ABN AMRO rolt 'Gesprek Check' uit tegen bankhelpdeskfraude

ABN AMRO heeft een nieuwe functie geïntroduceerd om klanten te beschermen tegen bankhelpdeskfraude. De 'Gesprek Check' stelt gebruikers in staat om te verifiëren of ze daadwerkelijk met een medewerker van de bank spreken tijdens een telefoongesprek.

Bij bankhelpdeskfraude doet een oplichter zich voor als een medewerker van de bank. Wanneer een klant twijfelt aan de authenticiteit van een telefoongesprek, kan die in de app van ABN AMRO om een Gesprek Check vragen. De bankmedewerker stuurt vervolgens een bevestigingsbericht via de app of Internet Bankieren. Dat bericht kan door oplichters niet worden verstuurd. ABN AMRO zegt dat de Gesprek Check niet verplicht is. De Gesprek Check voegt zich bij vijf bestaande veiligheidsfuncties in de app, waaronder de daglimiet en het spaargeldslot.

Door Andrei Stiru

Redacteur

01-10-2024 • 13:42

98

Submitter: Anonymoussaurus

Reacties (98)

Sorteer op:

Weergave:

Vooral voor de ouderen, die waarschijnlijk niet eens de abn amro app gebruiken.

Slim hoor ABN.
Hoe zou jij het doen? Ik neem aan dat je over alternatieven hebt nagedacht als je dit zomaar afschiet.
Als iets een security risk is, dan doe je het sowieso niet, ook als je nog geen alternatief weet. En dit systeem is enorm suspectiebel voor vissen. Een collega van de man in de midden zorgt ervoor dat de bank de melding verstuurt door een duaal telefoongesprek op te zetten. Dit gebeurt al veelvuldig bij ons (VS) en inmiddels wordt er dus gewaarschuwd dat de melding in de bankapp niet voor authenticiteit zorgt.
Bor Coördinator Frontpage Admins / FP Powermod @ibmpc2 oktober 2024 07:53
Als iets een security risk is, dan doe je het sowieso niet, ook als je nog geen alternatief weet.
Zo werkt het natuurlijk niet. Je maakt altijd een risico afweging;

Risico = kans x impact.
Welke maatregelen zijn mogelijk?
Wat zijn de kosten hiervan; zowel uitgedrukt in geld als in impact op de gebruikerservaring (kan ik mijn werk dan nog wel goed doen)
etc, etc.
Een collega van de man in de midden zorgt ervoor dat de bank de melding verstuurt door een duaal telefoongesprek op te zetten.
Als ik het artikel van de ABN goed begrijp, sturen ze enkel de push bij een uitgaande oproep vanuit de bank.

Als jij (of een mitm) de bank belt, zullen ze die melding dus niet sturen, want je hebt zelf het gesprek gestart, en hiermee speel je anders inderdaad phishing in de kaart.
Dus het is mogelijk voor een oplichter om met jouw nummer de bank te bellen, terwijl oplichter nummer twee met jouw nummer belt?
Euhm, ja? Dat gebeurt bij ons aan de lopende band. Nooit gehoord van het ontbreken van SPF/DKIM op het PSTN? De vissers werken tegenwoordig in een team van twee of drie personen, of is dat in Europa nog niet zo?
Bor Coördinator Frontpage Admins / FP Powermod @ibmpc2 oktober 2024 07:58
PSTN is Public switched telephone network. Het is het traditionele vaste (oude) telefoonsysteem dat veelal koperdraad gebruikt om analoge signalen te verzenden. SPF en DKIM zijn e-mail authenticatie standaarden. Beide zaken hebben echt helemaal niets met elkaar te maken.

Doel je er op dat telefoonnummers gespoofed kunnen worden? Ook dat is geen probleem dat zich tot PSTN beperkt.
Precies. PSTN heeft geen SPF/DKIM. Daarom werken man in de middens tegenwoordig in een team samen. Poppetje A belt de bank voor de verzending van de pushnotificatie naar het slachtoffer, poppetje B belt het slachtoffer. Beiden met een spooft telefoonnummer. De maatregel hebben ze bij ons proberen in te voeren, maar het heeft helaas niet langer dan een paar weken gewerkt omdat de man in de middens niet hebben stilgezeten.
Bor Coördinator Frontpage Admins / FP Powermod @ibmpc2 oktober 2024 08:27
PSTN heeft geen SPF/DKIM.
Dat komt omdat beide zaken echt totaal niets met elkaar te maken hebben. PSTN is een type (telefoon) netwerk. SPF/ DKIM zijn beide standaarden die de authenticiteit van e-mail moeten waarborgen. Dat staat helemaal los van de netwerkarchitectuur. Appels en Peren.
Ze hebben juist alles met elkaar te maken. SPF/DKIM is om spoofing te herkennen. Een dergelijke methodiek is er niet op PSTN. Daarom maken de vissers dus zo gretig van de man in de midden aanvallen. En het enige wat er is gebeurd is dat de bank er voor heeft gezorgd dat er nu twee man in de middens zijn die als team samenwerken. Probleemverschuiving en dus geen probleemoplossing.

Onze bank lijkt te zijn afgestapt van de pushnotificatie, omdat het niet heeft geholpen. De man in de middens hebben zich aangepast. Zolang er geen SPF/DKIM methodiek voor PSTN bestaat, kun je vanalles doen, maar de vissers zullen vrij gemakkelijk een aanpassing vinden om zonder hinder verder te gaan. Het was leuk bedacht, maar in de praktijk bleek het dus niet te helpen.

[Reactie gewijzigd door ibmpc op 2 oktober 2024 18:21]

Bor Coördinator Frontpage Admins / FP Powermod @ibmpc2 oktober 2024 18:23
SPF/DKIM is er om authenticiteit van e-mail vast te stellen. Beide zijn direct gerelateerd aan e-mail en niet beschikbaar binnen telefonie netwerken. Dit is echt een klok en klepel vergelijking hoor.
Precies. Het is er om de authenticiteit van de afzender van de e-mail vast te stellen. En dat is dus het probleem van PSTN, er is geen methode om de authenticiteit van een beller vast te stellen. Ik begrijp dus niet echt wat je bedoelt.

Vaak herken je gespooft nummers aan het ontbreken van +1 voorafgaand het nummer, maar dit is verre van waterdicht en meer een toevalligheid die een man in de midden ook kan gaan gebruiken.
Het feit dat er een theoretische edge case is waarin deze maatregel omzeild kan worden, betekent niet dat de maatregel geen waarde heeft. Het wordt hiermee hoe dan ook moeilijker om jezelf als ABN AMRO medewerker voor te doen. Daarmee heeft de maatregel een positief effect.
Voor zover ik begrepen heb wordt de bank via de app gevraagd om een verificatie en krijgt 'het slachtoffer' in de app het antwoord terug. Daar komt richting de bank geen telefoon aan te pas.
Gezien alle heisa rondom Bunq de laatste maanden zijn het zeker niet vooral de ouderen die hierdoor getroffen worden.
Wat is je logica hier? Als je bij Bunq zit ben je jong?
Bunq is een relatief nieuwe bank die hun reclames (en webdesign ect) richten op jonge mensen... dus ja de gemiddelde rekeninghouder bij Bunq zal ongetwijfeld in de categorie "jong" vallen.

[Reactie gewijzigd door RichD1011 op 1 oktober 2024 14:03]

De aflevering van Radar over deze problemen liet toch alleen oudere klanten zien. Gemiddelde leeftijd zal heus wat lager liggen dan bij de Rabo.
Dat is waarschijnlijk omdat iemand die deel uitmaakt van de oudere generatie eerder over een behoorlijke hoeveelheid liquide middelen beschikt dan een jonger persoon, Als jij als oplichter/fraudeur een goede slag wilt slaan, moet je natuurlijk wel het juiste slachtoffer kiezen en niet iemand die niet voldoende geld op de rekening heeft staan om zo nu en dan een terrasje te kunnen pakken (als ik die reclame (?) die ik een paar dagen geleden voorbij zag komen mag geloven).
De oplichters richten zich, naar mijn ervaring, op senioren.

Vul regelmatig het formulier van de oplichters in (met fake gegevens maar een echt telefoonnummer). Vul ik de leeftijd van een jonger persoon in dan gebeurt er niets. Vul ik de leeftijd in van een 65+'er dan hangt de oplichter dezelfde dag nog aan de telefoon.
Waar vind je die formulieren waar je het over hebt? Ik zit ziek thuis en wil best wat oplichters aan de praat houden voor een paar uur of langer.
Meestal in mijn spambox. KvK gegevens die ik moet actualiseren, mijn creditcard die een extra authenticatie krijgt, ze verzinnen genoeg onzin om wekelijks diverse mailtjes uit te sturen.
Ah, helaas heb ik die nog niet aangetroffen. Dat zal ook komen omdat ik al 13 jaar buiten Nederland verblijf en dus al vrij lang meer getarget wordt door NL scammers/ads/etc. Voel je vrij om in een PM een link of 2 te delen als je er deze week nog een paar krijgt. Een paar van die gasten een paar uur aan de lijn houden is toch weer wat senioren beschermd :)
Hoe vaak heb je dat gedaan, invullen dat je zeg 80 bent? Vind het nogal twijfelachtig, misschien heb je dat 2x meegemaakt... wat bewijst dat nou? ;)

[Reactie gewijzigd door Sjah op 1 oktober 2024 22:33]

In de rapportage van NRC over de helpdeskfraude bij Bunq werden er meerdere slachtoffers geïnterviewd. Dus we hebben een redelijk goed idee over de demografie van de slachtoffers.
Ik merk op de werkvloer dat de jongere generatie net zo digibeet zijn als ouderen. Ze zijn alleen beter in digitaal consumeren en het eventueel zelf uit zoeken om iets te fixen.
Yup, 100% eens. Ze hebben vaak geen idee.
De tijd dat digibeten niet aan digitaal bankieren doen is echt voorbij.

Of de feature veel mensen zal helpen weet ik niet, maar al werkt het maar bij een kleine groep is het misschien al de moeite waard.
De tijd dat digibeten niet aan digitaal bankieren doen is echt voorbij.
Dat was ook niet het punt. Deze discussie ging over dat niet alleen ouderen werden getroffen. Het feit dat er nu meer technologie is betekent niet dat mensen minder digibeet zijn. Ik denk dat het percentage vrijwel gelijk blijft, misschien licht stijgende lijn. Jongeren zijn meer technisch gewend maar ze hebben echt geen idee hoe of wat.
Je slaat de spijker op z'n kop. Vroegâh, eind jaren 70, begin jaren 80 van de vorige eeuw had je nog een keus. Of je vond computeren leuk en verdiepte je je erin of je vond er geen bal aan en postte je nog gewoon je brieven. Nu is iedereen verplicht mee te doen met het automatiseren en de huidige ouderen vinden of computeren nog steeds leuk en komen mee, of ze moeten mee omdat het niet anders kan.
Bij jongeren is dit precies hetzelfde, met dit verschil dat ze ermee opgroeien. Maar waarom iets zo of zo gaat is voor de ene jongere interessant en voor de andere totaal niet. Ik denk ook dat er niet zoveel verschil te zien is tussen de ouderen en de jongeren.
Ouderen zijn niet hoogbejaard en seniel, er zijn er zat die de app gebruiken.
Ik zie anders in mijn omgeving dat ouderen min of meer gedwongen worden online te gaan bankieren (met of zonder app, dat maakt niet uit).
  • Eerst betalen voor acceptgiro kaarten
  • Daarna zijn ze helemaal afgeschaft.
  • Steeds duurder wordende papieren overschrijf kaarten.
  • Betalen voor papieren rekeningen. Met het betalingskenmerk heel erg onduidelijk op de rekening (geen scheidingsteken "-" in de nummerreeks)
  • Periodieke rekeningen per maand gaan sturen ipv per kwartaal. Want dat is "handiger" en "transparanter".
  • Betalen voor papieren afschriften.
  • Papieren afschriften stoppen, tenzij je aangeeft dat je ze nog hebben wilt.
Dat zijn een aantal van de dingen waar je tegenaan loopt met een digibete oudere in je familie die ook niet erg gediend is van machtigingen.

Dus alle beetjes beveiliging helpen. Hoewel wéér een verandering ook niet echt helpt voor deze categorie klanten. Die continue veranderingen zijn eigenlijk het grootste probleem.

[Reactie gewijzigd door locke960 op 1 oktober 2024 14:40]

Doet het kwaad? Nee toch? Het kan enkel helpen
Nee, want als je gevist wordt krijg je de melding ook, dus het geeft een vals gevoel van veiligheid. Het doet dus enorm veel kwaad.
Het helpt wie? Tegenwoordig kunnen de criminelen ook uit de voeten met 2FA en dit is een 'soort van' 2FA-maar-niet-echt. Eenmaal je toegang hebt tot het communicatiekanaal (wat in de meeste gevallen hier gebeurt) ben je de pineut, een knop toevoegen op de website waar mensen omgeleid worden om een 'check' te doen is triviaal, veel van de fraude gebeurt precies door de telefoon (Android) over te nemen via 'slechte' bank apps. Wil je een stemcheck doen, ik ga je over de telefoon begeleiden hoe je onze app kunt installeren.

Het enigste dat je kan doen is een extra factor aan 2FA toevoegen. 2FA via SMS is vaak 1.5FA genoemd omdat het gewoon een paswoord is. "Echte" 2FA is een factor op zichzelf, dus niet getriggered via hetzelfde communicatiekanaal en ook wederzijds, dus een vooraf gedeelde sleutel die aan beide kanten geheim is en moet overeen komen. HEEEL lang geleden, toen "op het web" banken via 56k modems en evenveel bit encryptie liep, kregen we van de bank een echte "sleutel", een systeem dat elke minuut een andere code op een schermpje had en de codes konden vergeleken worden zonder dat je het moest kopieren en je moest dan 'het 1ste, 3de en 5de karakter' invoeren en dan kreeg je ook een stuk van het volgende nummer te zien van hun kant om te vergelijken. Het systeem was toen toch hondenduur (omgerekend 75-100 euro per sleutel in de jaren 90, reken maar met inflatie), maar op schaal is dit tegenwoordig te doen voor minder dan 20 euro, echter daar wringt het schoentje, dat kost 20 euro * aantal klanten terwijl vroeger het aantal klanten die via het web "willen" bankieren een handjevol enthusiasten was.

Moesten de banken dit willen kunnen ze ook gewoon een systeem opzetten om die betalingen terug te draaien, betalingen naar landen buiten de EU toe vertragen met 30 dagen of met een mutuele waarborg.

Het is niet alsof het geld 'verdwijnt' uit het bankstelsel, het loopt allemaal relatief centraal, dus blokkeer de rekening van de boef en draai alle betalingen terug. Maak alle 'rekeningen' het equivalent van een kredietkaart met een transactielimiet gesteld op hoeveel je gemiddeld uitgeeft. Zomaar even 60k euro van een spaarrekening heffen zou niet kunnen.

In principe is dit gewoon een methode om verantwoordelijkheid terug bij de klant te zetten. Wij zijn niet verantwoordelijk want er was 2FA actief, wij zijn niet verantwoordelijk want je chipkaart "kan niet" gekopieerd worden (alhoewel het al tenminste sinds 2006 misbruikt wordt - https://www.cl.cam.ac.uk/...n/oakland10chipbroken.pdf), wij zijn niet verantwoordelijk want je moest maar de stemcheck gebruiken.

[Reactie gewijzigd door Guru Evi op 1 oktober 2024 18:47]

In de praktijk zie je dat oplichters in groepen werken waarbij iedereen een stukje doet. Eentje verzameld gegevens van kwetsbare mensen. Eentje zet een nep-website op. Eentje met een vlotte babbel gaat langs de deur of belt op, etc.

Het buitgemaakte geld zetten ze niet op een bankrekening maar wordt zo snel mogelijk gepind via de rekening van een geldezel of er wordt iets online mee gekocht. Het terugdraaien is dan niet meer mogelijk.

Afhankelijk van de gebruikte methode ligt de verantwoordelijkheid soms toch echt bij de klant. Als je bijvoorbeeld je je pasje compleet met pincode afhandig laat maken of zelf meegeeft, kan de bank daar natuurlijk ook niets aan doen.
Als ik op Amazon iets koop en het is nep, draaien zij ook gewoon de transactie terug, bijna alle systemen hebben een bescherming tegen fraude, behalve de bank 8)7

Meestal loopt dit inderdaad via geldezels, maar die zijn ook gewoon deel van de bende. En dat is precies mijn probleem, "effe pinnen" en het systeem "kan niet" meer teruggedraaid worden - waarom - het geld verdwijnt niet, het is een kolommetje in een database die opeens verandert en geld contant afhalen kan voor kleine bedragen, maar een paar duizend euro af te halen en de politie en/of belasting komt snel aankloppen, en daarom dat ik ook stel een vertraging in te voeren, hey, je hebt 60k ontvangen, het staat op je rekening maar er is een waarborg alvorens je het "verbruikt" - dat is het systeem dat oa. de VS gebruikt, de rekening wordt maar na 3-30 dagen afgerekend afhankelijk van het risicogehalte en je moet dus een waarborg hebben (meestal in de vorm van een kredietlijn) als je het geld wilt afhalen alvorens de banken geverifieerd hebben dat je geen valse cheque gestuurd hebt, en als je een grote betaling moet regelen, moeten de autohandelaars, hypotheekbanken en vastgoedadvocaten ook borg staan dat ze voldoende onderzoek gedaan hebben dat je daadwerkelijk van de 'juiste' eigenaar koopt en het geld zendt naar de juiste rekening. En als het verkeerd is draait iedereen de boel terug (en als je als geldezel het geld verbruikt hebt, ben je daar verantwoordelijk voor de kredietlijn die nu open staat).

Probeer maar eens direct van de bank's eigen rekening te halen, zelfs al is een aankoop door hun eigen divisie 'goedgekeurd' - en dit gebeurt oa met valse facturen etc, die draaien dat wel degelijk terug, soms maanden later als ze het uitvissen, en alle banken werken samen om dit soort dingen aan te pakken, maar oma die haar pensioengeld van de maand kwijt is, dat is "gepind", "gewaarborgd met 2FA", ..., wel, misschien als we het dan uit de zak van de bankdirecteur halen...

[Reactie gewijzigd door Guru Evi op 1 oktober 2024 20:12]

Mja, maar als je iets op Amazon koopt en het is nep, is het dus van een verkoper op Amazon en natuurlijk werkt Amazon mee. Dat is niet hetzelfde als een bank.

Overigens kun je bij veel (alle?) banken zelf een daglimiet instellen. Wil je bijvoorbeeld bij Rabobank Zakelijk boven je daglimiet, dan moet je dat eerst aanvragen via de app en 4 uur wachten. Je krijgt een sms'je bij aanvang en als de 4 uur om zijn.
alvorens de banken geverifieerd hebben dat je geen valse cheque gestuurd hebt
Het fenomeen cheques ken ik alleen van Amerikaanse tv-series. Gebruiken mensen die nog in Nederland? Volgens mij zijn ze hier nooit populair geworden.
(en als je als geldezel het geld verbruikt hebt, ben je daar verantwoordelijk voor de kredietlijn die nu open staat)
Geldezels hebben meestal geen geld, dus er valt niets te halen. In het gunstigste geval moeten ze van de rechter een aantal jaar lang maandelijks een klein bedrag van een uitkering betalen, maar dat staat meestal niet in verhouding tot de bedragen die verduisterd zijn. Vaak zijn het figuren die te dom zijn om in te schatten dat ze als bliksemafleider worden gebruikt.

Er zijn allerlei systemen te bedenken om oplichting (deels) te voorkomen, maar die hebben ook altijd nadelen. Het kost tijd en of geld. 60K die met een maand vertraging aankomt, betekent ook dat iemand in de keten een maand lang 60K moet voorschieten, voor bank moet spelen. Als de rente 5% per jaar is, is dat toch weer € 250 per maand. Best duur, alleen maar om een veilige betaling te doen.
Geldezels weten meestal wel wat ze doen, als je slim bent moet je geen crimineel worden. Snel rijk worden wilt iedereen wel totdat ze in de gevangenis komen en hun leven geruineerd wordt, de meeste mensen denken echt dat "ik niet" gepakt kan worden, want zij zijn een "klein onderdeel". Echter het zijn meestal de bendeleden op straat die opgepakt worden, niet de leiders die zich een legertje advocaten kunnen veroorloven.

Ivm cheques, inderdaad wordt 'dagelijks' gebruikt in de VS alhoewel ze dag van vandaag 99% elektronisch zijn, maar tussen particulieren kun je een cheque schrijven en die moet dan binnen de 3 maanden ingestuurd worden. Dus je kunt via verschillende manieren digitaal geld overdragen maar de cheque moet door de bank gewaarborgd worden totdat geverifieerd is dat het geld beschikbaar is, en zoals gezegd, er is een risico aan verbonden dat de bank de kosten moet "eten" als de transactie teruggedraaid wordt (meestal verhaald aan de klant in de vorm van krediet). Tegenwoordig is dat allemaal geverifieerd binnen minuten, maar in sommige gevallen heb je uren, dagen of weken alvorens het geld 'beschikbaar' komt.

Daarom dat kredietkaarten ook zo populair zijn daar, elektronisch betalen, als het je niet meevalt (als je niet akkoord gaat met de verkoper voor wat voor reden ook) kun je de betaling terugdraaien tot 3 maanden lang, sommige kaarten zelfs langer voor bepaalde aankopen. Natuurlijk misbruik maken en je verliest de kaart en het geld.

En natuurlijk, dat is toch de rol van de bank, om je geld veilig te zetten. En inderdaad, geld vastzetten kost geld, maar het geld staat wel degelijk op je 'rekening' dus als je rente 5% is (droom verder joh) en het is legitiem ben je niets armer. Veel bedrijven moeten lenen om lonen te betalen, met interesse van 15-25% op kortdurige (1 of 2 weken) leenperiodes, dus banken en bedrijven zijn dit al 'gewoon'.

[Reactie gewijzigd door Guru Evi op 2 oktober 2024 01:54]

Het is ook online in de bankomgeving, niet alleen de app.
mijn ouders zijn 68 en 74, die hebben daar echt wel wat aan, en gebruiken gewoon de app :)

ik heb ze wel goed geïnstrueerd mbt phising en scams, maar toch. goede feature waar echt een doelgroep voor is :)
Een fors deel van de fraude wordt toch gepleegd door ongeautoriseerde toegang tot de app? Als die app niet wordt gebruikt dan is er een beperkt risico....
Waarom zouden ouderen de app. niet gebruiken?
ze moeten tegenwoordig de app gebruiken, de edentifier is afgeschaft, dus als je het een beetje digitaal wil doen heb je de app nodig
Dus omdat dit niet voor iedereen werkt, is het geen goede methode?
Gezien de verhoogde kans op vissen bij deze methode, is het geen goede methode inderdaad. Het enige wat de bank doet is ervoor zorgen dat de vissers nu twee malafide mensen per vispoging nodig hebben, in plaats van een.
Is dit systeem sowieso een beetje te laat? Dit systeem is namelijk allang omzeild bij ons (VS). De man in het midden zorgt er voor dat de bank deze melding verstuurt en de geviste eindgebruiker krijgt gewoon de juiste melding van authenticiteit.
Avoid voice calls. Insist on communication via email. Do not communicate via Chat unless the "Chat" is, at the end of the "Chat", automatically sent as a .pdf to the quoted email address of the Person who initiated the "Chat". Therefore, the Person who initiates the "Chat" must be logged in to the Bank website of the Bank that he/she is a Customer/Victim of. Thus, if some other Person has the login details of the Person he/she is impersonating will not receive the .pdf copy of the chat. Obviously, if the impersonator tries to offer an alternative email address for delivery of the .pdf transcript of the "Chat", the email address of Account Holder must be, immediately, contacted and asked to confirm the change of email address. No confirmation or a denial must result in a copy of the .pdf transcript being sent to the correct (original) email address and the Police (in the UK: Action Fraud) notified with the IP address of the impersonating "Chat". Yes, a VPN IP address may present a problem to which I am ignorant of the solution.
I do not answer incoming telephone calls. I do not care a hoot for social media. WhatsApp: the only WhatsApp contact I have is that of my Wife (as her ex-Husband) and she is ±10000ks away
Bij de Rabobank ook een keer de bank gebeld i.v.m. mijn creditcard aldaar. Het gesprek mocht toen pas voortgezet worden wanneer ik in de app bevestigde dat ik met een medewerker aan de lijn was. Wel fijn dat er pro-actief gestuurd wordt om dit soort checks gemakkelijker te maken en te normaliseren.
Klopt, heb dit ook al mee gemaakt bij de rabobank. Wist niet eens dat ze dit hadden.
Het gesprek mocht toen pas voortgezet worden wanneer ik in de app bevestigde dat ik met een medewerker aan de lijn was.
Dit is eigenlijk wat alle banken moeten doen. Vind het vreemd dat die andere banken dit niet verplichten.
Yup, maar dat gaat meer om het omgekeerde: dat is om social engineering *tegen de bank* te voorkomen.

Dus dat iemand opbelt naar Rabo met "Hoi, ik ben Pindakaas, kunnen jullie me even wat details over mijn hypotheek vertellen".

Uiteraard weet die iemand dan je postcode en geboortedatum... maar hij heeft (hopelijk!) je telefoon (en pincode van je bankapp) niet.
Niet helemaal. De bank wil dan bevestigd zien dat jij het bent i.p.v. andersom. Bij mij een keer het volgende gehad bij Rabo. Ik kreeg de melding zelf wel, maar de bevestiging kwam bij hun niet binnen. Op zich geen probleem het gesprek kon verder nadat ik wat zaken als geboortedatum "ter verificatie" kon aangeven. Was overigens een gepland gesprek.
Ook prima check voor de bank dat ze degene spreken die ze denken te spreken.

Spuit elf hier. Dat was al twaalf keer gezegd. :)

[Reactie gewijzigd door Exactor it op 2 oktober 2024 20:07]

Fraudeur aan de lijn: Ja, ik snap er ook niets van, dat u de gesprek check niet krijgt. Misschien heeft uw WiFi wel een probleem.

Ik denk, dat de mensen die in bankhelpdeskfraude trappen, het bovenstaande excuus ook wel zullen geloven.
Dan heb je niet meegemaakt hoe bankhelpdeskfraude tegenwoordig werkt. Het is een stuk geraffineerder dan een Indiër met een anoniem nummer die een houterig script voorleest tegenwoordig.

[Reactie gewijzigd door HooksForFeet op 1 oktober 2024 14:38]

Al zou het maar een handvol mensen helpen, dan is het toch gewoon waard?
En als ze het niet (weten hoe te) gebruiken kan de bank de verantwoordelijkheid van zich afvegen natuurlijk. Hoeveel sites zijn er ondertussen niet die zogenaamde SMS verificatie als 'veiligheid' bestempelen, of paswoorden maandelijks veranderen is veilig etc etc en dan als er iets verkeerd gaat wijzen ze naar de gebruiker.

Echte veiligheid kan gemakkelijk gedaan worden met een YubiKey of de oude RSA SecurID keys, echter, dat zou teveel geld moeten kosten en in de winsten snijden.

[Reactie gewijzigd door Guru Evi op 2 oktober 2024 02:10]

Dit heeft de ING Bank al een tijdje onder de naam Check het Gesprek.
https://www.ing.nl/de-ing...lf-doen/check-het-gesprek
Blijkbaar is dit zo belangrijk dat andere banken het ook zijn gaan doen.
Ik heb zelf nooit een nep gesprek van een bank ontvangen, meestal is het iets met crypto investering waar ze mijn naam en nummer in een lijstje hebben staan.
Bij ING werkt dat systeem alleen niet via via een bevestigingsbericht maar wordt er gecontroleerd of er vanuit de ING omgeving daadwerkelijk een uitgaand gesprek plaats vindt met de gebelde klant; onder vermelding van de naam van de medewerker die belt of de afdeling.
Klein beetje verdieping in een artikel zou wenselijk zijn.
En dat niet alleen. Als de app van ING ziet dat je in gesprek bent, zal bijvoorbeeld automatisch inloggen met FaceID gepauzeerd worden en trekt die ‘Belt ING? Check het gesprek’-knop nog eens extra je aandacht op het pincodescherm.
Het idee is dan ook goed. Ik vraag me af of dit een functie zou moeten zijn waarmee banken zich differentiëren. Ik denk dat het beter is als ze het allemaal op dezelfde manier doen. dwz. allemaal dezelfde prominente knop, met dezelfde naam, op dezelfde plek in de app en in de online blankomgeving.

Dan kun je het gemakkelijker promoten in een reclame campagne. Ik denk dat dat juist voor de slachtoffer-doelgroep belangrijk is.
Het idee is dan ook goed. Ik vraag me af of dit een functie zou moeten zijn waarmee banken zich differentiëren. Ik denk dat het beter is als ze het allemaal op dezelfde manier doen.
Voordeel van verschillende implementaties is dat als zo'n systeem wordt gecompromiteerd, niet alle banken de sigaar zijn.
Ik bedoel alleen het aspect gebruikersinterface. Iedere bank moet natuurlijk nog steeds zijn eigen implementatie maken.
Voordeel van verschillende implementaties is dat als zo'n systeem wordt gecompromiteerd, niet alle banken de sigaar zijn.
Het nadeel is dat het met verschillende interfaces minder makkelijk uit te leggen is aan de mensen voor wie juist nodig is.
Aan de ene kant toch wel een beetje tegenstrijdig, de afbeelding die bij het gelinkte artikel staat. Waarin zichtbaar is dat je een bank-medewerker spreekt, terwijl je aan het bellen bent met een anoniem nummer. Wat vervolgens inhoudt dat de bank jouw gebeld heeft -- terwijl de bank jouw nooit belt, jij belt altijd de bank.

[Reactie gewijzigd door yefox op 1 oktober 2024 13:49]

De ABN AMRO bank belt niet anoniem. De keren dat ik gebeld ben stond er een 020 nummer in mijn scherm. Dus de bank belt wel degelijk en bijna altijd alleen maar als je er om gevraagd hebt of als ze een nieuw product hebben waar je als klant wat aan kan hebben. Het lijkt me verder logisch dat ze anoniem neerzetten ipv een fictief nummer anders denken mensen weer dat ze door dat nummer gebeld worden.
Daarnaast: ook oplichters kunnen het nummer van de bank spoofen waardoor het daadwerkelijk lijkt alsof het legitieme nummer je belt.
Dat kan, hetzelfde als dat ik jouw account kan spoofen. Ligt er maar net aan hoeveel tijd en geld ze hieraan kwijt zijn. Wat dat betreft kijken criminelen ook maar kosten en baten. Kost het teveel dan doen ze het niet.
Een telefoonnummer spoofen is nu echt niet iets wat heel ingewikkeld is en al helemaal geen geld kost.
Als ze je account konden spoofen zouden ze je niet hoeven bellen.
Nou ja, de waarschuwing dat je nooit gebeld wordt door een werknemer van de bank wordt blijkbaar door voldoende mensen genegeerd om hier een andere oplossing voor te moeten zoeken. In plaats daarvan zegt de bank nu: "Wij bellen u nooit, maar als u desalniettemin gebeld wordt door iemand die beweert voor ons te werken, controleer dan eerst in de app of dit telefoongesprek bij ons is aangemeld." Of iets in die trant.

Of die procedure beter werkt dan simpelweg onthouden dat je het gesprek direct moet beëindigen wanneer je gebeld wordt door iemand die zegt voor de bank te werken...? Voor sommige mensen zal het wel nooit genoeg zijn maar alle beetjes helpen; die kosten worden immers ook doorberekend aan klanten die er niet in trappen.
De bank belt ook uit in voorkomende gevallen. Bijvoorbeeld bij ongeoorloofd rood staan. Verschilt misschien per bank. Maar ABN belt wel degelijk uit.
De bank belt zeker wel uit! Zeker bij vermoedens van fraude.

Mijn vriendin heeft partnercard gekoppeld aan mijn creditcard en ze had die al heel lang niet meer gebruikt. Tot ze voor een verjaardag een nieuwe outfit bij Zalando wilde bestellen en dan meteen in 2 maten (waar Zalando destijds mee adverteerde: "Twijfel je over de maat? Dan bestel je ze toch allebei?").

Zo kwam het dus dat een creditcard die normaliter niet gebruikt werd ineens werd gebruikt om een paar honderd euro af te tikken. Dat triggerde een alarm bij de ING.

Eerst belde mijn vriendin mij: "Zeg, ik probeer iets te bestellen op Zalando met de creditcard, maar die werkt niet. Weet jij hoe dat kan?" Tijdens dat gesprek kreeg ik een wisselgesprek van ING. Dus ik zet haar even in de wacht en neem op. Vervolgens kreeg ik netjes te horen dat er op mijn partnercard een aankoop bij Zalando werd gedaan, of ik daar vanaf wist. Nadat ik dat had bevestigd kreeg ik te horen dat we het opnieuw konden proberen en het dan wel zou lukken. Dus ik beeindig het gesprek met ING en kon mijn vriendin vertellen dat ze het nog een keer mocht proberen. Toen werkte het inderdaad wel.

Dus ja, je kunt zeker door de bank gebeld worden. Alleen dan belt de bank niet om gegevens te vragen maar om te melden. En eventueel vragen of dat klopt.
Nou, het enige dat ik opsteek van dit artikel, is dat de bank dus TOCH kan bellen? Vind het beetje een zaak van schuivende panelen, nog geen jaar terug moest ik de bank ook al tel. en email geven, ik had altijd zoiets ja maar jullie hebben dat niet en sturen enkel brieven..
Nee, ik hou me bij advies vd reclame van jaren terug>> hang op, bel uw bank

[Reactie gewijzigd door Sjah op 1 oktober 2024 18:30]

Dat kun je sowieso doen. Maar met gezond verstand kom je ook een heel eind.
Dus, oplichters sturen nu tijdens het belletje een SMS'je
GESPREK CHEKC: Dit is de bevestiging dat u echt met een medewerker praat. Heus.
Groetjes.ru
Dit zeg ik gekscherend, maar ik heb een beetje de vrees dat als oplichters iemand spreken die al deels gelooft dat die met diens bank praat, er andere manieren zijn om die persoon te overtuigen dat het echt een medewerker is. Zeker met een domme smoes als 'er is een storing met Gesprek Check, maar ik zal u een SMS sturen ter bevestiging'.

Overigens vind ik het wel een goed initiatief.
Heel goed. Al zal hierdoor ook weer phishing ontstaan door neppe mailtjes te sturen met daarin een neppe afbeelding in de trant van 'Je creditcard is in gevaar, klik nu hier om met een echte medewerker van de bank in gesprek te komen' om je dan naar een neppe pagina te leiden die zegt 'Je bent nu in gesprek met een echte medewerker van bank xxx'.

Maar onder de streep juich ik dit soort dingen alleen maar toe!
Ik ben een keer echt door de Rabobank gebeld, die belden toen met een "prive nummer". Dat helpt ook niet echt voor legitieme gesprekken.
Kunnen oplichters er niet omheen werken door gelijktijdig zelf met de bank te bellen en zich voor te doen als de klant? Of werkt de check alleen bij gesprekken die geïnitieerd worden door de bank?
Het laatste natuurlijk
Dit is natuurlijk ook te faken als je een nep ABN app of portal hebt. In een nep app of nep portal kan ook een pop-up of whatever getoond worden met een "het gesprek klopt".

De andere methode is dat men een voornaam zou noemen van een medewerker, dat mag weer niet vanwege privacy redenen. Dus echt waterdicht is het allemaal zeker niet.

Bovendien is het juridisch slim ingezet door ABN, een omgekeerde bewijslast. Je moet zelf om een gesprekcheck vragen in plaats van dat zij hem automatisch aanleveren als ze je bellen.

De enige manier om dit goed te doen is doormiddel van een bankapp met een watermerk in Android of iOS. Je ziet dan dat de app geverifieerd is en dan kun je verder.

Aangezien steeds meer banken stoppen met externe verificatiemethodes (tokens, ereaders, random readers) moet het op de telefoon veiliger.
Als iemand eerst een nep-app moet installeren dan ben je al tien stappen verder.
Nee hoor, er zijn genoeg mensen die op een valse sms klikken en lukraak zomaar alles installeren. Al dan niet onder begeleiding. Kijk maar naar de mensen die remote access tools installeren en dan heel hun bank leegtrekken.

Op dit item kan niet meer gereageerd worden.