Bunq hoeft slachtoffer bankhelpdeskfraude geen 10.000 euro te vergoeden
Bunq hoeft een slachtoffer van bankhelpdeskfraude geen 10.000 euro te vergoeden, zo heeft het financiele klachteninstituut Kifid geoordeeld. De klant werd vorig jaar gebeld door een oplichter die zich voordeed als medewerker van ING. Op verzoek van de oplichter installeerde klant het programma AnyDesk. Vijf minuten later nadat de oplichter belde werd er een nieuw apparaat aan de rekening van de klant gekoppeld.
"Om een nieuw apparaat te koppelen, moet de QR-code op het nieuwe apparaat gescand worden met een al eerder gekoppeld apparaat. Uit de administratie van de bank blijkt dat de QR-code om 14:22 uur gescand is met de iPhone van de consument, waarna het nieuwe apparaat toegang heeft gekregen tot het bunq-account van de consument", zo laat het Kifid weten. Met het nieuwe apparaat werd vervolgens 12.500 euro overgemaakt. Een kleine tweeduizend euro daarvan kon worden veiliggesteld.
De klant wil dat bunq de schade vergoedt. Hij stelt dat de bank onvoldoende veiligheidsmaatregelen heeft genomen om de fraude te voorkomen. Zo was er volgens hem geen sprake van sterke cliëntauthenticatie: het invoeren van de zescijferige beveiligingscode was voldoende. Volgens de klant hebben andere banken veel betere veiligheidsmaatregelen en had de fraude daarom alleen bij bunq kunnen plaatsvinden.
Omdat bunq de schade niet wilde vergoeden stapte de klant naar het Kifid. "Hoewel het aan de bank is om te stellen en – na gemotiveerde betwisting door de consument – te bewijzen dat sprake is van grove nalatigheid aan de zijde van de consument, rust op de consument een verzwaarde motiveringsplicht. Dat betekent dat de consument tenminste enig inzicht dient te geven in de wijze waarop een onbevoegde derde de mogelijkheid heeft gehad om toegang te krijgen tot zijn bunq-account. Een andere regel zou de bank voor onaanvaardbare risico’s van misbruik plaatsen", aldus het klachteninstituut.
Uit de administratie van de bank blijkt dat de QR-code voor het koppelen van het nieuwe apparaat is gescand met de iPhone van de klant. De klant betwist dit. "Hoewel het aan de consument is om enig inzicht te geven in hoe zijn iPhone (feitelijk) gebruikt is voor het scannen van de QR-code, heeft de bank maar weinig moeite gedaan om toe te lichten hoe het (technisch) mogelijk is dat een QR-code op het ene apparaat gescand wordt door een ander apparaat, terwijl die apparaten niet fysiek bij elkaar in de buurt zijn", stelt het Kifid.
"Wellicht dat de QR-code op een of andere manier op het beeldscherm van de computer is geprojecteerd – de oplichter had immers via Anydesk toegang tot de computer van de consument – en dat de consument dit vervolgens met zijn iPhone gescand heeft." Voor het Kifid blijft het onduidelijk hoe de iPhone van de klant is gebruikt, maar het is wel duidelijk dat dit is gebeurd. Daarmee heeft de klant volgens het klachteninstituut grof nalatig gehandeld en wordt zijn vordering afgewezen (pdf).
Los gezien van het gebrek aan misdaad aanpak zie ik hier 4 problemen of vraagpunten:
1. Waarom kan er zomaar met een nieuw apparaat 12k overgemaakt worden?
Je mag toch ten minste verwachten dat zulke verdachte transacties geblokkeerd worden totdat er duidelijkheid is?
2. Blijkbaar is enkel het QR scannen en PIN invoeren genoeg is om een ander apparaat te koppelen.
Op zich niks mis mee, maar dan heb ik wel de vraag: Hoe had de klant niet door wat er gebeurde?
Kan het zijn dat dit koppel proces en diens gevolgen niet duidelijk genoeg waren?
3. Had bij het koppelen misschien een extra controle kunnen zitten op basis van GPS/geo/IP locatie?
Want het nieuwe apparaat was niet eens in de buurt van het oude apparaat.
4. Er kon maar 2 van de 12.5 duizend euro terug worden gehaald?
Als bank behoor je geld te beheren, en daarbij hoort gewoon het ervoor zorgen dat het geld niet verdwijnt.
Waarom is er geen systeem om het allemaal terug te halen? Andere banken helpen toch mee hieraan?
(En als sommige banken dat niet doen, waarom zijn grote transacties naar die banken dan niet extra verdacht?)
Er kon maar 2 van de 12.5 duizend euro terug worden gehaald?
Als bank behoor je geld te beheren, en daarbij hoort gewoon het ervoor zorgen dat het geld niet verdwijnt.
Waarom is er geen systeem om het allemaal terug te halen? Andere banken helpen toch mee hieraan?
(En als sommige banken dat niet doen, waarom zijn grote transacties naar die banken dan niet extra verdacht?)
Een kennis van mij heeft dit ook aan de hand gehad met zijn vader. Die werd door een bellende ' bankmedewerker' zijn codes afhandig gemaakt, en een groot gedeelte van het spaargeld verdween van de rekening.
De bank zag echter snel de vreemde overboekingen en blokkeerde de rekening, en nam (hoe ironisch..) contact op.
Helaas was een deel van het ontvreemde geld op diverse locaties al gepind, en kon alleen een deel van de boekingen teruggedraaid worden.
Dit was echter in Duitsland, geen idee hoe een gelijksoortige organisatie dingen regelt verder qua klachtenafhandeling.
Je bent geslaagd voor je tentamen Engels.
Zullen wij nu weer verder communiceren in 'onze moer's taal?'
:-)
Ik moet bij dit soort opmerkingen altijd denken aan een scene uit een BBC produktie uit 1977 genaamd: Count Dracula, waarin de slechterik naar aanleiding van een in het Latijns uitgesproken bezwering sarcastisch opmerkt: "Yes, yes, It always sounds more dramatic in Latin, isn't it?
Je bent geslaagd voor je tentamen Engels.
Zullen wij nu weer verder communiceren in 'onze moer's taal?'
:-)
Ik moet bij dit soort opmerkingen altijd denken aan een scene uit een BBC produktie uit 1977 genaamd: Count Dracula, waarin de slechterik naar aanleiding van een in het Latijns uitgesproken bezwering sarcastisch opmerkt: "Yes, yes, It always sounds more dramatic in Latin, isn't it?
Het is een quote uit de TV serie 'Battlestar Galactica'. De remake.
En soms 'bekt het' wat lekkerder in het Engels ;)
Je bent geslaagd voor je tentamen Engels.
Zullen wij nu weer verder communiceren in 'onze moer's taal?'
:-)
Ik moet bij dit soort opmerkingen altijd denken aan een scene uit een BBC produktie uit 1977 genaamd: Count Dracula, waarin de slechterik naar aanleiding van een in het Latijns uitgesproken bezwering sarcastisch opmerkt: "Yes, yes, It always sounds more dramatic in Latin, isn't it?
Het is een quote uit de TV serie 'Battlestar Galactica'. De remake.
En soms 'bekt het' wat lekkerder in het Engels ;)
Ik ben het helemaal met je eens. Stel je voor dat Anoniem, 11:41 uur had gepost:
'Haec omnia antea acciderunt. Haec omnia iterum evenient'. Dan heette deze website Religia.nl i.p.v Security.nl. ;-)
1. Waarom kan er zomaar met een nieuw apparaat 12k overgemaakt worden?
Je mag toch ten minste verwachten dat zulke verdachte transacties geblokkeerd worden totdat er duidelijkheid is?
Bunq heeft (oa na dit incident denk ik) ingevoerd dat overboekingen naar onbekende rekeningen 24 uur worden vastgehouden:
https://www.rtl.nl/nieuws/artikel/5454242/bunq-neemt-toch-maatregelen-na-oplichtingen-overboeking-24-uur-te-stoppen
Toch toegegeven een extra laag beveiliging toe te voegen. Moet je er wel zelf in 24 uur achterkomen natuurlijk.
Niet antwoord op "nieuw apparaat", maar wel nieuwe rekening.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer Operationele Techniek (ISO)
Heb jij kennis van procesautomatisering en interesse in security en informatiebeveiliging? Solliciteer dan op de functie van (aankomend) Information Security Officer bij Hoogheemraadschap Hollands Noorder-kwartier in Heerhugowaard. Als ISO Opera-tionele techniek draag jij bij aan de veiligheid van onze informatie en systemen.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
