ICS hoeft 4.000 euro schade door Netflix-phishing niet te vergoeden
Creditcardmaatschappij ICS hoeft vierduizend euro schade die een klant leed door phishing niet te vergoeden, zo heeft het financiële klachteninstituut Kifid bepaald. De klant ontving afgelopen december een phishingmail waarin stond dat hij de betalingsgegevens van zijn Netflix-account moest bijwerken. De link in de e-mail wees naar een phishingsite die op de officiële Netflix-site leek.
Op de phishingsite vulde de klant zijn creditcardgegevens in. Daarna ontving hij van ICS een sms-bericht met een verificatiecode om de creditcard aan een Apple Wallet toe te voegen. De klant vulde deze code in op de phishingsite, waarna de oplichter de creditcard van de klant aan zijn Apple Pay koppelde. Vervolgens werd er voor vierduizend euro aan transacties uitgevoerd.
"De snel opeenvolgende transacties na het koppelen van de creditcard aan Apple Pay hebben ervoor gezorgd dat het systeem van ICS een signaal heeft afgegeven", aldus het Kifid. ICS belde de klant en blokkeerde de creditcard toen bleek dat het om fraude ging. De klant wil dat ICS de schade vergoedt, maar de creditcardmaatschappij weigert dit omdat de klant zijn creditcardgegevens en verificatiecode heeft doorgegeven aan de oplichter en hiermee de verplichtingen uit de algemene voorwaarden niet is nagekomen.
Volgens de klant heeft ICS onvoldoende beveiligingsmaatregelen getroffen en had het bedrijf haar systemen anders moeten inrichten zodat de fraude voorkomen had kunnen worden. Enkele dagen voordat de fraude plaatsvond koppelde de klant zijn creditcard aan de Apple Wallet op zijn telefoon en had het volgens de klant niet mogelijk moeten zijn dat door een derde op een, voor hem onbekend, ander apparaat een tweede Apple Wallet geactiveerd kon worden.
Het Kifid is net als ICS van mening dat de klant grof nalatig heeft gehandeld. Daarnaast vindt het klachteninstituut niet dat de creditcardmaatschappij haar systemen anders had moeten inrichten. "Dat de consument acht dagen voor de frauduleuze transacties zelf zijn creditcard heeft gekoppeld aan zijn eigen Apple Wallet maakt niet dat ICS onvoldoende beveiligingsmaatregelen heeft getroffen."
ICS stelde dat het niet ongebruikelijk is dat gebruikers van Apple Pay op enig moment een nieuw of een extra toestel willen koppelen en de per sms verstuurde verificatiecode voldoende waarborgt dat de gebruiker zelf de creditcard koppelt aan een nieuw toestel. Volgens het Kifid had de klant zich door deze sms moeten realiseren dat er ‘iets’ met een nieuw apparaat gebeurde, terwijl hij geen nieuw apparaat probeerde te koppelen. De vordering van de klant wordt dan ook door het Kifid afgewezen (pdf).
Geen fan van ICS of Kifid. Maar wel terecht wat hier gebeurd is.
Citaat: " De link in de e-mail wees naar een phishingsite die op de officiële Netflix-site leek.
Op de phishingsite vulde de klant zijn creditcardgegevens in. Daarna ontving hij van ICS een sms-bericht met een verificatiecode om de creditcard aan een Apple Wallet toe te voegen. De klant vulde deze code in op de phishingsite, waarna de oplichter de creditcard van de klant aan zijn Apple Pay koppelde. Vervolgens werd er voor vierduizend euro aan transacties uitgevoerd."
Weliswaar niet helemaal nieuw, maar wel gehaaid om de procedure zo uit te voeren dat deze meneer/mevrouw de creditcard kon laten koppelen.
Blijkbaar heeft het slachtoffer daadwerkelijk een netflix abo en was de nep-netflix-site via maillink niet te onderscheiden. Om dat onder grof nalatig te schuiven is je verantwoordelijkheid als bank niet nemen.
Met de IT-integratie in het bankwezen, gepush om klanten daar hun bankzaken te regelen, terwijl deze klanten totaal geen affiniteit heeft met 'dit nieuwe', dat is pas grof nalatig gedrag van de bank. De risico's en verantwoordelijkheid zijn toegenomen voor de klant, de verantwoordelijkheid en risico's zijn afgenomen voor de bank. In de nog analoge era was de bank er om cotrole over alles te hebben en daarmee alles te controleren. Het risico en verantwoordelijkheid -om winstbejag- af te schuiven naar de onwetende klant is ronduit asocial , de klant heeft hier meerendeels niet om gevraagd, maar nogmaals, wordt gepushed door de bank die niet weet te voorkomen noch terug te draaien hoe criminelen hier misbruik van weten te maken.
De bank is Grof Nalatig de klant niet te beschermen tegen dit soort criminaliteit. Als banken nou 's om tafel gaan zitten om te bespreken hoe en wanneer het mogelijk moet zijn om een transactie 'snel' terug te kunnen draaien, nemen ze weer een beetje verantwoordelijkheid/bescherming/controle terug. En mocht dat niet meer mogelijk zijn, dan moet de katvanger als verantwoordelijke worden gesteld om het gehele bedrag terug te betalen, desnoods de rest van zn leven.
En niet iedereen is zo onderlegd om dat (als phisingmail) in te zien.
Blijkbaar heeft het slachtoffer daadwerkelijk een netflix abo en was de nep-netflix-site via maillink niet te onderscheiden. Om dat onder grof nalatig te schuiven is je verantwoordelijkheid als bank niet nemen.
Met de IT-integratie in het bankwezen, gepush om klanten daar hun bankzaken te regelen, terwijl deze klanten totaal geen affiniteit heeft met 'dit nieuwe', dat is pas grof nalatig gedrag van de bank. De risico's en verantwoordelijkheid zijn toegenomen voor de klant, de verantwoordelijkheid en risico's zijn afgenomen voor de bank. In de nog analoge era was de bank er om cotrole over alles te hebben en daarmee alles te controleren. Het risico en verantwoordelijkheid -om winstbejag- af te schuiven naar de onwetende klant is ronduit asocial , de klant heeft hier meerendeels niet om gevraagd, maar nogmaals, wordt gepushed door de bank die niet weet te voorkomen noch terug te draaien hoe criminelen hier misbruik van weten te maken.
De bank is Grof Nalatig de klant niet te beschermen tegen dit soort criminaliteit. Als banken nou 's om tafel gaan zitten om te bespreken hoe en wanneer het mogelijk moet zijn om een transactie 'snel' terug te kunnen draaien, nemen ze weer een beetje verantwoordelijkheid/bescherming/controle terug. En mocht dat niet meer mogelijk zijn, dan moet de katvanger als verantwoordelijke worden gesteld om het gehele bedrag terug te betalen, desnoods de rest van zn leven.
Ik sprak geen enkel waarde oordeel uit over mensen die in phishing aanvallen trappen, of over de uitspraak van Kifid.
"Link in de e-mail wees naar een iets, en iemand vulde daar iets in."
Dus onthoud simpelweg als basis:
"Linkje in de e-mail? Daarna nooit gegevens invullen (niet inloggen, geen creditcarddata, niet eens je NAW gegevens)."
Vraag een bedrijf het toch? Weiger het, ga zelf handmatig naar hun website toe en klaag bij hun functionaris gegevensverwerking over het proces. Die passen dat maar al te graag snel aan, want de kans dat ze ooit betrokken gaan worden in een phishingcampagne groeit er ook mee.
Het zou gaaf zijn als browsermakers het invullen van data na een klik in een e-mail gewoon zouden blokkeren. U klikte net in een e-mail op de link, alle invulvelden zijn geblokkeerd: kijk maar eens eerst heel goed rond of je niet op een phishing site zit, wedden van wel? Net als bij http-verbindingen dus, waar sommige browsers dit al doen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
