Scherp opgemerkt door de redactie van security.nl. Ik kijk uit naar het achtergrondartikel over de kwaliteit van de uitspraken van het Kifid over (digitale) oplichting en spoofing.

Pluimpje voor security.nl, afgang voor kifid.

Ach, tenzij je realiteit graag verdraaid, en graag onterecht de bank als schuldige wil aanwijzen, dan sowieso toch een pluimpje voor de coulance; als in: feitelijk hoeven ze dat dus niet te doen - recente nog bevestigt middels jurispredentie bij Bunq.

Mooi!
Toch vraag ik mij af hoe het de crimineel gelukt is om tot vier keer toe de limiet te verhogen? Was dit mogelijk met enkel de browsercode, of heeft het slachtoffer dit telkens goedgekeurd?

Uit dit nieuwsbericht wordt mij nog niet duidelijk of het Kifid alleen de motivering (verwoording) van zijn uitspraak wil gaan corrigeren, of ook daadwerkelijk voornemens is de klant (meer) in het gelijk te stellen omdat de criteria in de coulanceregeling breder zijn dan in de oorspronkelijke uitspraak stond.

Overigens is een "coulanceregeling" een contradictio in terminis. Bij "coulance" doet een persoon of organisatie juist iets voor de klant zonder dat een regeling dat verplicht stelt.

Een "coulanceregeling" is een codificering van "coulance", en als er op zo'n regeling een beroep wordt gedaan in een juridisch proces, dan is er tevens sprake van "juridisering" van coulance, waardoor er geen sprake meer is van coulance, maar gewoon van nog weer een aantal extra regeltjes.

M.J.

Dank aan de redactie van Security.nl, namens al die mensen (ook jonge, o.a. die gokken en/of in cryptovaluta beleggen) die in oplichting zijn getrapt en daar vaak afschuwelijk onder leiden.

Zelfs als zij hun geld (of een deel daarvan) terugkrijgen, blijft het gevoel bestaan dat een deel van jouw "fijne" medemensen om het hardst riep of roept "hoe kon je zo stom zijn". En dat je kennelijk iedereen moet wantrouwen - iets waar de samenleving allesbehalve aangenamer van wordt - en dit probleem niet voor altijd en iedereen gaat oplossen.

Banken en Kifid spreken van een coulanceregeling, maar dat is idioterie. Het is voor mensen simpelweg onmogelijk om, vooral op afstand (telefonisch, e-mail en andere berichten, apps en van websites) de authenticiteit van afzenders en de door hen aangeleverde informatie vast te stellen. Maar ook bij iemand die bij je aanbelt kun je met valse identificerende gegevens (zoals kleding, passen, informatie die alleen de zogenaamd vertegenwoordigde organisatie van jou zou kunnen weten) worden bedrogen (hebben al die slimmerds hier al gecheckt hoe de nieuwe politiepas eruit ziet en hoe je die op vervalsingen kunt controleren?).

Het oude systeem, waarbij je voor risicovolle transacties naar een vertrouwd filiaal op een fysieke locatie moest, hebben we laten wegbezuinigen: jammer maar helaas. De *onvermijdelijke* consequentie daarvan is méér slachtoffers door identiteitsfraude (oplichters die zich voordoen als een vertegenwoordiger van een organisatie).

Precies daarom is het rechtvaardig als een deel van de opbrengst t.g.v. de bezuinigingen niet in de zakken van aandeelhouders vloeit, maar beschikbaar is om de (zoals gezegd onvermijdelijke) slachtoffers van dit alternatieve "moderne" systeem in elk geval financieel schadeloos te stellen c.q. grotendeels te compenseren.

En exact dát was en is het doel van de wet die daarvoor in het leven is geroepen, die de afgelopen jaren steeds vaker met de voeten is getreden op basis van het verzinsel dat slachtoffers "in juridische zin grof nalatig hebben gehandeld". Dat is ordinair onrecht, slachtoffers aangedaan door corrupte "juristen" - betaald door financiële instellingen met steeds hogere woekerwinsten (die "juristen" verdienen dik belegde boterhammen "dankzij" oplichting - geld dat aan slachtoffers had kunnen en moeten worden uitgekeerd).

Nogmaals dank aan Security.nl voor het op de vingers tikken van de corrupte bende genaamd "Kifid"!

Scherp opgemerkt. Goed argument om het wegbezuinigen van het directe contact als medeoorzaak te benoemen.
Kan met video/geluid en vaste contacten enigszins verholpen worden, echter de achterliggende mensen zijn weg.

Om in de spoofing-truc te trappen moet je het telefoonnummer van je bank kennen of dit nummer in je telefoon hebben staan.
In kan niet in de spoofing-truc trappen want ik ken het nummer van mijn bank niet uit het hoofd en het nummer staat ook niet in mijn telefoon.
Dat doe ik bewust zodat ik niet op voorhand al op het verkeerde been gezet wordt.

Heb het hier nog makkelijker als Rabobank klant. Die toko kent het hele woordje service nog niet eens. Die gaan dus echt never nooit niet iemand bellen als daar een probleem zich voordoet dat ten nadele van de klant is.

"Banken hebben onderling een 'coulancekader' opgesteld"

marktwerking ten top? net als de rente afspraken?

Uit https://www.rabobank.nl/veiligbankieren/fraude-herkennen:
MAAR SOMS ZIJN WIJ DAT WEL - EN U WEET LEKKER NIET WANNEER!

Bovendien, als "criminelen steeds nieuwe manieren bedenken om je persoonlijke gegevens te achterhalen om zo bij je geld te komen", hoe weet de Rabobank dan zo zeker dat het überhaupt zin heeft om die 6 signalen te onthouden? Zoals:
Betekent dit dat medewerkers van de Rabobank hun klanten nooit zullen vragen om bijvoorbeeld een virusscanner te downloaden en te starten?

Als zij dat wél zouden kunnen doen of ooit gedaan hebben, wat als de beller zegt dat je een virusscanner moet downloaden vanaf een website met een naam zoals te zien op het einde van deze URL: https://www.virustotal.com/gui/domain/avastantivirusscan.com?

Als de beller jou vervolgens instrueert om het gedownloadde programma, dat zomaar avast.exe zou kunnen heten, te starten, moet je dat dan wel of niet doen?

En wat als er dan iets start dat best een echte virusscanner zou kunnen zijn, maar ook (evt. vooralsnog stiekem) een RAT?

Zo niet, wat als die zogenaamde virusscanner meldt dat het noodzakelijk is om handmatig allerlei wijzigingen in het register door te voeren, maar dat als je dat te ingewikkeld vindt, je dit het beste aan de beller kunt overlaten en daarom AnyDesk o.i.d. moet downloaden en starten? En als je denkt dit allemaal niet ingewikkeld te vinden, en de beller jou bewust vraagt om iets te doen dat een foutmelding oplevert en jij niet meteen begrijpt waarom, hoe groot is dan de kans dat je de beller alsnog toestaat om jouw computer over te nemen?

Zo kansloos dit - vooral bij iedereen die geen expert is.

Ofwel een bank kan, in dringende gevallen, wel contact opnemen met klanten (anders dan via een bericht in de bank-app), maar dan geldt (mijn tekst):

Ofwel een bank zal, zelfs als zij constateren dat een rekening wordt geplunderd, nooit contact opnemen met klanten - en ook geen berichten versturen met daarin "klik op deze link" zoals voor marketingdoeleinden of tevredenheidsonderzoeken. Maar dit is onbestaanbaar - en zal voor de meeste mensen zó ongeloofwaardig klinken dat zij zo'n belofte meteen vergeten, waardoor ook deze aanpak niet gaat helpen.

Kortom, die 6 signalen kun je net zo goed niet onthouden, want deze kunnen veel te eenvoudig worden weggeredeneerd of zelfs omzeild. Met als gevolg dat elk potentieel slachtoffer alerter zou moeten zijn en méér verstand van zaken zou moeten hebben dan de oplichtende bellers - wat een zeldzaamheid zal zijn.

Tevens uit genoemde Rabobank-pagina:
De contactopnemers kunnen er, onvoorspelbaar, vanalles aan doen om eventuele twijfel bij een slachtoffer weg te nemen. Wat de Rabobank hier biedt is dus niet een in alle gevallen werkende remedie. Dat is okay als de Rabobank ervan uitgaat dat dit soort maatregelen/verzoeken het aantal slachtoffers beperkt - doch niet tot nul reduceert.

Dus zullen er slachtoffers blijven vallen en dus zullen banken die slachtoffers moeten compenseren. Immers, die banken hebben voor een bloedsnel systeem op afstand gekozen - een systeem in het voordeel van oplichters en in het nadeel van klanten voor wie het onderscheid maken tussen nep en echt zeer ingewikkeld of ronduit onmogelijk is. En een (soms in een oogwenk gemaakte) "fout" (dat is het niet), slachtoffers tot volstrekte wanhoop kan drijven.

Bij contact met de bank, initieer dan altijd zelf het contact. Dus de bank (of crimineel, je weet het niet) belt: je hangt op en belt zelf de bank via een nummer dat op de website van de bank staat, of in je app. Als er echt iets aan de hand is, dan kunnen ze je dan vertellen wat het is, en anders kun je hen vertellen hoe een oplichter je probeerde op te lichten.

That's it. Al die lange verhalen hierboven hoe je als onwetende persoon erin kan trappen en dat het beter is om naar een fysiek bankfiliaal te gaan, je hoeft maar 1 regel te onthouden: neem altijd zelf het initiatief (over) voor contact met de bank.

Op zich een goede tip. Maar bij contact met de bank krijg je, na een vaak tijdrovende wachtrij, een helpdesk. Vaak weet zo'n helpdeskmedewerker heel weinig, waardoor het nog meer tijd kost. Ik heb bij mijn bank ook wel eens apert verkeerde informatie gekregen. Vervolgens moest ik zelf iets uitzoeken en dan nog een keer contact opnemen om erop te wijzen dat de gegeven informatie fout was.

Dit vereiste al een sterk bovengemiddelde mondigheid en uithoudingsvermogen. Dat kun je niet van alle bankklanten verwachten. Immers, per definitie zal ongeveer de helft van de klanten een lager dan gemiddelde mondigheid en uithoudingsvermogen hebben.

Naar een fysiek bankfiliaal gaan heeft zin als de bank zijn medewerkers daar ook het mandaat geeft om klanten echt te helpen, en ze dus niet van het kastje naar de muur te sturen ("Ik kan u niet helpen, daarvoor moet u de helpdesk bellen..." zoals ik op een fysiek filiaal te horen kreeg).

Als een bankmedewerker op een fysiek filiaal tot taak heeft om klanten werkelijk te helpen, d.w.z. er verantwoordelijkheid voor te nemen (tot aan het einde) dat het probleem van een klant werkelijk wordt opgelost, dan heeft bezoek aan een fysiek filiaal de volgende voordelen:
-- klant heeft concrete zekerheid dat hij werkelijk met de bank zelf te maken heeft;
-- klant heeft contact met een persoon die in mondeling en visueel contact met de klant diens werkelijke probleem kan begrijpen en waar nodig op een begeleidende manier om verduidelijking kan vragen;
-- klant heeft contact met een medewerker die eventuele "distress signals" van de klant kan opvangen en dienovereenkomstig kan handelen ter bescherming van de klant (denk aan mensen in een onveilige gezinssituatie);
-- klant kan in sommige gevallen een vertrouwensrelatie met specifieke bankmedewerker(s) opbouwen, waardoor problemen soepeler kunnen worden afgehandeld;
-- bankmedewerker kan mede op grond van non-verbale signalen in de interactie beter inschatten of er sprake is van mogelijke poging tot fraude.

Ik heb het al vaker voorgesteld: zoals grote banken nu samenwerken met de instandhouding van Geldmaat-geldautomaten, zo kunnen ze ook samenwerken om een dekkend netwerk van fysieke bankfilialen te te creëren. Dit kan veel problemen voorkomen en die zin ook veel kosten (bijv. v. juridische procedures) voorkomen, alsmede preventie van grote maatschappelijke kosten. Gezien de positie die de overheid aan banken heeft toegewezen in het betalingsverkeer, vervullen banken een belangrijke maatschappelijke functie. Dat brengt een maatschappelijke verantwoordelijkheid met zich mee, en dan bedoel ik niet op een "jacht op mogelijke fraudeurs", maar op een "zorgplicht ten aanzien van bona fide klanten".

Ooit richtte de Nederlandse overheid niet zonder reden een "Rijkspostspaarbank" op, in een tijd dat het bankenlandschap nog meer versnipperd was (meer en kleinere banken). Na naamsveranderingen en fusies (o.a. met de NMB - Nederlandse Middenstandbank) is daaruit uiteindelijk de ING voortgekomen, de grootste bank van Nederland. Maar dat is nu een commerciële instelling die o.a. via het Kifid zijn maatschappelijke verantwoordelijkheid minimaliseert en deels ontwijkt.

Het is duidelijk dat meer overheidsregulering nodig is om ervoor te zorgen dat de banken hun zorgplicht (inclusief een plicht om transparant en aanspreekbaar te zijn tegenover klanten) serieuzer gaan nemen.

M.J.

Nope!

Een beetje Android telefoon (en misschien iPhone ook) laat namen van bellende bedrijven in het scherm zien, OOK wanneer je die niet in jouw contacten hebt staan.
Als Google een nummer aan een bedrijf heeft gekoppeld en je wordt door dat nummer gebeld, wordt de naam van dat bedrijf weergegeven i.p.v. het nummer.