Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nederlandse banken bereiken akkoord over voorwaarden compensatie spoofing

De Nederlandse banken ABN AMRO, Rabobank, ING en De Volksbank hebben op verzoek van minister van Financiën Wopke Hoekstra een minimumkader afgesproken waarbinnen een compensatie wordt gegeven aan slachtoffers van spoofing.

De regels gelden met terugwerkende kracht vanaf 1 januari 2020. Om tot een compensatie te komen moet er volgens de banken aantoonbaar en overtuigend bewijs zijn van misbruik van de naam of telefoonnummer van de bank. Bovendien moet er door het slachtoffer aangifte gedaan zijn bij de politie. Het slachtoffer moet ook een kopie van het proces-verbaal verstrekken aan de bank. Volgens de banken mag er geen sprake zijn van grove nalatigheid van de klant. Wat die grove nalatigheid precies inhoudt, moet volgens minister Hoekstra door de banken nog worden uitgewerkt. Hoekstra benadrukt dat het afgesproken kader een minimumkader betreft en dat individuele banken vrij zijn om meer inschikkelijkheid te tonen ten aanzien van spoofing-slachtoffers.

Hoekstra belooft ook te onderzoeken hoe fraudebestrijding nog beter aangepakt kan worden. Dit onderzoek zal gebeuren in samenwerking met verschillende Nederlandse ministeries, de telecomsector en de bankensector. Een eerste overleg zou tijdens het eerste kwartaal van 2021 plaatsvinden.

Bij spoofing wordt een valse identiteit aangenomen om een klant te misleiden en die tot een handeling te doen overgaan. Volgens betaalvereniging Nederland is er in Nederland in 2020 voor meer dan 30 miljoen euro opgelicht door middel van phishing, spoofing en WhatsApp-oplichting.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Jay Stout

Nieuwsposter

18-12-2020 • 21:22

237 Linkedin

Reacties (237)

Wijzig sortering
Bank enerzijds: 'let op of de mail wel echt van de bank afkomstig is'

* whiteguy kijkt in e-mail filters die ik recentelijk heb ingesteld. Ik heb van de rabobank mails gehad van de volgende adressen de afgelopen tijd:
noreply-ideal@rabobank.nl
noreply@rabobank.nl
noreply@mail.rabobank.nl
noreply@e-mail.rabobank.nl
klantinfo@mail.rabobank.nl
klantinfo@rabobank.nl
no.reply.klantenservice@rabobank.nl
verzekeren.rghn@rabobank.nl
mailmoment@rabobank.nl

Ik kan best begrijpen dat sommige mensen in die scams trappen. Zeker als de bank zelf al mensen vanuit zoveel verschillende adressen benaderd, is het op een gegeven moment bijna de verwachting van een gemiddelde gebruiker dat het adres van de afzender ''iets met de naam van de bank in het adres" is.

[Reactie gewijzigd door whiteguy op 18 december 2020 22:24]

Een voorbeeld dus van een bank die het goed doet. Alle afzenders vallen binnen het eigen domein *.rabobank.nl.
Als ze daar ook nog eens dnssec op hebben staan en caa records kun je dus *.rabobank.nl als 1 filter zien.
Probleem is meer dat een aantal banken via externe partijen die onder andere domeinen versturen.
Hier kun je soms niet onderuit omdat externe partijen hun eigen mailfaciliteiten hebben.

Als je die onder je eigen domein wil laten vallen kom je in aanraking met het spf-record, wat een beperkte lengte heeft. Als oplossing hiervoor worden dan subdomeinen van rabobank aangemaakt die een eigen spf record hebben.

De enige die toegang heeft tot subdomein registratie en management is het hoofddomein. Dat is in dit geval dus rabobank.nl.

De enige beperking die hier op zit is het controleren van het spf-record door je email-provider. De groteren doen dit, maar als je een eigen domein hebt zul je dit zelf in moeten stellen.
Ja hoor, leg dat maar es uit aan je oma. Nee oma, je kijkt naar het emailadres van de afzender. Nee, het moét van rabobank.nl komen, dus na de @ moet dat er staan. Nee, mail-rabobank.nl is verkeerd. Nee, maar mail.rabobank.nl mag wel weer. Simpel toch?

Voor jou en mij simpel zat, maar voor zat mensen is dit al moeilijk te volgen of onthouden. En de oplossing is simpel: beperk het aantal (sub)domeinen waar je vanaf mailt, en liever zelfs ook überhaupt het aantal adressen.
Dat gaat in sommige enterprise omgevingen bijna niet hoor. Als je SPF record te lang wordt / te veel includes heeft wordt je al bijna gedwongen om een subdomein aan te maken.
Ik ben daar zeker bekend mee, maar dan zul je je moeten afvragen: via hoeveel verschillende afdelingen moet klantencontact eigenlijk verlopen? Dat je intern een aantal verschillende dingen hebt lopen, of voor promotie misschien verschillende kanalen gebruikt, daar valt over te praten. Maar op het moment dat het gaat over communicatie van mogelijk gevoelige informatie, moet je gewoon je kanalen beperken en intern zo afstemmen dat er geen onduidelijkheid mogelijk is. Desnoods maar wat complexer voor de organisatie, maar dit soort vaagheid bij de klant neerleggen is gewoon not done. En het is écht niet onvermijdelijk.
Ik heb het nu niet specifiek over banken.
Maar door het vele outsourcen kom je als snel tegen de SPF DNS limiet aan hoor.
Dan stap je voorbij aan het punt dat er meerdere afdelingn, eigenaren van verschillende soorten (gevoelige) informatie zijn met verschillende risico’s die daaraan kleven. Waarbij dus verschillende oplossingen nodig zijn. Omdat allemaal via 1 kanaal te stroomlijnen, geef ik je te doen. Je kan binnen een bank retail en wholesale hebben. En binnen retail de diverse kanalen, zoals sparen, lenen, hypotheken, etc. Die kun je niet allemaal via 1 kanaal laten communiceren.
autospf.com, helpt bij flattening en dns record grootte.
Inderdaad, voor je oma nauwelijks te doen. Maar het kan veel simpeler: ondanks herhaalde verzoeken weiger ik de bank m'n mailadres te geven. Ze kúnnen mij dus geen mail sturen, ze doen maar een brief of een bericht in m'n bankapp.
Trek het mailadres van je oma in, en dan kun je simpelweg zeggen: elke mail van een bank is vals en kun je weggooien.
Goed idee, lekker extra bomen heen en weer sturen uit 'privacy principe'. Die brieven kunnen gewoon 'kwijtraken' in de post omdat ze niet aangetekend zijn, dus ze kunnen zelfs makkelijker onderschept worden dan email.

Slecht voor het milieu dus, en dan heb je nog steeds een eenvoudige attack surface.

[Reactie gewijzigd door RuuddieBoy op 20 december 2020 07:26]

Reclame hoeven ze natuurlijk niet per post te sturen... enkel de echt zinvolle meldingen.
En misschien een kerstkaartje :)
Met die bomen valt het wel mee. In 2020 precies nul berichten per post gehad van mijn bank.
Alle mailberichten van zogenaamd mijn bank (en van tal van andere banken waar ik geen sowieso al geen klant ben) kan ik dus ongezien en zonder er enige aandacht aan te besteden weggooien (en ze zaten al in spam).
Zonder het risico een belangrijke boodschap te missen.

Maar ik vind het mooi te lezen dat jij het milieu een dermate warm hart toedraagt dat je het verzenden van papier tot een minimum wilt beperken, en dat je voor het milieu-effect van een paar velletjes papier bereid bent de phishingrisico's te dragen. Ik niet.
Sorry, maar mijn ouders hebben meerdere keren gehad dat er overschrijvingen uit de postbus werden gevist en herschreven. Fysieke post is wat mij betreft echt geen veiligere optie om fraude te vermijden.
Zo werkt het niet. Dat heeft even veel waarde als zeggen dat ze nooit op een link in een mail van de bank moeten klikken. Probleem is dat veel mails dreigend worden opgesteld: "als je niet binnen 24 uur je geld op een veiligheidsdeposito stalt, ben je je geld kwijt". Dat soort strekkingen zorgen ervoor dat mensen overstag gaan. Je kunt iemand wel zeggen dat ELKE mail van een bank nep is, door de dreiging gaat men toch overstag.
Leg het uit aan de UI designers van de MUA.
3 verschillende post verstuur server namen, zo netjes is dat niet. En makkelijk voor scammers:

@e-mail.rabobank.nl.scamdomein.iets
@e-mail-rab0bank.nl

Structureel @rabobank.nl gebruiken zou handiger zijn.

"Goed nieuws, e-mail-rab0bank.nl is beschikbaar..." aldus SIDN...


Daarom dus: gebruik geen sub-domeinen in al je klant communicatie.

Allen zo communiceer je eenduidig en vergoot je de kans dat een spoof door de mand valt.

Een werkende de-tracked spoof op 100 data center locaties is binnen 40 minuten operationeel en kost ongeveer twee euro aan set-up kosten.

[Reactie gewijzigd door djwice op 19 december 2020 15:37]

Niet alleen de banken, ondanks al deze aandacht voor fraude en dat bedrijven continue zeggen "wij zullen nooit xx vragen aan klanten via kanaal xx". Ik kreeg onlangs een email van de Sligro of ik een nieuwe incasso machtiging wilde geven zonder verder andere voorafgaande bericht hierover via post of in hun folder en hun website bijvoorbeeld heb ik niks kunnen vinden. Vervolgens staat er een link in de mail die níet verwijst naar de website van de Sligro maar naar de website van een tussenpartij die ik niet ken. Bovenop alles staat er ook nog bij dat ik de oude incasso machtiging niet terug moet trekken omdat die in de winkel gebruikt zou blijven.
Nou als ik een lijst zou maken met hoe je een scam bericht kan herkennen zullen alle bovenstaande punten er in ieder geval in staan, maar na telefonisch contact bleek toch dit gewoon hun werkwijze te zijn. Best triest voor zo'n groot partij.

Heb het ook vaker bij minder grote partijen meegemaakt steeds weer vraag om een nieuwe incassomachtiging via de mail zonder duidelijk controlleerbaar reden waarom dat nodig zou zijn en geen info erover op hun homepage. Soms negeer ik het oprecht denkend dat het scam is en wordt de dienst geblokkeerd.
Mijn energie-leverancier stuurde mij een email met daarin: "klik hier om Uw rekening te betalen". Was een nieuwe functie, waar ze uiteraard heel goed over hadden nagedacht. Toch maar geen gebruik gemaakt van hun linkje.
Ik woon al een tijd niet meer in Nederland, dus ik weet niet of Nederlandse banken ook zoiets hebben, maar hier kun je bijna al je rekeningen als e-rekening binnen laten komen bij de bank. In je bank app/site kun je dan aangeven welke direct betaalt moeten worden, welke betaalt moeten worden als ze aan bepaalde voorwaarden volden (b.v. minder dan 100€ en max 1 keer per maand) en welke handmatig (via app) bevestigt moeten worden.

Dit lost naturlijk alleen maar het probleem op van linkjes volgen om te betalen, maar geeft je ook iets meer duidelijkheid dat als je wel een linkje krijgt dat het niet klopt.
Mijn energie-leverancier stuurde mij een email met daarin: "klik hier om Uw rekening te betalen". Was een nieuwe functie, waar ze uiteraard heel goed over hadden nagedacht. Toch maar geen gebruik gemaakt van hun linkje.
Precies wat ik ook doe bij twijfel. Even inloggen bij de hut waar het om gaat. Als ik achter m’n laptop zit trek ik even de email headers d’r bij, maar dat is niet voor iedereen weggelegd.
En heel, heel verstandig dat je dat niet gedaan hebt.
Snap ik niet. Een bedrijf heeft toch helemaal geen daadwerkelijke machtiging nodig om een incasso te doen? Het is niet zo dat jouw bank controleert of je een bedrijf wel gemachtigd hebt. En bovendien kun je een afschrijving die via incasso is gedaan zelf gewoon weer storneren.
Zonder machtiging kan het bedrijf zijn incassocontract kwijt raken. Wanneer jij een klacht indient en het bedrijf kan geen machtiging tonen, hebben ze een probleem
Zakelijk werkt het anders. Je moet daadwerkelijk machtigen en je kan niet storneren. Dit gaat dan om bestellingen via de webshop die geleverd worden. Het is dus geen vast bedrag. Ik kom wel een maximum bedrag per bestelling instellen.

[Reactie gewijzigd door HakanX op 19 december 2020 20:55]

Wat dacht je van een mail van de bank waarin verwezen wordt om niet op links te klikken en dan verwezen wordt via een link naar verdere informatie daaromtrent 8)7

Mijn collega en zijn vriendin zijn twee weken al hun centen kwijt geraakt.
Het is een uiterst vreemde zaak.

Ze zagen opeens dat er een gedeelte van hun geld van hun gezamenlijke rekening was verdwenen en van de rekening zijn vriendin.
Dat ging via Letland en Duitsland.
Het was al een aantal weken bezig.
Telkens kleine bedragen, soms wat groter en dan werd er bv 800 EUR op hun spaarrekening teruggestort waardoor het niet opviel.
Ik vermoed ook om het beveiligingssysteem van de bank te misleiden.
Je moet eigenlijk iedere dag je rekening controleren en overlopen.

Ze hebben meteen hun beide kaarten laten blokkeren.
Ze werden de volgende dag wakker en toen was al de rest hun geld alsnog weg.

Blijkbaar moet je niet alleen je kaarten laten blokkeren maar ook je bankapp want het was via de bankapp van zijn vriendin dat alle overschrijvingen gebeurde.
Ze waren er blijkbaar in geslaagd om de bankapp van zijn vriendin met alle gegevens te kopiëren en deden in het buitenland alle verrichtingen via die bankapp...

Ik denk dat je tegenwoordig beter alles laat blokkeren, net alleen de kaarten maar de volledige rekeningen.

Het was begonnen sinds de vriendin een betaling bij een tandarts had gedaan (heeft ze daar de wifi van de tandarts voor gebruikt?)

In ieder geval werden ze direct door de bank beschuldigt dat ze op een verkeerde link hadden geklikt en er zelf ervoor verantwoordelijk waren dat het was gebeurd toen ze er naar de bank belden.
Ze hebben aangifte gedaan en hun bank (ING België) hult zich al twee weken in stilzwijgen.

Ik ga nu doen wat ik vorige week van een vriend van mij hoorde.

Hij heeft een aparte laptop die hij enkel en alleen gebruikt voor bank verrichtingen en ook nooit via wifi.
(Hij gaf ooit les Engels en een van zijn leerlingen was verantwoordelijke van een dienst van een grote bank die instond voor de beveiliging. Toen hij aan die man vroeg of hij ooit verrichtingen deed via wifi antwoordde die man: 'ben je helemaal'. Sindsdien gebruikt hij nooit wifi voor dergelijke zaken)

Hij heeft ook twee aparte rekeningen met twee aparte bankkaarten die los van elkaar staan.

Een rekening gebruikt hij enkel voor loon, domiciliëring en overschrijvingen, die bankkaart blijft ook altijd thuis.
Via die rekening stort hij geld op zijn tweede rekening.

De tweede rekening gebruikt hij voor online verrichtingen en heeft hij altijd bij voor de winkel ed.
Wordt die gehackt, of gestolen, er staat altijd maar een paar honderd EUR op.

Ik gebruik zelf een prepaid creditcard.
Er kan enkel het bedrag af wat ik erop heb gezet.
Ik gebruik dat ding veel en er staat enkel het bedrag op wat ik op dat moment wil gebruiken.

Banken bieden je diensten aan en als gebruiker ben je ook verantwoordelijk maar een bank is een bank, net als verzekeringen zijn het voor mij organisaties die overal geld op willen verdienen maar ook verder al hun verantwoordelijkheid proberen te ontlopen.

Je moet jezelf als gebruiker zoveel mogelijk proberen indekken, niet alleen tegen criminelen maar vooral tegen je eigen bank.

[Reactie gewijzigd door El_Bartholomew op 19 december 2020 11:36]

Raar verhaal.. ik kan echt niet zonder een 2e authenticatie geld overschrijven via de app.
De bank app is gelinkt aan een telefoon, als ik een nieuwe telefoon neem moet ik alles via ander kanaal goedkeuren (bv SMS of authenticator met pas). Ook bij overboekingen naar nieuwe nummers die ik niet heb opgeslagen, kan ik niet zomaar overschrijven. Deze instellingen zijn standaard.
Hoelang wordt Android and iOS ondersteund met beveiligingsupdates?
Als men eenmaal binnen is in welke mate werkt jouw 2de authenticatie nog?
Het is veiliger dan zonder die authenticatie maar het is een vals gevoel van veiligheid als je denkt dat zoiets 100% veilig is.
Het installeren van een malafide app is al voldoende. (Camero, FileCrypt, callCam, etc)
De FBI heeft dit jaar al een officiële waarschuwing gegeven over bankingapps en de toename van aanvallen daarop.
Dus vreemd en onmogelijk is het zeer zeker niet.
Je hoeft het maar 1 keer fout te doen. Zodra een crimineel het voor elkaar heeft om bijvoorbeeld Apple Pay te koppelen aan zijn eigen telefoon kan hij doen en laten wat hij wil. Weg 2e authenticatie, doei beveiliging. Dat gaat makkelijker dan via een neppe bank app.

Dan kan je zeggen, dan moet je niet zo stom zijn om dat te koppelen met een criminele telefoon. Maar een crimineel is maar 1 moment van onoplettendheid nodig. Komt nog bij dat dit koppelen vaak op dezelfde manier verloopt als geld overschrijven naar een andere rekening. Code van random reader invoeren op een website en klaar.
En dan is de crimineel binnen, nergens komt een notificatie binnen dat Apple Pay gekoppeld is. Er is geen 2e verificatie nodig en de crimineel kan op een rustig moment de rekening leeghalen, ergens bij een winkel met zijn mobiel met Apple Pay een paar dure aankopen doen en niemand heeft een idee hoe het kon gebeuren.

Ja ik heb dit zien gebeuren. En mij verbaasd hoe verschrikkelijk eenvoudig dit ging. Nergens in het hele systeem van de bank zat een 2e controle. Dat ene moment van onoplettendheid was genoeg voor de criminelen om volledige toegang tot de rekening te krijgen, Apple Pay te kunnen activeren, te wachten tot een moment dat er veel geld op de rekening staat en dan meerdere transacties te doen. En nergens in het systeem ging een lampje branden of was een 2e beveiliging ingebouwd.

Leuk dat we nu 10 verschillende manieren hebben om te kunnen betalen, maar daarmee geven we criminelen zoveel meer mogelijkheden. Dan vind ik het niet meer dan terecht dat een bank zich dan coulant op moet stellen wanneer fraude wordt gepleegd.
Ik weet niet welke bank jij hebt.

Maar voor het koppelen van Apple Pay kreeg ik daar wel een bericht van.

Ook moet je verschillende codes invoeren op dat moment.

Ik zeg niet nooit maar om dat te kopiëren op een iPhone moet er heel wat gebeuren..
ING doet sowieso heel moeilijk, en dat terwijl 70% van de phising en spoofing bij hun gebeurt. Ik moet ook eens de overstap maken naar Rabobank. Die vergoeden geleden schade wel. Ik heb nu vakantie dus ik ga dat eens regelen.
Even voor de goede orde: het is toch absurd dat je als leek zulke extreme maatregelen zou moeten treffen. En dat de banken dan ook doodleuk nog de verantwoordelijkheid óók bij die leek neerleggen.
Vergeet niet de mensen die opgebeld worden vanaf een nummer wat je mobiel vrolijk laat zien als "ING" of wat voor bank dan ook, zonder dat ze dat als contact in hun toestel hebben staan.

Neemt niet weg dat je als klant toch echt wel nattigheid moet voelen als een bank je adviseert geld dringend te verhuizen naar een andere rekening, of iemand langs laat sturen om een pasje op te halen.
Zoiets zou toch gewoon vanuit de smartphone fabrikanten geblokkeerd moeten worden. Ik krijg ook regelmatig smsjes vanaf ING. Voor mij duidelijk dat het nep is, maar mijn ouders hebben er al moeite mee, laat staan mensen die nog een generatie ouder zijn.
Hoe moet je smartphonefabrikant in hemelsnaar spoofing voorkomen? Van een provider kan je dat misschien nog eizen maar je fabrikant kan er echt geheel niks aan doen.
Beller-ID (Smart-ID/Caller-ID) uitzetten bij je ouders. Scheelt echt een hele hoop.

[Reactie gewijzigd door NotCYF op 19 december 2020 16:39]

Ach bank apps hebben toch al een aparte status.
En het is niet zo'n extreem groot aantal banken wereldwijd, dus daar valt vast wel iets op te verzinnen om ook de nummers van banken te voorzien van een aparte flag.
Het probleem is dat die informatie rechtstreek door de mobiele netwerken aangeleverd wordt. Je telefoon kan helemaal niet herkennen waar dat vandaan komt.
Je telefoon kan toch gewoon namen van het mobiele netwerk negeren?
Of een waarschuwing erbij “Dit nummer claimt Bank X te zijn, maar kan een oplichter zijn”.
Een oplichter meldt zich met een legitiem nummer van een bank maar belt in werkelijkheid vanuit een ander nummer. Dat wordt in de centrale van de beller geregeld. Je telefoon kan dus niets meer. Dat principe is bedoeld om afzonderlijke toestellen op een afdeling zich te laten melden als het algemene nummer van een afdeling.
Als je bij ieder nummer van de bank gaat aangeven dat het mogelijk een oplichter is, zullen veel mensen geen enkel telefoontje meer vertrouwen.
Een oplichter meldt zich met een legitiem nummer van een bank maar belt in werkelijkheid vanuit een ander nummer. Dat wordt in de centrale van de beller geregeld. Je telefoon kan dus niets meer. Dat principe is bedoeld om afzonderlijke toestellen op een afdeling zich te laten melden als het algemene nummer van een afdeling.
En dat is de kern van het probleem. Caller-ID is zo lek als een mandje omdat het één van de kern-principes van security compleet negeert: vertrouw nooit zomaar externe data.

Dat hele systeem moet - desnoods wettelijk verplicht - op de schop en er moet op z'n minst met certificaat-uitwisseling gewerkt worden waardoor een belcentrale enkel een alias voor uitgaande nummers kan gebruiken die onder dat certificaat gevalideerd zijn.

Hiervoor hoeft bij de toestellen v/d consumenten niet eens noodzakelijk iets gewijzigd te worden; dit kan puur op het niveau van de centrales afgehandeld worden. De eind-centrale van de provider waar de consument aangesloten is kan daarbij zelfs kiezen om een Caller-ID die niet geverifieerd is om te schrijven en er een expliciet een waarschuwing bij te zetten dat deze niet beveiligd is. Dan ben je heel snel klaar met dit probleem en is het binnen no-time de wereld uit.
Klopt, alleen raakt dit zo de kern van de "ouderwetse" telefonie, dat overal ter wereld de telefooncentrales bij bedrijven en telecombedrijven op de schop moeten en dat gaat gewoon niet gebeuren. Dat zal geleidelijk aan gebeuren.
Klopt, alleen raakt dit zo de kern van de "ouderwetse" telefonie, dat overal ter wereld de telefooncentrales bij bedrijven en telecombedrijven op de schop moeten en dat gaat gewoon niet gebeuren. Dat zal geleidelijk aan gebeuren.
Zie ook: DNSSec vs DNS. Alleen is hier bij caller-ID het probleem dat er niet een verificatie-laag zoals die op basis van een security certificaat tussen zit. Daarom dus ook het voorstel dat centrales zo'n mechanisme toe zouden moeten voegen en eindcentrales naar de consument toe een waarschuwing moeten tonen als dat mechanisme vanuit de centrale van de beller niet ondersteund is.

Dat maakt de huidige situatie in elk geval iets veiliger en geeft gelijk de economische prikkel om zo'n beschermlaag met enige snelheid breder doorgevoerd te krijgen.
Je gaat voorbij aan het punt dat @TD-er maakt: ze bellen niet met een gespoofed nummer dat in het telefoonboek van de gebruiker opgeslagen, maar de caller-ID is letterlijk een string "ING".

Lijkt me gren probleem om daarbij, maar ook bij outbound calls met de inbound call center-nummers altijd een waarschuwing te plaatsen. In principe bellen banken jou niet, en zeker niet met die nummers...
Nee, ze bellen niet met 'ING' maar daadwerkelijk met het gespoofde nummer van de ING Alarmlijn (of een andere bank). Ik ben de afgelopen maanden 3x gebeld, zogenaamd door de ING
Allemaall met het gespoofde nummer.
Er zijn alleen in Nederland al 40 banken. Als je op Europees niveau gaat kijken zijn er al bijna 500. Amerika heeft er ongeveer 8.000. Wereldwijd zijn het er 25.000. Ik durf erom te wedden dat niet iedere bank een centraal telefoonnummer heeft (mijn bank in ieder geval niet), dus je krijgt een behoorlijke lijst aan uitzonderingen.
Bij Android is het in elk geval zo dat de Google dialer informatie erbij zoekt.
Daarnaast heb je uiteraard ook de callerID functie.
Aangezien Google ook de app store heeft waar diezelfde banken apps plaatsen met een speciale status, lijkt het mij niet heel lastig om diezelfde banken ook meta-informatie aan te leveren over hun eigen nummers.
Dan kun je daarmee een caller-ID filteren als deze meegegeven wordt en ook de nummers op een apart lijstje zetten voor wat betreft de zoekopdrachten.

Indien met zo'n nummer gebeld wordt, kan je er iets bij zetten als "wees alert".

Dan heb je wellicht niet alle banken te pakken, maar wel het grootste deel en dus maak je het voor oplichters al een stukje lastiger.
Geen idee hoe het zit bij Apple, maar ik vermoed dat er daar ook wel iets dergelijks mogelijk is.
Ik denk eerder dat dit bij de telecomproviders moet worden opgelost. Wat ik altijd mis in de berichtgeving over spoofing is dat door hun matige beveiliging spoofing überhaupt mogelijk is.
Ik voorzie niet dat ze dit opgelost gaan krijgen, maar een blacklist van nummers van banken die nooit via caller id mogen worden doorgestuurd moet toch niet zo moeilijk zijn? Als Nederlandse providers Nederlandse bank nummers blokkeren heb je het probleem grotendeels weggenomen. Banken of andere grote bedrijven hebben toch nooit caller id aan staan, dus er zitten ook geen nadelen aan.
Spoofing is mogelijk omdat je als afdeling in een bedrijf met afzonderlijke toestellen met eigen nummers wil dat die toestellen zich bij de klant onder één nummer melden. Vanwege dat principe is het per definitie mogelijk je onder een ander nummer te melden dan waar je daadwerkelijk vandaan belt.
Maar de provider kan toch ook die telefoonnummers checken? "hé een nummer dat wilt spoofen, even in de whitelist kijken"
Geen idee of dat kan en of dat wenselijk is.
Waarom zou dat niet wenselijk zijn?
je hebt een beheerder van een spoofbaar nummer. Die kan nummers toevoegen die zich kunnen voordoen als dat spoofbare nummer.

Bel ik met mijn nummer en probeer ik te spoofen zegt het "nee dat mag niet, disconnect"
Ik bedoel meer dat er gigantische investeringen gedaan moeten worden om bestaande oude centrales hiervoor geschikt te maken terwijl het probleem zich enkel in een bepaalde sector voordoet. Ik denk niet dat veel bedrijven staan te juichen als ze hun centrale moeten gaan vernieuwen.
Dan kan de provider alsnog controleren of het nummer dat de afdeling doorgeeft behoort bij de lijn/abonnement waarvandaan wordt gebeld. Maar uiteindelijk moeten providers elkaar vertrouwen op dat deze elkaar de juiste nummers doorgeven. Dat ga je niet goed krijgen gezien de vele providers wereldwijd, inclusief vele voip providers.
Maar bepaalde belangrijke nummers volledig blokkeren van caller id moet haalbaar zijn.
Technisch zal dat tegenwoordig allemaal kunnen, maar wereldwijd gebruiken nog heel veel bedrijven en ook telecombedrijven nog oude telefooncentrales waarbij het niet zo gemakkelijk is om een verificatie in te bouwen. Daarvoor moeten ze heel veel vervangen. De centrale van de provider staat ook behoorlijk los van de centrale van een bedrijf.
Totdat je opa van 90 wordt gebeld. Daar zouden ze filters op moeten zetten dat bijv. Alleen pinnen oid mogelijk is. Mijn ouders hebben restricties op onlinebankieren gezet voor mijn opa. Maar dat is wel zelf ingesteld en als je digibeet bent, of je geen kinderen hebt die daar niet aan denken vind ik dit wel een van de services waar een bank aan moet denken
Vanaf welke leeftijd wil je dan restricties gaan opleggen? Er zijn ook 50-ers opgelicht. Ik denk dat mensen dat ook zelf moeten regelen en dat dat niet van bovenaf moet worden opgelegd.
Ik wed dat er zelfs mensen in de 20 worden opgelicht. Niet iedereen is de scherpste spijker in de doos of zelfverzekerd genoeg om tegengas te geven aan een overtuigende oplichter.
Niet iedereen is 100% scherp de hele tijd. Ik heb ook wel eens vermoeit en in een vlaag van onoplettendheid in een scam getrapt, pas na submit ging er een lichtje branden...

Vervolgens de server waar de site op draaide gescanned, open anonieme ftp gevonden en de site inc mijn gegevens en die van anderen gewiped ;)
Dat laatste is wel echt (hoewel mogelijk een strafbaar feit) geniaal. :)

Die server had wel een enorm gapend security gat dan, via anonymous ftp zou je nooit bij andere gebruikers moeten kunnen komen.
Lekker :-) haha.
Ik denk dat vanuit de bank standaard een laag limiet ingesteld moet worden, bijvoorbeeld €100,- op die vang je af dat mensen grote bedragen overmaken zonder erover na te denken.
En hoe moet ik dan mijn rekeningen betalen die meer dan 100,- zijn?
Bij ING duurt het nu 4 uur voordat het wijzigen van de overschrjif/opname limiet is verhoogt.
Hoe vaak kan een overmaking geen 4 uur wachten?
Als je ergens bent en je meteen moet betalen. Je zou bijvoorbeeld bij een autodealer kunnen staan en deze mee willen nemen. Maar je hebt op dat moment bijvoorbeeld geen € 15.000,- op zak.
Dan zal je 4 uur moeten wachten voordat je het mee kan nemen. Of iets regelen met een aanbetaling van een kleiner bedrag en je legitimeren en de rest later betaald (als dat kan).
Heb ik nog nooit meegemaakt dat je zo'n bedrag direct moet betalen en dat dat niet enkele uren kan wachten. Ook niet bij een autodealer. Is echt een non-probleem want bijna niemand heeft dit soort bedragen op zijn betaalrekening staan, tenzij je vooraf weet dat je zo'n bedrag moet betalen.
Sinds PSD2 dat wettelijk heeft vastgelegd? En we leven toch niet meer in de vorige eeuw? Hallo zeg 2020 en je moet uren wachten op een betaling van een paar duizend euro? Dat klinkt als de middeleeuwen
Het ging om een beveiliging die je zelf zou kunnen instellen op een betaalapp, niet om een verplichting. Als je dus bij een ouder iemand of bij iemand die niet handig is met hedendaagse elektronica zo'n beveiliging zou instellen komt diegene nooit in de problemen, want er is geen situatie te bedenken waarin je onverwacht ineens een paar duizend euro zou moeten overmaken. Het niet à la minute kunnen overmaken zal die mensen NOOIT in de problemen brengen.
Ja een vriend van me kreeg pas een smsje van de bank (gespoofed) en heeft toen inderdaad iets gedaan. De bank heeft hem later gebeld met dat ze opvallende transacties zagen die zijn geblokkeerd.
Maar voor het zelfde geld had hij meer geld kunnen kwijtraken.
Vergeet niet de mensen die opgebeld worden vanaf een nummer wat je mobiel vrolijk laat zien als "ING" of wat voor bank dan ook, zonder dat ze dat als contact in hun toestel hebben staan.
Hoe werkt dat precies? Mijn iPhone zuigt niet opeens een naam uit z'n duim als een nummer niet in mijn contactenlijst staat. Is dat een Android feature?
Caller I'D, wat ingesteld kan worden als je uitgaand belt. Toont je iPhone ook gewoon volgens mij (geloof dat ik 't met mijn iPhone ook wel eens gehad heb). Met mijn voip telefoon in elk geval wel meerdere malen gezien.
Ik wist niet dat je ook een willekeurige tekst zo mee kon sturen, Caller ID is toch dat je wel of niet je nummer meestuurt?
Nee mensen slaan het “noodnr” van hun bank vaak op om te bellen bij verlies of diefstal van hun pinpas. Als je vervolgens dat nummer spooft, kom je uiteraard binnen als hoe ze het genoemd hebben “ing nood” ofzo.
Klopt en aan CallerID kan je ook CNAM hangen, maar volgens mij dat afhankelijk ook van je provider.

https://www.mightycall.com/features/caller-id-cnam/
Je kunt er ook een naam aan hangen ipv een nummer. Maar het nummer spoofen is ook appeltje eitje.
Dat ondersteunen providers hier niet hoor.
Yep, callerID is een mogelijkheid, maar Google voert ook razendsnel een zoekopdracht uit als je de Android dialer gebruikt.
Zo heb ik wel eens gehad dat een kennis belde met een nieuw nummer wat kennelijk vroeger het nummer was van een of andere aannemer.
Geeft dus soms wel wat verwarring :)

Weet niet of je wel eens van bijv. Coolblue een SMS gehad hebt? (andere webshops doen het ongetwijfeld ook) Ongeacht of je ze in je contactlijst hebt staan, staat er de naam van de webshop als afzender.
Ja Samsung heeft een optie die automatisch namen opzoekt op internet die bij het telefoonnummer horen.
Klanten schieten in paniek modus, er wordt druk op ze gelegd. En met minimale informatie krijgen ze al een gevoel van veiligheid. De laatste 4 cijfers van een rekening kunnen benoemen is voor veel mensen als overtuigend genoeg om te geloven dat ze met de bank praten.

Vervolgens gaan ze mee in het verhaal dat bv van de Rabobank naar de SNS overboeken noodzakelijk is om het geld veilig te stellen. Alsof je bank niet geld veilig kan zetten op een eigen rekening.
Ben laatste gebeld door de bank over de transactie toen ik via Amazon een PS5 kocht.

Heb gezegd dat ik ze zelf wel terug bel, was prima.
Bleek ook legit te zijn gelukkig (en volgens het forum bleek ik niet de enige).

Maar je kan gewoon ophangen en zelf je bank gewoon bellen.
Ik heb ooit eens in een woonwagen moeten wonen tijdens een winter. Toen ik vertrok werd mij kosten aangerekend omdat de waterpijp was bevroren. Onder het motto "Ja dat had je moeten weten" wilde ze me geld laten betalen

Natuurlijk niet betaald, niemand vertelde mij iets.

Zelfde geld voor mensen die niets van deze zaken afweet. Klanten zouden het logischerwijs moeten weten, maar mijn ouders en grootouders weten het echter niet want die hebben er simpelweg nul ervaring mee
Dan nog ben je een ezel als je via een link in een mail inlogt. Als het van een of andere webshop komt snap ik dat nog enigszins. Maar inloggen bij je bank doe je ALTIJD door het zelf in te typen.
En toch, ik let er ook altijd op, maar je zal maar net even gewoon er niet bij zijn met je gedachtes en iets doen.
En dan configureert de hacker gewoon @RAB0BANK.CLOUD

Ik blijf het gek vinden dat bedrijven mij wel per e-mail mogen benaderen maar dat er geen retouradres op hoeft te zitten.
Met reguliere post is dat namelijk vereist, gek dat vergelijkbaar niet geldt voor e-mail en telefoon.
Wat is volgens jou nu het probleem? Want alle voorbeelden die je geeft horen bij een zelfde domein van die bank. Of iemand nu mailt vanaf @bank.test of @mail.bank.test is basiskennis als je gebruik maakt van internet. Je kan dan wel klagen dat een bank of ander bedrijf verschillende mailadressen bij hun domein gebruikt, maar dan heb je toch kennelijk ook niet begrepen hoe domeinen en email werkt?

En waaruit concludeer je nu dat het een verwachting zou zijn dat mensen dan ook maar willekeurige andere domeinen gaan accepteren? En is dat zelfs wel het grootste probleem bij spoofing? Want wat het laatst veel in het nieuws was is dat criminelen spoofen door mensen via bellen of sms te benaderen door het telefoonnummer van de bank te spoofen terwijl ze eigenlijk via een ander nummer bellen.
Precies om deze reden heb ik er destijds voor gekozen om mijn mailadres niet aan ING te geven. Ik vind het al te lastig om te beoordelen of een mail daadwerkelijk van de bank is of niet. Als ik nu wel mail van ING krijg weet ik gelijk dat het foute boel is want ze hebben mijn gegevens niet.

Voor de dienstverlening maakt het ook niks uit want communicatie via de ouderwetse post en via berichten in de app werkt ook prima. Raad een ieder aan om het mailadres weg te halen bij de bank, of in ieder geval elke communicatie via een ander medium te laten verlopen.
Word toch eens tijd voor een landelijke campagne..........
net voor 8 uur journaal.

met de uitleg in Jip en Janneke taal
Zoiets?
Is al oudere campagne, is voor herhaling vatbaar.

Veilig bankieren TV reclame 1
Veilig bankieren TV reclame 2
eens kijk het is gewoon een probleem van generaties.........
maar met herhaalde campagne's ..........
Het is meer dan alleen een generatie probleem. Laatst nog een leidinggevende collega van in de 30 (WO+ niveau) die was gevallen voor een WhatsApp hack.

Het bedrag waar het om gaat suggereert ook dat er honderden/duizenden mensen voor vallen. En de fraude wordt steeds geraffineerder.
Ik vind het nog steeds interessant hoe intellect, competenties en karakter in de werkomgeving door elkaar gehaald worden. Een WO-er kan een hele slechte leider zijn maar een fantastische specialist en een MBO-er kan een bepaald onderwerp misschien niet op detail begrijpen maar geweldig aansturen. Beide kunnen in een Whatsapp hack lopen als ze bijvoorbeeld heel volgzaam zijn qua karakter terwijl een ander met meer 'gezond wantrouwen' daar weer niet intrapt. De niet-computer opgeleide generatie daargelaten denk ik dat het risico om in een hack te trappen van alle leeftijden is op basis van de combinatie van die drie dingen.

[Reactie gewijzigd door coffey op 19 december 2020 00:32]

Ik ben het helemaal met je eens. De persoon die ik noemde was juist als voorbeeld dat het echt niet alleen ouderen zijn, zoals daarboven werd gesuggereerd. Wat het dan wel is zal mede van de situatie en persoonskenmerken afhangen.
, :) en die collega kan/zal ook nog steeds een zeer goede leidinggevende zijn. Zag je comment en leek me een mooie plek om het even uit m'n systeem te krijgen. Er zijn al boeken over geschreven en in Amerika bijvoorbeeld is de cultuur nog steeds om te kijken naar hoeveel diploma's iemand heeft. In Nederland wordt er bij sollicitaties nog wel gekeken naar competenties maar dan nog zie je wel dat de verkeerde mensen op de verkeerde plek komen. En dan niet alleen de individuele plekken maar ook het bouwen van een team met de juiste combinatie van de eerder genoemde eigenschappen.

Sorry, totaal off topic maar mijn karakter heeft wat 'seize the opportunity' in zich en dit was er een voor mij.

[Reactie gewijzigd door coffey op 19 december 2020 00:56]

Intelligente mensen met een hoge dunk van zichzelf zijn juist perfecte targets. Die geloven niet dqt ze in een scam trappen. Zie het boek The Confidence Game van Maria K.
Om dit soort dingen te herkennen heb je zogeheten 'street smarts' nodig. Niet iets waar de WO+ populatie om bekend staat. Dat maakt ze naast ouderen een goede 2e doelgroep voor dit soort fratsen. Het is ook de groep die de neiging heeft om op phishing mails/links/berichten te klikken.
Waar blijkt dat uit, dan?
Ik denk mensen veel meer de instelling moeten krijgen van "niemand krijgt geld van mij". Tenzij het 150% duidelijk is dat het een valide rekening is (waarvoor je dus als persoon iets hebt teruggekregen). Als je ziet dat mensen zelfs rekeningen betalen zonder dat ze iets besteld hebben, moet daar eerst iets aan gedaan worden. Zo moeilijk kan dat toch niet zijn.
Ik denk dat het ook wel een beetje aan de persoon/situatie ligt. Als er iets bij staat van bijvoorbeeld dreigen met extra hoge rente of deurwaarders worden mensen bang/onzeker en kunnen misschien op dat moment niet meer goed en logisch denken. Nu weet ik wat angst/stress kan doen met iemands hersenen (in mijn geval stress van het werk bijvoorbeeld). Door de angst zie je alleen maar de problemen en wil je er snel van af zijn. En in geval van rekeningen is dat zo snel mogelijk betalen.

Voor sommige is het dus op dat moment niet makkelijk nee. Vooral niet als het een bekende bedrijf is waar je toch vaker bestel (met achteraf betalen).
Ik denk dat je er een beetje naast zit:
De beoordeling "deze betaling is niet in orde" is vrijwel niet door de uitvoerder van de betaling (een bank) te maken (met uitzondering van Transactie filtering).

De beoordeling kan feitelijk alleen maar plaatsvinden door de initiator en autorisatie - gever: de rekeninghouder.
Een bank heeft geen inzicht in de validiteit of achtergrond van een overboeking. Een bank weet niet of je een auto koopt, of een terechte of onterechte factuur betaalt. Alleen een patroon of geflagde rekening van een ontvanger kan aanleiding zijn voor een bank om de overboeking aan te houden en contact met de klant te zoeken. Je begrijpt natuurlijk dat ze dat niet voor alle miljoenen transacties op een dag kunnen doen.

Oplichters zijn gehaaid/sluw; met meerdere katvangers zijn patronen te voorkomen en zo zijn er nog vele manieren om detectie zo moeilijk mogelijk te maken, al helemaal voor real-time monitoring en blokkering.

Hetzelfde geldt voor spoofing: Providers zouden dit moeten gaan voorkomen maar dat is heel moeilijk. Banken zijn geen providers en kunnen dit ook niet afdwingen, net zomin als een bank kan voorkomen dat brieven van een bank worden nagemaakt.
Stop met victim blaming. Iedereen kan voor een oplichting vallen. Ook jij. Ook ik.
Jong tot oud trapt erin.
Oudere mensen omdat ze goedgelovig zijn en niet goed zijn in het herkennen of iets nep is.

Jongere mensen trappen meestal erin omdat er met een korte tijdsperiode wordt gewerkt, bewoordingen als binnen 2 dagen komt uw betaalpas te vervallen of komen uw producten te vervallen zijn echt toverwoorden in dat aspect
Klinkt als een grap, maar is daadwerkelijk een goed idee. De mensen die in deze vormen van oplichting trappen hebben nu eenmaal dergelijke voorlichting nodig om zichzelf te beschermen. En met een dergelijk bereik, zo net voor het 8 uur journaal, zou dat een bijster effectieve preventiemethode kunnen zijn.
Beter voor Goede tijden of Hart van Nederland.
Dat gebeurd al weken in het programma kassa
Maar in die consumentenprogramma's zie je eigenlijk al decennia lang varianten op hetzelfde thema. Blijkbaar komt dat totaal niet aan. In feite zijn de dingen die je nu ziet moderne varianten van de gratis busreisjes uit de jaren 70 en 80, waar mensen bij de verkoopdemonstraties idiote dingen bestelden die ze helemaal niet nodig hadden.
Dat is nou juist het probleem ...
Bel uw Bank ... Die belt hun namelijk op, compleet met nummer herkenning.

Jongere generaties trappen er ook in en wievan hun kijkt nog uberhaupt tv ?
Die halen hun info van social media en zijn te druk met likes, volgers en series.

Er zijn altijd mensen die ergens in trappen, ongeacht wat je doet.
2021: u heeft een bericht van uw bank, om onze dienstverlening te verbeteren verhogen wij de tarieven vanaf maand x met x bedrag.

Uiteindelijk betalen we het allemaal weer zelf...
Uiteraard, maar dan delen we die last in ieder geval in plaats van dat enkelen gedupeerd zijn.
Misschien moetens sommige mensen eens nadenken voordat ze zomaar geld overmaken via whatsapp fraude of een sms linkje trappen....

Ik snap dat echt niet... je krijgt een appje van je (zoon/dochter) en maakt zo maar 10K ofzo over? Sommige mensen moeten we echt verbieden internet te gebruiken.

[Reactie gewijzigd door HKLM_ op 18 december 2020 21:35]

Misschien moetens sommige mensen eens nadenken voordat ze zomaar geld overmaken via whatsapp fraude of een sms linkje trappen....

Ik snap dat echt niet... je krijgt een appje van je (zoon/dochter) en maakt zo maar 10K ofzo over? Sommige mensen moeten we echt verbieden internet te gebruiken.
Mensen maken nu eenmaal fouten, en scammers die zich voordoen als familieleden die dik in de stress en problemen zitten, komen zelfs bij relatief slimme mensen een behoorlijk eind. Het is natuurlijk meer dan alleen "hallo ik ben een nigeriaanse prinszoon van je geef me aub 10k ok bedankt", er wordt op de emotie van mensen ingespeeld. Een veelvoorkomend voorbeeld is dat iemand zijn telefoon heeft laten vallen en nu hulp nodig heeft bij het afbetalen van de nieuwe in de winkel, want dat moet nu omdat ze nu werkuren missen, en ze kunnen niet bellen omdat de betaling niet afgerond is, enzovoorts enzovoorts. Je naam en profielfoto op Whatsapp zijn openbare informatie, dus scammers maken daar soms gebruik van en stellen de "correcte" naam en foto in van iemands (klein)kinderen.

Nog steeds heb je maar een pauze van tien seconden nodig om even na te denken en te concluderen dat het niet klopt, maar de truc van een scammer is om de andere kant in paniek te maken en via omwegen af te leiden zodat hun slachtoffer de tijd niet heeft om na te denken. Combineer dat met het feit dat 2,5 miljoen mensen boven de 16 in Nederland laaggeletterd zijn en je hebt een enorme hoeveelheid slachtoffers. Een miljoen mensen maar als dom bestempelen is niet echt een reële optie en ze toegang tot internet ontzeggen kan niet meer nu álles, inclusief de huur en de belastingen betalen, online gebeurt.

Dit soort reacties voel ik ook snel, maar onder de streep zorgt het uitspreken ervan alleen maar dat mensen zich achteraf schamen en geen hulp zoeken. Als mensen zich schamen voor scams, gaan ze hun verlies proberen te verbergen, dat kan leiden tot schuld, en als je eenmaal een schuld hebt, zit je zo in een neerwaartse spiraal van administratie- en deurwaarderskosten; schaamte komt heel vaak terug als reden dat succesvolle mensen met een goede baan, vrienden en familie en zelfs een eigen huis alsnog in de daklozenopvang terechtkomen.

Gelukkig is er een limiet die de meeste banken per dag laten overmaken, in ieder geval vanaf de telefoon. Bij de ING staat die standaard bijvoorbeeld op €1.500. Dat is een hoop geld, maar stukken minder dan de 10k die je soms voorbij ziet komen. Banken zouden eigenlijk transacties als deze, van groter dan 1000 euro, naar een onbekend rekeningnummer, telefonisch moeten verifiëren.
[...]

Mensen maken nu eenmaal fouten, en scammers die zich voordoen als familieleden die dik in de stress en problemen zitten, komen zelfs bij relatief slimme mensen een behoorlijk eind.
Als jij een whatsappje van je kind/broer/zus zou krijgen met de vraag om een flink bedrag over te maken, doe jij dat dan? Of bel je ze gewoon eerst even op wat er allemaal aan de hand is? Als mijn zus 1000 euro vraagt wil ik haar meteen spreken om te kijken er nog meer problemen zijn waar ze hulp bij nodig heeft. Dat ga ik niet via chat doen.
Dit is slechts 1 van de vele vormen van scammen. Er zijn er nog veel meer.

Iedereen heeft zwaktes die uitgebuit kunnen worden, iedereen heeft mensen waar die van houd waar die snel blind voor is, iedereen heeft momenten dat ze gewoon niet even goed opletten of wanneer het nadenken enigszins beperkt is.

Het hoeft ook niet altijd om grote bedragen te gaan. Het hoeft niet eens over geld te gaan. Je kunt nog zo waakzaam zijn, nog zo bekend met alle technieken. Er komt een moment, vroeg of laat, dat iedereen ergens door gescammed wordt of gewoon ergens in trapt. Je hoeft het niet eens door te hebben. Maak je maar geen zorgen, ook jij zult er een keer aan moeten geloven...of het is al gebeurd.

Dit overkomt echt niet alleen de "domme" mensen.

[Reactie gewijzigd door batjes op 18 december 2020 23:06]

Mensen die niet uitgaan van positief vertrouwen zijn zo goed als ongevoelig voor oplichting. Heeft weinig te maken met slim/dom.
Je naam en profielfoto op Whatsapp zijn openbare informatie, dus scammers maken daar soms gebruik van en stellen de "correcte" naam en foto in van iemands (klein)kinderen.
Gelukkig is dat niet meer zo. Die persoon moet jou “accepteren” cq in z’n lijst toevoegen voordat je wat kan zien. Ben ik opzich wel blij mee

Vroeger kon je willekeurig nummers invullen en opslaan en dan via whatsapp kijken wie het dan was. Whatsapp heeft in dat opzicht best behoorlijke stappen gemaakt om fraude tegen te gaan.
Banken zouden eigenlijk transacties als deze, van groter dan 1000 euro, naar een onbekend rekeningnummer, telefonisch moeten verifiëren.
Wat lost dat op als de ouder (foutief) denkt dat het bankrekening nummer klopt?
Een extra reminder van de bank dat dit soort scams heel vaak voorkomen, met uitleg dat je via WhatsApp ook gewoon kunt bellen als je kan chatten om het verhaal te verifiëren, kan een hele hoop oplossen. Het geeft mensen ook een tijdje bezinning, omdat ze ineens de telefoon aan hun oor hebben en de opjuttende berichten van de scammer even niet te zien krijgen.

Als je de "flow" van dit soort scams kan doorbreken, bescherm je al een hele hoop mensen. Dat zoonlief of dochterlief geld nodig heeft klinkt logisch, maar dat de bankmeneer of bankmevrouw liegt over dat het een scam is en dat je toch écht niet kan bellen en dat het écht geen oplichter is, is een stuk onwaarschijnlijker. De bank kan ook zeggen "vraag uw kind naar hun eerste huisdier/adres/knuffel en bel terug als dat allemaal klopt", dat zal het scannen ook een stuk lastiger maken.
Als alle mensen "nadachten" voordat ze een "fout maakten" dan was de wereld een stuk prettiger. Maar mensen maken nu eenmaal fouten.
Tuurlijk maakt iedereen fouten maar er zit een verschil in fouten maken en gewoon dom zijn. Zou jij blind xK overmaken als het via sms of whatsapp gevraagd zal worden?

Uiteindelijk zijn de mensen die niet zo stom zijn de dupe en betalen die extra voor iets wat niet nodig is.

Ben je in fraude getrapt = eigen schuld! Dat handjes boven iedereen zijn hoofd houden kost de samenleving alleen maar onnodig geld.
Het gaat hier volgens mij over iets wat de afgelopen tijd uitgebreid in Kassa of Radar is geweest.

Mensen werden gebeld door het nummer van de bank. Het telefoonnummer werd dus gespoofed. Hoeveel mensen weten nou dat dat uberhaupt kan, bellen vanuit een nummer wat niet van jou is?
Tijdens het gesprek zochten de meesten zelfs nog even op of het nummer in hun schermpje wel echt die van de bank was. Dit ging dus helemaal niet over dom zijn in internet gebruik. Ze waren argwanend genoeg om even wat dingen op te zoeken, maar trapten er helaas toch in doordat er geen bewijs was dat het niet te vertrouwen was.
Als mijn bank mij op zou bellen en zou melden dat mijn rekening op het punt staat om gehackt te worden en dat ik het geld over moet boeken naar een andere rekening bij een andere bank, dan gaan alle alarmbellen bij mij af.
Wil dat zeggen dat bank X zijn beveiliging dan niet op orde heeft en bank Y wel? Dan zou het meteen in het nieuws staan. Als bank X zjin beveiliging niet op orde heeft en toch mijn geld weg zijn, dan is de bank hiervoor aansprakelijk.
Dus ik maak niks over !
Als de bank ziet dat jij op het punt sta gehackt te worden, waarom blokkeren ze dan niet zelf meteen de rekening of boeken zelf meteen het geld over naar een zgn.kluisrekening in Estland? i.p.v. eerst jou op te bellen en daardoor veel kostbare tijd te verliezen.
Het is eigenlijk een heel onlogisch verhaal maar mensen doorzien dat blijkbaar niet.
Dat was mijn eerste gedachte ook toen ik het item op TV zag; Waarom denken die mensen niet "Waarom blokkeert de bank niet zélf mijn rekening als ze zien dat er rare activiteit is?"

Maar je moet je bedenken dat wij hier op tweakers rondhangen en 90% van Nederland hier nooit zal komen. Ergens is het gezond verstand om zo te denken inderdaad, maar er zijn vast bergen mensen die geen idee hebben hoe technische- en bank-dingen werken, zeker niet op een moment dat er met zo'n telefoontje dergelijke emotionele/psychische druk wordt uitgeoefend. Dan gaat al dat gezonde verstand vrij snel het raam uit en probeer je je geld te redden per instructie.
Ik begrijp wat je zegt, en toch ga ik je zeggen dat de praktijk (helaas) anders is. Laatste 5 maanden heb ik bij 7 mensen gezeten die in de banken scam getrapt zijn. Met uitschieter van 50k, en die heb ik nog kunnen tegenhouden tijdens het proces anders was er echt nog veel veel meer weg geweest.

Deze 7 mensen zijn allemaal boven gemiddeld succesvol. Eigenaren van redelijk grote MKB bedrijven, redelijk hoge ambtenaren en andere functies hoog in de boom zeg maar.

Allemaal wisten ze van de truc en toch gebeurt het ze. Het is inderdaad vaak een beetje een generatie dingetje, mensen waren vroeger gewoon wat goedgeloviger (echter er trappen ook bergen 20/30ers in hoor). En dan nummer + naam van medewerker van de bank en op de emotie spelen (u kunt alles kwijt raken) en ze hebben vaak wat prive info, dan droppen ze bijvoorbeeld de naam van een van de kinderen in het gesprek etc.

Ik zeg niet dat het jou zou overkomen, maar ik ga er niet in mee dat het allemaal maar domme mensen zijn of iets in die richting. Het is een maatschappelijk probleem mijns inziens.

Het "automatisch" vergoeden vanuit de banken lost het probleem overigens ook zeker niet op. Dwingt wellicht alleen de banken om hier beter naar te kijken.

Enige echte oplossing voor de meeste gevallen is overboekingen niet meer a la de seconde laten gebeuren. Maar ja dat willen "we" toch allemaal juist wel...

[Reactie gewijzigd door Operations op 18 december 2020 22:38]

Enige echte oplossing voor de meeste gevallen is overboekingen niet meer a la de seconde laten gebeuren. Maar ja dat willen "we" toch allemaal juist wel...
En dit; precies dit! Is DE oplossing.
Ik ken geen echt niemand (een persoon) die binnen een paar minuten onverwachts 1000 € nodig heeft.

Dat lijken me uitgaven die je verwacht te doen, in ieder geval even van te voren.

Standaard staan bedragen van >1000€ Op 1 uur wachttijd. Tenzij je het bewust zelf anders instelt bij je bank.

Ik heb het hier niet over miljonairs of bedrijven maar over “Jan Modaal”
En dan ook meteen een uur wachten bij meer dan 3 transacties naar nog nooit door jou gebruikte banknummers (binnen 10 minuten) en dan ben je maximaal 3x 999 euro kwijt. (ING doet al zoiets bij 2500, alleen wel bij alleen ING rekeningen. Je moet dan bellen met klantenservice)

Als je namelijk alleen zo een timer op 1000 euro zet dan laten ze mensen meerdere keren 990 euro overmaken. Dat gebeuren nu ook al namelijk. (Geen 10k maar net daaronder)

Heeft allemaal met veiligheid vs gebruikersgemak te maken.

Als iedereen naar de bank moet bellen voor elke overboeking dan gebeurt dit allemaal niet. Maar ja dat wil (in dit voorbeeld logisch natuurlijk) niemand.

Nog een prachtig voorbeeld is Keyless Entry bij auto's. Vonden mensen ontzettend handig. Met je volle handen tot de auto kunnen openen etc. Tot dat criminelen massaal met een apparaatje van 80 euro en vrij weinig moeite de straten uit reden met hun dure auto's.....

[Reactie gewijzigd door Operations op 18 december 2020 22:55]

dat automatisch waarschuwen is een goed iets; ook zou het zo moeten zijn dat er enorm in beeld komt dat de naam bij het rekening nummer niet klopt; en dus de transactie automatisch vertraagd wordt.

En; als je dan toch doorgaat en je blijkt opgelicht; dat een aangifte dan ook zin heeft en de rekening van de ontvanger geblokkeerd wordt. En niet dat een aangifte leidt tot een mail van de politie; uw aangifte wordt niet behandeld want er zijn jaarlijks 100.000 van deze aangiftes die kunnen we niet allemaal bekijken... (echt zelf meegemaakt)

Het zijn maar ideeen... van een Jan met de Pet...
Sterker nog, je bent je geld kwijt en de bank zegt "we hebben wel een aangifte nodig om onderzoek te starten". Vrij logisch.... Waar het dan minder logisch wordt is dat de politie dan zegt dat je een afspraak moet maken, en dat je dan 2 weken later aan de beurt bent.

Zit je lekker 2 weken vol in de stress of je ooit nog iets van je geld terug zal zien.

Dit was in 5/7 gevallen waar ik eerder aan refereerde het geval.

[Reactie gewijzigd door Operations op 18 december 2020 23:00]

Toen er fraude gepleegd was met mijn creditcard (waar ik niks vanaf wist) moest ik ook aangifte doen.
De politie keek mij raar aan toen ze hoorden dat het over iets van 20 euro ging. Ze deden er niks mee.
dat automatisch waarschuwen is een goed iets; ook zou het zo moeten zijn dat er enorm in beeld komt dat de naam bij het rekening nummer niet klopt; en dus de transactie automatisch vertraagd wordt.
Oftewel privacy moet maar wijken voor bankscams?
Die gegevens kunnen bij de bank bekend zijn.

Bank-A vraagt bank-B of IBAN en NAAM overeenkomen.
B antwoord ja/nee.

A laat bij nee aan de gebruiker een waarschuwing zien en/of neemt het mij in hun fraudedetectie.

Dit heeft zo goed als geen privacy impact.
Dat zeg ik helemaal niet! Alleen dat er duidelijk komt te staan dat de naam die jij invult niet overeen komt. Dat was een tijdje bij de Rabobank zichtbaar...

Heeft niks met privacy te maken.

Als ik bij m’n transactie invul dat het naar rekening nummer 123456 moet en die op naam van Janssen staat; dan kan er toch een melding komen dat het niet klopt. Niet van wie die wel is...
Probleem met het blokkeren van een oplichtersrekening na 1 melding is dat er fouten gemaakt kunnen worden. Je wil niet de persoon zijn die ten onrechte tot oplichter wordt gebombardeerd. Doe zoiets na x aantal afzonderlijke meldingen dan.
En dit; precies dit! Is DE oplossing.
Ik ken geen echt niemand (een persoon) die binnen een paar minuten onverwachts 1000 € nodig heeft.
Dan krijgt de scammer de dag erna zijn geld, wat lost dàt precies op?

Het probleem ligt bij het overmaken van geld naar de verkeerde persoon, niet hoelang het duurt voordat die persoon het geld (redelijkerwijs) tot zijn/haar beschikking heeft.
Bedenk dan eens een oplossing in plaats van een simpel idee zo af te kraken?
Als ik van iemand geld verwacht, verwacht ik het NU. Niet wachten, ongeacht het bedrag.
Ik spendeer regelmatig 1000+ en verwacht het ook op dat moment terug, zodra de transactie is uitgevoerd. Wachten is onacceptabel wat mij betreft.
Ik stel ook voor dat het in te stellen is; maar niet dat het “standaard” kan.

Als jij dat wil kunnen stel je dat zelf in; maar dan moet je niet klagen als je geld zonder pardon naar een verkeerde rekening gaat.
Maar, je maakt zelf het geld over, dus dat uurtje zal waarschijnlijk niets uitmaken, waar leg je dan de grens? En omdat jij 1000 euro iets vindt dat je ruim van te voren weet, wil nog niet zeggen dat dat voor anderen ook is.
Ik zeg alleen maar dat het “instelbaar” moet worden en standaard niet kan; voor de onwetende internet bankierende mensen...
@drdelta , @Waterfietser

Jawel want de mensen waarbij het gebeurd hebben vaak direct na het gesprek door dat het niet goed is. Dan bel je snel je eigen bank en dan zou het als we het voorbeeld van 1 uur even aanhouden nog tegen gehouden kunnen worden.

De bank doet dat nu namelijk ook, je eigen bank belt (belt bijna altijd) de ING en die bevriest dan de katvanger rekeningen voor een x aantal uur (dit ging zo in de 7 gevallen die ik eerder aanhaalde). Je moet niet vergeten dat het geld vaak gepind moet worden, dat kost ook tijd.

Moet je overigens niet bij KNAB zitten, die hebben geen noodnummer en dan moet je dus gewoon 40 min in de wacht....

Ik zeg echt niet dat het de holy grail is, maar geld niet standaard (dus @Carlos93 kan het dan als nog zo aanpassen dat het bij hem wel a la de seconde gaat :p ) a la de seconde overmaken gaat echt een hoop van dit soort gevallen voorkomen.

[Reactie gewijzigd door Operations op 19 december 2020 15:30]

Het is een maatschappelijk probleem omdat de pakkans zo laag is. Er wordt veel te weinig tegen opgetreden. Hoe vaak je wel niet hoort dat er honderden aangiftes over een persoon binnen moeten komen voordat er opgetreden wordt. De tig zaken waarbij de dader op een presenteerblaadje aangeboden wordt en nog wordt er te vaak helemaal niets mee gedaan.
Zeker, ik zal de laatste zijn die dat ontkent. Maar als ik zo een gebeurtenis inclusief alle problemen die je dan tegenkomt helemaal uit schrijf dan wordt het helemaal zo een betoog :p

Maar je hebt 100% gelijk.

Offtopic: Marktplaats fraude exact hetzelfde verhaal. Hoeveel aangiftes inclusief ongeveer een bekentenis er dan wel niet aangeleverd moet worden....

[Reactie gewijzigd door Operations op 18 december 2020 23:30]

Ik ben ooit gebeld door mijn bank omdat ik met mijn creditkaart een transactie had gedaan in Londen.
Dit vonden ze verdacht. Ik gaf aan niet in Engeland te zijn op dat moment.
Ze blokkeerden meteen mijn creditcard en stuurden mij een nieuwe toe. Het geld kreeg ik ook terug.

Waarom zijn banken met creditcards wel pro-actief en bij fraude op een bankrekening niet?
Omdat transacties vanaf een bankrekening een "beveiliging" hebben. Je moet zeg maar echt zelf toestemming geven, vroeger via TAN nu via een app of via een klein extra kastje.

Met een gevonden (of gestolen) creditcard heb je al all you need om te kunnen bestellen. CC nummer + verloop datum + CVC code.

Om geld te pinnen met een creditcard heb je overigens ook gewoon een pincode nodig.

[Reactie gewijzigd door Operations op 19 december 2020 10:58]

Klopt, een creditcard is makkelijk in gebruik een bankrekening is technisch beter beveiligd.
Echter achter de creditcard zit dus een complex monitorings systeem die mogelijke fraude als snel in de gaten heeft. Kan de bank dit systeem ook niet gebruiken voor de normale bankrekening? Dit zou fraude mogelijk kunnen verkleinen.
Wat er in jouw geval waarschijnlijk gebeurd is, is dat er een trigger af ging op het feit dat jij nog nooit in Londen een creditcard betaling hebt gedaan.

Net als dat de meeste mensen dit nog nooit in een "insert random african country" hebben gedaan. Dus dan gaat er al vrij snel een trigger af die vaak onterecht is omdat er steeds meer in het buitenland besteld wordt. Maar vaak is de trigger ook wel terecht.

Ik denk dat dit niet te doen is bij normale banktransacties, omdat dit instant wordt overgemaakt. Creditcard overboekingen zit DACHT ik tijd tussen waardoor dit makkelijker ongedaan gemaakt kan worden.

Tevens is een creditcard betaling vaak verzekerd, dus dan moet de bank sowieso betalen. En helaas betekent dit (in de praktijk) dat bedrijven dan ineens een stuk scherper zijn ;)
Ik denk dat je de fraudedetectie op creditcards ietwat overschat... Per jaar een paar miljard USD schade, dat is niet omdat die systemen zo geweldig werken
Heb nagenoeg hetzelfde meegemaakt. In Zuid-Afrika ingechecked met mn creditcard, en 5 minuten later op de hotel kamer gebeld door amex dat ze me via een koerier een nieuwe kaart kwamen brengen omdat na mijn incheck ik binnen 30 seconden 14 transacties had in vershillende landen. Toen ik bij de receptie mn nieuwe kaart ging ophalen was de politie bezig de card reader te onderzoken. Sindsdien een nog trouwere klant van amex, ondanks dat het een wat minder makkelijk geaccepteerde kaart is.
Ik heb security specialisten wel eens horen zeggen dat het hen zelf ook had kunnen overkomen. Dat geeft wel aan hoe geraffineerd men tegenwoordig te werk gaat. Ook ik denk dat het zou herkennen, maar zou er niet mijn hand voor in het vuur durven steken dat het me nooit zal overkomen.
Maar geven die security specialisten dan hun werkelijke mening of een sociaal wenselijk antwoord? Als je bij een consumentenprogramma wordt uitgenodigd en je zegt dat het behoorlijk stom is wat iemand gedaan heeft wordt dat niet echt gewaardeerd.
Ook security specialisten trappen er wel eens in. Iedereen heeft -momentaire- zwaktes die uitgebuit kunnen worden. Security specialisten die zeggen dat ze nooit ergens in getrapt zijn of zullen trappen... vertrouw ik niet.
Ook security specialisten trappen erin.

Dit zijn niet een stelletje domme scammers, de tegenwoordige scammer heeft gewoon een uitgebreide cursus psychologie gedaan en het slachtoffer eerst bestudeerd
Nee niet blind, maar er word druk gezet, bij voorkeur bij een ouder/kind van..
Ze checken de social media van de persoon die willen spoofen. Is die op vakantie/ziek dan kunnen ze die gebruiken
Ze sturen je een appje dat de gespoofte een nieuw nummer heeft en daarna...
"Er is iets ernstigs gebeurt, ben nu in het ziekenhuis en moet nu 10k betalen.."
Bel je ze nemen ze niet op, krijg je een berichtje kan niet opnemen hier, maak snel geld over.
Als je niet oplet dan trap je er in...

Bij familie van me werd het in ieder geval zo geprobeerd. Haar moeder had kanker en er iets over op FB gezet. Zij vond het wel raar dat moeder opeens ging appen dat ze dringend geld nodig had terwijl ze naast haar stond 8)7
Fijn het dat sociaal media, je hele hebben en houwen op internet , dat is nu de keerzijde. :-)
Een punt om niet over het hoofd te zien is dat de banken er ondertussen alles aan doen om mensen te dwingen gebruik te maken van internetbankieren. En de overheid dwingt je om je salaris via een bankrekening te ontvangen.

Natuurlijk heeft iedereen ook een eigen verantwoordelijkheid en dat wordt ook in de regels opgenomen.
Toch is elektronisch bankieren de veiligste manier. Met contant geld hadden we eeuwen ervaring en iedereen leerde van kinds af aan waar de valkuilen zaten. Elektronisch bankieren is iets van twee decennia en de laatste betaalmanieren pas iets van enkele jaren. Mensen moeten de valkuilen nog leren kennen. Vroeger was er ook zat fraude met contant geld: zakkenrollen, frauduleus geld wisselen op straat, gijzelen, kassa’s plunderen, etc. Vroeger maakt je als ouder ook beeld geld over via een overschrijvingsformulier als je een kaartje in de bus kreeg waarom iemand zich voordeed als je kind en om een overmaking vroeg. In de digitale variant daarvan doen we het wel massaal...
Dat is te makkelijk de schuld weer op anderen schuiven. Nu is het internetbankieren, vroeger waren het de gratis busreisjes waarom mensen voor honderden gulden waardeloze troep kochten.

En als je je salaris weer in een loonzakje krijgt staan er op de wegen van bedrijven wel weer boeven die een knuppel in je nek leggen.
Jij hebt je mening al helemaal klaar staan. Domme mensen.Je kunt je gewoon niet in anderen verplaatsen. Vind ik óók een vorm van dommigheid.
Nja ergens heeft hij wel een punt. Al moeten we wel met generaties denken. De 40/50+ers zijn over het algemeen niet zo digitaal vaardig als de “jongeren”.

Banken verplichten bijna iedereen om digitaal te werken. Mensen kunnen amper nog bij het kantoor langs omdat het kantoor in de buurt weg is en mensen x aantal km moeten rijden.

Maar dit is hetzelfde als met het roken. Ik wil bijv niet betalen aan de ziektes die roken met zich meebrengt als je 35 jaar of jonger bent... daarboven werd roken nog volop promoot en kan ik het hen niet kwalijk nemen.
Nja ergens heeft hij wel een punt. Al moeten we wel met generaties denken. De 40/50+ers zijn over het algemeen niet zo digitaal vaardig als de “jongeren”.
Dat is een allang achterhaald misverstand. Jongeren lijken handiger omdat ze dingen vaak sneller doen. Maar het is ook allang bewezen dat jongeren de informatie die ze in de eerste google link vinden, de waarheid is. Oudere mensen kijken toch wat verder naar de informatie.
Klopt. Je hebt drie categorieën gebruikers: de wat oudere mensen die niet zijn opgegroeid met computers en nog uit de tijd komen dat wantrouwen minder nodig was, de mensen die de ontwikkeling van de computer bewust hebben meegemaakt en op de hoogte zijn van de technologie en de jongere mensen die computers als commodity beschouwen en ze goed kunnen bedienen (maar weinig over de technologie weten).

De eerste groep heeft last van vals vertrouwen, de laatste groep van gebrek aan begrip van de techniek. De middelste groep heeft een grote kans om hier lid te zijn. ;)
Hmm na mijn idee zijn juist vooral de “ouderen” die trappen in zulke scam trucjes.

(Ik heb hiervoor niet de cijfers om mn antwoord te bekrachtigen. Is dus geplaatst op gevoel)
Ouderen zijn ook een geliefder doelwit aangezien die over het algemeen vermogender zijn dan jongeren.
Na het overlijden van mijn schoonvader (die altijd alles regelde) heb ik 6 maanden wekelijks met mijn schoonmoeder van 75 haar bankzaken gedaan. Ze kan het nu heel goed en kocht dit jaar (80) zelfs een nieuwe pc. Bankzaken kunnen tussen je 75+ en 100-ste levensjaar lastig zijn, zeker als je nog nooit een computer hebt aangeraakt, maar de bank het wel verplicht stelt.

Deze generatie heeft ook niet geleerd, zoals ik, wanneer argwaan te hebben. De ironie is dat iedere generatie vergelijkbare "nieuwe" problemen zal krijgen. Daarom zal een beetje compassie en inlevingsvermogen simpelweg op zijn plaats zijn. Dát is mijn punt.
Nou, zelf bij 35 jaar of ouder was al LANG bekend dat roken zeer slecht waa, misschien als je 80+ bent dat het een ander verhaal is, maar vanaf 70-er jaren was het goed bekend, 80-er jaren helemaal.
Bovendien waren de mensen die dat zeggen nog jong toen internet gemeengoed werd. Net zoals pinnen. Zelfs zwaar bejaarden waren nog pas rond de 50 toen dat werd ingevoerd.
Wanneer is iets eigen schuld? Val je van de trap is het technisch gezien meestal ook eigen schuld. Had je maar beter moeten opletten waar je je voet neerzet. Maakt iemand een ongeluk met de auto is dit ook eigen schuld meestal (Dit geld natuurlijk niet voor de mensen die erbij betrokken wordt). Had die maar beter moeten opletten of zachter rijden (zelfs al rij je niet te hard).

Uiteindelijk kost dit de maatschappij vaak genoeg ook "onnodig" geld. Moeten mensen dit ook maar zelf bekostigen/rekening krijgen voor de gemaakte kosten?

En voordat je wil zeggen dat men al zo vaak is gewaarschuwd voor de fraude en dat het dus dom. Is dat ze erin trappen: Men weet ook dat een trap gevaarlijk kan zijn, miljoenen mensen zijn al van de trap gevallen. Zelfde geld voor de auto, miljoenen ongelukken zijn al gebeurd dus men weet van het gevaar.
Ik heb samen met mijn broer en mijn ouders afspraken gemaakt over het vragen van betalingen. EN als het ooit voor zou komen dat ik of mijn broer om wat voor reden geld nodig hebben en dat van onze ouders zou vragen, dan altijd persoonlijk vragen of door te bellen. En niet door een berichtje via wat voor kanaal dan ook.
Als dat gebeurd hebben we duidelijk gemaakt dat er dan gevraagd wordt om te bellen, en er voordat we elkaar gesproken hebben niets wordt overgemaakt.
En 'nieuwe telefoonnummers' in combi met een 'betaalverzoek' is per definitie een red alert.
Het zijn mensen die wellicht een tikje naïef zijn, en meestal lief en behulpzaam. Die verdienen wat mij betreft sympathie en hulp, waren er daar maar meer van.

Ik baal vooral ervan dat er mensen zijn die bewust misbruik maken van anderen, die zelf geld mee willen jatten en anderen duperen. Op die eikels zou je boos moeten zijn, en misschien moeten zij eens gaan nadenken over wat ze anderen aandoen voordat ze met oplichting, fraude en misbruik beginnen. Het zijn de oplichters die ik niet snap.
Zou wel ideaal zijn hè, als iedereen perfect alles kon inschatten en nooit meer fouten zou maken. Maar zo werkt het nou eenmaal niet. Liever dat zelfs de domste figuur tegen zichzelf beschermd wordt door dit soort maatregelen, dan dat hun hele leven overhoop wordt gehaald.

De reden dat jij het niet snapt is omdat je te slim bent - ironisch genoeg. Jij zou niet voor zo'n scam vallen, omdat je weet hoe het werkt en/of op voorhand kan inschatten dat er iets anders achter zo'n bericht kan zitten. Helaas kan niet iedereen tot diezelfde conclusie komen. Dat geldt voor dit, maar ook voor vele andere vormen van fraude en oplichting.
You learn from your mistakes! Ik zou willen dat dit waar was voor iedereen, maar jammer genoeg geld dit niet voor iedereen. Veel maken steeds dezelfde fouten, soms zelfs van generatie naar generatie. Sommige mensen moeten inderdaad ver bij het internet vandaan blijven, maar dat geld niet alleen voor mensen qua spoofing, maar ook voor zoveel andere zaken...

Echter gaat die zelf verantwoordelijkheid in de praktijk gewoon niet werken, daar hebben we uiteindelijk meer last van dan dat we wat opschieten met die paar euro per jaar die het ons kost. Het enige waar je zeker van kan zijn is dat er heel wat minder menselijke fouten gemaakt zouden worden, als er geen mensen meer waren...

Daarnaast ben ik ook niet zonder fouten en ik heb zo een vermoeden dat jij dit ook niet bent. Voor ons wellicht niet op het vlak qua spoofing, maar waarschijnlijk wel op andere vlakken. En laten we wel wezen, soms maken we beslissingen op momenten dat we niet helemaal helder zijn. Van nog niet helemaal wakker, chronisch slaap tekort, flink ziek, onder stevige medicatie, etc. En soms kom je door omstandigheden in situaties die je normaal niet zou doen...
Kijk eens kassa van afgelopen weken terug. Die mensen zijn (dachten ze) door hun bank gebeld en moesten zo snel mogelijk hun geld veilig stellen op een "kluis rekening", en toen was het echt weg.... erg sneu verhaal.

Wat betreft whatsapp fraude is idd tandje minder slim om in te trappen.
De spoofing methodes gaan een stuk verder dan een simpel berichtje van een zogenaamde zoon/dochter die even vragen om geld over te maken. De zoon/dochter truc valt denk ik onder nalatigheid.
Bij bankspoofing doet men zich voor als bankmedewerker, waarbij vaak van te voren gedetailleerde kennis van het slachtoffer vergaard is, waardoor men legitiemer overkomt. De kennis is soms dusdanig gedetailleerd, dat er mogelijk zelfs wordt gedacht aan een inside job. Het slachtoffer wordt onder druk gezet over dat de bankrekening om dat moment gehacked wordt, waarbij ze zo snel mogelijk geld moeten overmaken naar een *veiligere* rekening. Het slachtoffer doet vaak ook moeite om te controleren of het ook daadwerkelijk gaat om de bank, door het telefoonnummer te controleren etc, maar ze zijn niet op de hoogte van het bestaan van spoofing van telefoonnummers op een normale telefoon, i.t.t. email spoofing, wat de meeste mensen wel kennen.
Door de geraffineerdheid trappen ook hogeropgeleiden in deze diefstal. Sterker nog, zij hebben gemiddeld gezien meer vermogen, en zijn dus een aantrekkelijker doelwit.

Los van compenstatie, is educatie en privacy erg belangrijk. Des te meer gegevens je vrijgeeft, des te gemakkelijker een criminieel je kan overtuigen dat zij van de bank zijn. Maar zelfs indien iemand ook daadwerkelijk echt van de bank blijkt te zijn, moet je dit persoon wantrouwen. Een bankmedewerker kan immers ook corrupt zijn. Vraagt een bankmedewerkers iets vreemds, bijv. je pincode, of geld over te maken onder, doen moet je dit persoon wantrouwen.
maar ze zijn niet op de hoogte van het bestaan van spoofing van telefoonnummers op een normale telefoon, i.t.t. email spoofing, wat de meeste mensen wel kennen.
Ik denk dat de meeste mensen ook niet weten wat e-mail spoofing is. Die zien gewoon het maildres van de bank en kijken niet naar de header (dat is te technisch).
Eens. Ik bedoelde eigenlijk spam en fishing emails.
Een ander probleem is de Instant maatschappij... direct "moeten" reageren op berichten, misbruik van allerlei platformen voor andere functies..... betalen per SMS verzoek etc.

Doordat de keten zoveel korter en sneller is geworden is er onvoldoende waarborg in het systeem om iets te overdenken, mensen worden overvallen door berichten, een waterval van woorden over de telefoon etc.
Soms heb je even tijd nodig en is een verplichte pauze tussen betaal verzoek en betaling verstandig/ noodzakelijk.

De hele maatschappij wordt steeds meer ingericht op alles zo SNEL mogelijk kunnen afhandelen.
Als mensen een betaal verzoek per brief krijgen hebben ze een mogelijkheid om dat met administratie te verifieren. (of hebben hulpverleners een mogelijkheid om erger te voorkomen).

Paar jaar geleden was mijn dementerende moeder ook al door Pretium Telecom over de streep getrokken voor van alles, het heeft wat aangetekende brieven en gesprekken gekost voordat ze dat ongedaan gemaakt hadden.
En die organisatie was nog tot restitutie en de hele zaak terugdraaien over te halen.

[Reactie gewijzigd door tweaknico op 18 december 2020 22:04]

Als mensen verstandig met hun geld zouden omgaan, of gewoon verstandig zouden zijn in het algemeen, dan zou de economie stilvallen. Wijsheid van een heitje, maar desondanks waar. Je dankt je baan aan de domheid van anderen.

[Reactie gewijzigd door EmbarrassedBit op 18 december 2020 22:28]

Altijd de persoon of instantie bellen en persoonlijk spreken om te verifieren of hun vraag om geld inderdaad klopt of niet.
Misschien moetens sommige mensen eens nadenken voordat ze zomaar geld overmaken via whatsapp fraude of een sms linkje trappen....
De spoofing fraude waar het hier over gaat betreft ook fraude waarbij het caller-ID van een telefoongesprek gespooft wordt, zodat criminelen zich als het service-punt van jouw bank voor kunnen doen.

Er is een listig scenario uitgewerkt door de criminelen waarbij al de benodigde handelingen door de consumenten zelf gedaan worden en zij zich keurig aan de voorschriften houden dat er niet om login gegevens gevraagd wordt. Je wordt als consument gebeld door 'jouw bank' die waarschuwt dat transacties op jouw rekening niet pluis zijn, en je wordt gevraagd om de bulk van je spaartegoed tijdelijk naar een zgn. 'kluisrekening' over te maken om het veilig te stellen hangende verder onderzoek en afweren van de lopende 'aanval.'

Er wordt heel doortrapt ingespeeld op de consument middels de urgentie van de situatie, waardoor je sneller genegen bent om alleen oppervlakkig zaken te controleren. Als je dan te maken krijgt met een caller-ID wat geverifieerd het correcte nummer is; en een persoon aan de andere kant die keurig ABN praat; zich beleefd en meelevend opstelt; en de nodige termen vakjargon laat vallen en uitlegt, dan ben je als consument zijnde aardig snel van de authenticiteit overtuigt.

Je moet echt behoorlijk oplettend, wantrouwend zelfs, zijn om daar doorheen te prikken.
Misschien moeten sommige mensen doorhebben dat niet iedereen evenveel kennis heeft zoals ons...

Voor leken ziet het er legit uit, en als jij een noodberichtje krijgt van jouw kind dan slaat als ouder de paniek toe, en dan denk je niet meer helder.
Vroeger was een bankrekening gratis en kreeg je:

-Bankpas
-Overschrijformulieren
-Enveloppen
-Service aan de balie

Vandaag de dag hebben banken veel bespaart door:

-Veel kantoren te sluiten
-Veel minder personeel
-Klant moet bijna alles zelf digitaal regelen
-Overschrijfformulieren en enveloppen kosten geld.

Hoe kan het dat een bankrekening vroeger gratis was en nu geld kost (terwijl de bank heel veel geld bespaart heeft)?
Vroeger werd bijna alles contant betaald en waren er nauwelijks banktransacties voor particulieren. Toen kon je met je pas alleen bij je eigen bank geld afhalen tussen 9:00 en 16:00 uur op werkdagen. Overschrijvingsformulieren kon iedereen namens een ander invullen en ondertekenen. Het werd gewoon overgemaakt. De enveloppen moest je frankeren als je wat verder van de bank woonde.
Nu kunnen we wereldwijd betalen zonder te hoeven wisselen, 24 uur per dag, 365 dagen per jaar. Je hoeft niet meer met duizenden euro’s over straat bij een grotere aankoop, betalingsverkeer is een stuk veiliger geworden, je kunt direct betaalverzoeken sturen zonder een eigen administratie te hoeven voeren zonder anderen brieven te moeten sturen als herinnering om een overmaking te doen. Daar betaal je dan 45 euro per jaar voor incl. creditcard waarbij veel aankopen verzekerd zijn. Ik denk dat voor die 45 euro bijna niemand terug wil naar de tijd dat je aan de balie geld moest afhalen en alles via overschrijvingsformulieren moet doen.
Het kan ook gratis en soms zelfs met een gratis creditcard. Rekeningen zoals:

-N26
-Vivid
-Revolut
-Openbank
-etc.

[Reactie gewijzigd door phantom09 op 19 december 2020 14:56]

Maar bijv. bij N26 heb je dan weer geen aankoopverzekering op je creditcard en geen mogelijkheden voor ideal. Als het gratis is wordt er ergens op beknibbeld of je betaalt met je privacy.
De ING wou gegevens van klanten ook gebruiken. Vanwege vele klachten is gebeurd dit niet, maar wie weet. En dit kan ook bij andere banken.
Zoals het gezegde gaat: "If it's free, you're the product"
Vroeger was de hypotheek rente ook 12% in NL. Van die opbrengst kun je heel veel personeel en kantoren betalen!
2021: u heeft een bericht van uw bank, om onze dienstverlening te verbeteren verhogen wij de tarieven vanaf maand x met x bedrag.

Uiteindelijk betalen we het allemaal weer zelf...
Dat is altijd. Ik samen met alle andere credit/debit card gebruikers bij die maatschappij betalen ook gezamenlijk voor hun foute transactie detectie en verzekeringen. Maar daar hebben we met z’n allen ook veel lol van. In 2000 was m’n creditcard geskimmed in de USA (was toen nog kinderspel, want dat ging met die Carbon afdrukjes nog). Ik kon precies aanwijzen waar want ik had dat ding maar op 1 plek gebruikt. Ik had binnen 24 uur de volledige “gestolen” hoeveelheid terug op m’n bankrekening.

Later gingen ze je bellen voor de transactie er überhaupt doorheen was. Laatste keer omdat ik de kaart had gebruikt in een restaurant op het vliegveld van New Jersey, en pak ‘m beet 8 tot 11 uur later in Nederland. Klopte helemaal, in dat geval, dus toen was het goed.
Een soort van ‘waarborgfonds’ dan?
Betaald door klanten die wel nadenken.
Hier zijn ze mee bezig https://www.security.nl/p...n+vergoeding+betaalfraude

Ik vindt wel dat de klant als nog een eigen risico moet betalen.
Maar wat ziet de bank als groffe nalatigheid?

Want okey, ik had dit probleem. Mijn creditcard was verlopen. Ik had een nieuwe maar niet de goede, dus ik had hem nog niet geactiveerd. Kreeg een mail hierover van mijn bank. Zeer legitiem.

Dus ik de bank bellen. Die vroeg of alle info wel klopte ook het mailadres (dat gespoofd was dus)

Er stond een link in de mail. Ik dacht ik Hoover erover heen. Maar ja touchscreen ging fout dus opende hem en zag een betaalscherm maar zag gelijk tinylink ofzo dus wist foute boel.

Zegt die telefoniste dat ik zo snel mogelijk mijn hele mobiel moet wissen. Terug zetten naar fabrieksinstellingen. Virusscanner erover heen enz. En evt. Naar telefoon winkel om dit te laten doen.

Toen had ik echt iets van uhm een Tiny URL met een QR code voor je scanner is nog geen Trojan en heb een virusscanner op mobiel die niet aansloeg: ze zegt nog net niet leg hem in de oven....

Dus: dat ik haar advies niet heb uitgevoerd ben ik dan nalatig?
Tja, ik snap dat het overdreven is maar het is eenmaal een feit dat een url een virus kan installeren op apparaten die niet worden geupdate (bugs etc)

Ik heb vrienden die met hun iphone nog steeds op ios12 zitten. Ze weigeren te updaten. Ik vind het wel nalatigheid en als je telefoon wordt gehackt ook eigenschuld. Maar goed, wie ben ik.
Tja, ik snap dat het overdreven is maar het is eenmaal een feit dat een url een virus kan installeren op apparaten die niet worden geupdate (bugs etc)

Ik heb vrienden die met hun iphone nog steeds op ios12 zitten. Ze weigeren te updaten. Ik vind het wel nalatigheid en als je telefoon wordt gehackt ook eigenschuld. Maar goed, wie ben ik.
Die mensen zijn niet nalatig en het is niet hun eigen schuld. Dit is een groter probleem wat we niet 100% op de eindgebruikers kunnen afschuiven. Dat is mijn mening als security professional.
Kan je die wat verder onderbouwen?
Ik heb automatische updates aan staan op mijn Android phone. Dus ik update gewoon. Ook de virusdefinities worden automatisch geüpdate. Dat was haar vraag ook nog.
Dat kan heel makkelijk opgelost worden. De bank kan zijn app zodanig maken dat hij alleen op een recente OS werkt. Mocht je toch een OS hebben die niet up to date is, dan krijg je een vriendelijk verzoek om eerst te updaten alsvorens je kan bankieren.
Je zou eens kunnen zoeken in het uitsprakenregister van het Kifid.

Op "Spoofing" kan ik al een uitspraak tegen. https://www.kifid.nl/wp-c...08/Uitspraak-2020-617.pdf (pdf)
Ja maar daar is er melding gedaan nadat het geld al weg was. Tot op heden mis ik niets aan geld (en is een maand geleden)
Op zich goed en logisch dat er regels aan worden gesteld door de banken zelf. Dit soort fraude was van alle tijden maar komt nu meer voor omdat alles digitaal wordt gedaan. Het wordt niet alleen voor de ouderen, maar ook voor de leken steeds moeilijker om overzicht te houden over dingen zoals betaalmethodes en zaken zoals spoofing.

Bij mij zijn altijd wat alarmbellen die ik in de gaten houdt. De belangrijkste daarvan is tijdsdruk. Criminelen doen altijd de dreiging van tijdsdruk gebruiken om zo urgentie op te wekken en een belangrijk onderdeel van de hersenen te omzeilen; logisch redeneren. De illusie van urgentie brengt veel mensen in paniek. 'U kunt het beste uw geld zo snel mogelijk over boeken naar de digitale bankkluis van ons want de criminelen hebben anders uw rekening binnen het uur leeg gehaald!' of de andere leuke 'er zijn verdachte transacties waar genomen op uw rekening. Wij willen graag dat u zich middels de volgende link verifieert anders zijn wij genoodzaakt uw bankrekening te blokkeren.'

Mensen dienen omgekeerd te gaan denken. Instanties en bedrijven kunnen urgentie opleggen; denk aan de belastingdienst of deurwaarders. Ze mogen dit echter enkel doen naar herhaalde waarschuwingen en zelfs dan zullen ze bereid zijn tot luisteren en uitstel. Als je absurd korte termijnen krijgt zoals 'binnen het uur', 'onmiddellijk' of binnen een dag of twee dan weet je eigenlijk 'dit is een scam'. Dat is ook wat je mensen moet leren; wordt er urgentie opgelegd; scam.
Dan draia je het proces om en zal bijna geen scam mail of telefoontje lukken.

Ja; het is eng als je gebeld wordt door je 'bank' met de melding dat er verdachte transacties zijn geweest. Blijf rustig; zeg dat je het gaat nalopen; hang op. Doe rustig alles nakijken los van de instructies die je door de telefoon kreeg. Bel zelf naar de bank en niet naar het nummer wat je belde. maar belangrijker urgentie is een teken van een scam. Is er urgentie? dan is het bijna 100% zeker een scam.
Ik mag hopen dat iedereen die misbruik gaat maken van de vergoeding keihard wordt aangepakt. Anders kan je de geldkraan wel openzetten.
Wat als het slachtoffer geen slachtoffer is?

Kleinzoon is handig met computers. Hij maakt met zijn opa een deal. De opa maakt al zijn geld over op een rekening van een vriend (geldezel) van de kleinzoon. Opa doet aangifte van oplichting (zou gebeld zijn door de bank die aangaf dat hij geld direct moest overmaken omdat hackers anders zijn rekening leeg halen).

Vriend van de kleinzoon pint dit geld en geeft het weer terug minus een beloning. Kleinzoon geef dit ook weer terug aan opa, minus een beloning.
Opa krijgt al zijn geld weer terug van de bank, omdat hij het netjes heeft gemeld bij de politie. Ook heef hij bewijstlast aan de bank gegeven (gebeld door een spoofing nummer van de bank).

En zo belonen we criminelen.....
En jij denkt dat er niet een onderzoek plaatsvindt inzake de rekeningnummers waar het geld naar overgeboekt is? Alsjeblieft zeg, tenzij 'handige kleinzoon' een kennis heeft met rekeningnummers in een verwegistan bankparadijs met een stevig bankgeheim wordt daar heel snel door opsporingsdiensten doorheen geprikt.
En hoe doen criminelen dat dan? Die gebruiken geldezels zoals in mijn voorbeeld.
En hoe doen criminelen dat dan? Die gebruiken geldezels zoals in mijn voorbeeld.
Die gebruiken in het geval van de huidige caller-ID fraude o.a. zwitserse rekeningen waar nog een sterk bankgeheim op rust.
Daar gaan dikke onderzoeken naar vooraf. Als het bv bij een NL bank wordt gepint dan is degene die het heeft gepint de sjaak.

Dit soort zaken gaan naar dingen als Bunq Bank enzo
Wat die grove nalatigheid precies inhoudt, moet volgens minister Hoekstra door de banken nog worden uitgewerkt.
Dat wordt nog wat dan. Naast de geraffineerde scams (die je naam via Whatsapp ophalen of uit een datalek, en bijvoorbeeld ook je wachtwoord weten) heb je ook nog een hele hoop mensen die in de simpelste scams trappen. Momenteel worden die mensen beschermd door de algemene "scam dus het zal wel vergoed worden" regeling van een aantal banken, maar ik hoop niet dat zei nu de klos worden van dit soort scams. Het zijn over het algemeen niet de mensen die de kans hebben snel te kunnen herstellen van een financiële klap die ook daadwerkelijk in deze scams trappen, en de schaamte om om hulp te vragen of op tijd aan de bel te trekken is groot.

Ik kijk met veel plezier naar hoe Kitboga op Youtube en Twitch scammers het leven zuur maakt (ik heb echt geen medelijden met dat tuig) maar de Nederlandse variant zie je daar niet zo vaak voorbij komen. Ik hoop dat naarmate er meer mensen betalingen aan scammers doen, banken ook meer data hebben om zo'n transactie te bevriezen en te verifiëren voordat het te laat is. Waarschuwingen in bank-apps en in reclamespotjes helpen iets, maar ieder mens is te social engineeren en de lafbekken dat dit soort scams uitvoeren, worden er met ieder slachtoffer beter in.
Wordt tijd dat je onbekende emails kan weigeren, sta je niet op de maillist Kan je diegene geen mail sturen, punt.
Dat is er opt-out toch al?
Hoe heet dat ook alweer?
Bij e-mailen ga je dan expliciet whitelisten. Dus alleen door de beheerder ingestelde adressen, hostnamen, domeinen etc. kunnen nog naar je mailen.
Dat is wel bewerkelijk maar ook veilig.
Heel mooi, maar de gemiddelde gebruiker kent de term whitelisten (dit heet trouwens acceptlisten) niet.
Het gaat mij ook niet om de individuele gebruiker maar om bedrijfs mail systemen. Als het aan mij ligt gaat er voortaan alleen white/acceptlistmailing gebruikt worden. Met een quarantaine systeem voor overige mail.
Maar dat wil de gemiddelde gebruiker of MT lid niet. Want dat is onhandig.
Security is echt onbelangrijk totdat het fout gaat.
Klopt, gebruikers willen gewoon hun werk doen in een bedrijf. En het moet snel.
Ik heb een vermoeden dat gebruikers vaak denken dat het allemaal wel meevalt, het is nog nooit voorgekomen. En we hebben toch een firewall, antivirus, spamfilter.
Echter security is er op nog veel meer zaken dan dat alleen.

Je wilt eigenlijk 100% alles veilig hebben (en dus bijna potdicht), maar ook complete vrijheid hebben in het werken. Helaas bestaat dat niet en zul je een gulden middenweg moeten nemen.

Echter zijn er wel geavanceerde spamfilters zoals mimecast. Die checkt niet alleen op spam, maar kan ook inpersonation detecteren, checkt of links in emails veilig zijn en veel meer.

[Reactie gewijzigd door phantom09 op 19 december 2020 11:19]

Dat gaat voor nog veel meer ellende zorgen. Dan bestel je wat, komt er een bevestigingsmail van een adres dat niet op de lijst staat en gaat de bevestingsmail het putje in. En zo kan je nog heel veel meer voorbeelden bedenken. En als het om mails van bedrijven gaat, doe je dan catch-all of wil je ieder individueel mailadres op de lijst zetten?
Mijn mail adres is ondertussen 16 jaar oud, is tig keer gelekt in dataleks en staat ondertussen overal over het internet verspreid.

Toch komt die zut niet in mijn inbox.
Tja maar niet iedereen is zo goed als jou batjes..rest van ons hebben een one click button nodig helaas.
Is het echte probleem niet het feit dat je ongeregistreerde telefoon nummers kan hebben in Nederland? Dat lijkt mij de grootste facilitator in deze kwestie.
Waarom zou je bellen vanuit nederland? En waarom zou je een nummer op je eigen naam registreren? Denk je nou echt dat een crimineel zich aan de regels houdt?

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True