Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Phishing leidde tot 4 miljoen euro aan schade bij internetbankieren in 2018

De schade voor banken als gevolg van phishing bij internetbankieren kwam in Nederland in 2018 uit op 3,81 miljoen euro. Dat is bijna vier keer zoveel als in 2017, toen dat cijfer nog op 1,05 miljoen euro uitkwam.

Volgens de Betaalvereniging Nederland, de branchevereniging voor het betaalverkeer, zijn er enkele hoofdoorzaken voor deze verviervoudiging. Allereerst gebruiken fraudeurs betere hulpmiddelen zodat phishingaanvallen vaker, gemakkelijker en grootschaliger kunnen worden uitgevoerd.

Daarnaast stelt de vereniging dat de kwaliteit van valse e-mails en websites steeds beter wordt, met een betere vormgeving en minder taalfouten. Daar komt bij dat fraudeurs in toenemende mate in staat zijn om hun slachtoffers overtuigender op persoonlijke wijze aan te spreken, zoals met de juiste aanhef en naam via bijvoorbeeld sms'jes of WhatsApp-berichten.

Betaalvereniging Nederland wijst er verder op dat fraudeurs tegenwoordig ook proberen met phishing om beveiligingscodes te bemachtigen. Daarmee kan namens het slachtoffers een mobiele bankapp op de smartphone geïnstalleerd worden, waarmee toegang kan worden verkregen tot de bankrekening van de gedupeerde.

De vereniging wijst erop dat de toename van phishing niet alleen voor Nederland opgaat. Zo meldden Belgische banken eerder dat door phishing in 2017 een schadebedrag werd geleden van in totaal 2,5 miljoen euro, wat in 2018 op 8 miljoen euro uitkwam. Daarmee is het schadebedrag in 2018 in België twee keer zo hoog als in Nederland.

Overigens stipt Betaalvereniging Nederland aan dat de totale schade door fraude in het betalingsverkeer in 2018 is afgenomen met twee procent. Die daling zou samenhangen met een verminderde fraude met betaalpassen, automatische incasso’s en overschrijvingsformulieren. Er zijn volgens de vereniging, net als in 2017, in 2018 geen fraudegevallen gemeld voor mobiel bankieren.

Door Joris Jansen

Nieuwsredacteur

27-03-2019 • 07:45

51 Linkedin Google+

Reacties (51)

Wijzig sortering
Ten opzichte van de totale aantallen transacties die er rondgaan (ongetwijfeld voor miljarden euro's per dag) valt een krappe 4 miljoen per jaar mij alleszins mee. Ik had een veelvoud aan bedragen door phishingfraude verwacht! Kijk ook wat het 6 jaar terug was, kennelijk zijn we toch wat oplettender geworden :)

[Reactie gewijzigd door Gosse_W op 27 maart 2019 07:53]

Vergeet niet dat dit enkel de schade is waar de banken voor opdraaien. Ik denk zomaar eens dat het vaak zat gebeurt dat er geeneens aangifte word gedaan, of dat het slachtoffer zelf voor de kosten opdraait.
Vergeet niet dat schaamte een groot probleem is bij Phishing.
De banken melden niet hoe ze het schadebedrag berekend hebben. Het is daarmee dus niet duidelijk of het schade is op basis van meldingen van klanten of wat ze inschatten wat het zou kunnen zijn. Wel schrijven ze dat ze hun systemen steeds verbeteren om frauduleuze transacties te detecteren en te onderscheppen. Er valt dan weinig te zien dan een bedrag en wat vergelijkingen die niet transparant zijn.
Heb vooral het gevoel dat er erg weinig aangegeven wordt.
Want als je wat rond kijkt en hoort, dan hoor je echt wel veel verhalen of toch aardig wat bedragen...
(ik ken ook toevallig wat IT'ers bij groot banken en daar hoor je echt andere verhalen)
Mijn moeder werd opgebeld door een energiebedrijf. Oude taart maar niet dom of naïef dus die had het wel door. Maar er zullen altijd mensen zijn die wel voor gladde praatjes vallen.
Deze cijfers komen niet van aangiftes bij de politie, maar van de banken zelf. Daar zitten dus ook die verhalen van je IT vrienden bij de bank bij.
niet echt, zijn echt sys admins en die bevestigen ook dat er veel minder wordt aangegeven dan wat er voorkomt...
Hoeveel bedrijven ken jij die vrijwillig aangiftes gaan geven?
recent nog een bedrijf geweten die125.000€ moest betalen voor encryptie keys, nooit aangegeven...
Oplettender? Net op BNR zeiden ze dat het verviervoudigd was :P
...valt een krappe 4 miljoen per jaar mij alleszins mee. Ik had een veelvoud aan bedragen door phishingfraude verwacht!
Dit is alleen wat in dit verslagje naar buiten is gebracht. Ik kan niks vinden over meetmethode(s) en wie exact het onderzoek gedaan heeft; met zo'n bericht kan je niet zoveel.
Kijk ook wat het 6 jaar terug was, kennelijk zijn we toch wat oplettender geworden :)
Oplettender: dat denk ik niet. Het IQ zal niet navenant gestegen vergeleken met 6 jaar terug.

[Reactie gewijzigd door kimborntobewild op 27 maart 2019 08:56]

Fraude management systemen en processen (monitoring, detectie en afhandeling van verdachte transacties) zijn wel een stuk beter geworden de afgelopen 6 jaar)
Ik begrijp deze vergelijking met het totaal aantal transacties niet. Phishing gaat om mails die hengelen naar accountgegevens en bijvoorbeeld bankpasjes. Dat zijn geen transacties. Er komen transacties uit voort. Of die phishingtransacties iets meer of minder transacties zijn geeft bijvoorbeeld met het aantal phishingpogingen dan misschien aan hoe effectief het is. Maar vergeleken met het totaal aantal transacties ontbreekt de relatie en is het slechts een vergelijking op getallen. Dus wat valt er dan tegen of mee? Niet de oplettendheid, die valt er niet uit op te maken.
Er wordt dan ook niks verteld over de meetmethode. Het artikel op NVB & Betaalvereniging is veel te summier.
Net zoals veel uitslagen van onderzoeken die in de kranten komen te staan: zelden is te achterhalen welke meetmethodes er gebruikt zijn.
In het iets eerder gepubliceerde artikel bij de NOS wordt de verhouding tot het totaalbedrag genoemd: 3510 miljard euro aan overboekingen, dit is slechts 0,0001%. Maar er zijn ook andere formen van fraude.
ik ben ergens wel nieuwsgierig hoe dat gaat met Psd2 of anders gezegd hoeveel invloed dat gaat hebben op dit soort getallen. Als je het voor elkaar kan krijgen dat niets vermoedende mensen een toestemming geven, dan kunnen kwaadwillende partijen mogelijk makkelijk bij veel geld.
PSD2 is geen manier om bij veel geld te kunnen zoals je beweerd, geen idee hoe je daar bij komt.

Dus in welke zin zie je precies gevaren?
Omdat je nu opeens wel dingen krijgt die legitiem om toestemming vragen tot je bankgegevens, terwijl we juist de afgelopen 15 jaar iedereen hebben lopen wijsmaken dat dat per definitie niet zuiver is :+

Ik zie inderdaad helemaal geen manier waarop dat verwarrend kan zijn, als je niet zo super op de hoogte bent. Genuanceerde boodschappen komen nooit beter aan dan eenvoudige. 'Niemand mag toegang tot je bankinfo vragen' is een stuk duidelijker en makkelijker te onthouden dan 'niemand mag bij je bankinfo, tenzij het legitiem is en je inderdaad toestemming geeft, maar dan moet je wel zeker weten dat het veilig is en dat dat bedrijf is wie het zegt dat het is en dat ze inderdaad de toegang willen die ze zeggen die ze willen' .
Het was de afgelopen 15 jaar niet zuiver omdat er geen wettelijk kader beschikbaar was. Nu wel. Dat beschermt de consument tegen allerhande ellende. In het verleden was je bij wijze van spreken vogelvrij als consument.
nou bijvoorbeeld je krijg via phishing (of vergelijkbaar) een verborgen verzoek tot machtiging op het niveau dat de derde partij voor jou geld kan overmaken. Dan hebben tot op zekere hoogte volledige beschikking tot jouw geld. al zou er een limiet/maximum zitten per dag of per transactie, phishing is vaak gericht op een grote groep mensen en dan zijn die heleboel kleine beetjes ook al snel veel geld.
Het gaat toch alleen om het inzien van gegevens?
UIt artikel: Nederland voert betaalrichtlijn PSD2 in
De belangrijkste wijziging is dat bedrijven de mogelijkheid kunnen krijgen voor toegang tot bankrekeningen van consumenten en bedrijven en transacties mogen verrichten.
Het is dus ook transacties uitvoeren in jouw naam
Om gebruik te maken van PSD2 moet een bedrijf een vergunning hebben, die krijg je zomaar niet.
nee dat klopt en dat snap ik. maar er zullen ongetwijfeld wel 'bedrijven' zijn die (zeker in het begin) door die procedure lopen terwijl ze toch niet zulke zuivere bedoelingen hebben.

Daarnaast kan het zomaar eens gebeuren dat de ict van deze bedrijven niet zo goed op orde is waardoor er mogelijk relatief makkelijk binnen gedrongen kan worden met alle gevolgen van dien.

Tenslotte heb je ook nog eens de mensen die die voor de legitieme bedrijven werken en plots besluiten hun eigen salaris aan te vullen.

wat ik probeer te zeggen is door dat er op eens veel meer bedrijven toegang hebben, is de potentie/risico tot fraude/misbruik/criminaliteit ook veel groter.
Het is voor de betere oplichtert natuurlijk wel een voordeel, als hij vooraf al de houders van de rekeningen met de hoogste saldo’s kan uitkiezen.

Het is mijn specialisme niet, maar nu ik er over nadenk, ik kan me zo voorstellen dat het ook handig is om te weten op welke rekeningen vaak en veel grote bedragen bij- en afgeschreven worden: Dan valt het veel minder snel op als er een x bedrag wordt afgeschreven.

Sterker nog, je kan dan je frauduleuze afschrijvingen afstemmen op hoe ‘normale’ afschrijvingen er uit zien, qua naam, frequentie, datum, omschrijving etc.

Het moment kiezen waarop het saldo het hoogste is en of de houder wss het minst vaak op de rekening kijkt…
Voor Nederlandse bedrijven gaat dat via DNB. Voor buitenlandse partijen gaat dat via hun toezichthouders.
Hoe goed dat screeningproces is is maar de vraag.
In theorie zou je buitenlandse bedrijven met de nodige scepsis moeten benaderen. De Nederlandse bedrijven in theorie iets minder vanwege de screening van de DNB.
ja idd, het hangt deels op die screening, maar het kan niet voorkomen dat eventueel de kleinere derde partijen relatief slecht beveiligd zijn tegenover de grotere partijen/banken. deze zijn dan ook weer een potentieel probleem. de meer bedrijven toegang hebben, des te meer potentiële toegangspoorten er zijn.
Ik deel je mening. In België althans wordt je geïndoctrineerd om enkel aan te melden en je betalingen in te voeren op de website van je bank (dus onder domein banknaam.be) en nergens anders (tenzij bij internet aankopen waar je via Bancontact gaat).

Zodra gebruikers gewoon geraken aan andere legitieme diensten die je betalingen laten uitvoeren dan zal dit snel gekopieerd worden om er minder legitieme diensten van te maken.
OK zij zullen niet de PSD2 API's gebruiken (want fraudeurs zijn geen PSD2 TPP en mogen dus die API's niet aanspreken), maar ze kunnen wel je code proberen achterhalen door ze simpelweg te vragen. Aangezien dat normaal gedrag begint te worden met PSD2 zal dit niet voor argwaan zorgen bij de gebruiker.
Jeetje, 80mil in 2012.. Was het daarvoor ook zo erg?
Waarvan 40m vooral door skimming.... De overgang van de magneetstrip naar EMV chip heeft deze vorm van fraude grotendeels de kop ingedrukt.
Lang niet alleen dat. Na introductie van de EMV chip op de pas en in de (Europese) ATMs kon je nog steeds skimmen en buiten EMV-ATM gebied pinnen.

Zie hier vanaf de text op slide 37 voor meer info:
  • EMV introductie op pas en ATMs
  • Geoblocking
  • tol/parking trx zonder PIN, zodat de PIN niet afgekeken/afgevangen wordt
  • Doorlopende fraudedetectie

[Reactie gewijzigd door AceAceAce op 27 maart 2019 10:02]

Denk veel erger, maar zo veel geld is het toch niet? Je hebt het over nog lang geen euro per bankrekening.

Het voorkomen van fraude is waarschijnlijk vele malen duurder...

[Reactie gewijzigd door watercoolertje op 27 maart 2019 08:04]

Ja hallo, als we het zo gaan vergelijken dan kunnen we alles wel goed praten. :P

Als je het vergelijkt met de jaren erna is het gigantisch.
Je moet er niet vanuit gaan dat alles op te lossen is. Een bepaald verlies houd je altijd. Als het om kostenbesparingen gaat moet je altijd naar de top 2 of top3 kijken. En daar hoort dit bij lange na niet bij.
€92M totaal in 2011. Was even zoeken maar zie hier op slide 32 en dan optellen
Ik denk dat deze stijging ook deels komt doordat de kenmerken van een phising email/website zijn veranderd. De vroegere regels waar je een phising email aan herkende zoals geen persoonlijk aanhef en spelfouten kloppen niet meer. Met websites is dit hetzelfde. Lange tijd heeft men aangeleerd dat een groen slotje bekend dat de website "veilig" is. Dit is uiteraard niet terecht, het betekend enkel een versleutelde verbinding.
Wellicht is dat inderdaad waar, ik zat eens te denken aan een vergelijkbaar iets als twitter met verified accounts: https://help.twitter.com/...twitter-verified-accounts.

Een soort van aanmelden bij grote spelers bijvoorbeeld Microsoft checkt bankadressen en bevestigd of deze verified zijn. Dit kan een hulpmiddel zijn in het vroegtijdig herkennen denk je ook niet?
Nou, ik moet zeggen dat ik de laatste tijd heel slecht opgezette phishing mails namens bol.com / ikea / you name it krijg. Met onleesbare tekens in het onderwerp en vol fouten.
Daarom moeten we opletten met zaken zoals Psd2 en bankiersapps. Alles de hardware voor two-factor naar bijvoorbeeld de smartphone wordt verplaatst dan wordt de kans op frauduleuze praktijken groter. Tuurlijk; de Tweakers groep zal zich beter inlichten en beschermen maar de gewone gebruiker zal meer moeite ermee hebben. Bendes targetten smartphones nu al en zullen dit nog veel meer gaan doen op het moment dat mensen enkel hun smartphone nog nodig hebben voor financiële transacties of toegang tot hun rekening.

Zaken zoals Psd2 zullen fraudeurs in staat stellen om veel betere phisihing e-mails op te stellen. Ze zullen zich voordoen als je bank, je echte aanhef gebruiken, je echte rekeningnummer, de echte e-mail layout van je bank gebruiken met een goed nagemaakte website en wellicht zelfs een https website via een lets encrypt certificaat. Dan wordt het al snel moeilijk voor veel mensen en kunnen ze duizenden euro's de boot in gaan.

[Reactie gewijzigd door Auredium op 27 maart 2019 08:25]

Bendes targetten smartphones nu al en zullen dit nog veel meer gaan doen op het moment dat mensen enkel hun smartphone nog nodig hebben voor financiële transacties of toegang tot hun rekening.
Op dit moment is het al mogelijk om financiële transacties te doen en je bankrekening te bekijken vanaf he smartphone.
Sterker nog: als ik dit jaar 5x vanaf een PC mijn bankrekening bekeken heb is dat veel, en dan is er al een kwart jaar voorbij.

Maar PSD2 vind ik ook een zorgelijke ontwikkeling: ik heb het idee dat dit weer eens iets uit het bedrijfsleven (in dit geval: de bankensector) is wat door het EP klakkeloos is overgenomen zonder daarbij de belangen van de consumenten (goed) in het oog te houden.
Ik merk dat ouderen steeds vaker contant geld in huis halen "want dat gedoe op de computer is toch maar lastig". Als er een paar bejaarden geld kwijt raken dankzij gerichtere aanvallen (zoals jij al terecht beschreef) zal dat alleen maar meer worden met grotere risico's op woningovervallen.
PSD2 komt juist niet vanuit Bankensector, die zijn er niet blij mee, want ze moeten nu (gratis) data delen.
Wat is het voordeel van PSD2 voor de bankensector. Die lopen vooral het risico dat ze hun klanten niet meer in hun eco-systeem houden. Als er een derde partij opstaat die een perfecte applicatie weet te maken waar je al je geldzaken kunt regelen heb je de bank alleen nog maar nodig om je geld te bewaren en kan je als consument gaan shoppen voor de beste deal. Je zou kunnen denken aan een applicatie die jouw geld automatisch naar een spaarrekening met de beste voorwaarden of rente verplaatst, zonder dat je daar als gebruiker veel moeite voor hoeft te doen. Uiteindelijk is PSD2 in het voordeel van de consument.
Voor veel banken is de app een kostenpost. Noodzakelijk, omdat klanten anders weglopen naar een bank die wel een goede app heeft.
Met de komst van PSD2 hebben ze daar minder/geen omkijken meer naar: laat de markt maar apps ontwikkelen, hoeven de banken dat niet meer te doen.
Verder: geld uitgeven wordt gemakkelijker. "Klik hier om te betalen, u hoeft uw gegevens niet meer in te vullen". Dat valt binnen het verdienmodel van de banken, want daardoor komen meer mensen sneller rood te staan.

Natuurlijk heeft PSD2 ook voordelen, maar voorlopig zie ik het vooral als risico: er zijn nu al te veel apps waarvan mensen niet weten wat ze doen. Er hoeft maar 1 goede hacker te zijn die een leuke app schrijft en er zullen heel wat mensen hun geld kwijt raken.
Ik denk om eerlijk te zijn dat bankieren op de smartphone, binnen je eigen netwerk, veiliger is dan via de computer. Op een smartphone is het een app die je aanklikt, daar kom je niet makkelijk tussen. Op een PC zijn er veel manier om naar de site van je bank te gaan, en dus ook veel meer manier om daar als internet crimineel tussen te komen. Zo is het in het verleden al eens gebeurd dat een phising website als gesponsord zoekresultaat boven de echte site stond.

2FA code op je telefoon kan wel een probleem zijn idd. Vooral als je geen pincode hebt, en je Google Authenticator app dus gewoon te openen is.

edit: ow een laag te diep gereageerd.. 8)7

[Reactie gewijzigd door n9iels op 27 maart 2019 08:53]

Hoe zit dit dan exact met Pathé? Zij waren toch afgelopen jaar voor ruim 19 miljoen opgelicht?
https://www.google.com/am...epmails-hoofdkantoor.html

Dat is al bijna het vijfvoudige van het benoemde bedrag..
Dat was geen phishing in zuivere zin, maar CEO-fraude O-)

[Reactie gewijzigd door Ramkoe op 27 maart 2019 11:55]

Wat ik mij af vraag is of mensen bij het afnemen van een product de waarschuwingen in bijvoorbeeld de brief wel lezen. Zoals: "De bank zal nooit om uw pincode/beveiligingscode etc. vragen".
Toch trappen sommige mensen er nog steeds in als een net sprekende man/vrouw belt met een anoniem nummer.
Zo wordt ik op mijn werk (administratief) vaak gebeld door lui die gelijk een hoop gegevens vragen namens: onderzoek, contract dat zogenaamd loopt, etc.
Ik geef deze mensen altijd aan een afspraak in te plannen met de directie of verantwoordelijke, omdat wij telefonisch dit soort zaken niet afhandelen. Je merkt dat ze dan heel snel afhaken of zeggen dat ze telefonisch moeilijk bereikbaar zijn. Zo nu en dan wordt je een maand later weer door exact dezelfde oplichter gebeld.

Betreft e-mail kwam ik laatst een mail tegen die leek inderdaad heel erg echt (op de afzender na), maar helaas heb ik geen bankrekening bij de ABN Amro. Het ging om een automatische incasso die ze graag wilde verifieren van een redelijk hoog bedrag en waarbij je moest inloggen. Het leek op een mail waarbij de bank je graag wil helpen om niet ineens een fix bedrag kwijt te zijn.
Zou er ook niet van staan te kijken als na het inloggen exact dat bedrag gestolen wordt, om het te laten lijken of er iets is "misgegaan".

Verder heel erg bekend met spookfacturen op het werk, of bedrijven die een aangetekend pakket "sturen" die daarna de handtekening vervalsen om je bedrijf lid te maken van een heel bekende zoals: Zakelijke Telefonie. Op kassa e.d. genoeg te vinden over dit oplichters bedrijf.
Kortom: aangetekende post voor iets dat je niet heb besteld altijd weigeren!
Hoe dan ook, het is niet alleen mail, maar tegenwoordig ook via telefoon en (aangetekende)Post.

Zelf laatst meegemaakt dat ik een acceptgiro kreeg van mijn huur, waar ineens het IBAN nummer anders was. Kortom onderschept door oplichters en vervangen met een nep acceptgiro. Kreeg paar dagen later ook een brief van mijn woonstichting over deze manier van fraude.

Kortom, opletten wordt steeds moeilijker gemaakt en oplichters worden steeds slimmer.
Altijd opletten, en als je je vraagtekens heb kan je altijd ook even de fraudehelpdesk vragen.
https://www.fraudehelpdesk.nl/

Overigens vind ik het uitdrukken in geld niet echt representatief zoals meerdere mensen al hebben opgemerkt, de schade is meer dan enkel geld wellicht kunnen ze die informatie aanvullen met info van bijvoorbeeld de fraudehelpdesk maar ook naar wat de mail providers zelf al afvangen.
Vind ik nog reuze meevallen. Goed nieuws dus!
Zou iemand mij kunnen uitleggen waarom banken schaden hebben? Want in de media op tv bij radar of opgelicht, zie je altijd dat de klant voor de kosten opdraait omdat het zijn/haar eigen schuld is.
Of vergoeden banken wel de eigen gemaakte fout van klanten? Dat is mij niet helemaal duidelijk in dit verhaal. :?
Ik denk dat banken in een aantal gevallen wel de schade zullen vergoeden (oud vrouwtje, 1e keer opgelicht voor een bedrag van minder dan 1000 euro met aangifte bij de politie, bijvoorbeeld).
Daarnaast voelen banken zich af en toe wel gedwongen om uit te keren als ze weer door Radar of Opgelicht op het matje worden geroepen :)
Noem mij maar gek, Maar Phishing is toch het mooiste wat er is?

1 Je moet blijven opletten...
2 De dief moet wat slimmer worden.
3 Soms krijg je het geld terug.
4 Je hebt geen pistool op je voorhoofd c.q. je wordt thuis overvallen voor die paar tienen in een oude sok of uit de spaarpot van je kinderen.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True