Is het niet beter als banken niet meer bellen en e-mailen met hun klanten, zodat een klant weet - als 'de bank' belt - dat het de bank niet kan zijn? En is het niet beter om de telefonie een heel stuk veiliger te maken? Het is nu cybersecurity gatenkaas.

Handig als je meerdere nummers hebt

Nog meer stappen om te komen tot uitfaseren van cah?

Alle voorlichting ten spijt vakken er nog steeds (vooral ouderen) in de oplichtingstrucs. Vaak door angst overmand vergeet men de adviezen, als ze die al wisten. Daarom kan het geen kwaad om op het moment dat het gebeurt het slachtoffer te waarschuwen.

Bovendien heb je met een telefoonnummercontrole met een echt slachtoffer te maken. Waar je bij voorlichtingscampagnes nog te maken hebt met mensen die denken: dat overkomt mij niet. Waardoor de boodschap toch minder goed blijft hangen.

Ach, wat zijn banken toch lief voor hun klanten...

Precies.

Bij bankfraude bellen criminelen zogenaamd namens de bank en dringen ze tijdens het gesprek aan om een grote overboeking te doen. In het Verenigd Koninkrijk kunnen banken al controleren of een klant aan het bellen is. De banken zeggen dat het aantal geslaagde fraudepogingen met ongeveer 40 procent is afgenomen.

https://nos.nl/artikel/2554467-bank-wil-weten-of-je-aan-het-bellen-bent-bij-grote-overboeking

Laat ze zich nu eerst maar hard maken voor het technisch onmogelijk maken van telefoonnummer spoofing. Het zal veel meer effect hebben als het nummer dat je belt niet gewoon het algemene nummer van je bank is...

Je hebt helemaal gelijk. Dat was ook de reden voor mij om geen telefoon of e-mail door te geven. Dit ging goed totdat ik voor de zoveelste keer werd afgesloten door de bank (dat gebeurt meerdere keren per jaar omdat ik gewoon weiger van browser te wisselen bij het winkelen op het web, en de bank lust mijn browser niet). Ik moest en zou een telefoonnummer doorgeven. Het argument dat dit mijn beveiligingsschema zou doorbreken werd afgewezen. De banken weten niet wat ze doen en om dat op te lappen willen ze meer rechten. Belachelijk.

Banken bellen niet. Dat vertellen ze al jaren. Maar mensen denken nu eenmaal dat zij speciaal zijn als de bank dan uiteindelijk hen wel belt. Zo werk social engineering nu eenmaal. Zorg ervoor dat je slachtoffer geen tijd heeft om na te denken of iets wel klopt.

Hersenen werken op twee manieren. De ene snel en de ander weloverwogen. De mens is gewend om snel actie te ondernemen als iets hen bedreigt. Een bericht dta hun bankrekening leeggehaald wordt, is een bedreiging. Daar wordt dus snel en niet weloverwogen op gereageerd. Daarom zie je ook bij phishing vooral de aandrang om snel iets te doen.

Peter

Banken bellen wel, ze liegen dus; zie bijvoorbeeld https://www.security.nl/posting/874388/Rabobank+hoeft+slachtoffer+van+spoofing+geen+40_000+euro+te+vergoeden, waarin letterlijk de volgende tekst staat:
Want waarom zeurt de bank bij mij dan steeds om een telefoonnummer (en emailadres) als ze toch nooit bellen? Ik weiger die te geven, weet ik in ieder geval zeker dat wanneer de "bank" belt het een oplichter betreft.

Een groot deel van het publiek weet niet dat de bank niet belt. Of vergeet dat de bank niet belt, als de "bank" belt. En proberen bovendien zélf te bank te bellen als ze ineens stress hebben.
Banken vormen zich naar hoe mensen zich werkelijk gedragen, niet hoe de wereld zou moeten zijn ("Als iedereen nu alles digitaal deed, met beveiligde apps?"). Bunq is daar ook achter inmiddels :)

Kan me ook voorstellen dat mee luisteren met alle gesprek veel effectiever is, kunnen ze meteen ingrijpen en je rekeningnummer blokkeren , ;) natuurlijk om je te beschermen ;)

Sommige banken bellen wel, sommige banken bellen niet. Als je mij kunt laten zien waar jouw bank ooit heeft gezegd je nooit te bellen en t vervolgens wel doet, dan krijg je van mij een appeltaart... dat hebben banken nl nooit gezegd :)

Bovendien zou het massaal afspreken dat banken niet bellen niet helpen, want slachtoffers weten dat niet of realiseren zich dat niet, maar worden ook gebeld namens andere instituten als ze slachtoffer worden.

Dus criminelen gebruiken dan whatsapp of een ander (eigen) chatprogramma nadat ze de eerste contacten gelegd hebben.
dan zien telco's niets meer. Want: "niet in gesprek". Als iemand op verzoek Anydesk installeert, dan lukt dit ook wel.

En banken bellen klanten wel.
Bv de ABN-AMRO als ze een afspraak willen maken voor een bezoekje. Want geen filialen meer waar zo'n gesprek ad-hoc plaats kan vinden. Dat moet voortaan thuis aan de keukentafel. Op afspraak.

Leugenaar.

Leugenaars.

Uit https://www.security.nl/posting/874388/Rabobank+hoeft+slachtoffer+van+spoofing+geen+40_000+euro+te+vergoeden:
Hoe moet de klant weten dat het deze keer wél een bankmedewerker is?

Sterker, in het eerste belletje kunnen oplichters, die claimen van de bank te zijn, liegen dat de bankrekening van het slachtoffer is geblokkeerd en dat zij daarom eerst naar https://helpdesk-rabobank·com moeten gaan en de instructies opvolgen, waaronder een "virusscanner" installeren (zie https://security.nl/posting/874752).

Niet alleen Nederlanders zijn doelwit. Een vermoedelijk andere groep Russische cybercriminelen heeft het al maanden gemunt op Canadezen en "verhuist" hun nepwebsites soms meerdere keren per dag van server. Gisteren waren er een heel stel live (met Let's Encrypt certificaat, volstrekt anoniem voor bezoekers) op een server in Nederland van "Google Cloud Hosting", zie https://www.virustotal.com/gui/ip-address/34.13.163.195/relations.

Eind december schreef ik al over die groep (https://infosec.exchange/@ErikvanStraten/113737891651336874). Ondertussen heb ik bewijs dat deze groep cybercriminelen al meer dan 150 servers (steeds andere) van "Google Cloud Hosting" heeft misbruikt. Er zijn telkens 35 tot ca. 120 websites actief op één (Google) IPv4 adres. Edit: véél meer info hierover in https://infosec.exchange/@ErikvanStraten/113837934294209517.

Als Big Tech geld kan "verdienen", is uw spaargeld van ondergeschikt belang.

Nog even terugkomend op banken en telco's: in veel huishoudens zijn meerdere telefoons aanwezig (veel ouderen hebben bijv. ook nog een "vaste lijn". En als zij nog samenzijn, tevens allebei een mobiel). Banken willen gewoon ongebreideld weten met wie wij bellen of door wie wij gebeld worden. Bovendien spoofen cybercriminelen telefoonnummers; zij kunnen ook bellen "met" het nummer van bijv. de Politie. De onderzoekers van de bank weten dan niet of het echt de Politie is die het slachtoffer belt. En, zoals altijd, zullen criminelen zich onmiddellijk aanpassen, en zitten burgers met de volgende aanslag op hun privacy.

Aanvulling 10:40 sorry @majortom, ik ging meteen tikken toen ik de reactie van -Peter- zag en heb niet meer gekeken of er nieuwe reacties waren vóór ik postte. Wij dachten duidelijk deels precies hetzelfde.

Abnamro gebruikt ook nog http in een e-mail voor een door de bank in de lucht gebrachte website ter verificatie identiteit van de klant. Fraude helpdesk van die bank reageert met ga naar algemene website … foutje van onze collega’s

Ter aanvulling: ik heb wel eens één van mijn telefoonnummers ingevuld (met verder onzin) op een bunq nepwebsite n.a.v. een bunq phishing e-mail. Later werd ik gebeld door:
010-8083666 (+31108083666)

Nb. het geheime (1) telefoonnummer van bunq is:
020-8083666 (+31208083666)

Sowieso kennen normale mensen geen telefoonnummer van hun bank uit hun hoofd. Je verwacht geen 06-nummer, maar een gespoofd nietszeggend 088 nummer voldoet ook "prima" (voor de criminelen).

(1) Als ik met Google zoek naar "bunq telefoonnummer" luidt het eerste resultaat:
Aanvulling 11:28: dat is een leugen, uit ander onderzoek bleek dat bijna elke bunq-medewerker bij alle klantgegevens kan. Wat niet genoemd wordt, maar wél klopt, is dat als je vanuit jouw bunq app chat-contact opneemt met bunq, bunq zeker weet dat iemand met toegang tot die app contact opneemt. En dat ben jij, de bunq-klant - d.w.z. zolang criminelen jouw account niet hebben overgenomen en chat-contact opnemen met bunq vanuit de app (gekoppeld aan jouw rekening) op hun smartphone om te zeggen dat zij de echte eigenaar zijn en dat jij de boel belazert en dus dat jouw app ontkoppeld moet worden.

Daaronder, uit https://www.banken.nl/partners/bunq/contact:

Super handig dat banken zoveel toegang hebben, dan kunnen ze gelijk ook zien dat je iemand in (vul maar in... Rusland/Turkije/etc) hebt gebeld. Gelijk een vlaggetje achter je naam dat je misschien sancties omzeilt, terrorist bent of je de concurrende bank belt. Dan kunnen ze je gelijk een betere aanbieding doen. Of slechter als blijkt dat je geen hypotheekadviseur of andere banken hebt gebeld voor de aanvraag van je hypotheek.

maar wat als ik nu eens SEPA transactie afhandel terwijl een leverancier telefonisch z'n IBAN doorgeeft?

En met zo'n in-gesprek-check wordt dergelijke fraude echt geëlimineerd danwel heel sterk terug gedrongen?
(of zou een oplichter daar op kunnen anticiperen?)


Stelletje leugenaars.
Vooral die ene struisvogel die tegen beter weten liegt.
Banken die zeggen "niet te bellen", zeggen niet "niet te bellen" maar "niet te bellen over login-gegevens of transacties".
Overigens, ik ben nog nooit van mijn leven door een bank gebeld, met zakelijke rekeningen voor één éénmanzaak en twee B.V.'s plus 3 particuliere rekeningen...

Ik vind het opmerkelijk dat banken en telecomproviders dit samen een goed en kennelijk uitvoerbaar idee vinden maar, terwijl dit probleem al vele jaren bestaat, nog niet zo ver zijn gekomen dat het spoofen van binnenlandse nummers wordt geblokkeerd, zodat je erop kan vertrouwen dat als je telefoon zegt dat het de bank is het ook echt de bank is.

De hierboven quote staat op Tweakers die over het zelfde onderwerp schrijft.

Dus hoe kunnen banken en telco's nu een voorstander zijn van een plan dat al eerder door de Raad van State naar de prullenbak is verwezen?

NEE!

https://www.songteksten.nl/songteksten/13970/frank-boeijen/zeg-me-dat-het-niet-zo-is.htm

1) Als mijn VoIP telefoon een storing heeft bij KPN.. volgens mij krijg je dan de ingesprektoon als iemand mij probeert te bellen. Weet het niet zeker. Dan kan je ook meteen niet meer internetbankieren. Tenminste bij grote bedragen. Het gaat om ouderen en die zien nog de voordelen van vast bellen in plaats van met een 06-nummer omdat ze weten hoe het vroeger was zonder smartphone. Dit zal regelmatig voorkomen bij een grote bank.

2) Een legitieme reden om grote bedragen over te maken, is het verlaten van je oude bank voor een nieuwe waar je hoopt meer tevreden over te zijn. De bank die verlaten wordt wil dit natuurlijk tegenwerken.

3) Voor een cybercrimineel is het genoeg om een regeltje in het script toe te voegen.. hang op.. maak geld over.. wacht tot je weer gebeld wordt. Waarom is het niet 100% minder fraude? Wat lost dit werkelijk op in de toekomst?

Dan kan ik de Rabobank van harte aanbevelen(!).

Bij mij valt dit in de afdeling humor. Dat banken dat willen weten. Mijn broek zakt er vanaf maar als het moet stuur ik er daarna wel een foto van! Voor de biometrie!

Het durven vragen!

Ik ga zo nog even cash uit de muur trekken want die zijn allemaal nog getikter dan mijn zuster.

Juist. De hele wereld in rubber tegels voor die paar lui die het frondend van de week niet meer snappen.

Frontend van de week? Ja, het onnodig veranderen en het maken van "nu een nog moderner" uiterlijk drijft een groot deel van de bevolking tot waanzin. Wie verzint dat eigenlijk? Dat alles om de paar maanden een "modern uiterlijk" moet krijgen? En wat is een modern uiterlijk dan? Defineer dat eens?!

Iemand met meer dan 2 werkende hersencellen kan raden wat er dan gebeurt. Alleen programeurs niet. Dat zijn de geestelijk minder bedeelde in onze maatschappij. "HET COMPLILED" is tegenwoordig de geschreeuwde term in plaats van "HET WERKT ZONDER BUGS". Daarbij is de interface altijd het ondergeschoven kindje. Daar moet vaak zelfs een apart iemand voor komen. Om al die nerdcode bruikbaar te maken. En daar gaat het verkeerd! Die persoon krijgt veel te veel tijd om te creatief te zijn. Zoets zou in regels gegoten moeten worden. Windows was er een heel eind met [File Edit Help About] menu-structuur. Maar ook daar gaat het helemaal mis de laatste tijd.

Zolang mensen elke dag een andere omgeving krijgen, zullen ze daar nooit zeker zijn. Daar vindt het misbruik plaats. Daar waar mensen niet weten waar ze mee bezig zijn. Programmeurs (of in ieder geval de gene die de opdracht geven) zorgen daar wel voor. En ze doen daarbij hun uiterste best om vooral de oudere populatie op het verkeerde been te zetten. Dat is al 20 jaar aan de gang en niemand besteed er aandacht aan.

Juist dit zou ik niet vertrouwen. Als ze bij mij thuis willen komen zullen het wel oplichters zijn.

zodat banken bij telecomproviders kunnen controleren of iemand in gesprek is tijdens het overboeken van geld

Dus voor de zekerheid, zolang je in gesprek bent met wie dan ook, kun je op hetzelfde moment geen geld overboeken. Wat is hier nu op tegen. Trollen en mierenneukers zijn hier in de meerderheid op tegen, van die tweede categorie niet op inhoudelijke en onderbouwde gronden, nee, puur sentiment.

Ik geloof dat dit deze keer niet aan de hand is. Als ik goed begrepen heb wat het voorstel is, dan willen ze kunnen checken "is nummer X in gesprek", en dan "Ja", of "Nee" terug krijgen. Dus niet met wie, of wie is de beller en wie de ontvanger.


Afgezien daarvan lijkt het me een beter idee, als de banken echt zo begaan zijn met hun klanten, dat ze een optionele dienst aanbieden die je aan- en uit kan zetten waarbij als je een grote overboeking doet de bank eerst belt naar een nummer dat je dan natuurlijk moet opgeven met een soort herkennings-zin om te vragen of het echt je bedoeling is. Mensen die hier geen behoefte aan hebben kunnen het dan uit laten, en dan heeft de bank ook je nummer niet nodig, en mensen die graag beschermd willen worden kunnen het dan aan zetten. Zo'n herkenningszin kan er dan eentje zijn die je zelf kan opgeven, of eentje die je kan kiezen uit een lijstje gegenereerde opties.

Dit kan de bank zelf implementeren, zonder convenant en koppelingen met telco's, zonder wetswijziging, en zonder dat je (want dat is meestal het onvermijdelijk gevolg van dit soort plannen; als het er is dan wordt het binnen de kortste keren verplicht) bij de bank je telefoonnummer moet opgeven.

Als ze niet meer bellen zou ik direct weggaan bij de bank. Voor belangrijke zaken werkt de telefoon gewoon veel sneller dan alles schriftelijk te doen. Als de bank b.v. fraude vermoed bij een overboeking is het handig om dit zo snel mogelijk kort te sluiten met een klant. Van mijn bank weet ik dat ze bellen als je een groter bedrag wilt overmaken naar een rekening die bij hen als verdacht staat aangemerkt. Als je een paar dagen na een verdachte transactie een brief krijgt, kun je vaak niets meer doen. En als ze die transactie direct blokkeren terwijl hij wel correct was, is het ook niet goed.

Mij belt de bank meermaals per jaar en ik krijg ook vaak mail. (AbnAmro)

Het probleem is meer da klant die niet door heeft dat "de bank" wel heel gekke dingen vraagt, want ik snap nog steeds niet dat mensen denken dat ze zelf geld naar 'een beveiligde omgeving' moeten overboeken.

Ik "zit" bij de ABN-AMRO al ruim 30 jaar en ben nog nooit door hen gebeld.