NeoDutchio schreef: ↑11 nov 2020 14:36
Vicvrij schreef: ↑10 nov 2020 17:35
In december 2017 waren we slachtoffers van Microsoft fraude, met een schade van 30 000 Euro. Mijn vrouw werd benaderd door iemand die zich uitgaf voor een Microsoft medewerker, Microsoft was bezig om een grote verstoring te verhelpen waardoor veel PC waaronder de onze zouden vastlopen.
Hoe weet Microsoft dat u een gebruiker bent en hoe komen zij aan uw telefoonnummer? Als ik uw vrouw zou bellen en zeggen dat ik Sinterklaas heet, geloofd ze dat ook?
Daar waar het al mis gaat is dat de mensen meteen geloven met wie ze spreken. Vele topics hier kan je scharen onder hetzelfde probleem. Mensen kopen bij een dropshipper, want dat verwacht je toch niet? Tickerdoorverkoopbureau’s blijven bestaan omdat mensen blind de eerste hit op Google aanklikken. Idem met toeslagen. Belt er een energieboer met het verhaal dat u teveel betaald en dat u kunt besparen, dan is dat natuurlijk ook zo. En als er iemand belt namens de bank of Microsoft, dan nemen we dat ook voor waar aan.
Is de mensheid nu steeds lakser aan het worden en wordt er veel te weinig nagedacht? Hoe kan het dat eigenlijk vele problemen op 1 en dezelfde oorzaak terug te brengen is?
Beste Neo Dutchio, Mensen blijken inderdaad soms wat te goedgelovig dan wel te goed van vertrouwen en de bank kan daar niet verantwoordelijk voor gesteld worden. Maar de banken zijn er wel verantwoordelijk voor om hun klanten ,waar mogelijk, zo goed mogelijk te beschermen tegen de schade die het gevolg is van veel voorkomende fraude . Ik wil daarom vooral wijzen op het feit dat de banken niet voldoende bescherming geven tegen de excessieve schade van de scams, die inmiddels vast onderdeel zijn geworden van de internet bankieren wereld. De meeste scams richten zich namelijk op het op gewiekste wijze stelen van de voor betalingen benodigde codes, die krijgen criminelen het gemakkellijkst kunnen stelen door het vragen van een betaling en dan meelezen/tappen van de codes. Criminelen zijn daarin heel inventief blijkt uit de diversiteit aan scams waar jaarlijks tienduizenden mensen in trappen (microsoftscam, Whatasapp fraude, Tikkie scams, enzovoort) . Ze misbruiken de gestolen codes vervolgens door het verrichten van opgeschroefde betalingen vanuit de rekening van het slachtoffer naar die van medeplichtige geldezelrekeningen, die op hun beurt het geld razensnel laten verdwijnen. Waarbij de bank zegt daar geen grip op te hebben.
Dat zou allemaal tot daar aan toe zijn als die opschroeving zich beperkt tot de door de slachtoffers ingestelde dag (bestedings) limiet of het saldo van de betaalrekening. Maar doordat de banken ervoor gekozen hebben zowel spaaropnames als daglimiet ophogingen met dezelfde codes te regelen als betalingen (en zelfs ogenblikkellijk uit te voeren wanneer ze daarmee bevestigd worden), hebben ze de fraudeurs een unieke kans gegeven om de snelle buit vooral bij sparende slachtoffers aanzienlijk te verhogen. Kortom mensen laten zich wellicht misleiden door op fake betalingen in te gaan maar banken kunnen de schade aanzienlijk beperken door eenvoudige maatreglen , namelijk door andere codes voor spaaropnames en daglimietophogingen te kiezen en een langere duur voor deze handelingen in acht te nemen. De ING doet er daarom wijs aan de duur van de daglimiet ophoging van een kwartier naar 4 uur om te zetten . Maar het zou wijzer zijn deze ook van een andere code te voorzien als de betaalbevestiging. Het zelfde geldt voor handelingen als spaaropnames en autorisatie van andere toestellen.
In de niet digitale wereld zou je de volgende parallel kunnen hanteren. Het is zeer wel denkbaar dat iemand ""te goed van vertrouwen" zijn huissleutel tijdelijk afgeeft aan wat naderhand een louche klusjesman blijkt met als gevolg dat hij van wat wat huisraad wordt bestolen, maar omdat hij een kluis heeft blijven zijn kostbaarheden in de regel onaangetast. Wanneer de huisleutel op zijn kluisdeur zou passen zou dat heel anders uitvallen, ook een tijdslot op de kluis zou kunnen helpen.
Een spaarrekening en een bestedingslimiet kan gezien worden als een virtuele kluis. Helaas hebben de banken deze kluizen met dezelfde sleutel beveiligd als de betaalrekeningen die je kan zien als de huisdeursleutel. Dat is een ommissie in het veiligheidsdenken van de banken die allang hersteld had moeten worden en waardoor de schade in veel gevallen vertienvoudigd werd Nog erger is dat dezelfde sleutel ook nog eens gehanteerd wordt om andere telefoontoestellen te autoriseren (zoals uit de QR-code scam bleek) .
Uiteraard had een andere code geen soelaas geboden bij spoofing omdat daar de slachtoffers vermoedelijk zelf de daglimiet hadden opgehoogd en de spaaropnames hadden uitgevoerd, hier had een tijdslot op de kluis wel soelaas geboden.
.
