Android legt 30-secondenpauze op bij bankapps om belfraude te voorkomen

Android uses the best of Google AI and our advanced security expertise to tackle mobile scams from every angle. Over the last few years, we’ve launched industry-leading features to detect scams and protect users across phone calls, text messagesand messaging app chat notifications.

Gaan we een beetje verder graven naar waar dit dan precies op gebaseerd is dan komt de aap uit de mouw:

quote: https://security.googlebl...-privacy-2025.html#fnref1

Google Play Protect, Android’s built-in security protection,

We recently launched AI-powered Scam Detection in Google Messages and Phone by Google

Dit zijn allen gewoon google diensten en dus allemaal onderhevig aan de Google ToS. Alles hieronder wat @3raser dus zegt klopt helemaal niet. Dit zijn allemaal google services en niet Android als losstaande entiteit.

Anyways, de originele post:

Ik vind dit een veel te vergaande bemoeienis van Android/Google met iets waar in essentie vooral bank en klant samen uit zouden moeten komen. Om deze “bescherming” te laten werken, moet Google namelijk precies weten dát je aan het bellen bent, met wíe je belt (of het nummer in je adresboek staat), dat je je scherm deelt én welke app je opent, inclusief het feit dat het een financiële app is. Dat is best een stevig risicoprofiel dat direct bij een derde partij terechtkomt, en dan ook nog bij een partij die zijn geld verdient met het koppelen van data en identiteiten. Dan kun je je serieus afvragen of dit proportioneel is, zeker als je bedenkt dat het geen harde blokkade is, maar vooral een 30-secondenvertraging plus een waarschuwingstekst.

Beperkte effectiviteit en gemakkelijke omwegen
Daar komt bij dat de effectiviteit fragiel is. Als je, op aanraden van je bank, het “noodgevallen”-nummer voor verlies of diefstal gewoon in je adresboek hebt gezet en dat nummer wordt gespoofd, ziet Android simpelweg een “bekend contact” en gaat de hele bescherming niet eens af. Een oplichter kan ook makkelijk uitwijken naar een andere route: VoIP, een chat-app, of eerst vragen om het nummer op te slaan. Dan is de logica op OS-niveau meteen omzeild. Tegelijkertijd zijn er aan de bankkant veel hardere, simpelere maatregelen mogelijk. Android heeft bijvoorbeeld gewoon FLAG_SECURE: als een bank haar app als niet-deelbaar markeert, kun je geen schermopnames, geen schermdeling en geen screenshots maken. Dat is misschien niet altijd handig voor support of “even meekijken met je kind”, maar het haalt wel een heel populair fraudescenario technisch onderuit, zonder dat Google continu context over je telefoongebruik hoeft te verzamelen. Sowieso, waarom niet by default screensharing apps aan banden leggen of daar deze melding tonen?

Waar houdt de zorgplicht op en begint eigen verantwoordelijkheid?
Banken hebben zonder meer een zorgplicht richting hun klanten, maar ergens moet het ook ophouden en begint de eigen verantwoordelijkheid. Als je in de app al waarschuwingen hebt, duidelijke teksten in de bevestigingsschermen, eventueel extra bevestigingen bij risicovolle transacties, en mensen toch nog steeds blind instructies van een “bankmedewerker” aan de telefoon volgen, dan ga je dat niet oplossen met nóg een pop-up en nóg een wachttimer. Op een gegeven moment wordt het ruis die iedereen automatisch wegklikt. De vraag is dan: wanneer is het genoeg? Hoeveel drempels en waarschuwingen moeten we nog opwerpen voordat we erkennen dat een deel gewoon neerkomt op gedrag en gezond wantrouwen, en niet op nóg meer technologie die bovenop de gebruiker wordt gestapeld?

De echte oorzaak: structureel veel scams en datagraaien
Uit de Google-survey en blogpost blijkt eigenlijk vooral hoe ernstig het onderliggende probleem is: voor veel mensen is het “normaal” om meerdere keren per week een scambericht of -call te krijgen. Dat is bizar, en mijn eerste reflex is dan niet: “we hebben nog een Android-feature nodig”, maar: waarom is dit ecosysteem zó lek dat iedereen überhaupt zo makkelijk benaderbaar en identificeerbaar is via zijn telefoonnummer? Uiteindelijk komt dat juist doordat partijen als Google, Meta en allerlei datahandelaren jarenlang elk telefoonnummer en elk stukje gedrag aan alles hebben vastgeknoopt. Nu krijgen we een OS dat op elk mogelijk moment meekijkt of we wel “veilig genoeg” bezig zijn en krijgen we nog een extra laag frictie vóór we bij onze eigen bankapp mogen, terwijl de bron van het probleem (massale datahandel, gebrekkige nummerauthenticatie, slecht gereguleerde telemarketing en messaging) grotendeels blijft liggen en hiermee mogelijk zelfs wordt uitgebreid.

Geen opt-out en geen volwassen keuze
Wat ik daarbij misschien nog wel het meest storende vind, is het gebrek aan een echte opt-out. Ik wil niet elke keer verplicht een halve minuut naar een scherm zitten staren voordat ik door mag, net zoals ik niet urenlang hoef te wachten voordat een limietwijziging actief wordt, alléén omdat het systeem mij koste wat kost tegen mezelf wil beschermen. Geef mij gewoon een duidelijke bevestiging als ik iets risicovols doe – een “weet je dit écht zeker?” met eventueel een limiet of extra bevestiging. Ik vind het prima dat banken en systemen actief barrières opwerpen om criminaliteit tegen te gaan. Maar wat ik mis, is een volwassen escape: een knop waarmee je zegt “ik neem het risico, ik begrijp de gevolgen”. Daar horen dan ook consequenties bij. Als ik dan tóch in een scam trap, dan is dat mijn probleem en niet iets waar achteraf een bank, een OS-bouwer of de wetgever nog maar weer extra lagen bescherming overheen moet gooien. Geef mensen bescherming, zeker. Maar geef ze óók de mogelijkheid om er bewust voor te kiezen die bescherming uit te zetten, in plaats van iedereen standaard met dezelfde 30-seconden- en 4-uur-drempels op te zadelen. Ik heb expres een laag limiet op mijn passen, want zonder code kun je dus alsnog praktisch alles, maar ik wil dan wel dat limiet eenvoudig kunnen verhogen, maar dat duurt minstens 4 uur. Erg irritant want daardoor zet ik het limiet nu dus gewoon een stuk hoger dan nodig is.

nuttige bescherming, maar ook weer een stap verder de verkeerde kant op
Ja, dit systeem zal ongetwijfeld een aantal mensen nét op tijd uit een scam trekken, en dat is op zichzelf goed. Maar het is óók weer een stap verder richting een model waarin de OS-bouwer realtime met je meekijkt, en waarin de oplossing voor structurele problemen telkens wordt gezocht in nóg meer nudges, pop-ups en wachttimers bij de eindgebruiker in plaats van in het aanpakken van de onderliggende prikkels en datastromen. Je kunt dus best erkennen dat het in individuele gevallen helpt, en tegelijk heel kritisch zijn op de vraag of dit nog een redelijke vorm van bescherming is, of dat we weer een grens opschuiven zonder het echte probleem op te lossen. en dat was ook de strekking van deze eerdere post: supersnathan94 in 'Android legt 30-secondenpauze op bij bankapps om belfraude te voorkomen'Addendum: Google als brandstichter én zelfbenoemde brandweer
Wat me net te binnen schoot en wat dit eigenlijk nog problematischer maakt, is dat juist Google’s advertentieplatform een bewezen schakel is in de keten die naar financiële fraude en belfraude leidt. Onderzoek van onder meer The Guardian en OCCRP naar internationale callcenter-bendes laat zien hoe slachtoffers via keurige Google- en Meta-advertenties op nep-investeringssites en valse “bankproducten” terechtkomen. In één zo’n zaak in Georgië werd met fake celebrity-ads en nepsites rond crypto-investeringen naar schatting zo’n 35 miljoen dollar buitgemaakt, het verkeer liep expliciet via grote advertentieplatformen zoals dat van Google.  Tegelijkertijd laat Google in z’n eigen Ads Safety Report zien hoe immens de schaal is: in 2024 blokkeerden ze 415 miljoen advertenties en schorsten meer dan 5 miljoen adverteerdersaccounts voor beleidsovertredingen die “nauw samenhangen met scams en misleidende praktijken”, en in 2021 alleen al zijn er 58,9 miljoen advertenties verwijderd wegens schending van het beleid voor financiële diensten. 

https://www.marketing-interactive.com/report-google-suspends-over-39-2-million-ad-accounts-using-ai-in-2024

Dat is netjes opgeruimd, maar het laat óók zien dat er continu een gigantische stroom rommel via datzelfde platform binnenkomt, waar eerst gewoon aan verdiend wordt tot het wordt tegengehouden.

Onder druk van onder andere de Britse toezichthouder FCA moest Google bovendien het beleid aanscherpen en financiële adverteerders in het VK verplicht laten verifiëren, juist omdat er zóveel frauduleuze “financiële diensten” via Google Ads bovenaan bij mensen in beeld kwamen.  De EU kijkt inmiddels expliciet naar hoe Google omgaat met scam-ads en frauduleuze content onder de Digital Services Act.  Met andere woorden: aan de voorkant is Google aantoonbaar onderdeel van de infrastructuur waarmee nepbanken, nepinvesteerders en scam-callcenters slachtoffers binnenhalen. En precies diezelfde partij krijgt nu op OS-niveau nóg meer zicht op wanneer jij belt, met wie, of je je scherm deelt en of je je bankapp opent, om je vervolgens “tegen belfraude te beschermen”.

Dat is waarom het zo’n slecht idee is om Google op dit niveau nog meer financiële context te geven. Je beloont de partij die mede de brand laat ontstaan, via een advertentie-ecosysteem waar miljarden aan misleidende en frauduleuze uitingen doorheen gaan, met extra toegang om zich als brandweer te profileren. De prijs voor die “bescherming” is dat Android dieper in je gedrag mag meekijken, en dat die context (zelfs als het model grotendeels on-device draait) prima bruikbaar is als extra signaal in de profilering rond jouw account. In plaats van de afhankelijkheid en datastromen terug te dringen, verschuift de grens weer: Google blijft poortwachter van de advertenties die tot bankfraude leiden, én wordt tegelijk de laag in je besturingssysteem die het mag “oplossen”, zolang jij maar accepteert dat er nóg meer over je financiële gedrag wordt meegekeken.

Google levert in veel gevallen zelf de nummers aan die mensen bellen bij dit soort fraudes (waarbij ze dus zelf het contact initiëren maar niet altijd op de juist manier aan een telefoonnummer komen. Net als bij die doorschakeldiensten naar de belastingdienst). Waarom die nummers niet gewoon al bij voorbaat blokkeren dan?

[Reactie gewijzigd door supersnathan94 op 4 december 2025 21:55]

Heh, ik dacht dat financiële apps voorkomen dat je je scherm deelt, op Android dmv FLAG_SECURE. Dan kan je namelijk helemaal geen schermopnames maken (screenshot of video). Dit valt wel te omzeilen als je root access hebt, maar dat geldt dus niet voor 99,9% van de gebruikers.

Ik weet dat de ING app in ieder geval gebruik maakt van FLAG_SECURE, is dat niet zo bij andere apps?

Dit gebeurt wanneer het nummer niet in het adresboek van de gebruiker staat.

Dit heeft toch weinig zin? Ik had begrepen dat deze scams vaak het telefoonnummer van de bank spoofen en er dus vertrouwd uitzien. Dan krijg je deze melding dus ook niet te zien?

Gezien er nog genoeg mensen intrappen en er eigenlijk geen reden is op je bank app te schermdelen denk ik dat dit de beste oplossing is.

Maar ik vraag me wel af of de mensen die de scammers al zover krijgen niet ook geloven dat dit niet zo is voor de personen die ze aan de lijn hebben...

Ik had laatst de bank gebeld en moest me tijdens het gesprek identificeren door in de bank-app op een melding te reageren. Dus moeten we in de toekomst dan 30 seconden naar buiten kijken naar de vogeltjes omdat Android bepaalt dat ik dan 30 seconden moet wachten?

Weet niet of dit zal helpen... De beller zal melden: het is normaal dat uw smartphone zo een melding laat zien, want er zijn veel bedriegers die bellen! Gelukkig ben ik een echte bankbediende, want hey, ik weet veel over u x x en x . Dus negeer dat maar en we gaan verder met uw geld veilig stellen op een beschermde rekening.

"Oke mam, je gaat nu een waarschuwingsscherm zien maar dat mag je gewoon wegdrukken."