Rabobank hoeft slachtoffer van spoofing geen 40.000 euro te vergoeden
Rabobank hoeft een klant die het slachtoffer van spoofing werd, ook wel bankhelpdeskfraude genoemd, geen 40.000 euro te vergoeden. Dat heeft het financiële klachteninstituut Kifid bepaald. De bank besloot in maart 2023 de rekening van de klant te blokkeren nadat die 2.000 euro naar een begunstigde had overgemaakt. Deze betaalopdracht triggerde het detectiesysteem van de bank.
Na het blokkeren van de rekening nam de bank telefonisch contact op met de klant. Die werd onder andere gevraagd of de transactie klopte en of hij het programma AnyDesk of TeamViewer had geïnstalleerd. Dat laatste werd door de klant ontkend. Na het gesprek werd de rekening weer vrijgegeven, waarna er via drie transacties zo'n 40.000 euro naar de rekening van de eerdere begunstigde werd overgemaakt.
Een dag later deed de klant bij de politie aangifte van oplichting, waarin hij aangaf op instructie van een derde AnyDesk te hebben geïnstalleerd. Vervolgens nam deze persoon de controle over zijn laptop over. De klant wist naar eigen zeggen de 2.000 euro van de eerste transactie zelf terug te halen. De resterende 40.000 euro vorderde hij van de bank. Volgens de man had de oplichter zowel de naam als het telefoonnummer van Rabobank gebruikt. De klant wil dan ook dat de coulanceregeling voor slachtoffers van bankhelpdeskfraude wordt toegepast.
Volgens de bank heeft de klant de frauduleuze transacties zelf geautoriseerd met zijn betaalpas en Rabo Scanner. "Daarmee staat vast dat de consument zélf de betalingen heeft geauthenticeerd, zodat de vier bewuste betalingstransacties in juridische zin zijn aan te merken als ‘toegestane betalingstransacties’. De omstandigheid dat de consument zich op een later moment heeft gerealiseerd dat hij is misleid en dat hij onder invloed van die misleiding heeft ingestemd met de betalingstransacties, maakt dit oordeel niet anders", aldus het Kifid.
Het klachteninstituut voegt toe dat de bank bij toegestane betalingstransacties niet wettelijk is verplicht om de schade te vergoeden. "In zo’n geval is de bank, als betaaldienstverlener, op grond van artikel 7:533 lid 4 BW verplicht om gehoor te geven aan een correct gegeven betaalopdracht. Na de uitvoering van zo een toegestane betalingstransactie heeft de bank als betaaldienstverlener geen wettelijke verplichting meer."
De klant zou in theorie aanspraak moeten kunnen maken op de coulanceregeling voor slachtoffers van bankhelpdeskfraude, maar dat is in dit specifieke geval niet zo, aldus het Kifid. De klant heeft de bank misleid door ten onrechte te verklaren dat hij niets aparts heeft meegemaakt, dat alles klopte, dat hij op eigen houtje heeft gehandeld en dat hij geen AnyDesk of TeamViewer heeft gedownload. Daarnaast waarschuwde de bank de klant voor fraude. Het Kifid stelt dat de bank de toepassing van het coulancekader vanwege deze omstandigheden kon weigeren. De vordering van de klant wordt dan ook afgewezen (pdf).
Beroerd voor die klant, dat wel. Maar de bank kun je in deze echt niks verwijten - aangenomen dat het verhaal hierboven klopt.
Beroerd voor die klant, dat wel. Maar de bank kun je in deze echt niks verwijten - aangenomen dat het verhaal hierboven klopt.
In de gelinkte uitspraak staat dat de bank gespreksopnamen van het gesprek met de klant heeft ingebracht.
Dat het Kifid tot deze uitspraak komt lijkt me nog begrijpelijk, al getuigd het van 0.0 begrip van hoe social engineering werkt.
Dat de Rabobank zo een klant 'beschermd' is naief of zelfs nalatig.
Beter is om de boel te bevriezen, en de klant zelf het initiatief te laten nemen contact met de bank op te nemen. Als het zo belangrijk is, dan doet die dat heus wel. Dan kan via de app of met het bekende telefoonnr van de bank zelf. Niet andersom.
Aha dus bankkantoren verdwijnen en dan krijg je liegende klanten.
Het is alsof je een boekje met betaalcheques weggeeft die vooraf voorzien zijn van je handtekening.
Banken + Kifid vermorzelen klanten
Uit https://www.security.nl/posting/874388/Rabobank+hoeft+slachtoffer+van+spoofing+geen+40_000+euro+te+vergoeden:
Een dag later deed de klant bij de politie aangifte van oplichting, waarin hij aangaf op instructie van een derde AnyDesk te hebben geïnstalleerd.
Het eerste comment daaronder is van een Anonieme onbenul (helaas zijn er veel van dat soort horken).
In de uitspraak (PDF: https://www.kifid.nl/wp-content/uploads/2025/01/Uitspraak-2025-0053.pdf) staat niet welke verzachtende omstandigheden, die er bijna altijd zijn, golden in deze casus.
Vaak gaat het om oudere mensen (maar ook jongeren kunnen hier kwetsbaar voor zijn) die in paniek raken omdat zij ervan OVERTUIGD zijn een bankmedewerker aan de lijn te hebben.
De oplichters maken vervolgens sluw misbruik van psychologische valkuilen van vriendelijke, geen kwade opzet vermoedende en anderen respecterende mensen, die zij in een fuik laten zwemmen.
En: banken bellen u duidelijk *WEL* (zoals blijkt uit de PDF). Hoe weet je of je een echte of een nepbankmedewerker aan de lijn hebt? NIET!
Bovendien kunnen mensen eenvoudig worden voorgelogen dat zij een virusscanner moeten installeren die "AnyDesk.exe" heet (voor veel meer info zie de tekst "onder" de plaatjes door op "Alt" te drukken).
Weet *U* wat AnyDesk is? Of elke naam uit een hele reeks van vergelijkbare RAT's (Remote Access Tools), waarbij vaak geen énkele virusscanner u waarschuwt welk risico u neemt door zo'n programma te downloaden en starten?
Nog veel meer hufterigheid vindt u in https://www.kifid.nl/uitspraken/.
Onderstaande screenshots [zie infosec.exchange] maakte ik op 10 sept. 2024 (maar er zijn voortdurend van dit soort nepwebsites online, deze draaide op een Russische server).
P.S. de Rabobank maakt miljardenwinsten, sluit filialen, dwingt klanten daardoor te internetbankieren, en heeft scheit aan u - ook als u al uw spaargeld kwijtraakt (waarvan die bank u vertelde dat het veiliger was bij hen dan thuis in een oude sok). Ondanks de wet en eerder met banken gemaakte afspraken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?