Leestip voor alle Kifid wantrouwers - rechter oordeelt hier precies zoals Kifid typisch doet.

Kifid klagen is gratis.

Hier heeft het de klant 813 euro (en haar eigen juridische kosten) gekost om te horen dat ze haar eigen schade moet dragen.

Je hebt domme figuren en dan heb je komische domme figuren.
Gaat ze dan ook al haar historische BTW teruggaves even annuleren?

Intelligentie test voor het openen van een bedrijf mag wel eens wettelijk verplicht gaan worden.

Al te goed is buurmans gek. Kent u die uitdrukking?

Waarschijnlijk klust de desbetreffende rechter ook in zijn/haar vrije uurtjes voor Kifid.
Tja, das pech hebben voor voor de klant.

Klant heeft gewoon een juridisch terecht oordeel gekregen.

Al die Sinterklazen hier die graag gratis geld van een ander uitdelen snappen dat niet.

Deze reactie zonder significante substantiëring vind ik beneden alle peil.

Ja, koopje! "De klant moet de proceskosten van Triodos betalen die op 813 euro uitkomen.".
Dat betekent dat Triodos niet eens juridisch advies of bijstand heeft ingewonnen maar het gewoon zelf heeft bekeken en geconcludeerd heeft dat de klant helemaal fout zat.

Stel je voor dat Triodos "voor de zekerheid" toch maar een advocaat in de arm genomen had, dan was ze nu failliet geweest.

Zo werkt het niet helemaal.

Het is niet zo dat de (aanstaande) winnaar-die-het-erg-zeker-weet een rete dure advocaat kan nemen, die 1800 uur laten schrijven op een flutzaak en die volledige factuur nog even bij de verliezer in de mik schuiven.

In het vonnis staat


Dat gaat zo te zien op een norm staffel , en niet op 'werkelijke' kosten . En Triodos werd door ook een advocaat of jurist vertegenwoordigd.


Het lijkt erop dat iemand van het fraude/security team , gezien de functie omschrijving 'onderzoeker bij Triodos' de vertegenwoordiging deed, samen met een advocaat (of jurist).

Als je even de moeite neemt in het vonnis te kijken waar het artikel naar linkt kan je binnen enkele seconden vinden dat Triodos vertegenwoordigd werd door iemand met de titel mr., dat is een meester in de rechten, de academische titel voor een jurist. Kennelijk klopt je conclusie niet.

En zelfs al had Triodos het helemaal zelf bekeken, dan nog doet niet Triodos de uitspraak maar de rechter, ook al een jurist en ook al een meester in de rechten. Als je even door het vonnis neust kan je een indruk krijgen van waar die rechter allemaal rekening mee gehouden heeft om tot een oordeel te komen.

En wat die kosten betreft, gemiddeld rekent een advocaat ruwweg zo'n 200-250 euro per uur. Als hier gemiddelde tarieven gehanteerd zijn heeft deze advocaat tussen de 3 en 4 uur hieraan gewerkt. Dat kan ik geloven. Ik kan me ook voorstellen dat het een duurdere advocaat is die de kennis over dit soort zaken goed paraat heeft, snel zag dat dit een dertien-in-een-dozijn-zaak was zonder bijzondere omstandigheden, en daarom maar heel weinig voorbereidingstijd nodig had.

Hmmmm, stel je voor dat dat er als het ware een extra balie in een hoek zit van een bankfiliaal. De klant weet niet dat balie niet van de bank zelf is. De bank doet niets aan die balie omdat zij toch niet verantwoordelijk daarvoor zijn.

Het lijkt erop fat met het tonen van een aangepaste web pagina hetzelfde is gebeurd.

@ Vandaag, 07:13 door Anoniem

Zoals "Vandaag, 01:35 door Anoniem" schrijft bestaan er normen voor het bepalen van de kosten. Wat de advocaat vraagt aan de gedaagde maakt niet zoveel uit. Als de kosten boven de norm uitkomen betaalt de gedaagde dat.

-----
Zo te zien gebruikt Triodos een simpel apparaatje dat alleen nietszeggende numerieke feedback geeft. Het mist de mogelijkheid om te vragen om akkoord voor een geinformeerde overmaking. Dat is de reden waarom het apparaatje los staat van de computer. Dat had het stelen van het bedrag kunnen voorkomen.

Als dit in beroep zou gaan, zou ik daar op inzetten. Deze kantonrechter gaat nogal kort door de bocht.

https://www.triodos.nl/service/particulieren/bankieren/veilig-bankieren

De tekst quote ik even in zijn geheel, om te voorkomen dat de bank het aanpast:

Deze manier van betalingen goedkeuren maakt het vrijwel onmogelijk voor een al gestresste klant om te controleren wat er gebeurt. De tweede factor wordt buitenspel gezet als er alleen maar gevraagd wordt een getal in te toetsen zonder woordelijke toelichting op een gegarandeerd onaangetast apparaat.

Om een helpende hand te bieden om AnyDesk op je netwerk te blokkeren:
https://www.mediarealm.com.au/articles/block-anydesk-network-guide/

In mijn geval werd een Firewall rule ingesteld, waarbij in de Terminal de volgende instructie werd ingevoerd :

Zij kan gekozen hebben voor een KOR en zo mag er drie jaar geen BTW in rekening gebracht worden en hoeft er ook geen BTW afgedragen te worden.

Bij een modelcontract energie worden consumenten en kleine bedrijven bijvoorbeeld als gelijk gezien.

Fysieke bankfilialen terug, voor de mensen die het op internet niet (altijd) snappen.

Dan pas zeuren over domme bankklanten. Nu hebben ze geen keus, ze worden gedwongen dingen via internet te doen.

Dat apparaatje is een industrie standaard keytoken. van het type Vasco digipass 310 Het heeft een serienummer op de achterkant voor stap 1 dan je pin voor stap 2 welke langer kan zijn dan reguliere pin en daarna de controle waarde via de bank dan krijg je de autorisatie nummer dat 30 seconden geldig is pas na invoer hiervan is een opdracht geaccepteerd.

Het enige dat het stelen had kunnen voorkomen was niet een oerdomme eind gebruiker.

Alsof dat wat uitmaakt.
Ik ben eens door Microsoft benaderd vanwege een virus op mijn computer.
De Indische boefjes begonnen eerst met Teamviewer. Die kon ik niet installeren. Daarna met Logmein. Die kon ik ook niet installeren, daarna met Anydesk en vele andere pakketten. Ik wist niet dat er zoveel gratis RAS was.

@Cash is Koning,
Ik denk niet dat iedereen Linux draait.

Het is geen "nietszeggende" feedback (er zijn wel andere problemen).

Onder de voorwaarde dat jouw browser een https-verbinding met de echte triodos.nl website heeft, helpt dat apparaatje, dat Triodos een identifier noemt, tegen malware op jouw PC die jou, tijdens een overboeking, op jouw scherm andere informatie toont dan er, zonder die malware, getoond zou worden.

Zo'n identifier lijkt op een heel klein rekenmachientje:

Hoe het eruit ziet, kun je hier zien: https://bankieren.triodos.nl/ib-seam/login.seam?loginType=digipass. Zelf heb ik eerst het bovenste apparaatje gehad, sinds de batterij daarvan leeg was, het onderste.

De doelen ervan zijn:
1) Voorkómen dat klanten zwakke wachtwoorden kunnen gebruiken;

2) Het is een "something you have" factor doordat je het in bezit moet hebben en je er niet eenvoudig een kopie van kunt maken (als test heb ik geprobeerd de batterij in het oude apparaatje te vervangen, maar daardoor was het onbruikbaar geworden);

3) Het is een "something you know" factor door een noodzakelijk in te voeren pincode.

Om in te kunnen loggen bij Triodos moet je, na het aanzetten van de identifier:
1) Op de website het (unieke, niet strikt geheime) serienummer van de identifier invoeren. Dat is jouw "user-ID";
2) Op de identifier voor "inloggen" kiezen;
3) Jouw pincode invoeren.

De identifier genereert dan een 8-cijferige (datum- en tijd afhankelijke) code die je "als OTP" (One Time Password) invoert op de website. Daamee kun je alle gegevens inzien, en heb je die identifier niet meer nodig.

Als je bijv. 234,56 Euro overmaakt naar een rekeningnummer, genereert de website een controlegetal en toont het over te maken bedrag, naar beneden afgerond (dus 234 Euro). Je moet dan:
1) De identifier weer aanzetten (het gaat redelijk snel vanzelf uit);
2) Op de identifier voor "goedkeuren" kiezen;
3) Jouw pincode invoeren;
4) Het controlegetal invoeren;
5) Het bedrag invoeren.

De identifier genereert dan een 10-cijferige (TOTP) code die je op de website moet invoeren. Ik begrijp niet waarom je niet het getoonde (evt. door malware - anders dan het, door die malware, aan de bank opgegeven rekeningnummer) moet invoeren, maar in elk geval het bedrag kan door de malware niet (onzichtbaar) gewijzigd zijn.

Deze 2FA identifier helpt geen moer bij een nepwebsite die als AitM (Attacker in the Middle) fungeert. Daar was in dit geval geen sprake van, maar dat soort aanvallen zijn ook vaak succesvol (wellicht bij een andere doelgroep).

Ik vind de uitspraak een rechterlijke dwaling. Bij de onderhavige aanval is er geen sprake van malware die gegevens verandert. Hoewel je AnyDesk in dit kader wel als malware kunt zien, helpt de identifier geenszins tegen de aanval die de crimineel op het slachtoffer uitvoerde en haar AnyDesk liet installeren.

Sterker, bij telefonie heb je 0FA. En bij een gespoofd telefoonnummer, discutabel, -1FA (minus). De aanvaller heeft immers bewijs geleverd dat zij of hij met het telefoonnummer van de bank belde.

De identifier is totaal niet betrokken bij de via de telefoon uitgevoerde aanval. Om dan te stellen dat 2FA het slachtoffer had moeten laten inzien dat er sprake was van oplichting, is volslagen uit de lucht gegrepen.

Het oordeel vermeldt niet dat Triodos je nooit belt. Ik heb zelf al jaren een Triodos bankrekening, en ben nooit gebeld, maar op de website kan ik nergens terugvinden dat Triodos nooit naar haar klanten belt. Wel schrijven ze dat ze je nooit zullen vragen om iets als AnyDesk te installeren, maar als je een normaal mens (geen computerexpert) bent en geen idee hebt wat "AnyDesk" (en een hele rits alternatieven) is, of de beller je voorliegt dat het om een virusscanner gaat, dan ligt het GIEREND voor de hand dat er mensen zullen zijn die hier intrappen - zonder dat hun identifier dat, op welke manier dan ook, kan voorkómen.

Kennelijk vindt Triodos de, door rechter een oplossing gevonden, identifier toch niet zo'n goed idee, want Triodos gaat ermee stoppen. In plaats daarvan moet je hun app gaan gebruiken. Mits je geen neppe Triodos-app installeert maar de echte, helpt dat wel tegen aanvallen met nepsites, maar niet tegen de onderhavige aanval. Immers, je kunt ook RAT's (Remote Access Tools) zoals AnyDesk uit de Apple App Store en de Google Play Store installeren.

De klant zal best gestresst zijn, maar dat is m.i. niet het probleem.

Het probleem is dat de criminelen het slachtoffer ervan hebben overtuigd dat zij haar helpen. Zélfs als de aanvallers haar getallen laten invullen op het apparaatje zonder erbij te vertellen dat één van die getallen een bedrag is, maakt dat niet uit: in elk geval de groene identifier toont bovenaan het display "Totaalbedrag" als het bedrag moet worden ingevuld. Maar ook dat helpt niet: de criminelen, zich voordoend als mederweker(s) van Triodos, hebben het slachtoffer ervan overtuigd dat het in haar eigen belang is dat zij dat geld overmaakt.

• Die identifier helpt op geen enkele manier om aan te tonen dat een beller géén medewerker van Triodos is (iets dat best mogelijk is, maar niet zomaar helpt tegen AitM-aanvallen - zoals "De Chase case" in https://security.nl/posting/842742);

• Die identifier knijpt niet in de arm van het slachtoffer of zo, om haar of hem uit de "staat van hypnose" te halen - waar de (neppe en sluwe) bankmedewerker het slachtoffer in gedwongen heeft (misbruik makend van bekende menselijke kwetsbaarheden).

Het hele systeem van internetbankieren, waaronder het daarvoor nodig hebben van universele (voor vele doeleinden bruikbare, en vaak slecht begrepen) PC's en smartphones, maakt gebruikers kwetsbaar. It's part of the deal; banken besparen bakken met geld doordat zij bijna alle filialen hebben gesloten en de betrokken medewerkers op straat hebben gezet. Daarom is er een wet, door deze rechter met voeten getreden, die eist dat de bank moet bewijzen dat de klant de boel heeft belazerd om haar schade niet te hoeven compenseren.

Ik ben een meer gedetailleerde tekst aan het schrijven waarin ik duidelijker beargumenteer waarom hierbij sprake is van een rechterlijke dwaling - en tevens waarom de wet, waar de rechter naar verwijst, niet deugt. Ik hoop dat stuk binnenkort in het forum te posten.

Ook ik bankier al een aantal jaar bij Triodos en nooit een identifier gehad.
Wel berichten met waarschuwingen over oplichting en zo.
Onnodig tot nu toe want ik ben nog nooit door oplichters benaderd, in de afgelopen 50 jaar.
Maar ik ben gewaarschuwd, voor als ik, onvermijdelijk, ook gebeld, gemaild of gesmst word.

waarom worden die sites niet aangepakt die ervoor zorgen dat slechter rikken aan het geld komen. en pak ook gelijk de maker van die sites aan. dat scheelt gelijk een hoop ellende voor de burger en de banken

Er is niets in je antwoord dat iets afdoet aan wat ik zei. Uiteraard zijn er andere, betere methoden dan zo'n simpel analfabeet apparaatje.

@Erik van Straten op 10-08-2024 om 21.47 uur.

Bedankt voor je uitgebreide toelichting. Mee eens.

Voordat ik verder ga, wil ik je even attenderen op mijn reactie vanochtend op jouw laatste bijdrage in het andere topic dat over telefoonspoofing bij bankklanten gaat: https://www.security.nl/posting/853150/NOS%3A+spoofing+met+telefoonnummers+van+banken+nog+steeds+mogelijk

-- Digitale, gecodificeerde systemen kunnen de veiligheid die direct menselijk contact biedt, nooit vervangen --

Wat betreft je toelichting in het huidige topic, wil ik in aanvulling daarop graag wijzen op de relevantie van Gödels incompleetheidstheorema als het gaat om de beveiliging van digitale, gecodificeerde communicatie tussen banken en hun klanten. Ik zeg "gecodificeerd", omdat tegenwoordig ook bijna alle telefonische communicatie via digitale kanalen plaatsvindt, de koperdraden die analoge telefonische communicatie mogelijk maken, worden door KPN (en wellicht andere providers) stapsgewijs afgeschaft - ten koste van onze veiligheid in het geval van digitale chaos. Toch gaat het me nu even niet om telefonie via digitale kanalen, maar alleen om communicatie tussen banken en klanten die gebaseerd is op digitale beslisbomen, met de bijbehorende menu-structuren.

De vraag die ik dan stel, is de volgende: kan zo'n digitaal, gecodificeerd beslisboom-systeem ooit volledige beveiliging bieden, ter vervanging van direct contact tussen twee mensen die in fysieke nabijheid met elkaar communiceren en elkaar in die fysieke omgeving kunnen gaan inschatten en vertrouwen? Het gaat dan dus om de vervanging van een zeer complexe kunst (het inschatten van elkaars betrouwbaarheid) die miljarden mensen gedurende honderdduizenden jaren van evolutie met elkaar geleerd en ontwikkeld hebben, maar die enkele tienduizenden tech-boys nu op basis van minder dan honderd jaar experimenteren menen te kunnen vervangen, door middel van de digitale, gecodificeerde systemen die ze zelf bouwen op basis van hun eigen analyses, die ze vervolgens in digitale codes vastleggen.

Die vraag moet negatief worden beantwoord worden. Nog los van de prilheid van het digitale experiment vergeleken met de menselijke evolutie, kan die vervanging niet, om ten minste twee redenen:
(1) Digitale codificering kan als middel om situaties en communicatie te beschrijven, te definiëren en vorm te geven, in de verste verte niet tippen aan de fijnmazigheid van organische "codificering" / vormgeving zoals die plaatsvindt in menselijke lichamen, zenuwstelsels en hersenen.
(2) Digitale codificeringssystemen zijn per definitie intern incompleet, waardoor ook de beveiliging die ze moeten bieden, intern incompleet is, en dus sowieso incompleet. Deze tweede reden wil ik hier nader toelichten, met verwijzing naar de Incompleetheidstheorema's van Kurt Gödel.

-- Incompleetheid van beveiligingssystemen --

Uit Wikipedia (vet-cursief-markeringen van mij):


Wat organisaties, bijvoorbeeld banken, met digitale, gecodificeerde beveiligingssystemen proberen te doen, is een complexe werkelijkheid, waarvan veiligheidsrisico's deel uitmaken, te vangen in een "formeel systeem dat voldoende complex is om de basale wiskunde van de natuurlijke getallen uit te drukken, en dat consistent is en uitgaat van effectieve axioma's." Dit is het soort systemen waarop Gödels incompleetheidstheorema's van toepassing zijn.

Zo'n digitaal, gecodificeerd beveiligingssysteem is een "deductief apparaat" dat bijvoorbeeld tot taak heeft om te deduceren (af te leiden) of een bepaalde, beoogde banktransactie ofwel bona fide geïmplementeerd zou worden, ofwel op basis van enige vorm van fraude en/of een wilsgebrek bij de autorisator (de bankklant).

Wat we van Gödel kunnen leren, is dat geen enkel digitaal, gecodificeerd beveiligingssysteem een complete, sluitende deductie kan produceren die uitwijst of er wel of niet sprake is van een bona fide banktransactie.

Dat is één van de grondredenen waarom een digitaal, gecodificeerd, via internet verlopend communicatiesysteem nooit volledig de functionaliteit zal kunnen vervangen van rechtstreeks, menselijk contact in een gedeelde fysieke omgeving - bijvoorbeeld in een bankfiliaal.

-- Ontkenningsgedrag --
Al die tech-boys die (op deels suggestieve, impliciete wijze) de indruk proberen te wekken dat zo'n volledige vervanging wel mogelijk is, en dat er op die manier zonder nadelen "kosten bespaard kunnen worden", negeren en ontkennen wat één van de grootste tech-boys aller tijden, namelijk Kurt Gödel, ons al bijna honderd jaar geleden heeft duidelijk gemaakt (namelijk in 1931 bij de publicatie van zijn incompleetheidstheorieën).

Dit lijkt op de manier waarop neoliberalisten in de periode 1980-2008 (of nog langer) bepaalde onderdelen van de theorie van Adam Smith over marktwerking en een "onzichtbare hand" negeerden, terwijl deze neoliberalisten zich tegelijk luidkeels beriepen op die theorie:

Het lijkt ook op de manier waarop tijdens en na de coronacrisis (2020-2022) allerlei bewindslieden en "experts" zich beriepen op "de wetenschap", terwijl ze tegelijk wetenschappelijke kritiek op hun dogma's en hun discriminerende beleid negeerden, en de kritische wetenschappers doodzwegen of zelfs uit de academische gemeenschap stootten.

Het lijkt ook op de manier waarop de oorspronkelijke boodschap van sommige religieuze inspirators (bijv. Boeddha, Jezus Christus, Mohammed) door latere, crypto-autoritaire charlatans zijn verdraaid en omgezet in dogma's die dienen om gevestigde machthebbers te beschermen en bevolkingen te onderdrukken.

We moeten ons niet door zulke dogmatische charlatans laten misleiden, ongeacht of die zich nu vermommen als tech-bro's, economen, religieuze leiders of corona-"experts", maar opkomen voor onze humaniteit, onze grondrechten en onze menselijke waardigheid - ook wanneer het gaat om de manier waarop we als burgers en als klanten worden behandeld door banken.

M.J.

Niet volledig, echter:

• Ook in levenden lijve worden mensen belazerd (door doorgeknipte-pinpas-ophalers bijv.);

• Daarbij wil ik graag pragmatisch zijn; er bestaan wel degelijk oplossingen die de risico's voor velen aanzienlijk kunnen verkleinen. Echter, meestal worden dergelijke oplossingen geblokkeerd omwille van marketingredenen (aka zakkenvullerij over de ruggen van anderen, zoals "uw bank belt u niet nooit") en/of omdat die maatregelen "te kostbaar" zouden zijn en/of "het maar om slechts enkele slachtoffers gaat (die ons sowieso de kop niet kosten, vooral niet als ons goedgezinde rechters hen nog dieper het drijfzand in trappen)";

• Mijn grootste bezwaren zijn dat 1) de (juridische) vangnetten, ter compensatie voor de toegenomen risico's voor sommigen - die worden gedwongen om van deze systemen gebruik te maken, door oogkleppen dragende (of mogelijk zelfs ordinair corrupte) rechters worden kapotgeknipt. En 2) dat mensen zoals zijzelf, jij en ik, met volstrekt normale menselijke reacties en gedragingen, door kortzichtige aso's (anoniem natuurlijk) worden geridiculiseerd, uit https://security.nl/posting/853300:

Dat klopt natuurlijk. Bedrog is nog veel ouder dan de weg naar Rome. Het gaat mij in dit geval om het soort bedrog van techno-solutionisten die beter kunnen weten, maar de schijn wekken dat ze andere vormen van bedrog (dan hun eigen - maar dat zeggen ze er niet bij) met technische middelen zo goed als onmogelijk zouden kunnen maken.


Mee eens. Dit betekent echter ook dat de vermeende financiële voordelen van digitalisering vaak veel kleiner zijn dan wordt beweerd, omdat digitalisering vaak plaatsvindt als verkapte vorm van bezuiniging waarbij de gaten die als gevolg van de digitalisering vallen (bijvoorbeeld vermindering van veiligheid, toename risico op fraude), niet worden opgelost, maar simpelweg worden genegeerd of weggewuifd alsof ze niet bestaan.

Ik wil ook graag pragmatisch zijn. Maar dat pragmatisme houdt ook in dat mensen zich bewuster worden dat de techno-utopia's die ons worden voorgespiegeld, een vorm van bedrog zijn, en dat we onze maatschappij beter op een realistische manier kunnen inrichten, met:
• erkenning van de reële (inclusief de fundamentele) beperkingen van de huidige techniek;
• respect voor de reële behoeften, de reële kwetsbaarheid en de waardigheid van mensen.


Helemaal mee eens! Ik heb zelf een flink aantal keren met zulke "rechters" te maken gehad.


Ook helemaal mee eens. Er waait momenteel een autoritaire, vaak zelfs bijna fascistoïde wind door onze maatschappij, een houding van naar boven gehoorzamen (likken) en naar beneden of naar andersdenkenden toe ridiculiseren en haatzaaien (trappen). Momenteel (her)lees ik wat boeken die op dit gedrag licht werpen. Eén daarvan is het briljante Fear of Freedom door Erich Fromm, voor het eerst gepubliceerd in 1942(!!). Dezelfde problematiek was ook toen zeer aanwezig in Europa èn (op een iets andere manier) Noord-Amerika.

Anno 2024 uit de "angst voor vrijheid" zich opnieuw in een "regels is regels"-mentaliteit van systeemvolgers die aan hun eigen, intolerante conformisme een gevoel van veiligheid proberen te ontlenen. Dit keer knipmessen ze niet gehoorzaam voor een fascistische "grote leider", maar voor tech-miljardairs en het door gezichtsloze bureaucraten uitgevaardigde "beleid" waarmee surveillance over de hele bevolking wordt uitgerold en mensenrechten worden ondermijnd en terzijde geschoven.

M.J.

@M.J.: dank, eens.

Het probleem is niet digitalisering an sich, daar zijn wat fasen en gradaties in aan te brengen. Ik heb zelf voor een bank gewerkt die in 1966 de eerste mainframecomputer van Amsterdam (IBM system/360) is gaan gebruiken, na in 1961 al een wat minder ambitieuze computer te zijn gaan gebruiken. Lang voordat ik enig benul had van wat een computer eigenlijk is dus. Digitalisering gebeurde al decennia voordat het de problematische kanten van nu ontwikkelde.

Toen ik computerprogrammeur werd heette het vakgebied nog niet IT of ICT maar automatisering. Ik denk dat het eind jaren '90 was dat IT/ICT het balletje overnam als benaming van het vakgebied, en destijds haalde ik bij dat soort dingen een beetje mijn schouders op omdat er een onstuitbare aandrang leek te bestaan om voor bestaande dingen nieuwe termen te kiezen die moderner overkwamen. Maar achteraf gezien viel het samen met een echte verandering en wie weet was het ook bedoeld om dat aan te geven.

Het verschil? Automatisering is het geautomatiseerd gaan doen wat men sowieso wel had gedaan. Het stelde organisaties in staat om hetzelfde werk met minder mensen én met minder fouten te doen. Ik herinner me nog hoe ik me in de jaren '80 wat ongemakkelijk voelde om in een periode van hoge werkloosheid, na zelf jaren werkloos te zijn geweest als schoolverlater, werk te gaan doen dat banen kostte, maar het leek uiteindelijk vooral de economie aan te jagen en banen op te leveren. Economie zal ik wel nooit echt goed snappen ;-).

IT is informatietechnologie. Die term werd niet gebruikt voor alleen het inzetten van de technologie voor wat er sowieso wel gedaan zou worden, maar voor wat er nog meer mogelijk was doordat de technologie beschikbaar was. En men is als een gek dingen gaan lanceren die niet nodig zijn om mensen te voeden, niet nodig zijn om contact met elkaar te maken, niet nodig zijn om mensen goed op de hoogte houden van wat er in de wereld gebeurt, niet nodig zijn om democratieën te laten functioneren, dus eigenlijk gewoon fancy, cool, luxueus zijn maar niet nodig. Daar hoort het internet bij, daar horen sociale media bij, daar hoort opmerkelijk veel bij dat nu een centrale rol in veel levens speelt.

Zoals ik het beschrijf lijkt die nieuwe technologie volstrekt overbodig, maar die heeft natuurlijk een stevige impact op de samenleving gehad en het heeft zichzelf behoorlijk onmisbaar gemaakt. Er zijn de nodige dingen die je alleen nog online kan bestellen die vroeger in een winkel in de buurt te krijgen waren, bijvoorbeeld. En mensen zijn simpelweg verslaafd aan sociale media en zouden vermoedelijk in opstand komen als het allemaal werd afgeschaft.

En mensen liepen ermee weg. Vergis je niet, de meeste bedrijven, inclusief banken, waren in het begin niet leidend maar volgend in die ontwikkelingen. De techbedrijven veroverden de huiskamers en werknemers pikten het niet dat het op het werk niet zo gelikt was als ze thuis hadden, en klanten ook niet. Ik beweer niet dat dat nog steeds zo is, maar wis die kant van de zaak ook niet uit, en wis niet uit wat mensen eigenlijk van bedrijven verwachten, voor alles waar jij op goede gronden vraagtekens bij zet zijn er volksstammen die mondig uitdragen dat dat juist precies is wat ze willen. Hoe het ook allemaal op elkaar inwerkt, het is bepaald niet simpel.

Een belangrijke kant aan die inderdaad reële kwetsbaarheid van mensen is dat ze hun eigen kwetsbaarheid typisch stelselmatig onderschatten. En dat maakt het knap lastig om mee om te gaan.

IT'ers zijn geen psychologen. En economen zijn geen psychologen. Managers zijn geen psychologen. En psychologen weten ook lang niet alles. Mensen reageren maar al te vaak helemaal niet goed als je ze op hun zwakheden aanspreekt, als je dat niet doet om er kritiek op te leveren maar om ze ervan bewust te maken zodat ze geen ongelukken begaan.

Om een idee te geven van hoever die zwakheden kunnen gaan het volgende. Ik heb meegemaakt dat iemand de url van een website als zoekterm invulde in de als startpagina ingestelde Google-zoekpagina, en er dan van overtuigd was dat de zoekresultaten de gezochte website zelf waren, en blind elke link in de zoekresultaten volgde in de veronderstelling dat wat er ook tevoorschijn kwam er ook bij hoorde. Oeps, grote oeps. Toen ik alleen maar naar de URL-balk van de webbrowser op het scherm wees om aan te geven dat hetzelfde webadres dat hij had ingetypt beter daar ingetypt kon worden ging de blik onmiddellijk heel glazig op oneindig en kwam er helemaal niets meer binnen. Ik had en heb geen flauw idee hoe ik hem ooit wijzer moet maken, de deur gaat dicht zodra ik maar een begin van een poging doe, want dat is al te ingewikkeld.

En onderschat niet hoeveel mensen op dat niveau functioneren. Voor nog net niet zwakbegaafde mensen is het serieus moeilijk om te volgen hoe restaurantprijzen vaak niet meer met 2 cijfers achter de komma worden weergeven. Wat betekent de prijs "19,5"? Als er "19,50" staat snappen ze dat het negentien euro en vijftig cent is, bij "19,5" raken ze de draad kwijt, is dat 5 cent achter de komma? En waarom ziet het er anders uit dan de ",05" die in de supermarkt gebruikt wordt? En waarom is er soms helemaal geen komma met iets erachter? De OV-chipkaart is ook serieus moeilijk, het circus van in- en weer uitchecken is razend ingewikkeld voor deze mensen, en de verschillende manieren bij trein (op het station) en bus (in het voertuig) ook. En deze mensen moeten in onze stoere iedereen-zorgt-voor-zichzelf-maatschappij (dankjewel VVD) zichzelf zien te redden?

Van die groep die het intellectueel maar kantje boord redt, of niet redt in onze complexe samenleving, heb ik de indruk gekregen dat velen zich staande houden door dan maar te bluffen. Die doen heel stoer alsof ze het allemaal prima weten, maar staan door die houding vaak niet open voor signalen dat ze iets niet helemaal goed begrepen hebben, en dus gaan helaas de hakken in de grond of de blik op oneindig als je daar iets aan probeert te verbeteren.

Stel dat je al die gesloten bankkantoren weer opent, gaan die mensen daar dan voortaan heen? Ik ben bang dat ze in meerderheid hun zaken via het internet blijven doen en daar als ze pech hebben grondig de mist mee blijven gaan, omdat ze in de verste verte van zichzelf niet doorhebben hoe slecht ze daarin zijn, en omdat de schijn ophouden dat ze het wel allemaal kunnen hun overlevingsstrategie is.

En dan speelt er ook iets dat ook normaal- tot hoogintelligente mensen raakt: in een crisis ben je in de verste verte niet zo intelligent als je van jezelf gewend bent, dan reageer je op de automatische piloot, en die automatische piloot is wel snel maar bepaald niet doordacht of nauwkeurig. Dan heb je het over reacties die je leven redden als er opeens een auto op je afstormt, of bij verre voorouders een roofdier, en waarbij je helemaal geen tijd hebt om eens verstandig na te denken over de consequenties maar moet maken dat je opzij springt. Of oplichters dit nou met zoveel woorden weten of niet, ze zijn verdomd vaardig in het oproepen van dat soort reacties. Dan denken mensen niet meer na over wat voor voorlichting ze eerder van de bank hebben gezien, dan reageren ze gewoon, en ze weten achteraf niet uit te leggen waarom ze dat deden. Net zoals het levensreddend kan zijn om in een brandend kantoorgebouw precies te doen wat die brandweerman je zegt dat je moet doen zullen veel mensen gewoon instructies opvolgen van iemand die op dat moment als autoriteit overkomt. Dat is bij fraude helaas de oplichter.

Ik weet niet hoe we dit kunnen oplossen. Bankkantoren terug in de straten? Er zal een flinke groep zijn die er verstandig aan zou doen die te gebruiken maar het niet zal doen omdat ze hun eigen kwetsbaarheid niet overzien. Online bankieren dan maar helemaal afschaffen? Zo snel heb je al die weggevallen winkels niet terug in de winkelstraten. En voor veel mensen werkt het wel degelijk goed, dus dat zie ik domweg niet gebeuren.

De reële behoeften, de reële kwetsbaarheid van mensen, die zijn er natuurlijk wel degelijk. Maar ik ben bang dat juist de kwetsbare groep zich in zijn waardigheid aangetast zal voelen als je die wijst op wat voor hun goed zou werken, want we leven in een samenleving waarin kwetsbaarheid niet oké is maar waarin je voor jezelf moet kunnen zorgen. En juist die macho-houding maakt ons als samenleving kwetsbaar.

Alles valt te saboteren en te ondermijnen. Op elk gebied. En dat zal altijd zo blijven. Het verhaal van de kat en de muis. Zolang er criminelen zijn zullen we het moeten accepteren. Voor eeuwig dus.

Ik zeg weg bij Triodos

Deels mee eens, deels niet mee eens. Hierbij verwijs ik mede (ervan uitgaande dat ik jou herken als degene met wie ik eerder discussies heb gevoerd) naar onze discussie over techniek onder het topic: https://www.security.nl/posting/850150/Waarom+mogen+gemeenten+de+term+%27fraude%27+niet+meer+in+ict-systemen+gebruiken%3F. Ik zie nu trouwens dat je daar op 31-07-2024 om 06:03 uur nog een bijdrage hebt geplaatst die ik nog niet gelezen had.

Het lijkt of je nu, via de uitdrukking "digitalisering an sich" toch weer terugkeert naar dezelfde benadering die je in die andere discussie koos met de uitdrukking "het wezen van techniek". Na een reactie van mij daarop, waarin ik aangaf dat een dergelijke abstractie misbruikt kan worden door techno-religieuze, kapitalistische machthebbers (zoals bijv. Elon Musk), en dat ik mij mede daarom liever richt op "de betekenis van techniek in de praktijk", ging jij daar toen in mee en liet je het concept "het wezen van techniek" varen als basis voor jouw ideeën en argumentaties. Het lijkt me beter om die discussie hier nu niet opnieuw te gaan voeren. Ik wil niet in herhaling vallen.


Ik reageer hier straks op (zie hieronder).


Ik ben het met je eens dat er aan velen van ons in de afgelopen, neoliberalistisch getinte jaren is aangeleerd om een macho-houding aan te nemen, die gek genoeg gepaard gaat met feitelijke gehoorzaamheid aan neoliberale dictaten. Het gevolg is dat mensen op een macho-achtige manier hun gehoorzaamheid aan die dictaten gaan verdedigen. Zo van: "Mij krijg je niet klein. Ik word geen slachtoffer van bankhelpdeskfraude, want daar ben ik veel te slim voor en bovendien heb ik daarvoor wat handige technische oplossinkjes. Iedereen die dat niet kan of heeft, is dom en zwak, kortom een loser."

Maar daarnaast zijn er ook veel mensen die simpelweg vinden dat je "mee moet gaan met het systeem" omdat dat "ook gemak en voordeel biedt" en nu eenmaal "van deze tijd is". Het gaat dan om conformisme zonder machismo, wat echter nog steeds enorm intolerant kan zijn, maar dan met een beroep op een fictieve "gemeenschap" van gelijkgezinden waaraan iedereen loyaal zou moeten zijn. Dit zag je bijvoorbeeld in de corona-tijd waarin jonge, gezonde, niet tegen Covid-19 gevaccineerde mensen onder zware morele druk werden gezet om zich te laten vaccineren met niet voldoende onderzochte, nieuwe vaccins waarvan de effectiviteit sterk overdreven werd en de risico's verdoezeld, onder het motto: "Je doet het voor een ander".

Ik denk dat je mensen om te beginnen weer een alternatief moet bieden voor de techno-fuik waar we op dit moment in gejaagd worden. Parallel daaraan is het nodig om te werken aan bewustwording, inclusief bewustwording dat het geen schande is om je eigen kwetsbaarheid te erkennen en zorgzaam met jezelf om te gaan - ook als het gaat om je eigen interactie met allerlei technische systemen.

Verslaving (bijv. de smartphoneverslaving die ons in de afgelopen vijftien jaar is aangekweekt door gewetenloze tech-lobbies) blijft natuurlijk een groot probleem. Dit is een zaak van lange adem.

M.J.

Moet je doen maar ik blijf bij Triodos.
Ik ben wel benieuwd naar welke bank je gaat overstappen of bankier je er zelf niet?

In onderstaande staande link kun je lezen wat een bank verdient aan pinnen, maar het is nooit genoeg tot
wij ons gezond verstand gaan gebruiken en gewoon weer cash gaan betalen tot zij weer dienst verlenend
worden.

https://www.rtl.nl/nieuws/economie/artikel/5464712/markt-marktkraam-pinkosten-geld-bankieren-liever-contant

Voor de volledigheid: nee, dat was ik niet.

Eens, ook verder een m.i. goed onderbouwde reactie.

M.i. is het probleem vooral communicatie op afstand in combinatie met dat criminelen ontdekt hebben hoe eenvoudig zij daar misbruik van kunnen maken - terwijl zij, letterlijk en figuurlijk, buiten beeld blijven.

Daar heb je geen computers voor nodig, dit kan ook met een stokoude analoge telefoons of met radio zend/ontvangers ("bakkies"). Aanvulling 14:07: en, niet te vergeten, brieven en (onbetrouwbare) koeriers, boodschappers en tolken.

Een bijzondere eigenschap (waar we mogelijk veel te weinig bij stilstaan) van mensen is hoe gevarieerd gezichten en stemgeluiden zijn, en hoe goed wij zijn in het herkennen van gezichten en stemmen (die wij eerder hebben gezien en/of gehoord). Meestal beter dan in het onthouden van namen (laat staan telefoonnummers of BSN's).

Aan die eigenschap en dat vermogen heb je echter potentieel niets indien voor de communicatie tussen twee personen gebruik gemaakt wordt van minstens twee apparaten (die onderling via electrische signalen, radiogolven of lichtsignalen met elkaar gegevens uitwisselen), want dan is het lastig, zo niet onmogelijk, om op betrouwbare wijze vast te stellen wie er "aan de andere kant van de lijn" zit, vaak nog lastiger of er geen sprake is van een actieve AitM, en nóg lastiger of er niet (passief) wordt afgeluisterd.

Edits 14:19 o.a. stemgeluiden toegevoegd en datum van de post van Anoniem gecorrigeerd.

Ja. Maar het is wel belangrijk om hierbij te vermelden dat communicatie via internet inherent "communicatie op afstand" is. Het is daarom belangrijk om "digitalisering" niet meteen op te vatten als "via internet" ("via de cloud"), wat veel mensen echter wel doen. Het over één kam scheren van "digitalisering" en internettificering wordt ook veel misbruikt in allerhande lobby- en reclame-campagnes.

Vroeger heb ik wel eens banktransacties volledig via een analoge telefoon afgehandeld. Dat ging goed omdat de communicatie toen nog niet zo geformaliseerd en gecodificeerd was als nu. Dit gaf de bankmedewerker de gelegenheid om op een informele manier veel adequater te checken of ik wel echt was wie ik zei dat ik was, vergeleken met de geformaliseerde "controle-vragen" heden ten dage.

Bovendien zijn veel van die "controle-vragen" tegenwoordig helemaal niet meer adequaat. Wanneer mijn geboortedatum gevraagd wordt, zeg ik tegenwoordig altijd dat ik die al duizenden keren heb moeten verstrekken aan talloze verschillende instanties, dus dat het niets bewijst als ik die nu ook weer verstrek. Immers, via duizenden kanalen kan dit gegeven ook bij criminelen terecht zijn gekomen. Het antwoord van de helpdeskmedewerkers is dan steevast: "Ja, maar ik moet dit aan u vragen, anders kan/mag ik u niet verder helpen." En zo gaat het rondsproeien van mijn geboortedatum steeds verder.


Ja. Bovendien worden er in een direct gesprek tussen fysiek aanwezige mensen allerlei non-verbale signalen uitgewisseld met betrekking tot de inhoud van het gespreksonderwerp èn met betrekking tot de houding van beide personen ten aanzien van de zaak die onderwerp van gesprek is.

Zelfs in geval van een video-verbinding valt een belangrijk deel van deze signalen weg. Daarmee vallen signalen weg die communicerende partners kunnen gebruiken om elkaars betrouwbaarheid in te schatten.

Deze middelen om elkaars betrouwbaarheid in te schatten zijn wel voorhanden bij een live ontmoeting in een fysiek bankfiliaal.

M.J.

Bevestigd door:
@Anoniem van 31-07-2024 om 6:03 in genoemde draad van Arnoud Engelfriet.

Niet "kan [...] zijn gekomen" maar "het zou bijzonder zijn [...] als deze nog niet zijn gekomen": https://www.bleepingcomputer.com/news/security/hackers-leak-27-billion-data-records-with-social-security-numbers/.

Forget "shared secrets" (sowieso een contradictio...).

Er zijn veel te weinig mensen die dit beseffen en organisaties dwingen om zich aan te passen. Want die organisaties willen dat niet omdat dit hen duurder en dus minder competitief maakt. Immers, de risico's liggen niet bij hen. Waarom zouden zij moeilijk doen?

En straks hebben we EDIW, probleem opgelost (denkt men). Want verreweg de meeste mensen begrijpen al niet (of willen niet begrijpen omdat het handig/goedkoop is voor henzelf) waarom domeinnamen zoals microsoftonline.com en DV-certificaten cybercriminaliteit in de hand werken, laat staan dat ze het risico van AitM's kunnen overzien.

In een maatschappij waar steeds meer risico's bij individuen worden gelegd (ook als iedereen weet dat er groepen zijn die dat niet aankunnen: gokken, pensioenen, zorg kiezen, PGO's uitzoeken etc etc) geldt het recht van de slimste.

In veel gevallen is dat nauwelijks of niet belangrijk. Anders wordt het als je op afstand iets belangrijks regelt (of stemt) terwijl er naast jou iemand een pistool op jou gericht houdt (precies daarom vormen verkiezingen in stembureau's de meesr betrouwbare aanpak).

Het grootste probleem daarvan vind ik niet het mogelijk wegvallen van relevante details, want als alle communicatiepartners betrouwbaar zijn en vrijuit kunnen handelen, kun je gewoon vragen "wat bedoelde je precies".

Doodeng vind ik de toegemomen mogelijkheden voor (redelijk eenvoudige) AI waarmee niet alleen stemgeluiden, maar ook bewegende beelden van mensen die dat niet zelf zijn, doen en zeggen kunnen worden gegenereerd.

In tegenstelling tot hoe lang het hoogstwaarschijnlijk nog duurt voordat quantum computers in een oogwenk alle gangbare asymmetrische cryptografie kunnen kraken, zijn er al zat mensen in virtuele personen getrapt. Die technologie is er nu. Onbegrijpelijk dat banken blijven vertrouwen op VideoIdent (en de EC er vol op inzet om dat voor EDIW te gaan doen) - voor risicovolle transacties.

Klopt, maar om een lastste rekeningoverzicht te krijgen is dat niet nodig, omdat de risico's laag zijn dat je daardoor ernstig benadeeld wordt (in elk geval totdat criminelen een truc bedenken die tot andere inzichten leidt).

Die wallet was toch vrijwillig? Of geldt die vrijwilligheid in deze gevallen ineens niet meer (daar kun je natuurlijk op wachten).

@Erik van Straten (15:01 uur):

Helder. Op enkele punten toch nog een reactie:

Wat mij vooral benauwt aan het vooruitzicht op EDIW (European Digital Identity Wallet) is dat dit straks het allerkrachtigste surveillance-instrument wordt. Zogenaamd is het bedoeld om mensen een "extra" mogelijkheid te bieden om zichzelf te identificeren, maar het is nu al duidelijk dat het elke persoon straks zeer moeilijk gemaakt zal worden om zonder gebruik van EDIW nog een normaal, prettig leven te leiden - net zoals je nu al zonder bankrekening in Nederland of Europa geen prettig leven kunt leiden, en zonder smartphone ook steeds minder. "Heeft u geen smartphone? Oh, dan kunt u helaas geen toegangsbewijs kopen, want dat kan alleen via de app. Wij accepteren geen contant geld. U mag dus helaas niet naar binnen."

Zogenaamd (volgens politici en de tech-lobby) zal EDIW privacy bieden omdat je "zelf bepaalt met wie je welke persoonsgegevens deelt", maar jouw koppeling als mens aan het aan jou toegewezen EDIW is natuurlijk het ultieme persoonsgegeven, en dat is wel traceerbaar en surveilleerbaar. Door middel van het uitschakelen van iemands EDIW kan iemand straks met onmiddellijke ingang buitengesloten worden uit de maatschappij. Bijvoorbeeld een kritische journalist of een klokkenluider. Of een wetenschapper die iets zegt dat tegen het vigerende beleid ingaat en dan als "desinformatie" wordt betiteld.

Dat klopt. Maar veel dingen die je "eventjes regelt", kunnen in een steeds complexer ingerichte samenleving belangrijk blijken te zijn - ook in situaties waarin er niemand is die naast me staat en een pistool op me gericht houdt. Steeds meer schijnbaar eenvoudige muisjes krijgen staartjes, omdat er uit allerlei handelingen door algoritmes dingen worden afgeleid (risico-indicaties worden gedestilleerd, conclusies worden getrokken) over de betreffende persoon, die dan relevant worden geacht in andere, toekomstige situaties.

Bij een substantiële banktransactie die ik deed, leek mijn geld bij de ontvangende bank opeens niet te zijn aangekomen. Het was ergens tussen de zendende en ontvangende bank verdwenen. Via internet viel hierover geen duidelijkheid te verkrijgen, en het kon al helemaal niet worden opgelost of geregeld. Chatbot, mailcorrespondentie, niets hielp, en de tijd drong voordat het onherroepelijke consequenties zou krijgen. Uiteindelijk ben ik toen persoonlijk naar een fysiek bankfiliaal gegaan van de ontvangende bank, en ben aan de balie het gesprek aangegaan. De eerste medewerker kon mij niet helpen. Ik stampij maken. Tweede medewerker erbij geroepen. Uiteindelijk begaf de tweede medewerker zich fysiek(!) naar een andere afdeling (gesloten voor klanten) en kwam na ca. twintig minuten terug met de mededeling dat het geld "gevonden" was, alleen had de bank het wegens antiwitwasregels "nog niet geaccepteerd".

Er werd aan mij gevraagd om ter plekke te bewijzen dat het geld uit een betrouwbare bron afkomstig was. Ik zei dat ik mijn eigen spaarrekening een betrouwbare bron vond, maar dat lag voor die bank anders. Ik vroeg hoe ik dan kon "bewijzen" dat het geld uit een betrouwbare bron kwam. Dat kon de bank niet aangeven, dat moest ik zelf zien te bedenken. De bank wilde het geld vooralsnog in limbo laten, totdat ik iets had bedacht.

Ik nog meer stampij maken en dreigen dat ik tot in hoogste instantie bij de rechter zou procederen plus de pers erbij zou halen als deze houding van de bank tot onherroepelijke consequenties zou leiden. Ten slotte werd er een manager bij gehaald. Die keek mij aan en had (dat zag ik aan haar gezicht) binnen anderhalve minuut geconstateerd dat ik een bona fide klant was. Zij wilde de zaak graag netjes oplossen, maar de vraag was hoe dat kon met inachtneming van de antiwitwasregels, die de bewijslast dat mijn geld uit een betrouwbare bron kwam, bij mij legden.

Uiteindelijk stelde ik een simpele oplossing voor, waarbij ik een kopie van een - laten we maar zeggen - laagdrempelig verkrijgbaar documentje zou aanleveren als "bewijs". Omdat het die manager al duidelijk was dat ik bona fide was, stemde zij daarmee in.

Het eindresultaat was dat de controle m.b.t. de betrouwbaarheid van de bron van het geld formeel werd gedaan aan de hand van dat flutpapiertje (ten behoeve van de dossiervorming van de bank), maar in feite werd gedaan aan de hand van het persoonlijke contact tussen die manager en mij. Tacit knowledge van die manager en informele uitwisseling van verbale en non-verbale signalen tussen haar en mij speelden daarbij een cruciale rol.

Als het proces volledig geformaliseerd was geweest, was het niet goed gekomen en had ik als klant belangrijk nadeel ondervonden.

En als ik niet extreem mondig was geweest, of niet intelligent had gecommuniceerd, dan was het ook niet goed gekomen. Precies zoals jij het zegt:

Het "recht van de slimste", m.a.w. het recht van de sterkste, gaat in onze zogenaamde "rechtsstaat" al een aantal jaren in toenemde mate boven de wet. Daar worden kwetsbare mensen de dupe van, daar voelen mensen zich onveilig en gestresst door, en daar worden mensen steeds kwader over.

Maar dezelfde zakenlieden, hoge ambtenaren en politici die onze maatschappij zo inrichten, tonen zich dan uitermate verbaasd en verontwaardigd dat de maatschappelijke omgangsvormen verruwen en dat mensen tijdens verkiezingen op partijen gaan stemmen die hun ontevredenheid vertolken... Hypocriete krokodillentranen, denk ik dan. Ze willen niet weten wat ze in de maatschappij aanrichten, ze willen niet in de spiegel kijken.

Het lijkt of de situatie eerst nog veel meer moet escaleren voordat deze besluitvormingselite bereid is haar koers te wijzigen. Zo jammer als dat nodig zou blijken te zijn. Er gaat dan zoveel kapot - niet alleen bij de daders, maar vooral ook bij de mensen die al om te beginnen hun slachtoffers waren.

M.J.