Uit
https://nos.nl/artikel/2532490-opgelicht-met-telefoonnummer-van-de-bank-leek-alsof-ik-gehypnotiseerd-werd:
Omdat oplichters alleen maar slimmer worden, lanceerde ING onlangs "Check het Gesprek". Klanten kunnen in de ING-app hun telefoonnummer invoeren en controleren of zij echt gebeld worden door iemand van de bank. Sinds de introductie zegt ING de helft minder slachtoffers te hebben.
Die "
Check het Gesprek" - "oplossing" werkt hooguit tijdelijk (als ING niet liegt, en/of doordat oplichters
vanwege die maatragel
tijdelijk uitwijken naar andere banken. Totdat ook die dergelijke fratsen invoeren). Het kan even duren, maar criminelen passen zich
altijd aan bij maatregelen die omzeild kunnen worden.
De oplichters zeggen voortaan gewoon dat zij politieagent of van de FIOD zijn. Of namens een andere bank bellen en zien dat veel geld vanaf de rekening van het slachtoffer naar de rekening van één van hun klanten (die zij al langer in het vizier hebben) wordt overgemaakt.
Bovendien, als mensen bewust niet bankieren op hun smartphone, maar op een wat oudere PC (die eerst moet worden opgestart en dan updates gaat afronden, joepie) of tablet die zij niet meteen bij de hand hebben, dan is er tijd zat om het slachtoffer volledig in de greep van de criminelen te krijgen.
Eveneens uit het NOS-artikel:
"Het leek wel alsof ik gehypnotiseerd werd", blikt Iris Kooger terug. "Ik was al eens eerder gebeld door oplichters, maar ik hing altijd meteen op. Ik weet niet waarom ik dit keer toch bleef luisteren."
Ik wel. Mevrouw Kooger is een
mens dat banggemaakt wordt, en middels sluwe psychologie ervan overtuigd raakt dat de beller kan helpen voorkómen dat haar rekening wordt geplunderd.
Het is het zoveelste flutexcuus van banken om Kifid te laten vaststellen dat slachtoffers "grof nalatig" (in juridische zin, d.w.z. afkomstig van een andere planeet) zijn geweest, ze hebben immers niet in hun app gecheckt of de beller echt is.
Dat geldt ook voor bunq: laatst heb ik op een nepsite (die de bunq site impersoneerde) onzingegevens ingevuld, maar wel mijn echte telefoonummer. Later werd ik daarop gebeld vanaf het volgende telefoonnummer (althans, dat nummer kreeg ik te zien):
010-8083666 (+31
108083666)
Merk op, het telefoonnummer van bunq is:
020-8083666 (+31
208083666)
"Nee mevrouw, onze fraudeafdeling zit in Rotterdam. Om verwarring te voorkómen is de rest van het nummer identiek".
Met dit soort huftertrucs bevestigen banken dat
ook zij jou inderdaad kunnen bellen, daarbij gebruikmakend van een systeem dat impersonatie doodsimpel maakt.
Zolang banken van systemen gebruik blijven maken die het voor slachtoffers onmogelijk maken om nep van echt te kunnen onderscheiden, zijn het
beslist niet de opgelichte slachtoffers die
grove nalatigheid verweten kunnen worden.
Grof nalatig zijn hier alle banken die hun klanten dwingen om gebruik te maken van fundamenteel onveilige communicatietechnologie - kanalen die geen wederzijdse authenticatie ondersteunen én die bovendien eenvoudig te AitM-en [1] zijn.[1] Zie de "plaatjes" onder "De Chase case" in
https://security.nl/posting/842742.
En dat terwijl de oplossing zo simpel is.
ALLE communicatie,
zonder uitzonderingen, moet plaatsvinden via de app van de bank of in een filiaal van de bank.
Waarbij die app
uitsluitend in een bankfiliaal geactiveerd kan worden - na de check door de bankmedewerker dat het echt om de app van de bank gaat - of beter, dat die app door die medewerker zelf (opnieuw) wordt geïnstalleerd.
Wel k*t natuurlijk voor de marketeers van banken dat zij hun klanten dan niet meer kunnen cold-callen, maar: elk nadeel hep ze voordeel.
P.S. ondanks (het scheintje verlies door) bankhelpdeskfraude:
https://nos.nl/artikel/2532189-abn-amro-houdt-winst-op-peil.