U krijgt via de app of per brief een uitnodiging om naar ons kantoor te komen, of bij twijfel, kom uit eigen beweging langs. Wij staan voor U klaar."

Hoorde laatst op een verjaardag iemand vertellen hoe goed zij zichzelf vond, dat ze die mensen doorhad en dat ze met die oplichters zelfs in discussie ging. Een paar weken later trapte ze er alsnog in. Iemand haalde haar pas op. Sommige ouderen overschatten zichzelf. En als ze mondig zijn denkt de omgeving dat ze zichzelf nog prima kunnen redden terwijl dat niet altijd het geval is. Een oplossing hiervoor weet ik op dit moment niet.

"Fijn" (not) dat een Anoniem, die in werkelijkheid Willie Wijsneus zou kunnen heten, het beter meent te weten.

Moeilijk is het namelijk wél - voor heel veel mensen (de slachtoffer-statistieken -vermoedelijk het topje van een ijsberg- en de uitleg van hoe eenvoudig online oplichting tegenwoordig is, bewijzen dat).

Ik ben benieuwd of deze Willie Wijsneus hier, over 40 jaar, nog precies zo over denkt (c.q. ondertussen zélf slachtoffer van online oplichting is geworden).

Wellicht gaat Willie zich tegen die tijd, in een virtueel museum, staan verbazen over de enorme risico's die mensen liepen ten gevolge van de deplorabele stand van de toenmalige techniek (in 2024 dus).

Ik heb van dichtbij mogen meemaken dat ondanks dat er mensen zijn die weten wat er speelt op dit gebied, en erop bedacht zijn, er alsnog in kunnen tuinen gezien de situatie die zich op dat moment voordoet.

Het is dus helaas niet zo simpel als je het hierboven beschrijft.

Het is een probleem dat niet simpel op te lossen is. Je kunt natuurlijk veel meer beveiligingen inbouwen. Maar zodra een bank dat doet, gaat juist die groep waar het voor bedoeld is, overstappen naar een andere bank waar het internetbankieren niet zo complex gaat door de beveiligingen.

Het zal een taak van de overheid zijn om aan banken te verplichten dat ze een examen instellen voor hun klanten welke periodiek herhaald moet worden. En zij die falen, zullen in toekomst alles via de papieren weg moeten doen. (Tegen de daarbij behorende hogere kosten.).

Ik heb het al vaker geschreven: als dát het (enige en/of belangrijkste) probleem is, dan is dat wél simpel (voor iedereen begrijpelijk) op te lossen.

Namelijk, maak de default streng, zodat minder vaardige mensen beschermd zijn. Als iemand dat irritant vindt: ga met een geldig legitimatiebewijs naar een filiaal van jouw bank en laat alle (of evt. een deel van de) beperkingen opheffen. Waarbij je waarschijnlijk een formulier zult moeten ondertekenen waarin staat wat de risico's voor jou kunnen zijn (*), en dat je daarmee akkoord gaat.

(*) Zoals dat, in korte tijd, jouw kleinzoon jouw bankrekening plundert voor een half miljoen Euro (zie https://nos.nl/artikel/2512040).

Banken zonder filialen of die dit niet willen, zouden hun klanten, zonder dat zij dit ongelezen kunnen overslaan, er (bijvoorbeeld minstens 3 keer, en bijv. elk jaar te herhalen omdat mensen ouder worden) op moeten wijzen welke risico's zij lopen. En als klanten dat niet willen, zij kostenloos (en geholpen met overzetten van bijv. automatische overschrijvingen) kunnen overstappen naar een bank die hen beter (tegen zichzelf) beschermt.

Waarom kan zoiets wel bijvoorbeeld bij een browserkeuzescherm, en niet bij banken - die, in tegenstelling tot zo'n browserkeuzescherm, een onmisbare, wellicht éérste levensbehoefte, zijn voor burgers?

Ook zouden de statistieken, per bank, welk bedrag van de totale schade die bank op haar klanten heeft afgewenteld, door DNB of AFM moeten worden gepubliceerd - zodat potentiële klanten een gefundeerde keuze kunnen maken (en minder slachtoffers achteraf door prutsrechters, waaronder van Kifid, hoeven te worden verrast).

Ik vind het geen goed idee als een deel van de banken onder de gokbranche gaat vallen, maar als daar echt een markt voor bestaat, dan moet dat maar. Dan hoeven de huilers op security.nl ook niet meer zo vaak aan te slaan bij slachtoffers van online oplichting.

Dan zijn ze dus die basis regels in dat moment vergeten in een stressvolle situatie. Moment dat er ergens paniek is lokaal of extern eerste wat je doet is kalmeren langzamer reageren niet sneller. Anders neemt het reptielen brein (hypothalamus) het over.

Hoe ik mensen daarvoor altijd heb behoedt is simpel weg de instructies op een papier zetten en die bij mensen in hun portemonee laten stoppen of bij destijds vaste lijn laten plaatsen. Communicatie protocol voorkomt natuurlijk niet 100% ellende maar verminderd het risico wel aanzienlijk.

Doet niet af dat de regels zelf volgen de ellende voorkomt maar dan moet je ze dus wel volgen.

https://www.nu.nl/tech/6304756/schade-door-bankhelpdeskfraude-vermindert-flink-maar-loopt-alsnog-in-miljoenen.html
In dit artikel staat ook het volgende, Het is nu nog te makkelijk voor criminelen om online anoniem te blijven, vindt
de NVB. "Het zou daarom goed zijn als aanbieders van online dienstverlening en bijvoorbeeld prepaid simkaarten
worden verplicht om de identiteit van hun klanten te checken."
Ik vraag mij serieus af hoe zij dit willen doen, en denk niet dat dit via direct contact gaat gebeuren en dat het
eerder nog meer identiteits fraude in de hand gaat werken.

Ik heb vorige week in nieuwsuur een item gezien over gokken, “zie link hieronder voor informatie ” ik heb geen
woord gehoord over die jongen die ID fraude pleegde, het ging alleen over het voorkomen dat mensen te veel
vergokte. En dit is voor mij veelzeggend, ik heb daarom het idee dat er veel over fraude wordt verzwegen omdat
het niet gunstig is dat mensen dit weten. Misschien wel om dat ze denken dat mensen voorzichtiger worden en niet
meer willen dat andere digitale zaken voor hun gaan regelen. Wat niet in lijn is met digitaal tijdperk, ik kan dit niet
waarmaken maar het zou wel kunnen als je veel achtergrond nieuws leest. Dit kan misschien als voorbeeld worden
gezien waar het hierom gaat.

https://nos.nl/artikel/2512040-opa-daagt-gokbedrijf-omdat-kleinzoon-17-ruim-een-half-miljoen-euro-vergokte