ICS hoeft schade die klant leed door phishingaanval niet te vergoeden
Creditcardmaatschappij ICS hoeft een klant die slachtoffer van een phishingaanval werd niet te vergoeden, zo heeft financiële klachteninstituut Kifid geoordeeld. De klant had vorig jaar augustus bij een buitenlandse webwinkel een elektrische tandenborstel besteld. Kort daarna ontving de klant een sms met daarin een link. De klant opende deze link, omdat hij dacht dat hij op deze manier informatie aan de douane moest verstrekken voor de verzending van de tandenborstel.
In werkelijkheid wees de link naar een phishingsite. Op de phishingsite vulde de klant onder andere zijn creditcardnummer en zijn postcode en huisnummer in. Rond hetzelfde moment installeerde een aanvaller de ICS-betaalapp op zijn telefoon. Om deze app te activeren gebruikte de aanvaller de gegevens die de klant op de phishingsite had ingevuld. Vervolgens heeft de fraudeur een verificatiecode bij ICS opgevraagd. ICS verstuurde de verificatiecode naar het bij haar bekende e-mailadres en telefoonnummer van de klant.
De klant heeft de via sms en e-mail ontvangen codes vervolgens ingevuld op de phishingsite. In een periode van 22 minuten voerde de aanvaller vier transacties uit, met een totaalbedrag van drieduizend euro. De vijfde transactie van de aanvaller werd door het fraudesysteem van ICS gedetecteerd en geblokkeerd. Vervolgens werd ook de creditcard van de klant geblokkeerd. Na ontdekking van de fraude eiste de klant in eerste instantie dat ICS een bedrag van vijftienhonderd euro zou vergoeden, maar besloot dat tijdens de klachtenprocedure bij het Kifid naar 750 euro te verlagen.
Volgens de klant is ICS medeverantwoordelijk voor de fraude. De fraude is namelijk gepleegd door middel van de combinatie van de ICS-betaalapp, de ICS-systemen en het officiële ICS-mailadres. Ook vindt de klant dat ICS veel proactiever had moeten reageren op het moment dat er verificatiecodes werden aangevraagd terwijl de klant nog was ingelogd in de app. De verificatiecodes hadden niet zomaar verzonden mogen worden. Verder stelt de klant dat ICS na de eerste transactie van duizend euro had moeten optreden.
Het Kifid vindt dat de klant door het invoeren van de verificatiecodes op de phishingsite grof nalatig heeft gehandeld. "Dat de fraudeurs hun transacties hebben uitgevoerd via de betaalapp van ICS en dat ICS de verificatiecodes heeft verzonden, maakt ICS nog niet medeverantwoordelijk voor de fraude. De fraudeurs konden de omgeving van ICS alleen misbruiken omdat de consument zijn verificatiecodes heeft afgegeven aan de fraudeurs", aldus het klachteninstituut. "Daardoor konden de fraudeurs de ICS app koppelen aan zijn creditcard waardoor goedkeuring van de transacties eenvoudig voor de fraudeurs zelf verkregen kon worden."
Verder stelt het Kifid dat op ICS geen algemene monitoringsplicht rust. Daarnaast ziet het klachteninstituut geen aanknopingspunten om aan te nemen dat ICS in dit geval wist dat zij frauduleuze overboekingen faciliteerde. ICS heeft dan ook niet haar zorgplicht geschonden, aldus het Kifid, dat de klacht van de klant ongegrond verklaart en zijn vordering afwijst (pdf).
Nou was het niet duidelijk voor de klant dat het een phishingsite was (uiteraard).
En het lijkt me dat je die geheime informatie, zoals verificatiecodes, wel ergens moet gebruiken. Als je ze alleen maar geheim mag houden en nergens mag invullen, dan hebben ze geen nut.
Wat ik dus mis in deze case, is of het voor de klant duidelijk had kunnen/moeten zijn wat het doel van die verificatiecodes was en dat ze bijvoorbeeld alleen in de app ingevuld mochten worden om de installatie van de app te verifieren en koppelen aan de credit card. Als dat uit de mail met de verificatiecodes niet blijkt, heeft de klant dan echt zo nalatig gehandeld?
(ok, ik zou niet snel in een phishingsite trappen, denk ik, totdat het toch een keer gebeurd natuurlijk)
Uit de PDF:
Veel sterkte allemaal met de aanstaande European Digital Identity Wallet. Een digitaal paspoort dat u zélf niet op uw smartphone hoeft te hebben om flink in de problemen te komen.
Ook misbruik van de cc zou gedekt moeten zijn.
Ik zie hier een relatie met wat er bij Bunc gebeurde, zij hebben nu ook betere maatregelen genomen om op nieuwe devices een wachttijd van minimaal 24 uur toe te passen.
Ik bestel de meeste zaken online via mijn cc, wat betekent dit voor de zogenaamde cc bescherming voor mijn aankopen?
Ook misbruik van de cc zou gedekt moeten zijn.
Dit snap ik ook nooit. Als je iets met een creditkaart koopt, duurt het vaak weken voordat de verkoper zijn geld krijgt. Met zo'n vertraging zou het geen probleem mogen zijn om een transactie terug te draaien.
En inderdaad, wat heeft die reclame voor aankoopbescherming voor zin anders.
Ook misbruik van de cc zou gedekt moeten zijn.
Dit snap ik ook nooit. Als je iets met een creditkaart koopt, duurt het vaak weken voordat de verkoper zijn geld krijgt. Met zo'n vertraging zou het geen probleem mogen zijn om een transactie terug te draaien.
Is dat zo ? Dat betwijfel ik eigenlijk.
Maar wat beschermt de verkoper eigenlijk tegen een frauduleuze koper die liegt dat de transactie vals is en 'm terugdraait , maar wel goederen / dienst gekregen heeft ?
De klassieke bescherming (risico bij de verkoper) was bij de transactie-op--alleen-cc-nummer ;
Maar als de handtekening gezet was, was de koper toch aansprakelijk . Het klassiek model - kaart op carbon papier , en de embossing doordrukken, krabbel van de klant .
Dat zal ook wel een langere doorlooptijd gehad hebben.
Maar in het terminal-model-met pin is volgens mij de transactie ook praktisch instantaan - en , als de pin ingevoerd is, ook onherroepelijk.
Het dispuut model is min of meer dat de cc maatschappij met een grote of kleine natte vinger de knoop doorhakt wie er meer gelijk heeft.
https://www.creditcardvergelijking.nl/blog/een-creditcardbetaling-betwisten-hoe-doe-ik-dat/
https://www.mastercard.nl/nl-nl/personal/voordelen-mastercard/bestelling.html
(etc)
En inderdaad, wat heeft die reclame voor aankoopbescherming voor zin anders.
Dat is een vrij gewone verzekering voor verlies/diefstal, geen annuleren.
https://www.icscards.nl/klantenservice/verzekeringen/zo-werkt-de-aankoopverzekering
Met natuurlijk uitsluitingen voor opzet, "kan gebeuren" (huisdier of plant die doodgaat) , en spul dat je kunt verpatsen.
https://www.rabobank.nl/particulieren/service/creditcard/verzekeringen-creditcard
Zo makkelijk, dat Internet, je kunt van alles vinden voor dingen die je je afvraagt.
Was je fan van Europa ? Zo ja, dan is het ook JOUW schuld.
Want de eis dat CC betalingen een 2-factor authenticatie moeten doen komt uit EU richtlijn PSD-2 .
Geen keuze dus voor ICS of welke andere EU geleverde creditcard dan ook.
De klassieke stijl (gewoon nummer intikken, en dan dat niet-embossed nummer op de achterkant) was goed genoeg voor de VS.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
