Rabobank-klant krijgt 269.000 euro schade bankhelpdeskfraude niet vergoed
Een klant van de Rabobank die het slachtoffer van bankhelpdeskfraude werd en zo meer dan 269.000 euro verloor krijgt de schade niet vergoed, zo heeft de Rechtbank Amsterdam geoordeeld. De klant heeft bankrekeningen bij Rabobank, ABN Amro en Regiobank. In juni 2022 wordt hij gebeld door een oplichter die zich voordoet als medewerker van ABN Amro.
De zogenaamde medewerker vertelt dat er met de rekeningen van de klant wordt gefraudeerd en hij snel moet handelen om de frauduleuze betaalopdrachten te stoppen. Op aanwijzing van de oplichter installeert de klant het programma AnyDesk, waarmee zijn computer op afstand door de oplichter wordt overgenomen. Vervolgens logt de klant in op zijn rekeningen bij ABN Amro en Regiobank en maakt via zeven transacties in totaal 258.000 euro over naar zijn Rabobank-rekening.
Daarna heeft de klant met zijn Rabo Scanner ingelogd op zijn Rabobank-rekening. Vanaf deze rekening zijn in totaal vijfiten transacties naar een Litouwse bankrekening uitgevoerd, voor een bedrag van meer dan 269.000 euro. Dezelfde dag realiseert de klant dat hij is opgelicht en neemt contact op met de Rabobank. Een dag later verstuurt de bank een annuleringsverzoek naar de Litouwse bank, maar wanneer de Litouwse bank reageert is het geld al weg.
De klant eist via de rechter een schadevergoeding van 269.000 euro van de Rabobank. Volgens de klant heeft de bank haar zorgplicht geschonden en had het fraudemonitoringssysteem alarm moeten slaan over het ongebruikelijke transactiepatroon. Het ging om hoge inkomende en uitgaande bedragen verspreid over vijftien betaalopdrachten. De uitgaande bedragen gingen naar een buitenlandse rekening en de tijd tussen die betaalopdrachten was kort.
De Rabobank stelt dat het transactiepatroon geen aanleiding gaf voor een alert. Het fraudemonitoringssysteem is er volgens de bank niet op ingesteld te beoordelen of het specifiek voor de klant een ongebruikelijk transactiepatroon is, maar of dit in algemene zin ongebruikelijk is. Daarbij kijkt de Rabobank ook naar andere zaken, zoals of de betalingen gedaan worden vanaf het ip-adres van de computer van de rekeninghouder, of de bedragen naar een vaker gebruikt en als legitiem bekend staand rekeningnummer worden overgeboekt, en of de betalingen op de juiste manier zijn geautoriseerd.
Daarnaast reageerde de Litouwse bank pas na een week op het annuleringsverzoek, toen het geld al weg was. Dat de Rabobank het annuleringsverzoek de volgende dag verstuurde zou volgens de rechter geen verschil hebben gemaakt. "Gelet op de snelheid waarmee fraudeoverboekingen doorgaans plaatsvinden, is het niet aannemelijk dat een halve dag eerder handelen door Rabobank wel tot directe actie van de Litouwse bank en het terugkrijgen van het geld had geleid."
De rechter komt tot het oordeel dat de klant grof nalatig heeft gehandeld door de veiligheidsinstructies niet na te leven en de oplichter toegang tot zijn computer te geven en zijn beveiligingscodes met haar te delen. "Vanuit menselijk oogpunt is zijn handelen invoelbaar, omdat [eiser] dacht dat hij zo het geld veiligstelde, maar in juridische zin is het grof nalatig, omdat hij de veiligheidsinstructies niet naleefde. Voor een beperking van de aansprakelijkheid van [eiser] ziet de rechtbank geen grond", aldus de rechter.
Afsluitend stelt de rechter dat de klant niet in aanmerking komt voor de coulanceregeling bij helpdeskfraude, omdat hij gebeld werd door een oplichter die zich voordeed als ABN Amro-medewerker. Ook werd het telefoonnummer van de Rabobank niet gebruikt. De klant wordt dan ook in het ongelijk gesteld en moet de proceskosten van de Rabobank betalen, die ruim 12.000 euro bedragen.
Dan was die persoon niet helemaal wakker.
Naar eigen rekeningen overmaken is 1 ding, maar het is me niet duidelijk of die Litouwse rekening (waarschijnlijk Resolut?) ook van de klant was.
Waarom zou je overmaken naar een rekening die niet van jou is?
Dan was die persoon niet helemaal wakker.
Naar eigen rekeningen overmaken is 1 ding, maar het is me niet duidelijk of die Litouwse rekening (waarschijnlijk Resolut?) ook van de klant was.
Waarom zou je overmaken naar een rekening die niet van jou is?
Tja er staat niet duidelijk in wie dat geweest is. Gezien dat er met Anydesk meegekeken is zijn de mogelijkheden groot.
Ik kan nog wel enigzins invoelen dat de klant aan het schrikken gemaakt is.
Maar 270k is wel heel veel.
Als je zoveel geld op rekeningen hebt staat, dan bedenk je toch wat de risico's kunnen zijn, en hoe je daarop wilt reageren.
En hoe je beschermd bent. (of niet)
1. de bank is verantwoordelijk voor het geld, zolang je zelf niets gedaan hebt.
Dus als de "bank-medewerker" belt, dan zou het antwoord van de klant altijd moeten zijn: "Stellen jullie dat zelf maar veilig of blokkeer anders de rekening voorlopig maar tot het opgelost is".
En dan zelf terug bellen naar het algemene nummer van de bank.
2. als je al zelf toch dat geld gaat overmaken, maak het dan ook zelf over zonder dan de "medewerker" kan meekijken.
Want dat is helemaal niet nodig. Hij praat je maar via de telefoon door het proces (als dat al nodig zou zijn).
Het is hun systeem, en hij zou er bekend mee moeten zijn of van zijn kant kunnen inzien.
En anders bel je zelf terug via het algemene nummer, en controleert wat je verteld is.
VOORDAT je iets doet.
Een oplichter kan alleen maar iemand oplichten die daar gevoelig voor is. Een zwakke plek heeft voor het bezit van geld.
Voor sommigen is het alleen maar een hulpmiddel waar ze iets mee kunnen kopen.
Voor anderen is het iets wat ze niet kunnen missen. Het geld zelf is wat ze willen hebben. Deze laatste groep is kwetsbaar.
Hoe vaak moet daar nou nog op worden gewezen?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
