Das lekker, iemand kijkt jouw pincode af, steelt dan de pas en koppelt daarmee een telefoon aan de rekening.
Daarna legt hij de pas vervolgens weer terug zodat de persoon in eerste instantie niets door heeft.
Dan moet er toch te achterhalen zijn van wie die iPhone was maar nee hoor de klant moet bewijzen dat iemand ongemerkt zijn pas heeft gebruikt, hoe dan?

Omgekeerde wereld. Volgens de wet moet de bank bewijzen dat de klant de boel heeft belazerd. Daar is niks moeilijks aan.

Het zal niet de eerste keer zijn dat een bankmedewerker wilde "bijverdienen". Hoe zou een klant zoiets in vredesnaam moeten bedenken, laat staan aantonen?

Die wet is er om klanten te beschemen. "Rechters" van het Kifid zijn corrupte hufters.

daar geldt dan weer het concept 'laat uw spullen niet onbeheerd achter'.

Pincode afkijken? Waarom heeft de klant die niet afgeschermd?
Gestolen en weer terug weten te leggen? Dat is best knap. Lag de portomonnee ergens onbeheerd op een tafeltje oid?

En vervolgens ook nog eens wel de transacties opmerken maar geen alarm slaan?

Soms houdt het voor de bank ook op natuurlijk.
Er komen bij menig IT-helpdesk teveel mensen die gewoon glashard ontkennen zelf per ongeluk iets fout te hebben gedaan.
'nee hoor ik heb nergens op geklikt' en dan bij doorvragen blijkt dat men er toch zelf bij is geweest maar niet heeft opgelet.

Het blijft een complex probleem natuurlijk met de bankfraude maar de klant probeer te vaak vrijuit te gaan na eigen naief gedrag. De mens is en blijft vaak de zwakste schakel die handig wordt bespeeld door fraudeurs. Dit is een factor die ingezien dient te worden maar PICNIC bestaat ook niet voor niets.

Zou het mogelijk zijn om een iDeal transactie te MITMen met als resultaat de koppeling van een telefoonapp?
Eventueel via malware op de PC?

er staat in het artikel dat de bank heeft weten aan te doen wat er ongeveer gebeurd is.
Daarmee heeft de bank dus bewezen dat de klant het ofwel zelf heeft gedaan of onoplettend is geweest.
Dat kan gewoon en gebeurt ook vaak.

Het enige alternatief wat de klant 100% beschermt is telebankieren weer afschaffen. Gewoon weer naar het bankloket.
De gemakzucht van internetbankieren opent ook de deur voor hacks/fraude.

Dat is inderdaad allesbehalve lekker. Maar het is wel je eigen verantwoordelijkheid om zorgvuldig om te gaan met je pas en je pincode.


Dat kan alleen slagen als je zélf niet oplet. Wie zijn pas en pincode niet goed beschermt, maakt dit soort risico's mogelijk.


De wet is er inderdaad om consumenten te beschermen — maar niet om ze vrij te pleiten van hun eigen nalatigheid. En je beschuldiging richting Kifid is nergens op gebaseerd. Het klinkt vooral als frustratie.


Je doet hier aannames zonder enige onderbouwing. Er is geen enkele aanwijzing dat er sprake is van een bankmedewerker, behalve jouw eigen speculatie. Bovendien hebben bankmedewerkers geen toegang tot zowel je pas als je pincode. Deze theorie houdt simpelweg geen stand.


Dat klopt niet. Dat jij de bank niet hebt opgelicht, betekent nog niet automatisch dat de bank verantwoordelijk is voor de schade. De kernvraag is of jij zorgvuldig hebt gehandeld. En als dat niet het geval is, ligt de aansprakelijkheid gewoon bij jou.

Da's te achterhalen door de Politie, na aangifte. De bank heeft geen toegang tot die informatie.

De bank gaat deze informatie echter nooit uit zichzelf delen met de politie. Je zult eerst een gang naar de rechter moeten maken. Samengevat; crimineel heeft vrijspel.

Ik heb geen idee wat er is gebeurd. En ook de klant niet. De bank moet bewijzen dat de klant de boel belazerd heeft en doet dat niet.

Zegt onbenul anoniem die de wet niet kent, laat staan de strekking daarvan.

in het artikel staat toch echt duidelijk dat de bank heeft geconstateerd wat er ongeveer is gebeurd.
De klant kan volhouden van niets te weten, en dat zou best kunnen, maar de bank heeft eea uitgezocht en dus aangetoond.
Wat je zegt (dat de bank niets heeft bewezen) klopt dus gewoon niet.

Sowieso ben je behoorlijk biased. Je bent er altijd als de kippen bij als het over bankfraude gaat en de vinger gaat altijd richting de bank en eigenlijk nooit naar de klant.
Ook in deze draad weer direct beledigingen richting Kifid inclusief en in je post ononderbouwde claim dat een bankmedewerker zelf het wel weer gedaan zal hebben.

Nog altijd dezelfde fout, sommigen leren het nooit.
Het was, is en blijft ABN AMRO.

Dit scenario zou kunnen, maar lijkt me niet zo heel waarschijnlijk.

Ik denk dat de klant zich door een chatter/"helpdesk" / beller heeft laten overtuigen die ie z'n pas in de lezer moest doen, z'n pincode intikken, en dan allerlei dingen oplezen .

En nu bij de Kifid zaak alleen liegt "ik heb geen idee hoe het gebeurd kan zijn" met hoop dat iemand anders voor z'n schade opdraait.

Je hebt een aantal manieren om de ABN App aan je rekening te koppelen.
Het begint met je rekeningnummer en pasnummer.

Daarna zijn er de opties voor ID (paspoort, id, rijbewijs, verblijfsvergunning) - die moet je allemaal scannen met de telefoon waar je de app op installeert.
Maar het kan ook met de e.dentifier + bankpas + pincode , en dan de responscodes ingeven in de app .

Precies dat kan dus op afstand door een derde gedaan worden, als de klant z'n pas in de lezer wil stoppen en dan allerlei voodoo codes wil oplezen.

Van wie de iPhone is ?
De bank krijgt alleen een API call van een apparaat, dat dan (nog net) zegt dat het een iPhone is.

Ik denk eigenlijk dat zowel van Apple, als van de AVG de telefoonapp helemaal niks meer mag doorgeven van apparaat en vooral gebruiker die inloggen .

De uitspraak gaat daar oa ook in, dus wat is daar precies verkeerd aan? Waar gaat het de uitspraak precies verkeerd?
De wet zegt namelijk volgens mij heel iets anders.

Tussen partijen staat niet ter discussie dat de consumenten de betalingstransacties niet zelf hebben verricht en dat deze zijn aan te merken als niet-toegestane transacties. Dat betekent dat de bank het bedrag van de niet-toegestane transacties in beginsel onmiddellijk aan de consumenten moet terugbetalen, tenzij de consumenten met grove nalatigheid een of meer verplichtingen uit hoofde van artikel 7:524 van het Burgerlijk Wetboek niet zijn nagekomen. Eén van deze verplichtingen is het naleven van de overeengekomen veiligheidsregels, zoals weergegeven in 2.2.

3.3 Het is aan de bank om te bewijzen dat de consumenten grof nalatig hebben gehandeld. Maar op de consumenten rust een verzwaarde stelplicht. Dit houdt in dat zij tenminste enig inzicht moeten geven in hoe het kan dat derden hebben kunnen beschikken over de betaalpas en de pincode van consument 1. De enkele stelling van de consumenten dat zij niet weten hoe een en ander heeft kunnen gebeuren, is hierbij niet voldoende. Een andere regel zou de bank blootstellen aan onaanvaardbare risico’s op misbruik.

Klopt, maar het zal ook niet de eerste keer zijn dat een consument zo de bank probeert op te lichten.
Nog afgezien dat je geen enkele onderbouwing hebt, dat dit in dit geval zo zou kunnen zijn.

Het vonnis, en de informatie die daar vermeld wordt, geeft aan dat de bankpas en de pincode gebruikt waren van de consument. Dat laat je uitspraak direct de vuilnisbak in gaan. Tenzij de klant kan aantonen dat hij die dag bij de bank aanwezig was en zijn pas en pincode heeft afgegeven. Iets wat de klant dus zal moeten kunnen verklaren.

De uitspraak in de PDF, gebruikt diverse wetsartikelen, hoe kijk je daar precies naar? Wat zijn ze vergeten, of waar klopt dit niet met de uitspraak?
Of welkte wetsartikelen weet jij, die het kifid gemist heeft?

Je posts zijn meestal beter. Dit is gewoon erg laag en zonder enige onderbouwing.

Nee hoor, dat hoeft de bank niet. De bank moet bewijzen dat de klant onzorgvuldig is geweest en de klant moet daar ook aan mee werken, om dingen te verklaren. En dat kunnen ze niet.

Kan jij dan precies de wetsartikelen aangeven waar dit precies staat? De uitspraak heeft namelijk diverse verwijzingen naar wetsartikelen.
Ik ben benieuwd welke artikelen precies gemist zijn? Of welke ze verkeerd gebruiken.

Jij geeft aan dat ze moeten aantonen, dat ze moeten bewijzen dat de klant de boel heeft belazerd. In welk wetsartikel staat dit precies?

Er is nog een tussenvorm: bankieren per post (PostNL) voor overschrijvingen van geld.
Ik durf wel te stellen, dat bankhelpdeskfraude bij deze (nog bestaande) vorm niet voorkomt.
Klopt helemaal.
Maar niet alleen de gemakzucht van gebruikers speelt een rol, ook die van webshops: omdat heel veel mensen in Nederland internetbankieren (grote markt) bieden heel veel webshops alleen nog maar online betaalmogelijkheden aan in hun shops. Dit in tegenstelling tot bijvoorbeeld Duitsland en Oostenrijk waar nog een veel groter deel van de bevolking niet internetbankiert waardoor webshops veel vaker offline betaalmogelijkheden aanbieden (zelfs vaak nog op rekening).
Er bestaat dus een wisselwerking tussen het aantal internetbankierende webshoppers/ kopers en het aanbieden van offline betaalmogelijkheden.
Deze wisselwerking zorgt ervoor dat de mogelijkheden om offline te betalen in Nederlandse webshops rap afnemen (vooral bij jonge, "hippe" webshopeigenaars, die vaak niet eens meer weten wat offline bankieren is).
Dit verhoogt dan weer de druk om te gaan internetbankieren omdat je als offline bankierende vrijwel niet meer terecht kunt in Nederland (ook deelname aan culturele activiteiten valt daaronder).

Mijn vraag is concreet: de e.dentifier heeft een aantal opties in het primaire keuzemenu; welke optie wordt voor het koppelen van een smartphone gebruikt? (Als dat 2. Verzend opdr. is dan zou je een iDeal betaling kunnen MITM-en om de koppeling tot stand te brengen.)

Op zich heeft Erik gelijk.
Internetbankieren is een goudmijn voor de bank. De banken hebben alle personeelsleden weggebonjourd ten gunste van de computer. Voordeel is dat er geen bankovervallen meer plaatsvinden. Nadeel is dat de bankklanten kwetsbaarder dan vroeger zijn voor criminele activiteiten.
Als een klant opgelicht wordt moet die voor de schade opdraaien en niet de bank. De bank hoeft totaal geen activiteiten ontplooien om dit soort criminaliteit te bestrijden. De bank lijdt immers geen schade.
Gezien de grote winsten van de banken en de grote schade voor de enkele slachtoffers zou het een goede zaak zijn dat er een verplichte verzekering voor de banken moet komen die tegen de 100% uitkeert als een klant een schadeclaim bij de banken neerlegt.
Daarna is het aan de bank/verzekeringsmaatschappij om de geleden schade te verhalen op de crimineel. Dat kan ook de oplichtende klant zijn.

Ik heb het koppelen alleen maar uit de handleiding gehaald.

Je zou daar zelf kunnen kijken .

https://www.abnamro.nl/nl/prive/internet-en-mobiel/abn-amro-app/help/abn-amro-app-activeren.html

(uit de pdf)


Het is dus 1. inloggen , dat gebruikt moet worden om een telefoon te koppelen.

Op Windows op je al jaren MitB (Man in the Browser) malware. Klant logt in bij bank, zet een overboeking klaar. Op het moment van verzenden past de malware het bedrag en rekeningnummer aan naar die van de aanvaller. Vervolgens komt klant op pagina om de transactie te bevestigen, waar dan het aangepaste bedrag en rekeningnummer zouden moeten verschijnen, maar de malware past deze dan weer aan maar de oorspronkelijke waardes voordat ze in beeld komen. Dus klant keurt de transactie goed met identifier en weg is het geld.
Het is vast ook mogelijk om zo’n betaalopdracht aan te passen naar een verzoek om een bankieren app te koppelen en het dan aan de klant doen laten overkomen alsof ze de betaalopdracht moeten bevestigen. Waarschijnlijk is het dan wel zo dat de klant op de identifier bijvoorbeeld ineens op 4 in plaats van 2 moet klikken om de opdracht te bevestigen, maar dat zal Hans en Ingrid niet opvallen. Het helpt ook niet mee dat al die opties bij de identifier vaak ook allemaal bevestigen/verzenden heten, ipv dat 2 bevestigen overboeking heet en 4 bevestigen koppelen app heet.

Dank, dank, dank. Met name voor de link.

Ik zie dat ook optie 2 genoemd wordt (bij het instellen van een daglimiet). Een en ander zou (zoals door Anoniem 09:16 gemeld wordt) door MitB software of een MitM aanval naar de bank-website gebruikt kunnen worden om een login plus betalingsopdracht te transformeren naar het koppelen van een smartphone voor de maximale daglimiet, zonder dat de klant veel in de gaten heeft.

Internetbankieren is inherent onveilig omdat er geen rechtstreeks contact is tussen de klant in de bank, dus kunnen criminelen zich er altijd tussen wurmen. Je zou met de bank moeten kunnen afspreken dat alleen echt kleine transacties via internet gaan, en dan maximaal vijf per dag.

Voor de grotere transacties zou er verplicht een bankfiliaal beschikbaar moeten zijn, als de klant dat wil. Net zoals er een acceptatieplicht komt voor contant geld. Dan kan de klant tenminste controleren of hij echt met de bank te maken heeft.

Er is maatwerk mogelijk op dit punt maar dat willen de banken niet. Ze gooien alle klanten in dezelfde put. Ondertussen doet de overheid niks, die reguleert de banken niet om burgers te beschermen, maar alleen om burgers te verdenken van witwassen.

Ook op mobiele devices heb je dat, vooral voor Android. Daarnaast zijn er, ook voor iOS en Android, apps zoals TeamViewer en Anydesk.

Soms kun je deze downloaden op nepsites die van Avast zouden kunnen zijn: "bankhelpdeskmedewerkers" sturen mensen daar naartoe met de instructie dat zij hun PC/smartphone/tablet op virussen moeten scannen. Hun slachtoffers hebben geen flauw benul dan AnyDesk geen virusscanner is, en onthouden dus ook niet dat zij "AnyDesk" i.p.v. Avast hebben geïnstalleerd. Zie https://infosec.exchange/@ErikvanStraten/113987804370380156 -met screenshots- voor info.

Er zijn oneindig veel mogelijkheden voor het kapen van een bankaccount (op elke plek in het "plaatje" onderin https://security.nl/posting/877799) waarbij het slachtoffer géén idee heeft hoe dat kon gebeuren c.q. zich daarvan de essentiële details (vaak t.g.v. misleiding, maar ook door vergeetachtigheid) niet meer kan herinneren.

Elke organisatie, inclusief banken, is gestoord als er geen SUPERUSER is die onverwachte problemen kan oplossen. En daarbij onbegrenste autorisaties heeft, of waarbij geheel geen autorisaties worden afgedwongen. Met logging, monitoring en auditing moet dit worden gedetecteerd, maar die krijgt het slachtoffer niet te zien.

En bijv. als de batterij van een identifier o.i.d. leeg is, moet de bank jou een nieuwe kunnen toesturen. Daar wordt mee gefraudeerd.

Een voorbeeld van absurde fouten die banken maken, uit https://radar.avrotros.nl/artikel/rekening-geplunderd-maar-bunq-onbereikbaar-60558:
Carla maak wél mee dat haar bank blundert, maar dat hoeft vanzelfsprekend niet in alle gevallen zo te zijn.

Het is dus KRANKZINNIG om een bankklant in het ongelijk te stellen omdat zij of hij zegt niet te weten wat er precies is gebeurd. En dus is dit KROMSPRAAK door corrupte rechters.

"En dat kunnen ze niet". Stel ik zeg dat jij mij als kind hebt verkracht. Hoe ga jij bewijzen dat dit niet zo is?

Ik heb dat eerder geschreven, en ik ga dat niet elke keer opzoeken als dezelfde of een andere onbenul (die vindt dat zij of hij het bij het rechte eind heeft, en sowieso niet overtuigd wil worden van het tegendeel) daarom vraagt. Het zijn lange en langdradige teksten met tig uitzonderingen die ik allemaal zou moeten benoemen om het verhaal compleet te krijgen. En IANAL.

In elk geval de strekking van de wet is duidelijk, en feitelijk een deal: klassiek bankieren vervangen door internetbankieren werd acceptabel bevonden indien consumenten worden beschermd voor de toegenomen risico's geïntroduceerd door internetbankieren.

Ooit minister Hoekstra van financiën riep banken nog op om coulant te zijn bij bankfraude (https://www.security.nl/posting/728553/Hoekstra+gaat+banken+nogmaals+wijzen+op+vergoeden+spoofingslachtoffers) maar ook banken (we hebben geen keuze) doen "dapper" mee aan de "fuck you" maatschappij, geholpen door "fuck you" idioten op security.nl die de ballen verstand hebben van security.

In https://www.iusmentis.com/zakendoen/epayment/aansprakelijk-fraude-betaling/ vind je een "afwegend" artikel dat m.i. nog te positief is voor banken (van advocaten kun je verwachten dat zij niet keihard stelling nemen - omdat alle soorten partijen potentiële klanten zijn). Lees dat eerst maar eens; ik hoor het wel (of niet, dat heeft mijn voorkeur).

Nog een voorbeeld: https://blog.cloudflare.com/password-reuse-rampant-half-user-logins-compromised/.

Weet jij zeker dat ABN-Amro geen Cloudflare gebruikt als een klant inlogt? Cloudflare servers zijn het eindpunt van E2EE https-verbindingen. En Cloudflare bekijkt, als MitM (Man in the Middle) alle inloggegevens, waaronder wachtwoorden en 2FA/MFA codes (OTP, ook uit "identifiers") die "voorbij komen". Een foute medewerker kan AitM (Attacker...) worden en zich voordoen als jou richting de echte server.

En dit geldt voor elke server die ongeauthenticeerd en onversleuteld verkeer verwerkt, ook bij evt. hostingpartijen gebruikt door de bank.

Er worden trouwens nóg onterechtere certificaten uitgegeven (https://infosec.exchange/@ErikvanStraten/112914050216821746), en veel mensen trappen in phishing-websites waarbij zij ervan overtuigd zijn dat deze van hun bank is.

Of trappen in nepmeldingen over malware: https://infosec.exchange/@ErikvanStraten/113124204291514950) en relateren dat niet aan latere bankfraude.

Leken hebben geen idee van de complexiteit "achter hun schermen", en dus ook niet van de risico's die zij lopen. Laat staan dat zij in alle gevallen kunnen verklaren hoe bankfraude plaatsvindt.

Het is dus KRANKZINNIG om een bankklant in het ongelijk te stellen omdat zij of hij zegt niet te weten wat er precies is gebeurd. En dus is dit KROMSPRAAK door corrupte rechters.


Bravo Erik,
Helemaal mee eens.

Was vroeger toch ook het geval met de acceptgiro, cheques of gewoon de PIN pas.

Erg complex aan worden.

Zit bijna niemand op te wachten, lastig, complex, duur inefficient.
Want gelukkig is er nooit vals geld in omloop?
Veel bedrijven zitten hier niet op te wachten. Heel veel consumenten betalen alles gewoon direct met hun telefoon.

Omdat wat jij bedenkt bijvoorbeeld onhaalbaar is.
Overheid doet het nodige, oa op TV zie je bijvoorbeeld spotjes voorbij komen.
heeft hier niets mee te maken.

Dus als de bank de koppeling kan koppelen aan de klant zijn bankpas en pincode, en de klant kan dit niet verklaren. Dan moeten de banken maar hun verlies nemen?

Je raakt niet zomaar je bankpas en pincode kwijt, je hebt hier als vreemde niet zomaar toegang tot.

Mooie onderbouwde uitspraak.

Afgezien specialisten, die er verstand van hebben, er anders overdenken en dit ook kunnen onderbouwen.