Wie is verantwoordelijk bij phishing en moeten banken meer doen?

Er wordt toch geld overschreven (slachtoffer phishing naar een andere bankrekening (dader) en soms daarna naar meerdere bankrekeningen) deze bankrekeningen staan toch op naam, wel in andere landen, maar kunnen toch te weten komen, wie de eigenaars zijn van deze rekeningen.

Mssn moeten de banken alle buitenlandse bankoverschrijvingen bijv 24u blokkeren vooraleer deze kan worden overgeschreven, van een belgische naar een buitenlandse rekeningnummer?
De belgische rekeningnummer is gekend (want enkel mogelijk met id kaart). Binnen de 24u is er wel veel kans dat ze het geld dan wel kunnen recupereren, want t is nog niet naar t buitenland overgeschreven)
 
Er wordt toch geld overschreven (slachtoffer phishing naar een andere bankrekening (dader) en soms daarna naar meerdere bankrekeningen) deze bankrekeningen staan toch op naam, wel in andere landen, maar kunnen toch te weten komen, wie de eigenaars zijn van deze rekeningen.

Mssn moeten de banken alle buitenlandse bankoverschrijvingen bijv 24u blokkeren vooraleer deze kan worden overgeschreven, van een belgische naar een buitenlandse rekeningnummer?
De belgische rekeningnummer is gekend (want enkel mogelijk met id kaart). Binnen de 24u is er wel veel kans dat ze het geld dan wel kunnen recupereren, want t is nog niet naar t buitenland overgeschreven)

Ben ik ook voorstander van maar dan ga je de recente regelgeving in Europa rond instant overschrijvingen moeten aanpassen/afschaffen. Binnen Eu is er nu immers deze verplichting ze aan te bieden zonder meerkosten en dat maakt dat het geld binnen enkele seconden weg is.
Ze hebben daar dan die iban-check tegenover geplaatst maar is ook maar een mager beestje in strijd tegen phishing. Geeft immers enkel waarschuwing, nooit absolute blokkering. Je kan het altijd overrulen.

We kunnen er blijven over palaveren maar punt is dat als we willen dat banken specifiek meer gaan doen, ze ook meer ruimte en wettelijk kader moeten krijgen om dat te doen. En dan niet alleen in België, maar (om te beginnen) Europees en idealiter op wereldvlak.

Als je nog niet tussen de banken in eigen land kan doorgeven dat je een geldezel hebt gepakt en zijn rekenin gesloten, hoe verwacht je dan effectief te kunnen optreden tegen grootschalige fraude als phishing?
 
Zonet een email ontvangen van Axa met een jaarlijks overzicht van het pensioensparen. Gewoon om die brief te lezen: "identificeer je met itsme".

Onzin. Stop met itsme voor alles te vereisen. Het is een brief die vroeger gewoon per post werd verstuurd. Maak het duidelijk: itsme gebruiken = er gaat geld van je rekening.

**rant over**
 
Staat er toch bij: het werkt via onoplettendheid, mensen die gewoon betalen zonder bedrag na te kijken...
"Als je twijfelt of het om een legitiem goed doel gaat, aarzel dan niet om een legitimatiebewijs te vragen. Daarnaast vragen we ook om altijd eerst het bedrag te controleren voordat je akkoord gaat met de betaling"
Wv9BLJd.png
 
Optie 1 : Iemand kan code ontwikkelen, waarbij wanneer je die QR code van het toestel van de scammer scant, visueel 5€ getoond wordt, maar waarbij je in praktijk toch 500€ overschrijft. Bijvoorbeeld via een visuele overlay, de QR code die u stuurt naar een neppagina enzovoorts ...

Optie 2: Je ziet 5€ staan, maar men zorgt via afleiding of een ander trukje dat je niet merkt dat wanneer je betaalt het bedrag plots gewijzigd is naar 500€. Of er staat asap 500€ en je merkt dit niet. (door afleiding)

Optie 2 is het meest plausibele. Waarom optie 1 overwegen als het ook gemakkelijk gaat?
 
Laatst bewerkt:
Optie 1 : Iemand kan code ontwikkelen, waarbij wanneer je die QR code van het toestel van de scammer scant, visueel 5€ getoond wordt, maar waarbij je in praktijk toch 500€ overschrijft. Bijvoorbeeld via een visuele overlay, de QR code die u stuurt naar een neppagina enzovoorts ...

Optie 2: Je ziet 5€ staan, maar men zorgt via afleiding of een ander trukje dat je niet merkt dat wanneer je betaalt het bedrag plots gewijzigd is naar 500€. Of er staat asap 500€ en je merkt dit niet. (door afleiding)

Optie 2 is het meest plausibele. Waarom optie 1 overwegen als het ook gemakkelijk gaat?
Waarom weer fantaseren?
Optie 1 is onmogelijk. Als je via QR code betaalt, toont jouw app altijd het uiteindelijke bedrag.
Optie 2 stond in het artikel & optoep van parket vermeld...
 
God verhoede dat de mensen zouden denken dat er ook onderwerpen bestaan waar je eigenlijk niets van kent. Elke mening is beter dan geen mening hebben, nietwaar.
Het is hier P&A en er werd gevraagd of iemand weet hoe de oplichting werkt. Dan doen meningen er niet toe, zeker niet als hij het niet afdoet als mening maar als een effectieve mogelijkheid. Volgens de regels moet je zelfs kritisch zijn met wat je deelt...
 
Waarom weer fantaseren?
Optie 1 is onmogelijk. Als je via QR code betaalt, toont jouw app altijd het uiteindelijke bedrag.
Ik heb zonet de QR code gescand van onze applicatie op het werk.

Daar staat dan "..." Je kan dat éénvoudig vervangen door een linkje naar een valse betaalapp hoor.
Je moet dan wel scannen met een QR code app en NIET met uw QR code van uw bank app.
Dat laatste is veilig, dat eerste niet.

Als een scammer u kan wijsmaken van een gewone QR scanner app te gebruiken ivp de QR code van uw bank app dan kan het wel.

Allé geloof wat je wil maar kom dan niet zagen dat je geld weg is. Ik zeg het maar, mijn doel is om zo weinig mogelijk mensen er in te laten trappen.

God verhoede dat de mensen zouden denken dat er ook onderwerpen bestaan waar je eigenlijk niets van kent. Elke mening is beter dan geen mening hebben, nietwaar.
Zie hierboven. Maar akkoord met the_fox: Mijn post was onvolledig. Gebruik voor betalingen altijd de QR code die hoort bij je bankapp.
 
Laatst bewerkt:
Ik heb zonet de QR code gescand van onze applicatie op het werk.

Daar staat dan "..." Je kan dat éénvoudig vervangen door een linkje naar een valse betaalapp hoor.
Je moet dan wel scannen met een QR code app en NIET met uw QR code van uw bank app.
Dat laatste is veilig, dat eerste niet.

Als een scammer u kan wijsmaken van een gewone QR scanner app te gebruiken ivp de QR code van uw bank app dan kan het wel.

Allé geloof wat je wil maar kom dan niet zagen dat je geld weg is. Ik zeg het maar, mijn doel is om zo weinig mogelijk mensen er in te laten trappen.


Zie hierboven. Maar akkoord met the_fox: Mijn post was onvolledig. Gebruik voor betalingen altijd de QR code die hoort bij je bankapp.
Zelfs met zo’n ’valse betaalapp’ gaat de betaling zelf altijd passeren via je reguliere bankapplicatie. Ze proberen daar gewoon met voldoende afleiding je een groter bedrag dan de bedoeling was te laten overschrijven.

Dat is net zoals al die artikelen over oplichting waar de slachtoffers bij hoog en laag beweren dat ze ‘gehackt’ zijn en al hun geld zonder enige actie van hun weggeschreven is. Op het einde van de rit heb je zelf ergens in het proces de betalingen goedgekeurd. Geen victim blaming trouwens, zou mezelf ook kunnen overkomen in een moment van onoplettendheid en die oplichters kunnen ze niet hard genoeg aanpakken wat mij betreft.
 
Laatst bewerkt:
Ik heb zonet de QR code gescand van onze applicatie op het werk.

Daar staat dan "..." Je kan dat éénvoudig vervangen door een linkje naar een valse betaalapp hoor.
Je moet dan wel scannen met een QR code app en NIET met uw QR code van uw bank app.
Dat laatste is veilig, dat eerste niet.

Als een scammer u kan wijsmaken van een gewone QR scanner app te gebruiken ivp de QR code van uw bank app dan kan het wel.

Allé geloof wat je wil maar kom dan niet zagen dat je geld weg is. Ik zeg het maar, mijn doel is om zo weinig mogelijk mensen er in te laten trappen.
Heb je gelezen wat ik zei? Want zoals @Jenthe ook al zei, als je met een tussenstap werkt dan moet je erna de betaling nog steeds uitvoeren in een eigen app. En daar staat weldegelijk altijd het correct bedrag. Wat jij hier beschrijft is niet betalen via QR code...

Wat er in jouw app getoond wordt, is het enige dat van belang is; want het is dat waar je mee akkoord gaat. Misschien moeten mensen meer gewaar gemaakt worden dat ze moeten letten op wat ze in hun app goedkeuren (of het nu van je bank of bancontact of WERO of gelijk welke betaalapp is), hetgeen is dat van belang is. Ik vind dat logisch, maar het is blijkbaar nodig. En dat is ook hetgeen die actie van het parket doet, zie quote + screenshot hierboven. De verwoording is letterlijk "voor je een betaling bevestigt".

Ook analoog kan dit hé. Als een verkoper je belooft dat een product verkocht wordt voor bedrag x; dan ga je toch ook geen factuur betalen met bedrag y op? Is hetzelfde principe, en dat is puur op onoplettendheid inspelen.
 
De geest is aan het rijpen bij de rechterlijke macht: Rechter oordeelt dat banken slachtoffers van phishing meteen moeten vergoeden: "Zal grote gevolgen hebben"
"Het principe is eenvoudig. De bank is verplicht om een klant die slachtoffer is van phishing terug te betalen, tenzij de bank bewijst dat de klant een grove fout heeft begaan."

In de praktijk weigeren banken vaak om klanten te vergoeden, omdat ze er meteen al van uitgaan dat de klant zelf een grove fout heeft begaan. Maar het moet dus anders, oordeelt nu ook een kortgedingrechter. Banken moeten eerst de klant vergoeden en als ze ervan uitgaan dat er een grove nalatigheid was, moeten ze zelf naar de rechter stappen.
De kans lijkt mij onbestaande dat de banken zich hierbij gaan neerleggen.
 
De kans lijkt mij onbestaande dat de banken zich hierbij gaan neerleggen.
Dat is geheel logisch ook. Het is toch ongefundeerd om in de huidige context waarin banken moeite doen om phishing duidelijk te maken, ze te laten opdraaien voor schade?
 
Dat is geheel logisch ook. Het is toch ongefundeerd om in de huidige context waarin banken moeite doen om phishing duidelijk te maken, ze te laten opdraaien voor schade?
Dan moet de wet worden aangepast, want de rechter in kwestie past die eindelijk gewoon toe zoals het door de wetgever bedoeld is. Het verschil zit 'm vooral in de snelheid waarmee dit in deze zaak is gebeurd doordat het een uitspraak in kortgeding is.
 
Gemengde gevoelens hierbij.
Enerzijds ga je de schuld nu bij de banken leggen terwijl het niet de bank maar de gebruiker is die in de fout gaat, ook al maakt hij die fout niet altijd bewust. Een gebruiker gaat dan minder aandachtig zijn voor scamming want de bank zal toch wel moeten terugbetalen als het fout loopt.
Anderzijds kan dit er wel voor zorgen dat de banken eindelijk eens wat meer moeite gaan doen om dit fenomeen tegen te houden of het op zijn minst wat moeilijker te maken voor de criminelen. Want nu doen ze vaak weinig tot geen moeite om dit te voorkomen.
 
Gemengde gevoelens hierbij.
Enerzijds ga je de schuld nu bij de banken leggen terwijl het niet de bank maar de gebruiker is die in de fout gaat, ook al maakt hij die fout niet altijd bewust. Een gebruiker gaat dan minder aandachtig zijn voor scamming want de bank zal toch wel moeten terugbetalen als het fout loopt.
Anderzijds kan dit er wel voor zorgen dat de banken eindelijk eens wat meer moeite gaan doen om dit fenomeen tegen te houden of het op zijn minst wat moeilijker te maken voor de criminelen. Want nu doen ze vaak weinig tot geen moeite om dit te voorkomen.
Weinig tot geen moeite? Als ik zie wat ik allemaal moet doen om ervoor te zorgen dat ik een factuur van +10 000euro kan betalen dan kan ik allemaal maar zeggen dat er bij bepaalde banken echt wel veel moeite wordt gedaan
 
Weinig tot geen moeite? Als ik zie wat ik allemaal moet doen om ervoor te zorgen dat ik een factuur van +10 000euro kan betalen dan kan ik allemaal maar zeggen dat er bij bepaalde banken echt wel veel moeite wordt gedaan
Bij bepaalde banken inderdaad. Ik vermoed dat het hier om Argenta of Crelan gaat (hebben hun hoofdzetel in Antwerpen) en als ik bij mezelf en naasten in de spamfolder kijk, dan zijn die toch wel sterk oververtegenwoordigd in de phishingpogingen.

Ik las onlangs nog een interessante opinie in De Standaard over de "fout" van de klant bij phishing:
De gebruiker wordt behandeld als de laatste en belangrijkste beveiligingslaag. Zolang alles goed gaat, benadrukken banken hun betrouwbaarheid, veiligheid en technologische verfijning. Maar zodra het misloopt, verschuift de verantwoordelijkheid opvallend snel richting het individu. Dan blijkt veiligheid plots een persoonlijke opdracht te zijn geworden.

Dat is vreemd. Phishing werkt doordat mensen uitzonderlijk menselijk zijn, niet doordat ze uitzonderlijk dom zijn. Criminelen spelen niet in op een gebrek aan intelligentie, maar op vertrouwen, tijdsdruk, stress, angst en verwarring. Een bericht dat meldt dat je rekening wordt geblokkeerd, dat een betaling dringend bevestigd moet worden of dat er verdachte activiteit is vastgesteld, activeert precies die mechanismen waarop mensen voorspelbaar reageren.
Slachtoffers worden al te vaak als dom en naïef weggezet terwijl ze vooral heel efficiënt zijn gemanipuleerd door gewiekste criminelen die perfect weten op welke gedragsmatige knopjes ze moeten duwen om iemand mee te krijgen in het verhaal. Bij andere oplichtingszaken tonen we als maatschappij toch meer empathie wanneer iemand zaken doet die hij of zij eigenlijk niet wil, lijkt mij.

Auteur brengt ook nog deze nuancering:
Dat betekent niet dat banken alle verantwoordelijkheid dragen. Ook gebruikers hebben een rol. Absolute bescherming bestaat niet. Een systeem waarbij banken altijd alle schade vergoeden, ongeacht de omstandigheden, creëert andere problemen. Dan verdwijnt mogelijk elke prikkel tot voorzichtigheid en ontstaan nieuwe vormen van misbruik.

Maar tussen die uitersten ligt een middenweg. De vraag is daarbij niet: heeft iemand een fout gemaakt? Mensen maken voortdurend fouten. De vraag is wel: waarom volstond één menselijke fout om een financiële ramp te veroorzaken?
 
Weinig tot geen moeite? Als ik zie wat ik allemaal moet doen om ervoor te zorgen dat ik een factuur van +10 000euro kan betalen dan kan ik allemaal maar zeggen dat er bij bepaalde banken echt wel veel moeite wordt gedaan

Dat is het punt. JIJ, de gebruiker dient al die moeite te doen. De banken zelf doen heel weinig moeite, net omdat ze alle eindverantwoordelijkheid op de gebruiker afschuiven.
Banken doen aan windowdressing, niet aan gerichte preventie.

Cru gezegd kan het banken geen hol schelen of jij nu gephisht wordt of niet. Daar liggen ze niet van wakker.
 
'k denk dat ik het al eens eerder gezegd heb: uiteindelijk is de oplossing echt simpel. Banken hebben al systemen om abnormale transacties en zo te detecteren. Dwing mensen dan om telefonisch met iemand van de bank te spreken wat ze aan't doen zijn.

Heel de miserie is dat we alles volledig geautomatiseerd maken, en elke menselijke interactie eruithalen, en dan moeten we verbaasd zijn dat oplichters mensen manipuleren en misbruik maken van dat alles geautomatiseerd is.


En geen idee of het hier al gezegd geweest is, in frankrijk is't blijkbaar het systeem bij grote transacties naar een onbekende rekening dat daar altijd 24 uur vertraging op zit. Ze kunnen u mss op de moment manipuleren van dat te doen, maar u dan 24u waarin ge alles gewoon kunt cancellen aan't lijntje blijven houden, da's een pak moeilijker, dus zeker ook iets dat in Belgie kan.


Maar ja, alles op de gebruiker steken is makkelijker hé. Ge had u maar niet moeten laten oplichten door oplichters die onze automatische procedures van binnen en van buiten kennen, en misbruik maken van het feit dat wij van onze kant elke vorm van menselijke interactie/checks hebben weggehaald om geld te besparen.....
 
Terug
Bovenaan