‘Slachtoffers hebben ijzersterk argument in de rechtbank’

Gepubliceerd op 22 september 2021 om 07:00
Spoofing, Bankhelpdesk fraude en rech support scam

Klanten van ABN AMRO raakten de afgelopen tijd tienduizenden euro’s aan spaargeld kwijt. Dat is in belangrijke mate te danken aan het feit dat particulieren de daglimiet -het geld dat ze dagelijks maximaal via de bank kunnen overboeken- niet naar beneden kunnen bijstellen. Daardoor ontbreekt een belangrijke schakel in de beveiliging en zijn klanten van de bank een geliefd doelwit bij hackers en cybercriminelen.

Dat meldt consumentenprogramma Kassa. De makers van de show vroegen aan ethisch hacker Sijmen Ruwhof of hij naar de instellingen van verschillende banken kon kijken en zijn mening daarover wilde delen.

Daglimiet banken

Consumentenprogramma Kassa en Sijmen Ruwhof keken samen hoe grote banken hun systemen hebben ingericht. Gezamenlijk probeerden ze op een rij te krijgen hoe het inloggen werkt, of er een daglimiet is voor financiële transacties en of particulieren deze limiet kunnen aanpassen. Dit soort instellingen kunnen de schade voor klanten beperken.

Ruwhof zegt dat hackers kijken bij welke bank de beveiliging het zwakst is. Klanten van banken waarvan de beveiliging minder goed geregeld is, zijn dan de pineut. Hackers en cybercriminelen willen volgens de ethische hacker met zo min mogelijk moeite zo veel mogelijk omzet behalen.

Dat is de reden waarom klanten van ING afgelopen jaar het vaakst slachtoffer werden van spoofing. Inbrekers konden makkelijker naar binnen glippen dan bij andere banken en de daglimiet eenvoudig verhogen naar vijftigduizend euro. Met relatief weinig moeite konden hackers dus veel geld stelen van slachtoffers. Eind vorig jaar nam ING maatregelen om de financiële schade door oplichters te beperken. Voortaan duurt hier vier uur voordat de aanpassing van de overboeklimiet actief is.

Meerlaagse beveiliging implementeren

Het voorbeeld van ING toont volgens Ruwhof aan dat een goede beveiliging bij banken zeer belangrijk is. Banken doen er in zijn ogen goed aan om een meerlaagse beveiliging te implementeren. Als aanvaller moet je dan meerdere muren zien te doorbreken om te krijgen wat je wil. De meeste hackers haken dan volgens hem af, omdat ze te veel moeite moeten doen om geld te stelen van slachtoffers. Of zoals Michel van Eeten, hoogleraar cybersecurity aan de TU Delft, het uitdrukt: het mag niet zo zijn dat als je je sleutel per ongeluk aan een verkeerd iemand geeft, je blootgesteld wordt aan maximale financiële schade.

ABN AMRO laat op dat vlak een steekje vallen, zo constateren Kassa en Ruwhof. Met de e-dentifier van de bank kunnen particulieren dagelijks bedragen tot tweehonderdvijftigduizend euro overboeken. Met iDeal kan er tot vijftigduizend euro worden betaald. Deze daglimiet is echter niet door klanten naar beneden bij te stellen. Ruwhof zegt dat als hij hacker was, hij om die reden zijn pijlen zou richten op ABN AMRO.

Spaargeld particulieren voor het oprapen

De ethische hacker vergelijkt spaar- en betaalrekeningen met een kluisje. Bij de meeste banken is het zo dat als een crimineel weet in te breken in de kluis, hij slechts een deel van het geld kan stelen (de daglimiet). In de kluis zit bij wijze van spreken nog een tweede kluis. Bij ABN AMRO ligt al het spaargeld van particulieren voor het oprapen als een hacker eenmaal de kluis weet binnen te dringen. Daar is dus geen sprake van een meerlaagse beveiliging

Bankhelpdesk fraude met tech support scam

Freek Groenedijk van spoofingplatform GIBO vertelt aan Kassa dat hij wekelijks één à twee klachten ontvangt van klanten van ABN AMRO die zijn opgelicht door criminelen. Eén daarvan was de familie Van Sluijs. Zij waren het slachtoffer van helpdeskfraude. Ze werden gebeld door iemand die zich voordeed als een bankmedewerker van ABN AMRO. Die vertelde de familie dat er iets aan de hand was met hun rekening en verzocht hen om het programma TeamViewer te installeren (tech support scam). Het bleek een rookgordijn om stiekem over hun schouder mee te kijken en al hun spaargeld te stelen. De schade kwam uit op zesentwintigduizend euro.

Coulanceregeling

Aanvankelijk weigerde ABN AMRO de schade te vergoeden: de familie Van Sluijs was in hun ogen ‘grof nalatig’ geweest. Uiteindelijk ging de bank toch overstag. Naar eigen zeggen had dat niets te maken met de uitzending van Kassa. “De reden dat wij hiermee terugkomen op onze eerdere afwijzing voor een coulance vergoeding wegens spoofing, is dat wij recent een aantal vergelijkbare zaken hebben herbeoordeeld. Hierbij zijn wij tot de conclusie gekomen dat we de coulanceregeling in het belang van deze klanten ruimhartiger willen interpreteren”, aldus de bank.

Verder laat ABN AMRO hier werk van te maken en met aanvullende veiligheidsmaatregelen te komen. “Zo werken we bijvoorbeeld aan een manier die klanten in staat stelt om extra blokkades toe te passen op overboekingen. Dit geeft klanten een extra mogelijkheid zichzelf te beschermen door (spaar)geld niet direct weg te kunnen boeken onder druk van de oplichter.” De bank zegt geen tijdstip te kunnen noemen wanneer de maatregelen worden geïmplementeerd. “Vanzelfsprekend willen we dit zo snel mogelijk realiseren.”

Ijzersterk argument in rechtbank

Advocaat Marius Hukpes staat regelmatig slachtoffers van spoofing, helpdeskfraude en andere vormen van bankfraude bij. Hij benadrukt dat de huidige compensatieregeling als tijdelijke oplossing is bedacht. In zijn ogen is het aan de politiek om nieuwe wetgeving te bedenken voor nieuwe, toekomstige vormen van bankfraude.

Het feit dat particulieren bij ABN AMRO de daglimiet niet naar beneden kunnen bijstellen, is volgens Hupkes een ‘ijzersterk argument’ in de rechtbank als slachtoffers via een rechtszaak financiële compensatie eisen. Dat ABN AMRO niet de mogelijkheid biedt om de overboeklimiet aan te passen, noemt hij ‘nalatigheid’. “Alle andere banken hebben die keuze al lang gemaakt en daar verschillen in aangebracht”, aldus de advocaat.

Bron: bnnvara.nl, vpngids.nl

Wat is tech support scam 》

Meer info over bank helpdesk fraude 》

Bekijk alle vormen en begrippen 》

Tips of verdachte activiteiten gezien? Meld het hier.

Bankhelpdesk fraude gerelateerde berichten