SNS-klant krijgt 29.000 euro schade bankhelpdeskfraude niet vergoed
Een klant van SNS die het slachtoffer van bankhelpdeskfraude werd krijgt de 29.000 euro schade die hij leed niet vergoed. Dat heeft het financiële klachteninstituut Kifid bepaald. De klant werd vorig jaar juli gebeld door een oplichter die zich voordeed als medewerkster van de fraudedesk van de bank. Er zou geld van zijn bankrekening afgehaald. Het telefoonnummer waarmee de fraudeur belde is niet bekend, zo staat in de uitspraak van het Kifid.
Het lukte de oplichter om de klant het programma AnyDesk te installeren, waarmee zijn computer op afstand kon worden overgenomen. In een periode van vijftien dagen werd meer dan 30.000 euro van de bankrekening van de klant afgeschreven. "De consument is hiermee akkoord gegaan door een persoonlijke browsercode in zijn ‘Mijn SNS’ bankomgeving in te voeren", aldus het Kifid.
De eerste overboeking vond plaats op 24 juli vorig jaar, waarbij een bedrag van 888 euro is overgemaakt naar een winkel. Tussen 25 juli en 7 augustus hebben dertien overboekingen plaatsgevonden. Hierbij is in totaal een bedrag van meer dan 29.000 euro overgemaakt naar een derde onder vermelding van ‘aankoop caravan’. Tijdens de fraudeperiode heeft de oplichter ook vier keer een limietverhoging aangevraagd en verkregen. Daarbij is een bevestiging van elke verhoging naar het e-mailadres van de klant gestuurd.
Op 7 augustus ontdekte de klant dat hij slachtoffer was geworden van fraude. Hij heeft dit een dag later aan de bank laten weten, waarop er een fraudeonderzoek werd ingesteld. SNS besloot uit coulance de eerste frauduleuze transactie van 888 euro te vergoeden. De resterende 29.000 euro niet. De klant wil echter volledig schadeloos worden gesteld. Volgens het Kifid voldoet de klant niet aan de voorwaarden om in aanmerking voor de coulanceregeling te komen, dat banken hanteren om slachtoffers van bankhelpdeskfraude te vergoeden.
Er kan volgens het klachteninstituut niet worden vastgesteld dat de klant vanaf een gespooft telefoonnummer is gebeld. In de coulanceregeling staat dat "er sprake is geweest van spoofing van naam en/of het telefoonnummer van de eigen bank" (pdf). Het Kifid is van oordeel dat het gebruik van de naam én het telefoonnummer van de bank nodig is om binnen de coulanceregeling te vallen. Security.NL heeft het Kifid hier vragen over gesteld. Het klachteninstituut besloot de klacht ongegrond te verklaren en de vordering van de klant af te wijzen (pdf).
Er kan volgens het klachteninstituut niet worden vastgesteld dat de klant vanaf een gespooft telefoonnummer is gebeld. In de coulanceregeling staat dat "er sprake is geweest van spoofing van naam en/of het telefoonnummer van de eigen bank"
Een bijzondere houding van het Kifid - alsof
a) de klant / consument alle mogelijke telefoonnummers van elke bank uit het hoofd zou moeten kennen, EN
b) zich zou moeten beseffen dat banken niet vanaf anonieme / afgeschermde nummers zouden bellen (wat genoeg partijen WEL doen) EN
c) klanten elk gesprek loggen EN
d) een partij als KPN daadwerkelijk het bellende nummer tonen in plaats van wat de beller beweert (nummerweergave is erger dan SMTP)
Ik zeg niet dat het slachtoffer goed gehandeld heeft, maar het afschuiven van verantwoordelijkheid naar klanten en burgers moet maar eens afgelopen zijn.
Er kan volgens het klachteninstituut niet worden vastgesteld dat de klant vanaf een gespooft telefoonnummer is gebeld. In de coulanceregeling staat dat "er sprake is geweest van spoofing van naam en/of het telefoonnummer van de eigen bank"
Een bijzondere houding van het Kifid - alsof
a) de klant / consument alle mogelijke telefoonnummers van elke bank uit het hoofd zou moeten kennen, EN
b) zich zou moeten beseffen dat banken niet vanaf anonieme / afgeschermde nummers zouden bellen (wat genoeg partijen WEL doen) EN
c) klanten elk gesprek loggen EN
d) een partij als KPN daadwerkelijk het bellende nummer tonen in plaats van wat de beller beweert (nummerweergave is erger dan SMTP)
Ik zeg niet dat het slachtoffer goed gehandeld heeft, maar het afschuiven van verantwoordelijkheid naar klanten en burgers moet maar eens afgelopen zijn.
Als een politie agent vraagt naar mijn ID krijgen ze die want dat moet volgens de wet ongeacht of ze zich hebben gelegitimeerd. Als een politie agent vraagt of hij naar binnen mag dan is het antwoord nee tenzij ze een huiszoeking bevel hebben.
Zo simpel is het. Je hoeft niet te weten welk nummer je bank is je moet gewoon nadenken wat gevraagd van je wordt ook redelijk is en zo nee dan verkoop je een nee.
KIFID is een waardeloze organisatie maar ik ga wel mee in hele stupide gevallen en dit is er zeker eentje
Spoofing ja of nee maakt niks uit want al was het geen spoofing had het slachtoffer nog steeds geen toegang tot zijn computer moeten geven.
Komt het dan niet in je op dat je even de vinger aan de pols moet houden?
Komt het dan niet in je op dat je even de vinger aan de pols moet houden?
Het zal duidelijk zijn, dat deze regels ook fraudeurs aantrekken, die claimen te zijn bestolen.
Ik begrijp dat de oplichter 15 dagen toegang had tot de rekening door de browsercode, maar hoe is het gelukt om tot vier keer toe het limiet te verhogen? Is dit mogelijk met enkel de browsercode, of moet hiervoor ook de SNS betaalpas of digipas worden gebruikt? Als dit mogelijk is met enkel de browsercode, dan is dat nog wel discutabel lijkt mij...
Ik wet niet hoe het bij andere banken zit, maar bij de rabobank zie ik waarvoor ik de code invoer op de raboreader.
als er iets anders staat dan de "bank" medewerker zegt te doen, dan klopt er its niet
(nieuw toestel registreren, limiet verhogen, betaling doen enz.)
op het moment dat er een limit verhoging melding binnen komt, dan moeten er toch alarm bellen gaan rinkelen bij de rekening houder
Dus moet je alles en iedereen compenseren.
je verzekering betaalt ook niet uit voor diefstal, als je de sleutel van je woning aan een dief geeft,
(ik ben van de politie, en er wordt je woning staat op het punt om ingebroken te worden, mag ik je huissleutel )
of als je deur of raam laat open staan.
Dus ja, logisch dat ze niet alles betalen
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!