Wie is verantwoordelijk bij phishing en moeten banken meer doen?

[Wallfish]

Weer zo een geval dat je denkt... Kan de persoon hieraan iets doen?
Sofie verloor 148.000 euro door phishing: “Ik heb heel diep gezeten”

Ik kopieer even de relevante stukken.






Dus hier zou het een geval zijn van het 'kopieren' van een itsme account? Wat dan aantoont dat Itsme ook niet zonder fout is en hoe verdedig je jezelf tegen zo een aanval. De manier waarop de itsme gecloned is is niet verduidelijkt in het artikel.
Itsme komt vanuit Belgian Mobile ID, een consortium van vier Belgische grootbanken: Belfius, BNP Paribas Fortis, ING en KBC, en drie telecommunicatiebedrijven: Orange Belgium, Proximus en Telenet.

Toch weer een raar verhaal. Ik kan het artikel niet lezen maar aan de geciteerde stukken te zien verloor ze geld op minstens 3 verschillende momenten met maanden daartussen. Hoe kan het dat er tussendoor geen maatregelen zijn gebeurd om dit te vermijden?
Als er een vermoeden is dat haar itsme gecloned werd (als dat uberhaupt mogelijk is), dan moet er toch ook een methode zijn om dat account volledig te resetten?
Overklaarbare transacties die vanzelf weer verdwenen - de bank moet toch weten dat dat een testmethode is van scammers? Zo 1x een transactie die terug verdwijnt van een binnenlandse rekening, ok maar toch niet meermaals van een afrikaanse (ga ik van uit)?
Waarom worden overschrijvingen van 100k+ zomaar toegelaten?
Waarom worden overschrijvingen van privé personen naar Afrika zomaar toegelaten? Normaal moet je toch zelf je rekening openzetten voor verrichtingen buiten Europa.
Waarom in godsnaam zet men heel Afrika niet op een blacklist voor deze persoon na de 1e scam en zeker de 2e scam naar Afrika?!

Toen ik een dik jaar geleden een groot bedrag (maar minder dan 100k) wou overschrijven naar Amerika moest ik toch een aantal verschillende telefoons met de bank plegen en mijn identiteit op verschillende manieren bewijzen, en codes doorgeven gegenereerd door zo'n bakje van de bank waar je je kaart in steekt.

Maar in dit geval kon men deze beveiligingen allemaal omzeilen? Hoe? Dat men haar persoonlijke info had, ok. Maar dan moet men toch o.a. nog steeds naar de bank bellen voor overschrijvingen van zulke bedragen toe te laten. En ik veronderstel dat de gemiddelde afrikaanse scammer geen Nederlands kan. Als die daar in gebrekkig Engels antwoord met afrikaans accent en mogelijks een mannenstem moeten er toch alarmbellen afgaan. En die codes die dat bakje van de bank genereerd kan men toch ook niet vervalsen, tenzij die afrikanen een kopie van zowel het bakje als de kaart in handen hadden. En haar pincode wisten.

Dus ofwel werden ál die beveiligingen omzeilt, ofwel waren die beveiligingen niet actief. Wat toch ook serieuze vragen doet oprijzen.
Dat het voor bedrijven niet simpel is om fraude te detecteren begrijp ik. Maar privé personen die plots duizenden euro's overschrijven naar buitenlandse rekeningen? Direct bevriezen, verificatie eisen, en laat de transactie pas doorgaan 5 dagen ofzo na succesvolle verificatie.
Instant overschrijvingen is allemaal wel leuk, maar dat hoeft niet voor zulke bedragen en niet voor overschrijvingen naar het buitenland en dan zeker niet naar buiten Europa.

 

[makila]

En dan moet je erna itsme opnieuw authenticeren op de nieuwe smartphone. Ofwel via itsme QR code scannen op oude smartphone of terug via eID koppelen...
Dus nee, het kan niet zomaar.

Ja dat zeg ik toch?

Opmerking: En slaagt de hacker er toch in itsme te kopiëren en er in te geraken? Normaal gezien wordt itsme dan gedeactiveerd op uw oude smartphone en zou Sofie dat wel merken.

Maar misschien had je mijn post al openstaan toen ik deze aangepast heb

 

[Général Zantas]

Als itsme succesvol gekloond kan worden zonder acties van de gebruiker/eigenaar, zouden er toch veel meer cases zijn dan de deze, die nog eens over vele maanden verspreid was?

Los daarvan ga ik wel akkoord dat voor grote bedragen banken echt wel wat meer moeite mogen doen.
Dat men dat niet doet voor 500 of zelfs 1000 euro, tot daaraan toe. Maar een privé persoon die 100.000 euro overschrijft naar Afrika, kom, daar mag toch wel wat meer bij komen kijken.

 

[Carrion]

Los daarvan ga ik wel akkoord dat voor grote bedragen banken echt wel wat meer moeite mogen doen.
Dat men dat niet doet voor 500 of zelfs 1000 euro, tot daaraan toe. Maar een privé persoon die 100.000 euro overschrijft naar Afrika, kom, daar mag toch wel wat meer bij komen kijken.

Ik vind het sowieso vreemd dat die opties er nog niet inzitten, gewoon als opt in voor de mensen die het willen. Lijkt me een minimale moeite te zijn om te implementeren.

Of ze kunnen hun AI implementaties ook voor nuttige zaken gebruiken ipv enkel voor hun chatbots. Dat lijkt me toch gewoon zo voor de hand liggend. Daarmee zou je toch veel scenario's toch nog kunnen proberen te voorkomen.

• Tiens, deze klant doet normaal nooit grote overschrijvingen behalve rond de kerstperiode en schrijft nu plots 500 euro naar een privérekening over... Even flaggen
• Enorme overschrijving naar eender welke rekening die niet geregistreerd staat als onderneming... flaggen

Of een waarschuwing bij het gebruik van QR-codes. Ik weet niet in hoeverre dit reeds geïmplementeerd is, maar QR-codes voor ondernemingen zouden sowieso een aparte registratie moeten ondergaan en een beveiligingscode bevatten.

Scan je een QR-code die niet gelinkt is aan een onderneming? Extra waarschuwing op het scherm dat je een overschrijving gaat doen naar een privé-rekening.

Of samenwerken met smartphone fabrikanten of toch op zijn minst Google (Android) en Apple (iOS). Integratie van unieke device tokens op de TPM module in het toestel. Wordt er een overschrijving of transactie gestart vanaf een toestel dat deze token niet heeft of een onbekend toestel? Transactie automatisch annuleren en de klant contacteren.

Er zijn nog zoveel manieren om mensen helpen te beschermen, dit zijn gewoon zaken die ik nu snel op 5 minuten uit mijn vinger zuig tijdens mijn middagpauze.

 

[Jenthe]

Als itsme succesvol gekloond kan worden zonder acties van de gebruiker/eigenaar, zouden er toch veel meer cases zijn dan de deze, die nog eens over vele maanden verspreid was?

Dit hè, als itsme te ‘klonen’ was (wat dat dan ook moge zijn) zou dat een gigantisch nationaal security schandaal zijn waar je met gemak een rechtszaak zal winnen. In al die verhalen komt het er in de praktijk altijd op neer dat men toch op een of andere manier zelf de itsme-bevestigen accepteert. Ik heb daar begrip voor en zal nooit zeggen dat het mezelf niet zal overkomen maar de journalist mag in dergelijke artikels wel wat meer moeite doen naar de effectief gebruikte methodologie in plaats van enkel vermelden wat het slachtoffer percipieert wat er gebeurt is.

 

[CanadeseITer]

Dit hè, als itsme te ‘klonen’ was (wat dat dan ook moge zijn) zou dat een gigantisch nationaal security schandaal zijn waar je met gemak een rechtszaak zal winnen. In al die verhalen komt het er in de praktijk altijd op neer dat men toch op een of andere manier zelf de itsme-bevestigen accepteert. Ik heb daar begrip voor en zal nooit zeggen dat het mezelf niet zal overkomen maar de journalist mag in dergelijke artikels wel wat meer moeite doen naar de effectief gebruikte methodologie in plaats van enkel vermelden wat het slachtoffer percipieert wat er gebeurt is.

Maar hoe zou men dat weten? Welk bedrijf of bank gaat dit zelf naar buiten brengen? 'ok jongens, bel de krant, itsme kan gehackt worden en we hebben nog geen oplossing'. Dat gaat toch niemand doen?

 

[Général Zantas]

Maar hoe zou men dat weten? Welk bedrijf of bank gaat dit zelf naar buiten brengen? 'ok jongens, bel de krant, itsme kan gehackt worden en we hebben nog geen oplossing'. Dat gaat toch niemand doen?

Die hebben de plicht dit te melden als er security risks zijn, en die zijn verplicht dit te fixen.

 

[Motje82]

Wat ik niet begrijp bij al die zaken: je kan toch perfect afspreken met je bank dat er per dag maar 3000 euro ofzo mag worden overgeschreven naar derden? Alles daarboven en je hebt clearance nodig van je bank... Bij ons is dit alleszins zo denk ik. Of vinden die oplichters daar dan nog iets op?

 

[MrKend54l]

Je punt dat phishing vaak via menselijke fouten gebeurt klopt. But that's... the entire point lol. In security design ga je er net vanuit dat mensen fouten maken. Systemen worden gebouwd om dat op te vangen.

Maar daaruit concluderen dat het systeem dus niet het probleem kan zijn, klopt niet echt. Wanneer je voor alles itsme moet gebruiken en dezelfde flows overal ziet, wordt dat routine. Het is toch net die routine die ervoor zorgt dat mensen minder kritisch beginnen kijken. Puur plain and simple menselijk gedrag.

Het punt is eerder dat ondanks menselijke fouten, er ook nog gebruiksgemak moet zijn. Iets wat super veilig is, maar waar je nog geen euro deftig van rekening A naar B krijgt daar heb je ook niks aan.
Het is dus altijd een afweging.

En nu haal jij het argument aan dat de workflow via Itsme die altijd gebruikt wordt voor routine zorgt. En dat deze routine mensen minder kritisch maken.
Terwijl het eerdere argument was dat Itsme niet veilig genoeg was, of het probleem Itsme gerelateerd zou zijn omdat het iets puur belgisch is. En dat men moet overstappen naar een meer universeel gebruikte authenticator.

Goh, het zou al een goed begin zijn om meer universele systemen te gebruiken ipv belgie-specifieke toepassingen. Hoe meer verspreid iets is, hoe sneller de kwetsbaarheden worden blootgelegd, en hoe meer opties er zijn voor de gebruikers om hun eigen tools er voor te gebruiken. Er bestaan al legio Single Sign On en 2FA opties, die grondig getest zijn. en die veel makkelijker werken.

Nu kom jij dus af dat het probleem niet bij Itsme ligt, maar bij universele authenticatie.
Wat overigens nu al niet het geval is. Het zijn altijd 2 methodes die je moet gebruiken. Ofwel bankapp authenticatie, ofwel itsme.
Je moet die al mixen qua authenticatie, via verschillende manieren.

Ik vind het sowieso vreemd dat die opties er nog niet inzitten, gewoon als opt in voor de mensen die het willen. Lijkt me een minimale moeite te zijn om te implementeren.

Elke bank heeft al limieten. Bij geen enkele bank ga je 100k kunnen overschrijven, ook niet in verschillende kleinere schijven op korte tijd.
Bij Crelan kan je bijvoorbeeld 10k max overschrijven.

Kan je zomaar 30.000 euro overschrijven? Deze limieten gelden op online en cash betalingen

Stel: je moet een écht grote betaling doen. Kan je dan op een limiet botsen, wanneer je probeert over te schrijven? En indien ja, is cash betalen dan wel een haalbare kaart? Of is het mogelijk om de betalingslimiet van je zichtrekening te verhogen? <a...

www.hln.be

Dus het bestaat zeer zeker al.

Of samenwerken met smartphone fabrikanten of toch op zijn minst Google (Android) en Apple (iOS). Integratie van unieke device tokens op de TPM module in het toestel. Wordt er een overschrijving of transactie gestart vanaf een toestel dat deze token niet heeft of een onbekend toestel? Transactie automatisch annuleren en de klant contacteren.

Maar dat bestaat ook al?
Itsme kan maar op 1 toestel tegelijk geactiveerd zijn. MeDirect mobile banking kan maar op 1 toestel actief zijn.
Bij andere banken kan je op meerdere toestellen de app en authenticator activeren, maar elk toestel is weergeven in een mooie lijst. Dus je kan perfect zien op welke toestellen de app actief is met uw gegevens en dus kan authenticeren. Eveneens al je 1 toevoegd krijg je hier een melding van.

Wat ik niet begrijp bij al die zaken: je kan toch perfect afspreken met je bank dat er per dag maar 3000 euro ofzo mag worden overgeschreven naar derden? Alles daarboven en je hebt clearance nodig van je bank... Bij ons is dit alleszins zo denk ik. Of vinden die oplichters daar dan nog iets op?

Zie hierboven, dat is beetje afhankelijk van je bank.
Maar er zijn wel degelijk limieten. En die limieten zijn ook zelf te verlagen.
Ja die kunnen terug omhoog gebracht worden door de “dief” maar dat kan alleen maar met de 2de methode van authenticeren.

Natuurlijk als uw toegangscode van uw smartphone dezelfde is al de code voor de mobile bank app, voor itsme en de 1ste 4 cijfers dezelfde zijn als uw bankkaart.
In veel gevallen kan je zelfs als toegangscode geen simpele combinaties zoals 123456 gebruiken (waarschijnlijk niet overal, ga het ook niet testen, maar goed) dus er zitten echt wel beschermingslagen in.

We kennen allemaal wel een bejaarde die in zijn smartphone hoes een papiertje met daarop zijn pincode heeft. Als je overal voor het gemak dezelfde code gebruikt, tsja weinig tegen te beginnen dan.

 

[ThomasMore]

Als dat werkelijk een geval is van ItsMe klonen, ben ik ook wel benieuwd naar hoe, en is dat iemand die vergoed zou moeten worden, maar soms vertelt men ook niet het volledige verhaal natuurlijk...

Bovendien "Weer zo een geval"? Opnieuw in het merendeel van de gevallen zijn de phishing slachtoffers die de media halen, géén complexe hacks, maar van het niveau: ik heb mijn pincode gedeeld en mijn bankkaart weggegeven... Geen geavanceerde ItsMe klonen.

De voorstanders van de slachtoffers te "vergoeden" (lees banktarieven te verhogen voor alle andere mensen, dus hogere woonleningen, etc.) hebben nog altijd niet geantwoord of ze de slachtoffers van de nepagenten die juwelen gingen ophalen bij oudjes,

Ik ga me niet uitspreken of de banken de slachtoffers moeten vergoeden. Wel, ben ik van mening dat er ook een verantwoordelijkheid ligt bij de banken, net zoals er een verantwoordelijkheid ligt bij de daders en de slachtoffers. De dader pleegt een misdrijf maar banken en slachtoffers kan, afhankelijk van het concrete geval, grove nalatigheid worden verweten.

Ergens ligt er wel een verantwoordelijkheid bij het beleid van de banken. Iedereen heeft immers een bankrekening nodig maar niet iedereen heeft de competenties om mee te gaan in de digitalisering van het bankwezen. Daarbij komt dan dat banken hun netwerk van kantoren inkrimpen en dan ontstaat een kwetsbare groep van ouderen die niet handig zijn met digitale applicaties en niet in de buurt wonen van een fysiek bankkantoor. Anekdotisch gaan de verhalen die ik hoor, vooral over mensen van rond de 70 - 80 die het slachtoffer zijn geworden van phishing. Voor die specifieke groep is volgens mij wel extra aandacht nodig voor preventie en begeleiding. Daar kunnen banken wel een rol in spelen.

 

[the_fox]

Bij geen enkele bank ga je 100k kunnen overschrijven, ook niet in verschillende kleinere schijven op korte tijd.
Bij Crelan kan je bijvoorbeeld 10k max overschrijven.

Kan je zomaar 30.000 euro overschrijven? Deze limieten gelden op online en cash betalingen

Stel: je moet een écht grote betaling doen. Kan je dan op een limiet botsen, wanneer je probeert over te schrijven? En indien ja, is cash betalen dan wel een haalbare kaart? Of is het mogelijk om de betalingslimiet van je zichtrekening te verhogen? <a...

www.hln.be

Dus het bestaat zeer zeker al.

Zoals eerder al gezegd:

https://www.bnpparibasfortis.be/nl/public/particulieren/dagelijks-bankieren/betalingen/overschrijvingslimieten

Easy Banking Web
Standaardlimiet van €25.000 per dag per gebruiker*
Aanpasbaar van €0 tot €300.000 per dag per gebruiker*
Een limietwijziging is onmiddellijk actief.

Dus bij BNP weldegelijk wel, na aanpassing in hun webinterface. Standaard lager maar als de scammers al toegang tot hebben, kunnen ze in diezelfde webinterface het gewoon aanpassen...

En dat is ook een probleem bij andere banken, want je HLN artikel spreekt enkel over de standaardlimieten...

 

[ThomasMore]

Het punt is eerder dat ondanks menselijke fouten, er ook nog gebruiksgemak moet zijn. Iets wat super veilig is, maar waar je nog geen euro deftig van rekening A naar B krijgt daar heb je ook niks aan.
Het is dus altijd een afweging.

En nu haal jij het argument aan dat de workflow via Itsme die altijd gebruikt wordt voor routine zorgt. En dat deze routine mensen minder kritisch maken.
Terwijl het eerdere argument was dat Itsme niet veilig genoeg was, of het probleem Itsme gerelateerd zou zijn omdat het iets puur belgisch is. En dat men moet overstappen naar een meer universeel gebruikte authenticator.


Nu kom jij dus af dat het probleem niet bij Itsme ligt, maar bij universele authenticatie.
Wat overigens nu al niet het geval is. Het zijn altijd 2 methodes die je moet gebruiken. Ofwel bankapp authenticatie, ofwel itsme.
Je moet die al mixen qua authenticatie, via verschillende manieren.


Elke bank heeft al limieten. Bij geen enkele bank ga je 100k kunnen overschrijven, ook niet in verschillende kleinere schijven op korte tijd.
Bij Crelan kan je bijvoorbeeld 10k max overschrijven.

Kan je zomaar 30.000 euro overschrijven? Deze limieten gelden op online en cash betalingen

Stel: je moet een écht grote betaling doen. Kan je dan op een limiet botsen, wanneer je probeert over te schrijven? En indien ja, is cash betalen dan wel een haalbare kaart? Of is het mogelijk om de betalingslimiet van je zichtrekening te verhogen? <a...

www.hln.be

Dus het bestaat zeer zeker al.


Maar dat bestaat ook al?
Itsme kan maar op 1 toestel tegelijk geactiveerd zijn. MeDirect mobile banking kan maar op 1 toestel actief zijn.
Bij andere banken kan je op meerdere toestellen de app en authenticator activeren, maar elk toestel is weergeven in een mooie lijst. Dus je kan perfect zien op welke toestellen de app actief is met uw gegevens en dus kan authenticeren. Eveneens al je 1 toevoegd krijg je hier een melding van.



Zie hierboven, dat is beetje afhankelijk van je bank.
Maar er zijn wel degelijk limieten. En die limieten zijn ook zelf te verlagen.
Ja die kunnen terug omhoog gebracht worden door de “dief” maar dat kan alleen maar met de 2de methode van authenticeren.

Natuurlijk als uw toegangscode van uw smartphone dezelfde is al de code voor de mobile bank app, voor itsme en de 1ste 4 cijfers dezelfde zijn als uw bankkaart.
In veel gevallen kan je zelfs als toegangscode geen simpele combinaties zoals 123456 gebruiken (waarschijnlijk niet overal, ga het ook niet testen, maar goed) dus er zitten echt wel beschermingslagen in.

We kennen allemaal wel een bejaarde die in zijn smartphone hoes een papiertje met daarop zijn pincode heeft. Als je overal voor het gemak dezelfde code gebruikt, tsja weinig tegen te beginnen dan.

Ik neem er even de regels van ING bij (uit het artikel van HLN) :

Betaal je met de ING Banking-app, dan schrijf je maximaal 2.500 euro per 24 uur over zonder te tekenen met itsme, en 25.000 euro per 24 uur, wanneer je wel ondertekent met itsme. Als je internetbankiert via ING Home’Bank, schrijf je tot 25.000 euro per 24 uur over.

De andere grootbanken lijken strengere regels toe te passen.

Als de oplichter toegang heeft tot je itsme applicatie dan zou er dus inderdaad op 4 x 24 uur tot 100.000 euro van je rekening kunnen verdwijnen. Er zijn dan toch wat zaken die de bank kan opmerken en laten verifiëren he. Bijvoorbeeld als de begunstigde een Afrikaanse bankrekening is voor een bedrag van 25000 en er geen enkele historiek is van zo'n type overschrijvingen. Of als de hoogte van het bedrag een hoog aandeel van het totale saldo vertegenwoordigt.

 

[MrKend54l]

Zoals eerder al gezegd:

https://www.bnpparibasfortis.be/nl/public/particulieren/dagelijks-bankieren/betalingen/overschrijvingslimieten

Dus bij BNP weldegelijk wel, na aanpassing in hun webinterface. Standaard lager maar als de scammers al toegang tot hebben, kunnen ze in diezelfde webinterface het gewoon aanpassen...

En dat is ook een probleem bij andere banken, want je HLN artikel spreekt enkel over de standaardlimieten...

Is wel enkel maar via webapplicatie.
Ben geen klant daar dus kan het niet testen, maar volgens andere info die ik erover terug kan vinden is het niet met 1 klik ineens 300k maar moet je nog extra stappen doorlopen.
Maar goed ik denk dat BNP dan een uitzondering is waar je dergelijk hoog bedrag kan overschrijven. Vraag is ook wat er nog achter de schermen gebeurt, want ineens 300k overmaken zal volgens mij alvast niet geruisloos passeren.

Ik neem er even de regels van ING bij (uit het artikel van HLN) :

Betaal je met de ING Banking-app, dan schrijf je maximaal 2.500 euro per 24 uur over zonder te tekenen met itsme, en 25.000 euro per 24 uur, wanneer je wel ondertekent met itsme. Als je internetbankiert via ING Home’Bank, schrijf je tot 25.000 euro per 24 uur over.

De andere grootbanken lijken strengere regels toe te passen.

Als de oplichter toegang heeft tot je itsme applicatie dan zou er dus inderdaad op 4 x 24 uur tot 100.000 euro van je rekening kunnen verdwijnen. Er zijn dan toch wat zaken die de bank kan opmerken en laten verifiëren he. Bijvoorbeeld als de begunstigde een Afrikaanse bankrekening is voor een bedrag van 25000 en er geen enkele historiek is van zo'n type overschrijvingen. Of als de hoogte van het bedrag een hoog aandeel van het totale saldo vertegenwoordig

Is het probleem ook niet dat dit een veronderstelling is?
Ik weet niet of er hier nog checks op gebeuren, en of hetgeen jij vraagt dat ze moeten doen ze nog niet doen. Net zoals jij vermoedelijk niet weet of ze dit in de praktijk al niet doen.

Maar we komen dan terug op het feit van die toegang tot de applicatie. In de eerste plaats hoe komen ze aan die toegang.
Als dat te wijten valt aan zeer grote nalatigheid dan kunnen we toch niet puur wijzen naar de banken?

 

[ThomasMore]

Is wel enkel maar via webapplicatie.
Ben geen klant daar dus kan het niet testen, maar volgens andere info die ik erover terug kan vinden is het niet met 1 klik ineens 300k maar moet je nog extra stappen doorlopen.
Maar goed ik denk dat BNP dan een uitzondering is waar je dergelijk hoog bedrag kan overschrijven. Vraag is ook wat er nog achter de schermen gebeurt, want ineens 300k overmaken zal volgens mij alvast niet geruisloos passeren.



Is het probleem ook niet dat dit een veronderstelling is?
Ik weet niet of er hier nog checks op gebeuren, en of hetgeen jij vraagt dat ze moeten doen ze nog niet doen. Net zoals jij vermoedelijk niet weet of ze dit in de praktijk al niet doen.

Maar we komen dan terug op het feit van die toegang tot de applicatie. In de eerste plaats hoe komen ze aan die toegang.
Als dat te wijten valt aan zeer grote nalatigheid dan kunnen we toch niet puur wijzen naar de banken?

Dat is inderdaad een veronderstelling en bij een grove nalatigheid kan je dat inderdaad niet op de banken verhalen. Nu, het artikel over die 140.000 euro geeft zeer weinig info. Vandaar ook de veronderstellingen. Ik vind het ergens wel bizar dat zo'n dingen gebeuren. Mijn eigen bank heeft eens een betaling van een paar 1000 euro (onterecht) tegengehouden zonder me te verwittigen. Dat was vooral vervelend omdat ik daardoor mijn vakantie bijna in het water zag vallen, maar ook niet meer als dat. Better be safe than sorry.

Daarom vind ik het zo vreemd dat er op een paar weken tijd een totaalbedrag 140.000 euro van iemands rekening kan verdwijnen zonder dat er alarmbellen afgaan, zelfs niet als de persoon in kwestie na de eerste transactie melding maakt bij de bank.

 

[dee]

In 1 keer 300k overschrijven is volgens mij geen onderdeel in deze problematiek.
De bankensector zegt dat ze zeker 75% van de pogingen al detecteren en tegenhouden. Dat zijn dan bekende fraude landen, hoge bedragen, veel overschrijvingen in korte tijd, etc.

Die andere 25% lijkt me eerder te lukken door de combinatie van "lage" bedragen te spreiden en te werken met indirecte wegen.
In het meest extreme geval. slachtoffer -> nationale rekening -> EU bank in cyprus -> rest van de wereld.
Dat is tegenwoordig met online bankieren poepsimpel te automatiseren.
Pogingen doen om +100k over te schrijven in 1 keer lijkt me een domme strategie. Als criminelen 1 ding goed kunnen is het wel geld tellen.

 

[Jenthe]

Maar hoe zou men dat weten? Welk bedrijf of bank gaat dit zelf naar buiten brengen? 'ok jongens, bel de krant, itsme kan gehackt worden en we hebben nog geen oplossing'. Dat gaat toch niemand doen?

Dat geldt enkel indien er intern een niet-geëxploiteerd lek in de software gevonden wordt, dan zal men het inderdaad niet aan de grote klok hangen. Als de hack actief gebruikt wordt gaat dat vrijwel meteen openbare informatie worden. Een bank lijkt me ook eerder de eerste om zoiets naar buiten te brengen gezien men dan de verantwoordelijkheid op itsme kan afschuiven.

 

[CanadeseITer]

En nu haal jij het argument aan dat de workflow via Itsme die altijd gebruikt wordt voor routine zorgt. En dat deze routine mensen minder kritisch maken.
Terwijl het eerdere argument was dat Itsme niet veilig genoeg was, of het probleem Itsme gerelateerd zou zijn omdat het iets puur belgisch is. En dat men moet overstappen naar een meer universeel gebruikte authenticator.

Het is een combinatie van factoren. Als je mensen dwingt om iets te gebruiken waar ze niet voelen dat ze nood aan hebben (in dit geval potentieel itsme), dan gaat het gebruik daarvan niet met de glimlach gebeuren.
Ik ben zeer voorzichtig met mijn email wachtwoorden, omdat daar veel diensten aan gelinkt zijn. Als daar extra beveiliginsvragen opduiken door verdacht gedrag, dan analyseer ik die bewust, omdat dit niet normaal is.

Als ik itsme gebruik, wat vrij nieuw is voor mij (ik heb lang de digipass codes gebruikt), dan irriteert het mij al enorm dat dit enkel via de telefoon kan. Ik weet ook niet wat een normale frequentie is van zo'n itsme meldingen te krijgen. Het is een ecosysteem waar ik niet in thuis ben. Ik denk dat het voor een hacker die mij target het veel makkelijker zou zijn om mij een malafide itsme code te laten goedkeuren, dan in mijn email account binnen te geraken (en dit is geen uitdaging naar de hackers toe, ik ben bescheiden genoeg om te weten dat alles gekraakt kan worden).

Nu kom jij dus af dat het probleem niet bij Itsme ligt, maar bij universele authenticatie.
Wat overigens nu al niet het geval is. Het zijn altijd 2 methodes die je moet gebruiken. Ofwel bankapp authenticatie, ofwel itsme.
Je moet die al mixen qua authenticatie, via verschillende manieren.

Ik heb accounts bij 2 verschillende grootbanken en heb enkel itsme nodig om via de browser in te loggen. En dat is ook een deel van het probleem, zoals al eerder aangehaald.

Als de bank mij een email stuurt met 'er staat een bericht voor u klaar' met bankvoorwaarden update 134 (want stel u voor dat men het bericht in de email zou schrijven, wat een ramp zou dat niet zijn!), dan moet je daar ook itsme voor gebruiken om dat te lezen. Als we mensen meer kunnen trainen in "telkens je itsme gebruikt gaat er geld van je rekening" gaat men veel voorzichtiger zijn. Maar het wordt nu veel te veel misbruikt voor onbelangrijke dingen. En dan werk je apathie in de hand.

We kennen allemaal wel een bejaarde die in zijn smartphone hoes een papiertje met daarop zijn pincode heeft. Als je overal voor het gemak dezelfde code gebruikt, tsja weinig tegen te beginnen dan.

Geen telefoon verificatie gebruiken als mensen alles op hun computer doen? Een post it op een computerscherm plakken is nog altijd veiliger dan met een onbeveiligde telefoon rondlopen.

 

[the_fox]

Weer zo een geval dat je denkt... Kan de persoon hieraan iets doen?
Sofie verloor 148.000 euro door phishing: “Ik heb heel diep gezeten”

Vandaag staat het ook in HLN, en toevallig veranderen de details:

Sofie (47) uit Tremelo verloor 148.000 euro door bankfraude en blijft vechten voor haar spaargeld: “Ik weet niet of ik mijn geld ooit nog terugzie”

Wanneer Sofie Geens (47) uit het Vlaams-Brabantse Tremelo een half jaar geleden haar bankapp opent, is alles weg: 148.000 euro verdwenen. “Dat geld was alles wat ik had.” Vandaag vecht ze nog altijd om haar spaargeld terug te krijgen. “Ik was altijd voorzichtig, klikte nooit op verdachte links...

www.hln.be

HLN:

Om hulp te zoeken, klopte Sofie onder meer aan bij het platform Boomerang, dat slachtoffers van bankfraude begeleidt. “Je voelt je enorm alleen in zo’n situatie. Gelukkig kan ik rekenen op de steun van mijn ouders, mijn partner en mijn beste vriendin.”
De strijd om haar spaargeld terug te krijgen is dus nog niet voorbij. Nadat de procedure bij haar bank eind vorig jaar werd afgerond, heeft Sofie haar dossier nu ook voorgelegd aan de ombudsdienst voor financiële diensten. Ook bij de ombudsdienst hoopt ze nog op een doorbraak. “Ik wil gewoon weten wat er fout is gelopen. En of ik nog iets kan terugkrijgen.” Eerder liet ze bij de politie een proces-verbaal opmaken.

Dus ze is pas eind vorig jaar en nu bepaalde instanties en platformen beginnen contacteren.

vs Nieuwsblad:

Wat volgde was een lange reeks contacten met fraudediensten en instanties. “Telkens opnieuw werd ik van het kastje naar de muur gestuurd”, vertelt ze. “Niemand nam zijn verantwoordelijkheid.” Tot ze in oktober opnieuw werd getroffen en er 18.000 euro van haar zichtrekening verdween, ditmaal richting Ivoorkust.

Waar de lange reeks contacten dus vielen voor de 2e keer dat ze haar geld overschreven.

Ondertussen weten we via HLN ook dat het over ING gaat. Dus voor @MrKend54l:

Is wel enkel maar via webapplicatie.
Ben geen klant daar dus kan het niet testen, maar volgens andere info die ik erover terug kan vinden is het niet met 1 klik ineens 300k maar moet je nog extra stappen doorlopen.
Maar goed ik denk dat BNP dan een uitzondering is waar je dergelijk hoog bedrag kan overschrijven. Vraag is ook wat er nog achter de schermen gebeurt, want ineens 300k overmaken zal volgens mij alvast niet geruisloos passeren.

Van de ING site:

Standaardlimieten voor bankoverschrijvingen voor particulieren (ouder dan 18 jaar):

• Via de ING Banking-app, Home'Bank (internetbankieren), Payment Initiation Service: 12.500 euro per 24 uur

Je kunt je overschrijvingslimiet online of via de ING Banking-app tot maximaal 250.000 euro verhogen. Voor je veiligheid gaat de limietverhoging pas na 4 uur in.

Ik denk dus niet dat BNP de uitzondering is hoor, en dus in dit specifiek geval ook niet van toepassing want je kan dus bij ING (waar ze klant was) de limiet verhogen in de app en via de website naar €250k. Ok, duurt 4u om door te voeren, maar maakt niet uit als de scammers al toegang hadden...

 

[Wallfish]

Ik denk dus niet dat BNP de uitzondering is hoor, en dus in dit specifiek geval ook niet van toepassing want je kan dus bij ING (waar ze klant was) de limiet verhogen in de app en via de website naar €250k. Ok, duurt 4u om door te voeren, maar maakt niet uit als de scammers al toegang hadden...

amai, 250k over te schrijven na 4u? Doe dan geen moeite om een beveiliging in te voeren denk ik dan. Wat heb je nu aan 4u? Dat kán genoeg waarschuwing zijn maar die kans is toch enorm klein, of gaan we nu echt van iedereen verwachten dat ze hun gsm minstens elke 4u in het oog houden en alle binnenkomende mails / smsen telkens controleren? Niet meer slapen mensen, je riskeert je geld kwijt te zijn.
Zet dat maar gerust op >1 week om die verhoging door te voeren. Wie schrijft er nu ook zoveel geld over? Dat doe je misschien 3x in heel je leven. Voor die 3x kan je dus wel leven met een vertraging van 1 week. Laat desnoods toe toch sneller de limiet te verhogen als je persoonlijk naar de bank gaat en daar de correcte verificatie doorloopt.

Ik spreek nu voor particulieren natuurlijk. Dat het voor zakelijke accounts anders ligt is logisch, maar de beveiliging / verzekering moet dan navenant zijn.

 

[Zubrowka]

Heel dat verhaal van die Sofie klopt toch vanalles niets, worden van alles achterweg gelaten, slechte journalistiek ook. Er wordt daar bijvoorbeeld een foto van haar verhoor bij de politie gevoegd (dat verhoor is van 26 januari 2026), in het verhoor dat je enkel het begin kan lezen, wordt verwezen naar een eerdere neerlegging van december 2025 op aanraden van de bank FINTRO (dus niet ING). Het ging dan over het afsluiten van een ronde rekening (alpha credit) bij Fintro waarin ze in de min stond (?), moeilijk leesbaar maar dat is op 18 december iets misgelopen (in artikel gaat het eerst over september, gevolgd door tweede oplichting van oktober).