Wie is verantwoordelijk bij phishing en moeten banken meer doen?

[CanadeseITer]

Ja dat kan.
Maar als jij die code scant gebeurt er nog niks. Je scant de code en uw Payconiq of bankapp opent. Waarna je een duidelijk overzicht krijgt hoeveel je overmaakt en naar wie.
Als je dit gecontroleerd hebt dien je dit nog goed te keuren via een code of biometrisch. Dus het kan niet zomaar, er zit daar een laag tussen.
Oké dat je verward bent of snel snel handelt. Maar de verantwoordelijkheid ligt dan volledig bij jou.

Ik denk dat 30% van de legitieme aankopen de ik online doe uiteindelijk op een rekening belanden met een bedrijfsnaam die verschilt van wat je zou verwachten op basis van de domeinnaam en/of reclame op de site. Het is echt niet vreemd dat dit anders is.

Alle coolblue winkels waren bijvoorbeeld zo enkele jaren geleden (geen idee of dat nu nog zo is, maar toch echt geen kleine spelers).

Ik zie het probleem niet zozeer met online bankieren.
Waar je vroeger met uw overschrijving naar een kantoor ging, typ je het nu zelf op je PC in uw mobile banning in ja.
Maar er is voor de rest niks veranderd, vroeger ging je naar daar met uw overschrijving en gaf die af. De bediende zei dan “ aah 1500€ overschrijven naar Yvegeny Gerasimov”, oké was uw repliek.
Nu voer je die overschrijving in, uw mobile banking zegt “aah overschrijving van 1500€ naar Yvegeny Gerasimov, graag bevestigen” en jij klikt op bevestigen.
Er is geen laag verwijderd ineens, integendeel mobile banking kan je in alle rust thuis doen. Vroeger stond er 3 man in uw nek te hijgen wanneer het eindelijk hun toer was.

In theorie. In praktijk zal je waarschijnlijk een paar keer je kaartlezer en/of itsme moeten gebruiken. Ook al ben je succesvol ingelogd. Waardoor je al snel het idee hebt dat je 'dat irritant gedoe om altijd te bevestigen' op willekeurige tijdstippen moet uitvoeren. En het is dat wat oplichters misbruiken. "werkt het niet direct? ah, ja, dat is de technologie, probeer nog eens" etc.

Voor dagdagelijks bankieren is mobile banking gewoon zo veel simpeler en duidelijker. Alle informatie gewoon snel en altijd beschikbaar. En de pagina’s zijn tegenwoordig ook zo gebruiksvriendelijk, zeker als het voor de basis zaken is.

Absoluut, maar het is makkelijker om je thuis te vergissen dan tegen een persoon te praten die kan verifieren en je lichaamshouding kan controleren of je echt wel 15 000 eur wil overschrijven, of toch 1500.00 bedoelde.

Ook hier hetzelfde, je controleert toch waar je naar overschrijft en hoeveel?
Als het dan gaat over 50€ neem nu, als je na 3x proberen nog altijd niet aan het laden bent, dan check je toch eens of het al van je rekening is gegaan? Of je checkt toch alles 3x voor je nog eens zonder na te denken een 4de maal de betaling goedkeurt?

Niet noodzakelijk. Er zit vaak vertraging op, je hebt je telefoon of kaartlezer nodig die nog beneden ligt, batterij van gsm is bijna plat, ... veel mogelijkheden waarom je soms zal denken 'waarom werkt die stomme site nu weer niet'.

Er zullen altijd mensen zijn die proberen misbruik te maken van nonchalance van anderen. En er zullen er altijd intrappen, en velen waarschijnlijk.
Maar waar we hier over spreken zijn zaken van enkele honderden euro’s. Dat is nog van een totaal andere grootorde dan al uw spaargeld kwijtraken.
Als bank maatregelen treffen dat het volledig dummy en nonchalance proof is, en tegelijk ook werkbaar blijft voor mensen die wel goed nakijken wat ze nu juist betalen is een zeer moeilijke opdracht. Om niet te zeggen niet mogelijk.

Goh, het zou al een goed begin zijn om meer universele systemen te gebruiken ipv belgie-specifieke toepassingen. Hoe meer verspreid iets is, hoe sneller de kwetsbaarheden worden blootgelegd, en hoe meer opties er zijn voor de gebruikers om hun eigen tools er voor te gebruiken. Er bestaan al legio Single Sign On en 2FA opties, die grondig getest zijn. en die veel makkelijker werken.



In theorie zou het allemaal perfect en vlot kunnen/moeten werken, maar in praktijk zijn we een punt aan het bereiken waar er zoveel opties zijn met zoveel geprivatiseerde systemen dat zelfs professionele IT'ers en andere hoog geschoolden ook niet meer meteen kunnen inschatten of iets nu echt normaal is of toch wat verdacht.

 

[MrKend54l]

Ik denk dat 30% van de legitieme aankopen de ik online doe uiteindelijk op een rekening belanden met een bedrijfsnaam die verschilt van wat je zou verwachten op basis van de domeinnaam en/of reclame op de site. Het is echt niet vreemd dat dit anders is.

Alle coolblue winkels waren bijvoorbeeld zo enkele jaren geleden (geen idee of dat nu nog zo is, maar toch echt geen kleine spelers).

Een kleine Google leert je toch dat de firma op uw overschrijving de firma achter de domeinnaam is? Toch poepsimpel te checken?
En het bedrag dat je wilt overschrijven dient toch overeen te komen met wat je wilt overschrijven?

Ik snap wat je wilt zeggen. Maar dat is voor mij alvast een zeer zwak argument.

In theorie. In praktijk zal je waarschijnlijk een paar keer je kaartlezer en/of itsme moeten gebruiken. Ook al ben je succesvol ingelogd. Waardoor je al snel het idee hebt dat je 'dat irritant gedoe om altijd te bevestigen' op willekeurige tijdstippen moet uitvoeren. En het is dat wat oplichters misbruiken. "werkt het niet direct? ah, ja, dat is de technologie, probeer nog eens" etc.

We zijn bezig over extra lagen implementeren. En nu is het argument dat de lagen al bestaan, je moet al meermaals authenticeren, maar de perceptie is dat het random is. En dus aanvoelt als een systeem dat niet werkt.
Dat is dus wat ik zei nonchalance. Geen enkele laag gaat daar tegen beschermen.

Absoluut, maar het is makkelijker om je thuis te vergissen dan tegen een persoon te praten die kan verifieren en je lichaamshouding kan controleren of je echt wel 15 000 eur wil overschrijven, of toch 1500.00 bedoelde.

Hoe bedragen weergegeven worden zijn altijd hetzelfde. Ik snap dat je u kan vergissen, maar hoe kan een bank hier nu maatregelen tegen treffen?
Wetende dat je voor zulke hoge bedragen nu al dubbel dient te authenticeren.

Niet noodzakelijk. Er zit vaak vertraging op, je hebt je telefoon of kaartlezer nodig die nog beneden ligt, batterij van gsm is bijna plat, ... veel mogelijkheden waarom je soms zal denken 'waarom werkt die stomme site nu weer niet'.

Argumenten die niet relevant zijn. In de praktijk kan het allemaal. Maar wederom is dit nonchalance in de puurste vorm.

Goh, het zou al een goed begin zijn om meer universele systemen te gebruiken ipv belgie-specifieke toepassingen. Hoe meer verspreid iets is, hoe sneller de kwetsbaarheden worden blootgelegd, en hoe meer opties er zijn voor de gebruikers om hun eigen tools er voor te gebruiken. Er bestaan al legio Single Sign On en 2FA opties, die grondig getest zijn. en die veel makkelijker werken.



In theorie zou het allemaal perfect en vlot kunnen/moeten werken, maar in praktijk zijn we een punt aan het bereiken waar er zoveel opties zijn met zoveel geprivatiseerde systemen dat zelfs professionele IT'ers en andere hoog geschoolden ook niet meer meteen kunnen inschatten of iets nu echt normaal is of toch wat verdacht.

Overdrijven we nu niet een beetje?
Zijn de systemen echt zo complex en ongebruiksvriendelijk? Ik zou net het omgekeerde zeggen, de systemen zijn dermate simpel en eenvoudig in het gebruik dat het kinderspel is geworden.
Veel van de verhalen die je hoort zijn net misbruiken omdat het zo vlot en eenvoudig gaat. Net niet omdat het zo log, traag en complex is.

 

[Str8_6]

Een kleine Google leert je toch dat de firma op uw overschrijving de firma achter de domeinnaam is? Toch poepsimpel te checken?
En het bedrag dat je wilt overschrijven dient toch overeen te komen met wat je wilt overschrijven?

Ik snap wat je wilt zeggen. Maar dat is voor mij alvast een zeer zwak argument.


We zijn bezig over extra lagen implementeren. En nu is het argument dat de lagen al bestaan, je moet al meermaals authenticeren, maar de perceptie is dat het random is. En dus aanvoelt als een systeem dat niet werkt.
Dat is dus wat ik zei nonchalance. Geen enkele laag gaat daar tegen beschermen.


Hoe bedragen weergegeven worden zijn altijd hetzelfde. Ik snap dat je u kan vergissen, maar hoe kan een bank hier nu maatregelen tegen treffen?
Wetende dat je voor zulke hoge bedragen nu al dubbel dient te authenticeren.


Argumenten die niet relevant zijn. In de praktijk kan het allemaal. Maar wederom is dit nonchalance in de puurste vorm.


Overdrijven we nu niet een beetje?
Zijn de systemen echt zo complex en ongebruiksvriendelijk? Ik zou net het omgekeerde zeggen, de systemen zijn dermate simpel en eenvoudig in het gebruik dat het kinderspel is geworden.
Veel van de verhalen die je hoort zijn net misbruiken omdat het zo vlot en eenvoudig gaat. Net niet omdat het zo log, traag en complex is.

Het grootste ding wat je vergeet is dat oude mensen niet het wantrouwen hebben in de medemens zoals wij dit hebben en dat de evolutie veel te vlug gegaan is.

En je moet er niet oud voor zijn, een collega van me heeft het tegen gekomen terwijl hij zelf hele dagen aangiftes krijgt van oplichting. Ik zit in het cybercrime team die bij ons pas opgericht is en ik ga nooit zeggen dat het mij niet gaat overkomen.
Ok 70% van de keren denk je van “hoe dom kun je zijn van om 1u snachts opgebeld te worden door de bank en al uw gegevens te geven en dan nog juwelen meegeven aan een valse bankmedewerker”. Maar die andere 30% (bvb valse beleggingen die zot goed in mekaar gestoken zijn) ga ik niet beweren dat het mij niet zal overkomen.

 

[Deleted member 7918]

Ik vind het toch ook nogal makkelijk om steeds maar te relativeren en de discussie te willen sluiten met "wees dan voorzichtiger" of "ze hadden het zelf moeten weten".

OK, in theorie klopt dat, maar de discussie gaat er om dat het steeds moeilijker en moeilijker wordt om voorzichtig te zijn. Mede dankzij het feit dat heel dat online banking aspect, met allerhande apps en codes en veel nieuwe technologie die op korte tijd mainstream is geworden, nu zo snel is opgekomen. Zoals al gezegd: zeker voor oudere mensen maakt dat het schier onmogelijk om een scam te onderscheiden van iets legitiem. Ik denk dat veel mensen fameus onderschatten hoe overweldigend heel dat digitale systeem, met die rare codes en dan die ItsMe app en ... wel niet is voor mensen die vaak al moeite hebben met iemand bellen op een smartphone.

Hier ga ik trouwens ook niet beweren dat ik er nooit zal inlopen. Ik weet niet hoe het ineens zo is dat die scam mails en berichten zo veel professioneler zijn geworden, maar ik heb er het afgelopen jaar toch ook twee gehad waarvan ik dacht "moest ik deze na een lange werkdag hebben gezien in plaats van 's ochtends fris en monter, dan zou ik er misschien wel zijn ingetrapt." Niet in die mate dat ze mijn rekening volledig zouden kunnen plunderen denk ik, maar een verkeerde betaling van een paar honderden euro's is snel gebeurd in deze tijden.

 

[Sanity penguin]

Ik vind het toch ook nogal makkelijk om steeds maar te relativeren en de discussie te willen sluiten met "wees dan voorzichtiger" of "ze hadden het zelf moeten weten".

OK, in theorie klopt dat, maar de discussie gaat er om dat het steeds moeilijker en moeilijker wordt om voorzichtig te zijn. Mede dankzij het feit dat heel dat online banking aspect, met allerhande apps en codes en veel nieuwe technologie die op korte tijd mainstream is geworden, nu zo snel is opgekomen. Zoals al gezegd: zeker voor oudere mensen maakt dat het schier onmogelijk om een scam te onderscheiden van iets legitiem. Ik denk dat veel mensen fameus onderschatten hoe overweldigend heel dat digitale systeem, met die rare codes en dan die ItsMe app en ... wel niet is voor mensen die vaak al moeite hebben met iemand bellen op een smartphone.

Hier ga ik trouwens ook niet beweren dat ik er nooit zal inlopen. Ik weet niet hoe het ineens zo is dat die scam mails en berichten zo veel professioneler zijn geworden, maar ik heb er het afgelopen jaar toch ook twee gehad waarvan ik dacht "moest ik deze na een lange werkdag hebben gezien in plaats van 's ochtends fris en monter, dan zou ik er misschien wel zijn ingetrapt." Niet in die mate dat ze mijn rekening volledig zouden kunnen plunderen denk ik, maar een verkeerde betaling van een paar honderden euro's is snel gebeurd in deze tijden.

De tijd van spelfouten is wel heel duidelijk voorbij.
We gaan moeten evolueren naar een systeem waarbij de mensen ook aanvaarden dat er meer controles zijn en dus potentieel meer tegengehouden overschrijven die wel legitiem bedoeld zijn.
Het zal dan zaak zijn dat niet iedereen direct op zijn high horse kruipt en dingen gaat verkondigen van "het is mijn geld toch, ik doe ermee wat ik wil". Die zijn er nu al genoeg.

 

[CanadeseITer]

Een kleine Google leert je toch dat de firma op uw overschrijving de firma achter de domeinnaam is? Toch poepsimpel te checken?
En het bedrag dat je wilt overschrijven dient toch overeen te komen met wat je wilt overschrijven?

Een typische gedachte hier zou kunnen zijn: "Nu moet ik nog googelen ook? Nadat ik het veilige itsme systeem gebruikt heb? Wat is het nu, is itsme veilig of niet? "

Ik snap wat je wilt zeggen. Maar dat is voor mij alvast een zeer zwak argument.

Misschien, maar het feit is dat de oplichtingen gebeuren. De exacte details zijn niet altijd duidelijk. Ik wil gewoon aangeven waar, volgens mij, mijn zwakke punten liggen in het systeem. Is het soms vergezocht? Ja. Vergeet echter niet dat het aantal oplichtingen nog altijd zeer klein is. Dus elke maatregel om dingen te verstrengen of te versoepelen is altijd rommelen in de marge.

Stel nu dat we itsme volledig weggooien en enkel op het ouderwetste wachtwoord vertrouwen. Zou dat zoveel meer oplichtingen opleveren? Zelfs als het zou verdubbelen, is het nog altijd een randgeval.

We zijn bezig over extra lagen implementeren. En nu is het argument dat de lagen al bestaan, je moet al meermaals authenticeren, maar de perceptie is dat het random is. En dus aanvoelt als een systeem dat niet werkt.
Dat is dus wat ik zei nonchalance. Geen enkele laag gaat daar tegen beschermen.

Het kan wel beter.
Vroeger was de regel simpel: "Geef NOOIT uw pincode aan iemand. Enkel in een bankautomaat mag je dit ingeven. En na 3 foute codes wordt je kaart geblokkeerd". Iedereen wist dit.

Vandaag moet je itsme al gebruiken om gewoon in te loggen. Zelfs op websites waar het mij hoegenaamd niet kan schelen dat iemand kan meekijken (overheid, belastingen, ..) Als men itsme zou beperken tot de kritieke 'nu gaat er geld van je rekening', zou dat al een groot verschil maken.

Hou er ook rekening mee dat bij veel oplichting de data input *ook* online gebruikt. Het is niet meer zoals vroeger dat je nooit je code over de telefoon mag doorgeven etc, het gebeurt allemaal online, maar dan op onbetrouwbare websites. En dat is ook zo iets. Zelfs de betrouwbare websites zijn soms shady as f****: betalingsvensters met redirects, in iframes, popups. Zelfs bij legitieme transacties met een kredietkaart zijn 2 of 3 redirects met een iframe en een popup 'normaal'. Ik kan het dan echt niemand kwalijk nemen dat men hier dan ergens intrapt.

Hoe bedragen weergegeven worden zijn altijd hetzelfde. Ik snap dat je u kan vergissen, maar hoe kan een bank hier nu maatregelen tegen treffen?
Wetende dat je voor zulke hoge bedragen nu al dubbel dient te authenticeren.

Het is een fijne balans. Een 'banking only' oplossing zou beter zijn. Een digipass die enkel moet gebruikt worden om transacties te ondertekenen en voor de rest meerdere SSO oplossingen toelaten of een standaard gebruikersnaam/wachtwoord combo zou volgens mij de zaken duidelijker/veiliger maken.

Argumenten die niet relevant zijn. In de praktijk kan het allemaal. Maar wederom is dit nonchalance in de puurste vorm.

Het gebrek aan keuze is hier een belangrijke factor. Alle banken gebruiken itsme. Je moet daar mee omgaan. Het irriteert mij enorm dat ik mijn telefoon moet gebruiken terwijl ik op mijn computer aan het werken ben. En dan dezelfde actie op mijn gsm heeft plotseling geen extra verificatie nodig. Mijn laptop die in een gesloten kantoor staat wordt minder veilig geacht dan mijn gsm die ik op de trein kan achterlaten. Dat frustreert mij. Anderen kan het verwarren. Het merendeel kan het misschien niet schelen. Maar het resultaat is bij velen eens rollen met de ogen als er alweer een itsme verificatie moet gebeuren voor iets dat je niet belangrijk vindt. En dan wordt dat een routine, een gewoonte, zodat als een malafide website er naar vraagt, het normaal begint te lijken en het je toch niet meer kan schelen. De itsme om een nutteloze brief in de ebox van de overheid te lezen is dezelfde die je nodig hebt om een overschrijving van 10 000 EUR te valideren.

Overdrijven we nu niet een beetje?
Zijn de systemen echt zo complex en ongebruiksvriendelijk? Ik zou net het omgekeerde zeggen, de systemen zijn dermate simpel en eenvoudig in het gebruik dat het kinderspel is geworden.
Veel van de verhalen die je hoort zijn net misbruiken omdat het zo vlot en eenvoudig gaat. Net niet omdat het zo log, traag en complex is.

Het is vervelend, repetitief en overbodig voor veel zaken.

 

[CanadeseITer]

Het zal dan zaak zijn dat niet iedereen direct op zijn high horse kruipt en dingen gaat verkondigen van "het is mijn geld toch, ik doe ermee wat ik wil". Die zijn er nu al genoeg.

Dat is waar. Veel zal ook afhangen hoe de banken hier dan mee omgaan: een telefoontje van 'bent u dit meneer?' - 'ja' 'ok' zal al veel sneller aanvaard worden dan een situatie waar de klant zelf 2 uur aan een klantendienst wachtlijn moet hangen en zijn identiteitskaart moet inscannen bijvoorbeeld.

Laat ons ook niet vergeten dat de enige reden dat banken zo inzetten op digitalisering is om kosten te besparen op personeel. Het lijkt me dan ook niet meer dan normaal dat bij misbruik of gaten in het systeem opgezet door de banken, de banken de slachtoffers dan ook vergoeden.

 

[zwarten]

Dat is waar. Veel zal ook afhangen hoe de banken hier dan mee omgaan: een telefoontje van 'bent u dit meneer?' - 'ja' 'ok' zal al veel sneller aanvaard worden dan een situatie waar de klant zelf 2 uur aan een klantendienst wachtlijn moet hangen en zijn identiteitskaart moet inscannen bijvoorbeeld.

Laat ons ook niet vergeten dat de enige reden dat banken zo inzetten op digitalisering is om kosten te besparen op personeel. Het lijkt me dan ook niet meer dan normaal dat bij misbruik of gaten in het systeem opgezet door de banken, de banken de slachtoffers dan ook vergoeden.

Dit toch vooral.

 

[dee]

Een typische gedachte hier zou kunnen zijn: "Nu moet ik nog googelen ook? Nadat ik het veilige itsme systeem gebruikt heb? Wat is het nu, is itsme veilig of niet? "

Misschien, maar het feit is dat de oplichtingen gebeuren. De exacte details zijn niet altijd duidelijk. Ik wil gewoon aangeven waar, volgens mij, mijn zwakke punten liggen in het systeem. Is het soms vergezocht? Ja. Vergeet echter niet dat het aantal oplichtingen nog altijd zeer klein is. Dus elke maatregel om dingen te verstrengen of te versoepelen is altijd rommelen in de marge.

Stel nu dat we itsme volledig weggooien en enkel op het ouderwetste wachtwoord vertrouwen. Zou dat zoveel meer oplichtingen opleveren? Zelfs als het zou verdubbelen, is het nog altijd een randgeval.

Het kan wel beter.
Vroeger was de regel simpel: "Geef NOOIT uw pincode aan iemand. Enkel in een bankautomaat mag je dit ingeven. En na 3 foute codes wordt je kaart geblokkeerd". Iedereen wist dit.

Vandaag moet je itsme al gebruiken om gewoon in te loggen. Zelfs op websites waar het mij hoegenaamd niet kan schelen dat iemand kan meekijken (overheid, belastingen, ..) Als men itsme zou beperken tot de kritieke 'nu gaat er geld van je rekening', zou dat al een groot verschil maken.

Hou er ook rekening mee dat bij veel oplichting de data input *ook* online gebruikt. Het is niet meer zoals vroeger dat je nooit je code over de telefoon mag doorgeven etc, het gebeurt allemaal online, maar dan op onbetrouwbare websites. En dat is ook zo iets. Zelfs de betrouwbare websites zijn soms shady as f****: betalingsvensters met redirects, in iframes, popups. Zelfs bij legitieme transacties met een kredietkaart zijn 2 of 3 redirects met een iframe en een popup 'normaal'. Ik kan het dan echt niemand kwalijk nemen dat men hier dan ergens intrapt.


Het is een fijne balans. Een 'banking only' oplossing zou beter zijn. Een digipass die enkel moet gebruikt worden om transacties te ondertekenen en voor de rest meerdere SSO oplossingen toelaten of een standaard gebruikersnaam/wachtwoord combo zou volgens mij de zaken duidelijker/veiliger maken.

Het gebrek aan keuze is hier een belangrijke factor. Alle banken gebruiken itsme. Je moet daar mee omgaan. Het irriteert mij enorm dat ik mijn telefoon moet gebruiken terwijl ik op mijn computer aan het werken ben. En dan dezelfde actie op mijn gsm heeft plotseling geen extra verificatie nodig. Mijn laptop die in een gesloten kantoor staat wordt minder veilig geacht dan mijn gsm die ik op de trein kan achterlaten. Dat frustreert mij. Anderen kan het verwarren. Het merendeel kan het misschien niet schelen. Maar het resultaat is bij velen eens rollen met de ogen als er alweer een itsme verificatie moet gebeuren voor iets dat je niet belangrijk vindt. En dan wordt dat een routine, een gewoonte, zodat als een malafide website er naar vraagt, het normaal begint te lijken en het je toch niet meer kan schelen. De itsme om een nutteloze brief in de ebox van de overheid te lezen is dezelfde die je nodig hebt om een overschrijving van 10 000 EUR te valideren.

Het is vervelend, repetitief en overbodig voor veel zaken.

Itsme geeft altijd duidelijk aan wat er gaat gebeuren.



Dat lijkt me toch redelijk wat informatie te geven.
Als je uw ebox wil openen en er staat hierboven ineens 10 000 euro. Geen enkele werkwijze gaat u daar tegen beschermen.

 

[CanadeseITer]

Itsme geeft altijd duidelijk aan wat er gaat gebeuren.



Dat lijkt me toch redelijk wat informatie te geven.
Als je uw ebox wil openen en er staat hierboven ineens 10 000 euro. Geen enkele werkwijze gaat u daar tegen beschermen.

Mijn punt is dat het een automatisme wordt waardoor je niet altijd meer correct controleert wat er juist aan het gebeuren is.

Als per dag 100 000 mensen hun itsme gebruiken, 1% daarvan benaderd wordt door een scammer, en je bent in 1% van de gevallen afgeleid, dan levert dat 10 fraude slachtoffers op.

 

[MrKend54l]

Mijn punt is dat het een automatisme wordt waardoor je niet altijd meer correct controleert wat er juist aan het gebeuren is.

Als per dag 100 000 mensen hun itsme gebruiken, 1% daarvan benaderd wordt door een scammer, en je bent in 1% van de gevallen afgeleid, dan levert dat 10 fraude slachtoffers op.

Wat je zegt klopt.
Maar opnieuw dat is pure nonchalance. Ja mensen zijn nonchalant dat klopt.
Maar dat maakt nog niet dat het systeem daarom niet goed is.

Ook in deze alles is toch vrij duidelijk. Dat jij inderdaad zo nonchalant bent dat je klikt zonder na te denken is mogelijk.
Maar hoe ga je bedrijven opleggen dat ze dit moeten vermijden, welke acties of maatregelen moeten zij treffen?
Zodat langs de andere kant mensen die legitiem 10k willen betalen en zich heel bewust zijn daarvan en alles 3x checken, niet geïmpacteerd zijn.

 

[zwarten]

Weer zo een geval dat je denkt... Kan de persoon hieraan iets doen?
Sofie verloor 148.000 euro door phishing: “Ik heb heel diep gezeten”

Ik kopieer even de relevante stukken.

Alles begon een jaar geleden, toen er plots onverklaarbare bedragen op de rekening van Sofie Geens uit Tremelo verschenen en vrijwel meteen weer verdwenen. Toen ze haar bank hierover contacteerde, kreeg ze te horen dat het wellicht om een vergissing ging en ze zich geen zorgen hoefde te maken.” Dit bleek allesbehalve waar, en betekende meteen de start van een rampscenario. Want op 1 september van dat jaar sloeg het noodlot keihard toe bij de vrouw.

“Zonder dat ik zelf ook maar een verkeerde handeling had verricht of op een verkeerde knop had gedrukt, was al het geld op mijn spaarrekening plots verdwenen”, vertelt ze. “Ik heb meteen in paniek mijn bank gecontacteerd, die me vroeg langs te komen.” Na ook een klacht bij de politie vernam ze van haar bank dat haar geld naar Kameroen was doorgestort. “Ze lieten me ook meteen weten dat de kans dat ik mijn geld ooit weer terug zou zien, heel klein was”, blikt ze terug. “Ze vermoeden dat ze mijn itsme-account hadden gekopieerd en ze vandaaruit op mijn bankrekeningen zijn geraakt.”

Wat volgde was een lange reeks contacten met fraudediensten en instanties. “Telkens opnieuw werd ik van het kastje naar de muur gestuurd”, vertelt ze. “Niemand nam zijn verantwoordelijkheid.” Tot ze in oktober opnieuw werd getroffen en er 18.000 euro van haar zichtrekening verdween, ditmaal richting Ivoorkust. De gespecialiseerde advocaat die ze contacteerde, wist haar te zeggen dat er niets aan te doen was omdat het geld buiten Europa was verdwenen.

In december verdween ten slotte opnieuw 1.500 euro van een kredietrekening die ze nog had lopen. “Alweer moest ik naar de politie”, aldus Sofie. “Ook dit dossier is nog lopende.” Intussen heeft ze al haar rekeningen afgesloten en ze heeft er nieuwe bij een andere bank geopend. Ook werd haar Itsme-account volledig vernieuwd. “Ik heb zelfs mijn modem thuis vervangen en alle mogelijke codes gewijzigd”, voegt ze nog toe. “Financieel moet ik weer helemaal van nul beginnen, gelukkig had ik familie en vrienden die me gesteund hebben.”

Dus hier zou het een geval zijn van het 'kopieren' van een itsme account? Wat dan aantoont dat Itsme ook niet zonder fout is en hoe verdedig je jezelf tegen zo een aanval. De manier waarop de itsme gecloned is is niet verduidelijkt in het artikel.
Itsme komt vanuit Belgian Mobile ID, een consortium van vier Belgische grootbanken: Belfius, BNP Paribas Fortis, ING en KBC, en drie telecommunicatiebedrijven: Orange Belgium, Proximus en Telenet.

 

[Smodge]

Wat je zegt klopt.
Maar opnieuw dat is pure nonchalance. Ja mensen zijn nonchalant dat klopt.
Maar dat maakt nog niet dat het systeem daarom niet goed is.

Ook in deze alles is toch vrij duidelijk. Dat jij inderdaad zo nonchalant bent dat je klikt zonder na te denken is mogelijk.
Maar hoe ga je bedrijven opleggen dat ze dit moeten vermijden, welke acties of maatregelen moeten zij treffen?
Zodat langs de andere kant mensen die legitiem 10k willen betalen en zich heel bewust zijn daarvan en alles 3x checken, niet geïmpacteerd zijn.

Je punt dat phishing vaak via menselijke fouten gebeurt klopt. But that's... the entire point lol. In security design ga je er net vanuit dat mensen fouten maken. Systemen worden gebouwd om dat op te vangen.

Maar daaruit concluderen dat het systeem dus niet het probleem kan zijn, klopt niet echt. Wanneer je voor alles itsme moet gebruiken en dezelfde flows overal ziet, wordt dat routine. Het is toch net die routine die ervoor zorgt dat mensen minder kritisch beginnen kijken. Puur plain and simple menselijk gedrag.

 

[KnightOfCydonia]

Weer zo een geval dat je denkt... Kan de persoon hieraan iets doen?
Sofie verloor 148.000 euro door phishing: “Ik heb heel diep gezeten”

Ik kopieer even de relevante stukken.






Dus hier zou het een geval zijn van het 'kopieren' van een itsme account? Wat dan aantoont dat Itsme ook niet zonder fout is en hoe verdedig je jezelf tegen zo een aanval. De manier waarop de itsme gecloned is is niet verduidelijkt in het artikel.
Itsme komt vanuit Belgian Mobile ID, een consortium van vier Belgische grootbanken: Belfius, BNP Paribas Fortis, ING en KBC, en drie telecommunicatiebedrijven: Orange Belgium, Proximus en Telenet.

Als dat werkelijk een geval is van ItsMe klonen, ben ik ook wel benieuwd naar hoe, en is dat iemand die vergoed zou moeten worden, maar soms vertelt men ook niet het volledige verhaal natuurlijk...

Bovendien "Weer zo een geval"? Opnieuw in het merendeel van de gevallen zijn de phishing slachtoffers die de media halen, géén complexe hacks, maar van het niveau: ik heb mijn pincode gedeeld en mijn bankkaart weggegeven... Geen geavanceerde ItsMe klonen.

De voorstanders van de slachtoffers te "vergoeden" (lees banktarieven te verhogen voor alle andere mensen, dus hogere woonleningen, etc.) hebben nog altijd niet geantwoord of ze de slachtoffers van de nepagenten die juwelen gingen ophalen bij oudjes,

 

[the_fox]

Weer zo een geval dat je denkt... Kan de persoon hieraan iets doen?
Sofie verloor 148.000 euro door phishing: “Ik heb heel diep gezeten”

Ik kopieer even de relevante stukken.

Voor mij waren dit de relevante stukken:

“Ik schaamde me ook, alhoewel ik er niets aan kan doen.”

“Zonder dat ik zelf ook maar een verkeerde handeling had verricht of op een verkeerde knop had gedrukt, was al het geld op mijn spaarrekening plots verdwenen”

“Telkens opnieuw werd ik van het kastje naar de muur gestuurd”, vertelt ze. “Niemand nam zijn verantwoordelijkheid.”

En dan idd:

“Ze vermoeden dat ze mijn itsme-account hadden gekopieerd en ze vandaaruit op mijn bankrekeningen zijn geraakt.”

Ik vermoed eerder dat zij, waar ze dus wel iets aan kan doen, via een verkeerde handeling een scammer itsme laten koppelen heeft; als dat al de manier is waarop ze toegang verkregen hebben. Er zou veel meer heisa zijn als het zonder interactie mogelijk is om een itsme-account te klonen. Dus idd, de persoon die vermoedelijk verantwoordelijk is, ontduikt weer alle verantwoordelijkheid...

 

[dee]

Weer zo een geval dat je denkt... Kan de persoon hieraan iets doen?
Sofie verloor 148.000 euro door phishing: “Ik heb heel diep gezeten”

Ik kopieer even de relevante stukken.






Dus hier zou het een geval zijn van het 'kopieren' van een itsme account? Wat dan aantoont dat Itsme ook niet zonder fout is en hoe verdedig je jezelf tegen zo een aanval. De manier waarop de itsme gecloned is is niet verduidelijkt in het artikel.
Itsme komt vanuit Belgian Mobile ID, een consortium van vier Belgische grootbanken: Belfius, BNP Paribas Fortis, ING en KBC, en drie telecommunicatiebedrijven: Orange Belgium, Proximus en Telenet.

Er is helemaal geen bewijs dat itsme kan gekopieerd worden of dat het hier gebeurd is. Dat is wat de mensen er van maken.
Ik vraag me ook af welke bank "meh" zegt als er 148k verdwijnt.
Het is een beveiliging op basis van een uniek gegevens van je gsm, de geïnstalleerde app en identiteitscontrole via id of bank. Tenzij Sofie een doel is voor de CIA denk ik niet dat die piste plausible is.

 

[makila]

Dus hier zou het een geval zijn van het 'kopieren' van een itsme account? Wat dan aantoont dat Itsme ook niet zonder fout is en hoe verdedig je jezelf tegen zo een aanval. De manier waarop de itsme gecloned is is niet verduidelijkt in het artikel.
Itsme komt vanuit Belgian Mobile ID, een consortium van vier Belgische grootbanken: Belfius, BNP Paribas Fortis, ING en KBC, en drie telecommunicatiebedrijven: Orange Belgium, Proximus en Telenet.

Als (met de klemtoon op als) alles klopt wat ze zegt denk ik dat wij gerust kunnen en mogen toegeven: Ja dit had ons ook kunnen gebeuren.
Je kan fraude / scamming niet 100% uitsluiten. 100% bestaat (naar mijn mening) niet. Ik geloof daar niet in.

Ze heeft zelf geen acties verricht (zo beweert ze toch en stel dat dit echt klopt) dus in theorie kan ze volgens de wet dan haar geld terugeisen (al is de wet niet waterdicht). In de praktijk zal ze eerst naar de consumenten ombudsdienst moeten stappen. Die gaan haar waarschijnlijk wel gelijk geven. Dan is er +- 1 kans op 3 (dacht ik gelezen te hebben) dat de bank hier mee akkoord gaat en haar geld zal terugstorten.

Gaat de bank niet akkoord dan wordt het een lange lijdensweg voor de rechtbank. Zo'n zaken kunnen jaren (soms 10+ jaar) aanslepen en ... begin er maar aan. En de winstkansen? Dat is dan koffiedik kijken.

Ik vermoed eerder dat zij, waar ze dus wel iets aan kan doen, via een verkeerde handeling een scammer itsme laten koppelen heeft; als dat al de manier is waarop ze toegang verkregen hebben. Er zou veel meer heisa zijn als het zonder interactie mogelijk is om een itsme-account te klonen. Dus idd, de persoon die vermoedelijk verantwoordelijk is, ontduikt weer alle verantwoordelijkheid...

Die kans is erg groot (of misschien wel extreem groot) maar we gaan wel uit van veronderstellingen. Wat als ze toch niks misdaan heeft? Kan dat? In theorie is het antwoord alvast: JA.

In theorie is het mogelijk dat een hacker gewoon 'binnengeraakt' door een veiligheidslek(ken). Heb je een recente smartphone dan is de kans in praktijk bijna nihil, maar heb je een oude smartphone die geen updates meer verkrijgt dan stijgt dat cijfer naar 'zeer onwaarschijnlijk' maar wel niet nihil.

 

[makila]

Dus hier zou het een geval zijn van het 'kopieren' van een itsme account?

Dat kan al (gedeeltelijk) hé. Er bestaat een app (Smart Switch) waarbij je de volledige inhoud van uw smartphone kan kopiëren naar een nieuwe smartphone. Ik gebruik die app ook als ik een nieuwe smartphone koop. Je moet dan wel de smartphones naast elkaar leggen ...

Echter zelfs al slaagt ne hacker er op één of andere manier vanop afstand (you never know dat dit lukt?) je smartphone te kopiëren, dan nog geraakt de hacker natuurlijk niet zomaar in je apps. Hij/zij moet nog steeds inloggen en/of door een veiligheidscontrole gaan.

Ja in uw games en zo geraakt ie dan wel mogelijks gewoon in. Maar in beveiligde apps niet zomaar.

Opmerking: En slaagt de hacker er toch in itsme te kopiëren en er in te geraken? Normaal gezien wordt itsme dan gedeactiveerd op uw oude smartphone en zou Sofie dat wel merken.

Bankapps vind ik eigenlijk wel iets minder veilig. Ik kon na Smart Switch asap inloggen zonder boe of bah op de nieuwe smartphone, het enige dat ik nodig had was de pincode. Dat was al voldoende om kleine bedragen over te schrijven (al kreeg ik wel een melding hiervan op de oude smartphone en in mijn email). Grote bedragen lukten wel niet (dan heb je itsme nodig).

 

[Carrion]

Als dat werkelijk een geval is van ItsMe klonen, ben ik ook wel benieuwd naar hoe, en is dat iemand die vergoed zou moeten worden, maar soms vertelt men ook niet het volledige verhaal natuurlijk...

Bovendien "Weer zo een geval"? Opnieuw in het merendeel van de gevallen zijn de phishing slachtoffers die de media halen, géén complexe hacks, maar van het niveau: ik heb mijn pincode gedeeld en mijn bankkaart weggegeven... Geen geavanceerde ItsMe klonen.

De voorstanders van de slachtoffers te "vergoeden" (lees banktarieven te verhogen voor alle andere mensen, dus hogere woonleningen, etc.) hebben nog altijd niet geantwoord of ze de slachtoffers van de nepagenten die juwelen gingen ophalen bij oudjes,

Als het volledige verhaal van die vrouw klopt lijkt het me weldegelijk dat de bank hier een grote verantwoordelijkheid draagt. Ze gaat tenslotte al naar de bank wanneer ze vreemde verrichtingen ziet op haar rekenening en wordt afgewimpled met "het zal een fout zijn". En nadien kan ik totaal niet snappen dat verrichtingen naar een land als Kameroen niet automatisch geblokkeerd worden tot er effectieve validatie is gebeurd door de persoon zelf.

Het kan als bank niet moeilijk zijn om makkelijk te zien "Ah, deze persoon doet buiten de kerstperiode nooit grote overschrijvingen en al nooit naar een land buiten België en Nederland. En plots zien we hier grote bedragen naar Kameroen, alles even blokkeren, alle gekoppelde toestellen ontkoppelen van de apps, kaartenblokkeren en onze klant bellen."

 

[the_fox]

Dat kan al (gedeeltelijk) hé. Er bestaat een app (Smart Switch) waarbij je de volledige inhoud van uw smartphone kan kopiëren naar een nieuwe smartphone. Ik gebruik die app ook als ik een nieuwe smartphone koop. Je moet dan wel de smartphones naast elkaar leggen ...

En dan moet je erna itsme opnieuw authenticeren op de nieuwe smartphone. Ofwel via itsme QR code scannen op oude smartphone of terug via eID koppelen...
Dus nee, het kan niet zomaar.