Volkomen terecht.
Beroerd voor die klant, dat wel. Maar de bank kun je in deze echt niks verwijten - aangenomen dat het verhaal hierboven klopt.

Dat krijg je als de banken nauwelijks meer kantoren meer hebben. Kan me nog herinneren dat ieder winkelplein wel een Rabobank had. Dan gaat alles telefonisch wat criminaliteit aantrekt. Heeft de bank ook contact opgenomen met de waarschijnlijk buitenlandse bank van de criminele begunstigde? En daar proberen (een gedeelte van) het geldbedrag terug te halen?

In de gelinkte uitspraak staat dat de bank gespreksopnamen van het gesprek met de klant heeft ingebracht.

Wat is dit nou weer voor wereldvreemde controle? De bank ziet een verdachte transactie, vermoedelijk omdat iemand telefonisch opgelicht wordt. En dan ga je als bank zelf ook bellen om te vragen of iemand opgelicht wordt? Dat is dan toch exact hetzelfde verhaal als dat van de oplichters zelf? Nota bene met hetzelfde telefoonnummer... Hoe kan de klant dan weten welke beller wel te vertrouwen is? Het lijkt mij dat dat vooral bij de klant bijdraagt aan de beleving van onduidelijkheid en dus aan de urgentie om te handelen. In zo'n situatie vragen of de klant iets doet dat niet zou mogen, lijkt me ook niet passend. Als een agent je vraagt of je iets verkeerd gedaan hebt, wie geeft dan eerlijk antwoord.
Dat het Kifid tot deze uitspraak komt lijkt me nog begrijpelijk, al getuigd het van 0.0 begrip van hoe social engineering werkt.
Dat de Rabobank zo een klant 'beschermd' is naief of zelfs nalatig.
Beter is om de boel te bevriezen, en de klant zelf het initiatief te laten nemen contact met de bank op te nemen. Als het zo belangrijk is, dan doet die dat heus wel. Dan kan via de app of met het bekende telefoonnr van de bank zelf. Niet andersom.

Aha dus bankkantoren verdwijnen en dan krijg je liegende klanten.

Het is alsof je een boekje met betaalcheques weggeeft die vooraf voorzien zijn van je handtekening.

Liegen tegen de bank en dan geld terugvragen. Te zot voor woorden.

Uit https://infosec.exchange/@ErikvanStraten/113918373817922011 (daar mét plaatjes en hashtags):

Banken + Kifid vermorzelen klanten

Uit https://www.security.nl/posting/874388/Rabobank+hoeft+slachtoffer+van+spoofing+geen+40_000+euro+te+vergoeden:

Het eerste comment daaronder is van een Anonieme onbenul (helaas zijn er veel van dat soort horken).

In de uitspraak (PDF: https://www.kifid.nl/wp-content/uploads/2025/01/Uitspraak-2025-0053.pdf) staat niet welke verzachtende omstandigheden, die er bijna altijd zijn, golden in deze casus.

Vaak gaat het om oudere mensen (maar ook jongeren kunnen hier kwetsbaar voor zijn) die in paniek raken omdat zij ervan OVERTUIGD zijn een bankmedewerker aan de lijn te hebben.

De oplichters maken vervolgens sluw misbruik van psychologische valkuilen van vriendelijke, geen kwade opzet vermoedende en anderen respecterende mensen, die zij in een fuik laten zwemmen.

En: banken bellen u duidelijk *WEL* (zoals blijkt uit de PDF). Hoe weet je of je een echte of een nepbankmedewerker aan de lijn hebt? NIET!

Bovendien kunnen mensen eenvoudig worden voorgelogen dat zij een virusscanner moeten installeren die "AnyDesk.exe" heet (voor veel meer info zie de tekst "onder" de plaatjes door op "Alt" te drukken).

Weet *U* wat AnyDesk is? Of elke naam uit een hele reeks van vergelijkbare RAT's (Remote Access Tools), waarbij vaak geen énkele virusscanner u waarschuwt welk risico u neemt door zo'n programma te downloaden en starten?

Nog veel meer hufterigheid vindt u in https://www.kifid.nl/uitspraken/.

Onderstaande screenshots [zie infosec.exchange] maakte ik op 10 sept. 2024 (maar er zijn voortdurend van dit soort nepwebsites online, deze draaide op een Russische server).

P.S. de Rabobank maakt miljardenwinsten, sluit filialen, dwingt klanten daardoor te internetbankieren, en heeft scheit aan u - ook als u al uw spaargeld kwijtraakt (waarvan die bank u vertelde dat het veiliger was bij hen dan thuis in een oude sok). Ondanks de wet en eerder met banken gemaakte afspraken.

Spelling 'schijt' .

https://www.ad.nl/binnenland/nepagenten-niet-te-stoppen-al-tientallen-ouderen-beroofd-van-al-hun-sieraden~a63179f8/

Yep, hou het vooral veilig thuis als alternatief.
Btw - ook daar is de staat/politie niet aansprakelijk om de aan de nep-agenten meegegeven sieraden te vergoeden.

In vervolg op mijn reactie hierboven (https://security.nl/posting/874477): op Mastodon kun je in toots (posts) tot 4 plaatjes toevoegen. Wenselijk (voor slechtzienden en blinden) is het om "onder" het plaatje "Alt" (alternatieve) tekst toe te voegen die het plaatje beschrijft. Ik doe mijn best om dat zoveel mogelijk te doen. Ik "misbruik" die mogelijkheid om aanvullende informatie toe te voegen, zodat de toot zelf niet al te lang wordt.

In https://infosec.exchange/@ErikvanStraten/113918373817922011 deed ik dat ook. Die teksten plaats ik, als aanvulling op mijn reactie hierboven, ook hieronder.

Plaatje 1 (inclusief typo "oo" dat "op" had moeten zijn)

Plaatje 2

Plaatje 3

Plaatje 4

De domeinnaam van die nepwebsite resolvde (aldus https://www.virustotal.com/gui/ip-address/91.215.85.79/relations) voor het laatst, op 2024-09-12, naar het IP-adres dat in laatstgenoemde URL te zien is. Eerder waren er op die server ook veel domeinnamen van bank-phishing-websites te zien (bij de beschreven avast-antivirus[.]com gaat het niet om malware, die site is uitsluitend bedoeld als hulpje bij bankhelpdeskfraude).

Het laatste certificaat ervoor was geldig van 2024-10-08 tot 2025-01-06, aldus https://crt.sh/?Identity=avast-antivirus.com.

Gebruikelijk is dat zo'n domeinnaam na een tijdje ineens weer opduikt. Er zijn overigens zoveel variaties op mogelijk dat Avast ze onmogelijk allemaal zelf kan registreren.

Je hebt gelijk, dank!

Dat noemen we "whataboutism". Ook niet-ouderen trappen in scams (zie bijv. "Politie: vorig jaar 41 miljoen euro aan cryptovaluta in beslag genomen https://security.nl/posting/873521). Ik had het over deze specifieke casus.

Niet precies 'whataboutism'.
je schreef en ik citeerde Dan is een direct en reeel probleem van het "thuis bewaren" relevant - het was niet alleen maar self-serving reclame - , en de niet-aansprakelijkheid van de gespoofde instantie voor de oplichting is ook erg analoog .

@Anoniem 13:13: dan blijft mijn stelling overeind dat banken onterecht suggereren dat jouw spaargeld (op een digitale bankrekening, niet in een fysieke kluis) veilig is bij hen.

Maar in deze casus sla je met het uiten van deze frustratie de plank helemaal mis.
Het geld is veilig voor fraudeurs, in deze casus heeft de klant wel degelijk zelf gehandeld en de sleutels van zijn "digitale" kluis gegeven.

Daarnaast worden klanten regelmatig geïnformeerd hoe te voorkomen dat ze hierin trappen, middels brief, telefoongesprek (wanneer ze bellen) en wordt het volop benoemd bij inloggen etc.

Het blijven schrijnende zaken, maar als ik mijn auto in elkaar rijd kan ik ook niet de verzekeraar de schuld geven.

De bank heeft wel degelijk gereageerd en zaken beveiligd bij de eerste verkeerde transactie.
Helaas als een klant gaat liegen, wordt het lastig.
En ja, ik durf te zeggen liegen. Waarom? Tijdens het gesprek betreffende de fraude word echt niet alleen gesproken over technische termen zoals Anydesk maar wordt het uitgelegd in de zogenoemde "Jip en Janneke" taal.

Maargoed jou stelling staat volledig los van deze casus. Aangezien deze casus eerder het tegenovergestelde aantoont van de stelling

Uit de PDF:

Welke informatie heb jij die ik niet heb?

Naast dat de klant ongetwijfeld in verwarring is: wie van de bellers is echt een medewerker van diens bank, en wie is nep? En mogelijk nog in de veronderstelling is dat hij zojuist een Avast virusscanner heeft gedownload? Niet iedereen is een ervaren systeembeheerder! Veel mensen laten dat soort dingen doen door zoonlief of de buurman - en die zijn er op zo'n moment natuurlijk niet. Wel een allervriendelijkste (nep) bankmedewerker die je geruststelt en zegt "Geen zorgen, ik loods u er wel doorheen".

Jij wilt totaal niet begrijpen hoe doorsnee mensen denken. Op notabene een security site doe jij net of social engineering een fabeltje is of zo. Bizar.

Banken hebben tegenwoordig ingebouwd dat je snel kunt zien of de bank je belt, mocht je het als nog niet vertrouwen wordt je aangeraden om de verbinding te verbreken en zelf contact op te nemen met de bank om te verifiëren.

Dus er zijn voldoende mogelijkheden om vast te stellen of je daadwerkelijk de bank aan de lijn hebt of niet. De reacties hierboven waarin wordt beweerd dat je dus niet kunt weten of de bank je belt kloppen dus niet!

En fraudeurs kregen hem zo ver. Toch niet zo veilig voor fraudeurs...

Dan krijgen ze een fraudeur aan de telefoon die ze ervan weet te overtuigen van de bank te zijn, die een ander verhaal vertelt en er typisch ook bij vertelt waarom het deze keer anders is. En het is urgent. Wie gelooft het slachtoffer op dat moment?

Inderdaad wordt het dan heel lastig. Maar bedenk wel dat de oplichters handig genoeg zijn om een aantal mensen zo te verwarren dat ze dat doen, hoe onlogisch en oerstom het ook is als je het terugleest.

Als je zegt dat dit niet de schuld van de bank is ben ik het met je eens. Maar er is een argument om een relatief grote verantwoordelijkheid bij banken te leggen. Als je die namelijk bij al die individuele mensen legt die erin tuinen, dan moet je, als je iets aan de situatie wilt verbeteren, ook bij al die individuele mensen voor elkaar weten te krijgen dat er iets verbetert. Voorlichting blijkt niet zo heel effectief te zijn als ze van de oplichter andere "voorlichting" krijgen die overtuigend voor ze klinkt, en daar zijn die oplichters nou net meesters in. Een grote partij, met professioneel en intelligent personeel, die al centrale systemen en procedures heeft, kan veel makkelijker een verandering bewerkstelligen, die meteen voor iedereen effect heeft.

Ik heb in mijn leven de nodige mensen geholpen met hun computers die niet de snuggersten onder ons waren. Ik heb pc's virusvrij gemaakt en gezorgd dat er een virusscanner actief was, dat soort dingen. Ik kon dan meemaken dat het na een paar weken toch weer mis was. Hoe kon dat gebeuren? Die "handige" buurman kwam bij ze over de vloer, vond dat een virusscanner alleen maar de computer vertraagde, en verwijderde dat ding weer. Waarom lieten ze dat toe? Omdat ze zelf totaal niet overzagen waar dat allemaal over gaat en zich gewoon overgaven aan wie zich maar aandient die de indruk wekt dat wel te kunnen. Als ze al opmerkten dat die buurman (ook niet zo snugger naar mijn mening) iets totaal anders zei dan ik, dan waren ze zo onzeker over het onderwerp dat ze dachten dat zij het wel verkeerd begrepen zouden hebben en lieten ze het dus toe.

Ik heb bij zo iemand ook een keer meegemaakt dat die me iets op de computer wilde laten zien. Er verscheen een pop-up die waarschuwde dat iets software probeerde te starten die niet vertrouwd was of iets van die strekking, en voor ik "niet doen" had kunnen zeggen had die er al toestemming voor gegeven, zodat ook die pc weer van malware kon worden ontdaan. Waarom deed je dat nou, vroeg ik. Het kwam erop neer dat hij niets van dat apparaat snapte en er dus van uitging dat de computer het zelf beter zou weten dan hij, dus stemde hij met alles in wat de computer wilde.

En bij die mensen heb ik er ook een aantal meegemaakt die in de omgang met anderen voortdurend heel zelfverzekerd een vrij grote bek hadden. Waarom? Ik denk omdat ze zich niet voortdurend het domme sukkeltje in het gezelschap wilden voelen en dat compenseerden door dan maar opschepperig door het leven te gaan.

Zulke mensen zijn verdomd makkelijke slachtoffers, en die laatste groep zal heel makkelijk opscheppen dat er niets aan de hand is en zij alles in de hand hebben, die liegen dus, omdat dat is hoe ze zich sociaal staande hebben leren houden.

Fraai is het allemaal niet, maar een laag IQ of iets anders dat je parten speelt doe je niet, zo ben je. En het gaat echt geen ene donder helpen om die mensen te vertellen dat ze er beter mee moeten omgaan, want het gaat ze écht boven hun pet.

Met al die digitale snufjes hebben we de samenleving een heel stuk complexer gemaakt dan die vroeger was, en er is een groep mensen die vroeger mee kon komen die daardoor nu buiten de boot valt. Door te constateren dat een slachtoffer als in dit geval gelogen heeft los je helaas helemaal niets op. Dit gaat om de vraag hoe je al die fancy digitale mogelijkheden inzet, niet op een manier die maakt dat mensen makkelijk geëxploiteerd worden, of dat nou door dit soort criminelen is of door al die techbedrijven die hun diensten aanbieden tegen een prijs die de meeste mensen niet snappen, maar op een manier waar ook de groep die het nu niet snapt beter van wordt.

@Anoniem 31-01-2025, 17:25 (https://security.nl/posting/874583): hartelijk dank voor jouw reactie. Soms heb ik het gevoel dat ik de enige ben die opkomt voor kwetsbare mensen.

Dat is een vals doekje voor het bloeden. Er zij zat mensen die niet weten dat zij in hun bank-app kunnen kijken of het de bank is die belt, dat vergeten zijn, of niet weten hoe je tijdens een telefoongesprek een app opent. En dan zijn er ook zat mensen die via hun (oude) computer bankieren - die meestal uit staat, en na aanzetten eerst updates gaat installeren. Ten slotte kan de beller zeggen dat er een storing is in dat systeem.

Erger, dat soort systemen zijn vaak te omzeilen met AitM-aanvallen.

Je wilt gewoon niet begrijpen dat er mensen zijn die overdonderd zijn als iemand zegt namens de bank te bellen en dat snel handelen noodzakelijk is om te voorkómen dat die slachtoffers al hun spaargeld kwijtraken.

En zelfs als iemand zich niet laat foppen, ophangt en de bank belt (wat, bijv. bij bunq, nauwelijks mogelijk is, en bij andere banken kom je meestal in een wachtrij met een martelmuziekje met tussendoor "Al onze medewerkers zijn in gesprek. Op onze website blablabla").

En als je eindelijk een bankmedewerker aan de lijn krijgt: hoe weet die bankmedewerker dat jij echt jij bent, en niet een AitM die zich voordoet als jou (vragen van de bank doorzet naar jou, zich voordoend als bankmedewerker, en jouw antwoorden doorzet naar de bank)?

Er zijn drie joekels van problemen:
1) Van steeds meer mensen liggen steeds meer gegevens op straat, waardoor oplichters overtuigend over kunnen komen (omdat de meeste mensen niet wéten dat, en welke, gegevens van hen in verkeerde handen zijn gevallen;

2) Authenticatie op afstand is ronduit onbetrouwbaar, en niet of heel erg lastig betrouwbaarder te krijgen. Je ontkomt nieg aan het uitwisselen van shared secrets (of gebruikmaken van public key cryptografie) over een niet te AitM'en point-to-point verbinding. Ik zie niet hoe dat voor telefoonverbindingen kunt realiseren (spoofing van telefoonnummers aanpakken willen de telco's al niet eens).

3) Alles moet snel snel snel en fout-tolerantie is afgeschaft. Elke fout (en onbegrip) wordt onmiddellijk zwaar bestraft: voordat je doorhebt wat er aan de hand is, ben je al je spaargeld kwijt. Vangnetten worden weggeknipt. Individuen, absoluut niet grof nalatig, worden door sluwerikken opgelicht. De pakkans is klein, cellen zitten al vol en recidivisme tiert welig.

Daarnaast krijgen we zelfs authenticatie aan de deur niet eens op orde. We zijn simpelweg niet gewend om politieagenten of koeriers om authenticatie te vragen; we vinden dat zelfs onbeschoft. En agenten vinden dat helemaal prima, want het is niet in hun belang (integendeel) als jij precies weet om wie het gaat. Bovendien, die mensen hebben toch de bekende betrouwbaar uitziende bedrijfskleding aan?

Los daarvan kunnen oplichters zelf authentiek lijkende pasjes maken met een foto erop. Weet jij hoe zo'n pasje eruit ziet en hoe je nep van echt kunt onderscheiden? Het laatste dat ik erover hoorde is dat er bij de politie een oud en een nieuw model in omloop is. En wat doe je als zo iemand zegt dat diens pasje nog in de auto ligt en jou intimideert met "sorry meneer/mevrouw, ik heb nog meer te doen vandaag, ik heb uw zaak al prioriteit gegeven - moet ik nu écht eerst mijn pasje gaan halen?

Heb je ooit een Nederlandse politieagent gezien die bij die ontmoeting ongevraagd haar/zijn paspoort liet zien? En zélfs als zij dat zouden doen, kun jij elk vals- van een echt paspoort onderscheiden? En last but not least: op dat paspoort staat niet dat de betrokkene een politieagent is.

In theorie lijkt het allemaal simpel en zwart/wit, maar de praktijk is heel anders. Een maatschappij kan niet goed functioneren zonder vertrouwen. Als de schade voor de banken te groot is, ligt dat in de eerste plaats aan het falen van het rechtssysteem: er lopen teveel criminelen rond in een maatschappelijk systeem dat hen informatie en mogelijkheden geeft.

Moeten kwetsbare mensen daar dan maar, individueel, voor opdraaien? Ik vind dat net zo asociaal als iemand die 100 rijdt waar je 50 mag en dat rechtvaardigt met "als je geen ongelukken wilt, moet je je kinderen maar binnenhouden".