×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Vereniging van Banken: fraude met internetbankieren daalt

Door , 69 reacties

De financiële schade door fraude met internetbankieren is in het afgelopen halfjaar met 21 procent gedaald. De totale hoeveelheid schade door fraude is echter toegenomen, al geschiedt dit voornamelijk met gestolen passen en sociale trucs.

De cijfers komen bij de Nederlandse Vereniging van Banken vandaan, die er een artikel over heeft gepubliceerd. Waar er in de tweede helft van 2016 nog voor 674.000 euro aan schade werd geleden door fraude met internetbankieren, is dat in de eerste helft van 2017 gedaald naar 535.000 euro. Een verklaring voor de daling wordt niet gegeven.

Digitale fraudetactieken waarbij wel meer schade is geleden, zijn degene waarbij valse e-mails worden verstuurd en valse apps en websites worden gemaakt. Ook fraude bij verkoopwebsites als Marktplaats is toegenomen. De vereniging geeft het advies om waakzaam te blijven voor dergelijke tactieken.

De grootste schadepost in het betalingsverkeer is door misbruik van gestolen of verloren betaalpassen. De schade hiervan is in het afgelopen halfjaar met 14 procent naar 1,8 miljoen euro gestegen. De criminelen zouden aan de passen komen door ze simpelweg te stelen of door middel van phishing de eigenaren te misleiden om hun pincode te geven en de pas via de post op te sturen.

Een andere manier waarop criminelen fraude plegen, is door valse aanvragen voor betaalpassen in te dienen. Hiervan is de schade met 30 procent toegenomen, tot 989.000 euro in het afgelopen halfjaar. De vereniging geeft aan dat de percentuele verschillen in alle takken erg groot lijken, omdat er in totaal vrij weinig fraude wordt gepleegd en de schade hiervan in 2016 historisch laag was.

Tegenover de daling van fraude met elektronische betaalmiddelen, is er een flinke stijging in het aantal frauduleuze automatische incasso's en handmatige betaalopdrachten waargenomen. Volgens de vereniging is de geleden schade hierdoor meer dan verdubbeld. Als gevolg hiervan hebben de banken hun controles op dergelijke 'ouderwetse' fraudevormen aangescherpt.

Door Emile Witteman

Nieuwsposter

23-09-2017 • 09:55

69 Linkedin Google+

Reacties (69)

Wijzig sortering
De criminelen zouden aan de passen komen door ze simpelweg te stelen of door met phishing de eigenaren te misleiden om hun pincode te geven en de pas via de post op te sturen.
De combinatie van een pass en pin code is nochtans enorm sterk. Maar als mensen hun verstand niet willen gebruiken kan geen enkele technologie hen veilig houden...
Veiligheid kan wel, maar het is een afweging. Gemak en veiligheid gaan niet samen en zijn elkaars tegenpolen.

ING heeft wel eens uitgelegd waarom ze het simpele TAN code systeem aanhouden. Het risico op misbruik is nauwelijks hoger dan bij echte 2 factor zoals dat ding van de ABN, maar het gemak is vele malen hoger.
Veiligheid kan wel, maar het is een afweging. Gemak en veiligheid gaan niet samen en zijn elkaars tegenpolen.

ING heeft wel eens uitgelegd waarom ze het simpele TAN code systeem aanhouden. Het risico op misbruik is nauwelijks hoger dan bij echte 2 factor zoals dat ding van de ABN, maar het gemak is vele malen hoger.
De TAN codes, staan op de server opgeslagen en kan dus door een hacker gebruikt worden om in te loggen. De TAN codes zijn ook niet gegenereerd, zoals bij ABN en Rabo. De random reader genereert een code door de pasgegevens te combineren met de tijdstip. Bij ING hoef je alleen iemands inloggegevens te hebben, verander je de telefoonnummer en de TAN codes komen op de nieuwe nummer. Juist doordat ze zijn opgeslagen op de server, wil zeggen dat het een stuk makkelijker is om de TAN codes te bemachtigen. Het wil nu nog niet zeggen dat het dus makkelijk is, maar dat er wel nagedacht kan worden over hoe het veiliger kan.

Voor echte veiligheid zou je bijv. een bionic chip moeten maken die bijv. de vingerprint gebruikt en op basis van een sterke algoritme een sleutel kan genereren.

Netzoals wat @SpiceWorm zegt, gemak en veiligheid gaan niet samen. Mensen willen het lekker gemakkelijk hebben en willen absoluut niet weten hoe het werkt en hoe het veiliger kan. Je kan een systeem neerzetten dat tegen alles aankan en sterke algoritmes gebruikt om een sleutel te genereren, maar als de mensen het lastig vinden laten ze het links liggen. Leg maar aan mensen uit hoe zij het veiligste kunnen internetten en waar ze op moeten letten, het gros zal zich niks meer herinneren, omdat het hun ook niet interesseert. Slechts een klein hoeveelheid mensen snappen hoe zij veilig kunnen internetten. Heb zat mensen moeten helpen omdat zij stomweg de phishing mail vertrouwen, want het ziet er officieel uit... Zolang dat soort mensen de besef niet hebben, zal er altijd misbruik van gemaakt kunnen worden. En kom op, de enigste vorm van beveiliging, is een hacker
Bij ING hoef je alleen iemands inloggegevens te hebben, verander je de telefoonnummer en de TAN codes komen op de nieuwe nummer.
Oh.

https://i.imgur.com/Ox9bpPi.png

Daarvoor moet je langs het kantoor, je legitimeren via legitimatiebewijs en de pinpas (pincode weten).

Je moet nog steeds op het juiste moment de juiste tan code invoeren. Dit is niet te brute forcen en het lijstje is niet slechts 10 TAN codes, dus gokken is ook lastig.


ING redeneert zo, als iemand al toegang heeft tot je bankzaken, dan zijn de verificatie mogelijkheden als een randomreader ook niet zo lastig te bemachtigen. Verificatie via 2 factor is enkel nodig om het simpele misbruik tegen te gaan. Daar buiten kom je al heel snel in het targetted misbruik voor hoge profiel gebruikers, en dan maakt het allemaal nog maar bar weinig uit bij welke bank je zit en welke oplossing deze heeft verzonnen. En doorgaans zul je de bende al geblokkeerd hebben voordat het misbruik een poging krijgt.

Wil je mijn ING rekening misbruiken zul je me goed moeten social engineeren of mijn telefoon jatten en hopen dat ik niet binnen 5 minuten een internet verbinding tot mijn beschikking heb.

Gezien ik toch een arme sloeber ben, toch geen target, niemand die de moeite zal nemen.
Gezien ik toch een arme sloeber ben, toch geen target, niemand die de moeite zal nemen.
Pas wel op, deze gedachte kan laksheid veroorzaken. Er valt wellicht minder bij jou te halen, maar aanvallers die jou niet persoonlijk kennen weten dat natuurlijk niet. Dat weten ze pas op het moment dat het voor jou te laat is.
ING redeneert zo, als iemand al toegang heeft tot je bankzaken, dan zijn de verificatie mogelijkheden als een randomreader ook niet zo lastig te bemachtigen. Verificatie via 2 factor is enkel nodig om het simpele misbruik tegen te gaan. Daar buiten kom je al heel snel in het targetted misbruik voor hoge profiel gebruikers, en dan maakt het allemaal nog maar bar weinig uit bij welke bank je zit en welke oplossing deze heeft verzonnen. En doorgaans zul je de bende al geblokkeerd hebben voordat het misbruik een poging krijgt.

Wil je mijn ING rekening misbruiken zul je me goed moeten social engineeren of mijn telefoon jatten en hopen dat ik niet binnen 5 minuten een internet verbinding tot mijn beschikking heb.
Heb je hier een bron van, dat de ING zo redeneert? Het 'gevaarlijke' is dat ze voor een single device oplossingen kiezen. Ik weet niet hoeveel procent van de ING klanten de mobiele app gebruiken, mijn ruwe inschatting is meer dan de helft.

Hypothetisch, meer dan de helft heeft dus één apparaat om op telebankieren in te loggen en transacties te signeren/akkoorderen. Uiteraard, je dient een vijfcijferige code te kiezen om het af te schermen en 'three strikes and you are out'. Vergeet echter niet dat de software op smartphones ook gewoon met beveiligingsissues te maken heeft.

Patch level september 2017 van Android verhelpt bijvoorbeeld een RCE (remote code execution) kwetsbaarheid. Ik zeg niet dat het voldoende is, maar het zal een kwestie van tijd zijn voordat een of meerdere kwetsbaarheden voldoende zijn om een toestel compleet te hijacken. Keylogging functionaliteit voor de inlogcode, de sensors om te weten of de gebruiker niet in de buurt is, transactie doen en indien hoger dan "code limiet" (het limiet waarvoor de vijf cijferige code volstaat) even SMS afvangen en klaar. Als je dit weet te automatiseren door middel van malware is het lekker snel verdienen.

Bij een bank met een ander device voor de 2FA (random reader, e.identifier, digipass, whatever) zul je sowieso onder het "code limiet" moeten blijven natuurlijk - bij de ING niet, want alles gebeurd toch van hetzelde apparaat.
Voor de apps van andere banken geldt precies hetzelfde. Geen randomreader nodig, alleen de code.
Pas wanneer je via de browser betaalt en de betaling niet via de app van je bank laat lopen krijg je te maken met TAN-codes of randomreaders.
Ja, voor andere banken gaat dat ook op. Echter, als je boven het ingestelde maximum (standaard 0, 250 of 500 afhankelijk per bank) zit heb je bij andere banken een ander device nodig. Bij de ING niet, bij het overgrote deel komt de TAN op hetzelfde apparaat binnen. Je kunt dit op twee aparte apparaten doen (heb ik zelf zo gedaan), maar lijkt me niet dat veel klanten dit zo instellen.
Daarvoor moet je langs het kantoor, je legitimeren via legitimatiebewijs en de pinpas (pincode weten).
En vervolgens wordt er ook nog een sms naar het 'oude' nummer gestuurd met de waarschuwing dat het nummer is gewijzigd. De rekeninghouder zal dit dus onmiddellijk merken en kan de boel blokkeren.
Als je toegang hebt tot de server(s) van een bank is de rest van de beveiliging sowieso niet meer van belang.

Het grootste lek is nog altijd het (gelijktijdig) per post versturen van passen, readers en activatiecodes. Banken zijn van de risico's op de hoogte, maar willen daar niets aan veranderen.
En dat doet de ING juist niet, een nieuw wachtwoord moet afgehaald worden op het bankkantoor, net zoals je pincode. Die krijg je dus pas na identificatie.
Onzin. Er zijn echt nog bergen veiligheidsmaatregelen waardoor geld niet zomaar weg kan stromen. Ook daar zijn zwakheden in ontdekt: https://en.wikipedia.org/wiki/Bangladesh_Bank_robbery maar dat betekent niet dat beveiliging alleen bij de bank ligt en dat er geen interbancaire maatregelen bestaan.
De ING is aan het overgaan naar verificatie via de app, waarbij je ook een eigen pincode moet gebruiken (die los staat van de pinpas).

Overige is het TAN-code systeem gewoon een echt 2-factor authenticatie systeem. Toegegeven, er is al eens geschreven dat SMS hiervoor eigenlijk niet meer als veilig beschouwd kan worden, maar daar wordt dan ook aan gewerkt dmv de app :)
er is al eens geschreven dat SMS hiervoor eigenlijk niet meer als veilig beschouwd kan worden
Meh, in theorie is GSM inderdaad gekraakt, maar het is niet alsof de gemiddelde crimineel zomaar mee kan lezen. Er zijn meerdere manieren om sms'jes te onderscheppen, maar die zijn geen van alle bruikbaar om TAN-codes te onderscheppen:
  • SIM-kaart klonen: hoe gaat je malware (op de computer van het slachtoffer) het telefoonnummer / IMEI-nummer achterhalen dat gekloond moet worden?
  • De encryptie van het GSM-protocol kraken en simpelweg meelezen met alle sms'jes is mogelijk... maar dan moet je weten in welke gsm-cel je slachtoffer zich bevindt, hoe ga je daar achterkomen?
  • Er zijn aanvallen geweest die misbruik maken van het gebrek aan beveiliging (in het protocol dat gebruikt wordt) op de backbone. Wat je daarmee precies kunt weet ik niet, maar je zult nog steeds op de één of andere manier je slachtoffer moeten identificeren. (Ik weet niet of het in theorie mogelijk is om te zeggen "routeer alle sms'jes in Nederland via mijn computer". In dat geval zou je (als je die hoeveelheid data verwerkt krijgt!) binnen zijn: de sms bevat een volgnummer, totaalbedrag en moment van versturen en die combinatie is practisch gezien uniek.)
Het echte probleem is dat mensen tegenwoordig niet op hun computer internetbankieren en op hun telefoon sms ontvangen, maar op hun smartphone internetbankieren en op diezelfde smartphone sms ontvangen. Dan wordt het voor malware opeens wél hartstikke eenvoudig om de sms (en daarmee de TAN-code) te onderscheppen.
De ING is aan het overgaan naar verificatie via de app, waarbij je ook een eigen pincode moet gebruiken (die los staat van de pinpas).
Ja leuk, maar de beveiliging van die app is bagger. Je voert je pincode in op een gigantisch formaat toetsenbord, dus vanaf de andere kant van de kamer kunnen mensen meekijken wat je code is. En dat is de enige vorm van beveiliging in de hele app. Ja, hij moedigt aan om de app uit te loggen als je hem niet gebruikt, maar hoe log je weer in? Juist ja, met diezelfde pin-code die je bij elke transactie in moet voeren en dus relatief eenvoudig is af te kijken.

De app is (naar ik aanneem; heb het niet uitgezocht) beveiligd tegen malware op je telefoon. Hij is echter nauwelijks beveiligd tegen mensen die naast je staan: iemand die uit zijn ooghoek je pin-code meeleest en even later je telefoon zakkenrolt... Zelfs als je daar bijna meteen achterkomt, wat ga je doen? Je kunt niet meer op internet (blokkeren via de website valt af) en niet meer bellen (blokkeren via de klantenservice valt af). Tegen de tijd dat je een telefoon geleend hebt (en het nummer van de klantenservice hebt opgezocht) is je rekening al leeg.

[Reactie gewijzigd door robvanwijk op 23 september 2017 18:07]

Niet helemaal waar. Bij het blokkeren van je rekening op de app van een gestolen telefoon moet je aangeven hoe lang het geleden is dat het apparaat gestolen is. Alle transacties die sinds dat tijdstip gedaan zijn kunnen van het afgelopen uur ongedaan gemaakt / vergoed worden. Valt onder het risico wat de bank neemt.
Dat de bank het vergoedt is leuk, maar uiteindelijk moet het wel betaald worden. Als je de daders niet pakt dan zal die vergoeding van de andere rekeninghouders moeten komen (volgens dit bericht kost dat minder dan een euro per jaar, dus dat is nog te overzien). Als klant heb je wel degelijk baat bij een goed beveiligde app (en website en bank in het algemeen).

[Reactie gewijzigd door robvanwijk op 23 september 2017 23:58]

Dat is een balans. De huidige schade is een euro per klant per jaar. Die extra beveiliging moet minder kosten dan de schade die ermee voorkomen wordt, anders zijn we met z'n allen duurder uit. Fraude en diefstal zul je altijd houden, want het voorkomen van dat laatste geval kost een vermogen.
Zelfs als iemand jouw telefoon jat en de code weet, kan hij daarmee nog niet je rekening leeghalen: de app weigert geld over te maken naar een rekening waar je nog niet eerder (via een andere methode) geld naar over hebt gemaakt. Daarnaast zit er een daglimiet op de hoogte van bedragen via de app.
Dat verschilt per bank (en misschien van de instellingen in de app).
Ik kan een willekeurig nieuw rekeningnummer in de ING-app invoeren en daar geld naar overmaken. Wel kan ik een daglimiet opgeven in de app, maar met de juiste code (dezelfde code om in te loggen en een transactie te bevestigen) is die limiet aan te passen. Het maximum limiet is ¤ 5.000.
Dat verschilt wel per bank. Bij de ING is dat namelijk geen criteria.
Met de ING-app heb ik geen problemen om geld over te maken naar een nieuw rekeningnummer, dus die vlieger gaat niet op. Er zit inderdaad wel een daglimiet op, die je via diezelfde app kunt verhogen. Daar zit een bepaalde wachttijd aan vast, dus hoe kwetsbaar dat is hangt af van de tijd die je nodig hebt om de diefstal op te merken en je bank te informeren.
Je denkt met de sms-punten te veel aan alleen malware: de meeste schade wordt tegenwoordig betrokken dmv sociale engineering (eventueel icm malware), en daarvoor weet je al vrij snel veel van het slachtoffer.

De beveiliging van de app is net zo sterk als je hem instelt, ik geloof dat hij ook met vingerafdruk kan tegenwoordig. En het afkijken van de pincode is net zo makkelijk als tijdens het normale pinnen, daar moet je dus voorzichtig mee zijn ;)

Sterker nog, de ING heeft juist de beveiliging uitgebreider staan dan de ABN of de Rabobank. Als je daar de pas en de pincode hebt (oftewel, je kan skimmen en afkijken) kun je alles zonder enig limiet. Bij de ING zul je een wachtwoord en een fysiek toestel moeten hebben, dat toch lastiger is.

Wie overigens alleen de app voor het complete bankieren gebruikt is ook niet snugger overigens, daar is het absoluut niet voor bedoeld. En voor de extra veiligheid heb je standaard een daglimiet ingesteld (heb hem zelf op 100¤) staan.

Conclusie: veiligheid ligt grotendeels bij jezelf, en ja, het blijft een afweging tussen gebruiksgemak en veiligheid.
De uitdaging is natuurlijk de beveiliging van de telefoon, want daar zit alles in. Wat mij betreft zou een app waarmee je je betalingen kunt autoriseren alleen geactiveerd moeten kunnen worden op een telefoon die zelf ook beveiliging aan heeft staan.
Er is niet zoiets als "veilig" of "niet veilig" (met als uitzondering dat het per definitie onveilig is om in absoluten te denken). De veiligheid van een systeem wordt bepaald door het risico dat er misbruik van gemaakt kan worden. Dat druk je uit door middel van statistiek en kansberekening (risico = kans * impact).
"Gemak en veiligheid gaan niet samen en zijn elkaars tegenpolen."

Is dat werkelijk waar of is het gewoon moeilijk om beide te combineren? Huidige auto's zijn veel veiliger en ook gemakkelijker in het gebruik dan auto's van 40 jaar geleden.

Ik denk dat die stelling vooral staat voor een gebrek aan fantasie of mogelijkheden. Een vingerafdrukscanner is best wel veilig en ook erg gemakkelijk.
Het gaat -helaas- niet samen. Hoe meer veiligheid, hoe meer gemak je inleverd. Hoe meer gemak je wilt, hoe meer je inleverd op veiligheid.

Dit soort veiligheid is wat anders als de veiligheid van een auto :) Onze term veiligheid is wat breder dan in het engels waar je het eerste vertaald naar security en jouw voorbeeld naar safety.

Vingerafdruk is security wise, niet zo heel veilig. Vrij makkelijk te klonen, en als het eenmaal gekraakt is, nooit meer zinvol in te zetten. Je vingerafdrukken verander je niet zoals een wachtwoord, token of pin.

Maar net als de TAN codes, het risico op misbruik is bij de standaard gebruikers, uiterst minimaal en het heeft een hoog gemakzucht gehalte. Ben je een hoog profiel doelwit, dan zou ik niet snel vertrouwen op de veiligheid van je vingerafdruk.
Ik snap waar je vandaan komt, maar is een vingerafdruk werkelijk minder secure dan een patroon? Ik bedoel een patroon kan je vaak nog op het scherm zien. En je hoeft maar 1x mee te kijken
En als je vingerafdruk gekopieerd wordt, dan staat hij nog niet automatisch op the piratebay.

Daarnaast wordt zoiets door een aparte chip afgewerkt, gewoon wat malware op een telefoon kan al gauw een patroon omzeilen.

Akkoord, anders, met beide systemen hun beperkingen maar sec minder secure, dat weet ik niet. Een vingerafdruk namaken is veel moeilijker dan een patroon/pincode reproduceren.

Als je een high profile target bent miss niet genoeg, eens maar voor de massa een flinke security upgrade terwijl het meer gebruiksvriendelijk is.
Zodra iemand jouw vingerafdruk heeft, dan kan je deze nergens anders meer gebruiken. Des te meer als je een high profile target bent.
En je voorbeeld van een telefoon met patroon als veiligheid is ook anders. Zodra iemand malware op je telefoon kan zetten, heb je per definitie al verloren. Die gaan namelijk echt niet malware maken speciaal om je patroon te krijgen. Die maken dan malware die gelijk alle data van je telefoon plundert.
Dan zou je de geregistreerde afdruk nietig kunnen verklaren, je hebt daarna nog 9 afdrukken tot je beschikking.
Althans, dat zou een 'oplossing' kunnen zijn.
"Zodra iemand jouw vingerafdruk heeft, dan kan je deze nergens anders meer gebruiken. "

Hoezo? Ten eerste, als een aanvaller een vingerafdruk heeft heeft niet iedereen jouw vingerafdruk, dus ook andere aanvallers niet. Ten tweede: die aanvaller heeft een doel en als dat doel bereikt is is die vingerafdruk niet meer relevant.

Ik heb twijfels over het realisme van dit worst case scenario.
Een patroon is dan ook bij lange na niet zo veilig als een wachtwoord oid. Verder is het geloof ik niet zo makkelijk om met malware de blokkering te omzeilen. Ik heb al jaren niet meer van een bug in de screen unlock gehoord.
Ga ik in mee.. In den beginsel ben ik voor een zo hoog mogelijke veiligheid. Maar werkend voor een Service Provider merk ik dat heel erg strikte beveiliging policies bij heel veel gebruikers en dat kan Jan met de pet zijn of een systeem beheerder. Tegenstand oproept of zelfs aversie.

Het is niet makkelijk om een balans te vinden in hoe je dit aanpakt. Er is altijd een overweging hoe kunnen we het zo makkelijk voor de gebruiker mogelijk systeem verzinnen op een manier die toch zo veilig mogelijk is. Dat is waar de balans zit.

Nu ben ik VoIP engineer/designer dus ik pak ook veel aan de achterkant aan. Eerlijk gezegd boek ik daar ook de meeste winst omdat het zonder tussenkomst van de eindgebruiker kan.
Daarom krijg je als bedrijf bij de ING een TAN code lijst, een A4 tje met voor een paar honderd transacties de TAN code. Niet echt veilig, toch hoor ik nooit bedrijven die zijn opgelicht door specifiek deze methode.

Het heeft meer met bewustwording te maken dan met welk verificatie systeem precies wordt gebruikt.
Voornamelijk ouderen, controleren uitgebreid of het https slotje klopt, of de url klopt, en lopen alles na voordat ze inloggen.

Iemand die zich niet bewust is van de risico's, zal toch vroeg of laat wel een keer tegen oplichting aanlopen.
Maar dankzij onder andere TV reclames van de verenigingen van banken, is het toch flink verbeterd. :)
Blijkbaar niet veilig genoeg dus.
Vergeet ook de zwakkeren in de samenleving niet of mensen die om een medische reden niet meer goed kunnen nadenken, die zijn kwetsbaar en kan je niet aan hun lot overlaten!
Vraag is dan natuurlijk of wanneer je "niet goed meer kan nadenken" om welke reden dan ook je nog wel verantwoordelijk kan zijn voor je eigen financiën en het beheer daarvan. Ook daar zijn oplossingen voor (onder curatele stellen, familie machtigen e.d.)
Exact: als je niet meer toerekeningsvatbaar of simpelweg zwakzinnig bent lijkt het mij niet verstandig om je eigen financiën te regelen.
Leg de schuld maar weer bij het slachtoffer neer.

Bij criminele activiteiten zie je altijd verschuivingen, denk aan bankovervallen. Gebeuren nauwelijks meer, dus verschuift het naar tankstations e.d., die weer sterk beveiligen, en het verschuift weer.
Zelfde met geldautomaten, die van banken worden nauwelijks meer gekraakt, het verschuift naar de kleinere automaten bij supers e.d.

Nu ontopic:
Waar je voorheen je pasje bij de lokale bank kon ophalen, bij jou in het dorp, zit daar nu geen kantoor meer (de pincode kreeg je opgestuurd). Dus uit gemakzucht van de bank en klant, worden pasjes & pincodes opgestuurd, wat inderdaad criminelen de kans geeft deze te onderscheppen, omdat de mensen eraan gewend zijn dat het versturen online en/of per post gebeurd.

Dat is de hoofdoorzaak, in combinatie met de lage pakkans / prioriteit die de opsporing heeft (het is immers maar een paar miljoen, boetes zijn relatief nihil [het geld is toch al weg] ten opzichte van andere boetes die uitgeschreven kunnen worden, dus daar wordt de 'opsporing' capaciteit ingezet).
Leg de schuld maar weer bij het slachtoffer neer.
Op het moment dat mensen hun bankpas in een envelop doen, er een briefje bij stoppen met hun pincode en die opsturen naar een willekeurig adres... Ja, op dat moment lijkt het me tijd om de schuld bij het slachtoffer te leggen. De boodschap "houdt je pincode geheim" is er inmiddels behoorlijk hard ingehamerd, net zoals "bankmedewerkers zullen nooit om uw wachtwoord / pincode vragen". (Dat mensen niet snappen dat een bankpas niets waard is en dat een bank die nooit terug zal willen vind ik moeilijk te begrijpen, maar okee, dat iemand daar intrapt is nog tot daar aan toe.)
Waar je voorheen je pasje bij de lokale bank kon ophalen, bij jou in het dorp, zit daar nu geen kantoor meer (de pincode kreeg je opgestuurd). Dus uit gemakzucht van de bank en klant, worden pasjes & pincodes opgestuurd, wat inderdaad criminelen de kans geeft deze te onderscheppen, omdat de mensen eraan gewend zijn dat het versturen online en/of per post gebeurd.
Dat is niet de methode waar het hier over gaat...
Dat is de hoofdoorzaak, in combinatie met de lage pakkans / prioriteit die de opsporing heeft (het is immers maar een paar miljoen, boetes zijn relatief nihil ~[het geld is toch al weg] ten opzichte van andere boetes die uitgeschreven kunnen worden, dus daar wordt de 'opsporing' capaciteit ingezet).
Dat het geld toch al weg is maakt niet uit; dat is alleen een (zwak) argument bij hele grote bedragen en in die gevallen wil je de dader juist aanpakken, zelfs als het geld niet (volledig) terug te halen is. Daarnaast, als je een boete niet kunt betalen krijg je een gerechtsdeurwaarder op je dak, worden je eigendommen in beslag genomen en botweg geveild. Een inboedel is alles bij elkaar behoorlijk wat waard (kijk maar eens naar de bedragen die een inboedelverzekering dekt; die zijn niet voor niets zo hoog!), dus op een totale omvang van slechts enkele miljoenen denk ik niet dat een enkele dader (indien hij gepakt wordt) de schade niet kan vergoeden.

Ik mag toch hopen dat justitie een betere methode heeft om opsporing te prioriteren dan de hoogte van de boetes de geïnd kunnen worden! (En... waarom zet je "opsporing" tussen aanhalingstekens!?)
Je verzekering is inderdaad aardig wat waard.
Maar je inboedel gaat voor een heel zacht prijsje weg, waardoor je vaak alsnog met een restschuld blijft zitten.
In een goede babbeltruc trappen heeft weinig met wel of niet je verstand gebruiken te maken. Wanneer de ander een op het eerste gezicht aannemelijk antwoordt heeft op alle bezwaren die jij met je boerenverstand kan verzinnen, dan is de kans erg groot dat je er in trapt.
Oké, de meesten op dit forum weten inmiddels genoeg over oplichting om er niet makkelijk in te trappen, maar de meeste anderen vertrouwen al snel op een vriendelijk meneer of mevrouw van de Bank. Helemaal wanneer ze al het één en ander van je weten (wat gegevens van een onderschept bankafschrift bv.) en voordat je zelf met één van de door jouw genoemde bezwaren kunt komen, een aannemelijke verklaring geven waarom er in dit geval een uitzondering gemaakt wordt.

Bv. door meteen te zeggen dat de bank hier anders nooit naar zal vragen, maar dat er in dit geval een uitzondering gemaakt moet worden. De chip op de bankpas veroorzaakt namelijk storing in sommige pinautomaten waardoor andere klanten niet meer kunnen pinnen. Daarom moet de pas opgestuurd worden om de chip te kunnen onderzoeken. En omdat de chip is beveiligd met de PIN, hebben ze die ook nodig, omdat de chip anders niet onderzocht kan worden.
Klinkklare onzin natuurlijk, maar 99% van de mensen hebben niet voldoende kennis om dat door te hebben. Je wordt op meerdere punten gemanipuleerd. Ten eerste wordt bevestigd wat je altijd te horen krijgt (er wordt door de bank nooit gevraagd naar je pas en pincode) en vervolgens krijg je te horen dat er in dit uitzonderlijke geval een uitzondering gemaakt moet worden. Ten tweede wordt er op je schuldgevoel ingewerkt (doordat jouw pas niet goed is, kunnen andere mensen niet pinnen), verergerd door de suggestie dat het aan jou kan liggen (misschien doordat de portemonnee te dicht bij een magnetron heeft gelegen). En ten derde door te benadrukken hoe veilig alles is (zelfs de bank kan de chip alleen maar onderzoeken wanneer je zelf je PIN afgeeft).
Natuurlijk, iedereen die dit hier leest lacht er hartelijk om en kan het hele verhaal vol gaten schieten. Maar de rest van de bevolking zal het zeer geloofwaardig in de oren klinken en zal graag meewerken om het probleem op te lossen.
Daarom moet de pas opgestuurd worden om de chip te kunnen onderzoeken. En omdat de chip is beveiligd met de PIN, hebben ze die ook nodig, omdat de chip anders niet onderzocht kan worden.
Zoals ik zei, dat mensen hun pas opsturen vind ik nog enigszins te vergeven:
Dat mensen niet snappen dat een bankpas niets waard is en dat een bank die nooit terug zal willen vind ik moeilijk te begrijpen, maar okee, dat iemand daar intrapt is nog tot daar aan toe.
Maar dat ze hun pincode erbij doen!? Nee sorry, na alle "bankmedewerkers zullen hier nooit naar vragen"-voorlichting (en serieus, als je bank je pincode niet heeft, hoe kunnen ze dan controleren of je de goede intypt als je een betaling doet...) vind ik toch echt dat we aan de verkeerde kant van de grens tussen goedgelovig en onnadenkend terecht zijn gekomen.

Als je dat nog acceptabel vindt, waar trek je dan wel de grens? Want als je pas + pin in een envelop stopt, dan zijn we nog maar één stap verwijderd van "Kunt u even honderd euro pinnen, die in een envelop opsturen, zodat wij kunnen controleren of de briefjes wel echt zijn (na controle sturen we het geld netjes terug / storten het weer op uw rekening)."... :X
Als je dat nog acceptabel vindt, waar trek je dan wel de grens? Want als je pas + pin in een envelop stopt, dan zijn we nog maar één stap verwijderd van "Kunt u even honderd euro pinnen, die in een envelop opsturen, zodat wij kunnen controleren of de briefjes wel echt zijn (na controle sturen we het geld netjes terug / storten het weer op uw rekening)."... :X
Ik zeg niet dat ik het acceptabel vind. Ik vind het wel begrijpelijk.
Maar wanneer je het meteen tot in het belachelijke doortrekt, is het duidelijk dat jij meer begrip hebt voor de oplichters.
Ik zeg niet dat ik het acceptabel vind. Ik vind het wel begrijpelijk.
Ik vind het juist onacceptabel omdat ik het onbegrijpelijk vind.
is het duidelijk dat jij meer begrip hebt voor de oplichters.
Waar haal je dat vandaan!? Ik heb geen enkel begrip voor oplichters (leuk dat je geld wilt verdienen, maar daar zijn meer dan genoeg eerlijke manieren voor). Ook al is het iemand zijn eigen schuld dat ie erin trapt, dat verandert er niets aan dat de dader fout bezig is.
Helemaal mee eens, mensen laten zich misleiden door allerlij chenarios
Zucht social engineering. Er waren 20 jaar geleden al campagnes op TV die mensen vertelden nooit hun pin code te delen 8)7
[...]De combinatie van een pass en pin code is nochtans enorm sterk. Maar als mensen hun verstand niet willen gebruiken kan geen enkele technologie hen veilig houden...
Dit heeft niets met verstand te maken, maar alles met gemak en vertrouwen. En sterker nog, des te hoger mensen zijn opgeleid, des te groter de kans dat ze slachtoffer worden van fraude. Al is het maar omdat mensen met een hogere opleiding vaak ook meer verdienen en er dus meer te halen valt.
En hoger opgeleiden vinden zichzelf ook al snel te slim om opgelicht te kunnen worden en daar kun je ook gebruik van maken.
Bij iemand met een goede alfa-opleiding kun je het gebrek aan beta-kennis misbruiken doordat ze niet snel willen toegeven dat ze op dat gebied 'dom' zijn. Met een logisch klinkend verhaal met veel klok-klepel elementen kan je dan een heel eind komen.
Een lager opgeleide, die weet dat hij 'dom' is, zal eerder argwanend worden, zeker wanneer hij een gladde prater tegenover zich heeft.
https://youtu.be/5PJ0P-q6yeA

Als je oplichting/misleiding buiten beschouwing laat hebben de banken een punt.

Op youtube zijn er verschillende variaties te vinden.
Ik denk ook dat erg onderschat wordt hoeveel mensen in onze samenleving moeite hebben met dit soort dingen, als alleen 10% al analfabeet is...
Ik koop absoluut niets meer op marktplaats, teveel oplichters en vertrouwen is helemaal geschaad.
Voor spullen die niet of nauwelijks meer te verkrijgen zijn en of goedkoper: eBay met kopersbescherming.
Ik kreeg een aantal maanden geleden een folder van de ING bank waarin zei mij vroegen waarom ik nog 'gewoon internet (PC) bankierde.' Of ik wilde proberen dat via hun app te gaan doen. Veel gebruiksvriendelijker stond er in. Filmpje bekeken en een paar weken later de apps 'internetbankieren' en ook 'betalen' geïnstalleerd.
En ik moet toegeven het is inderdaad gemakkelijk. Buiten mijn eigen rekening beheer ik ook nog twee andere rekeningen en ik heb een creditcard. Die stonden allemaal op die apps. Ik had al snel door dat rekeningen op die apps 'onzichtbaar' te maken waren maar kwam ook tot het besef dat ik wel met een stevig gevulde virtuele portemonnee op zak liep.
ING gebeld: "hoe kan ik mijn creditcard en de rekeningen die ik beheer van jullie apps verwijderen?" De ING-mevrouw deelde mij mee dat dit alleen mogelijk was met een zakelijk account. Ik heb beide apps verwijderd want voelde mij er niet prettig bij. Dan toch maar weer met de (gelimiteerde dagopname) eigen pinpas en gewoon wat geld op zak de straat op.
Jammer dat er geen grafiek is met de cijfers van de afgelopen 10 jaar, dat zet bovenstaande cijfers in een beter perspectief. Overigens blijft het jammer dat criminelen in Nederland niet of nauwelijks worden opgesloten, dan blijf je dit soort criminaliteit in stand houden en dus eigenlijk ook belonen.
Het grootste probleem is gewoon dat er schooiers rondlopen die niet met hun poten van andermans spullen af kunnen blijven. Zolang die nog bestaan zul je altijd dit soort dingen houden. Je kunt beveiligen wat je wilt maar als ze het perse willen jatten ze het toch en anders jatten ze wel wat anders.

Voor de consument is je verstand gebruiken en een verzekering de beste diefstalbeveiliging. Gelukkig wordt schade door fraude vaak vergoed door de bank. Nu nog een keer fatsoenlijke straffen voor die schooiers dan levert het misschien eens wat minder op.
Gelukkig wordt schade door fraude vaak vergoed door de bank.
Zodra de pas is afgeleverd aan de rekeninghouder zou een bank niet meer verantwoordelijk moeten zijn.
Mensen weten dat ze niet verantwoordelijk zijn voor schade en zijn veel te nonchalant met hun pasjes en codes.
De selfies met een nieuwe creditcard bv... Inclusief cvc code :o
En als je ze dan ook pakt , komen ze weg met een taakstraf.
Interessant de financiële schade verminderd terwijl er niet minder gefraudeerd wordt, dus de kosten worden op de klant verhaald
Als de schade vermindert (met een -t, overigens) terwijl er evenveel gefraudeerd wordt, dan zou het toch ook goed kunnen dat het schadebedrag per fraudegeval lager is?
Ja omdat er minder vergoed wordt
Mwah, volgend jaar zal het wel meer zijn. ;(
Ik vind niet dat we echt van een daling kunnen spreken.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*