Klanten van ABN AMRO raakten de afgelopen tijd tienduizenden euro’s aan spaargeld kwijt. Dat is in belangrijke mate te danken aan het feit dat particulieren de daglimiet -het geld dat ze dagelijks maximaal via de bank kunnen overboeken- niet naar beneden kunnen bijstellen. Daardoor ontbreekt een belangrijke schakel in de beveiliging en zijn klanten van de bank een geliefd doelwit bij hackers en cybercriminelen.
Dat meldt consumentenprogramma Kassa. De makers van de show vroegen aan ethisch hacker Sijmen Ruwhof of hij naar de instellingen van verschillende banken kon kijken en zijn mening daarover wilde delen.
Daglimiet banken
Consumentenprogramma Kassa en Sijmen Ruwhof keken samen hoe grote banken hun systemen hebben ingericht. Gezamenlijk probeerden ze op een rij te krijgen hoe het inloggen werkt, of er een daglimiet is voor financiële transacties en of particulieren deze limiet kunnen aanpassen. Dit soort instellingen kunnen de schade voor klanten beperken.
Ruwhof zegt dat hackers kijken bij welke bank de beveiliging het zwakst is. Klanten van banken waarvan de beveiliging minder goed geregeld is, zijn dan de pineut. Hackers en cybercriminelen willen volgens de ethische hacker met zo min mogelijk moeite zo veel mogelijk omzet behalen.
Dat is de reden waarom klanten van ING afgelopen jaar het vaakst slachtoffer werden van spoofing. Inbrekers konden makkelijker naar binnen glippen dan bij andere banken en de daglimiet eenvoudig verhogen naar vijftigduizend euro. Met relatief weinig moeite konden hackers dus veel geld stelen van slachtoffers. Eind vorig jaar nam ING maatregelen om de financiële schade door oplichters te beperken. Voortaan duurt hier vier uur voordat de aanpassing van de overboeklimiet actief is.
Meerlaagse beveiliging implementeren
Het voorbeeld van ING toont volgens Ruwhof aan dat een goede beveiliging bij banken zeer belangrijk is. Banken doen er in zijn ogen goed aan om een meerlaagse beveiliging te implementeren. Als aanvaller moet je dan meerdere muren zien te doorbreken om te krijgen wat je wil. De meeste hackers haken dan volgens hem af, omdat ze te veel moeite moeten doen om geld te stelen van slachtoffers. Of zoals Michel van Eeten, hoogleraar cybersecurity aan de TU Delft, het uitdrukt: het mag niet zo zijn dat als je je sleutel per ongeluk aan een verkeerd iemand geeft, je blootgesteld wordt aan maximale financiële schade.
ABN AMRO laat op dat vlak een steekje vallen, zo constateren Kassa en Ruwhof. Met de e-dentifier van de bank kunnen particulieren dagelijks bedragen tot tweehonderdvijftigduizend euro overboeken. Met iDeal kan er tot vijftigduizend euro worden betaald. Deze daglimiet is echter niet door klanten naar beneden bij te stellen. Ruwhof zegt dat als hij hacker was, hij om die reden zijn pijlen zou richten op ABN AMRO.
Spaargeld particulieren voor het oprapen
De ethische hacker vergelijkt spaar- en betaalrekeningen met een kluisje. Bij de meeste banken is het zo dat als een crimineel weet in te breken in de kluis, hij slechts een deel van het geld kan stelen (de daglimiet). In de kluis zit bij wijze van spreken nog een tweede kluis. Bij ABN AMRO ligt al het spaargeld van particulieren voor het oprapen als een hacker eenmaal de kluis weet binnen te dringen. Daar is dus geen sprake van een meerlaagse beveiliging
Bankhelpdesk fraude met tech support scam
Freek Groenedijk van spoofingplatform GIBO vertelt aan Kassa dat hij wekelijks één à twee klachten ontvangt van klanten van ABN AMRO die zijn opgelicht door criminelen. Eén daarvan was de familie Van Sluijs. Zij waren het slachtoffer van helpdeskfraude. Ze werden gebeld door iemand die zich voordeed als een bankmedewerker van ABN AMRO. Die vertelde de familie dat er iets aan de hand was met hun rekening en verzocht hen om het programma TeamViewer te installeren (tech support scam). Het bleek een rookgordijn om stiekem over hun schouder mee te kijken en al hun spaargeld te stelen. De schade kwam uit op zesentwintigduizend euro.
Coulanceregeling
Aanvankelijk weigerde ABN AMRO de schade te vergoeden: de familie Van Sluijs was in hun ogen ‘grof nalatig’ geweest. Uiteindelijk ging de bank toch overstag. Naar eigen zeggen had dat niets te maken met de uitzending van Kassa. “De reden dat wij hiermee terugkomen op onze eerdere afwijzing voor een coulance vergoeding wegens spoofing, is dat wij recent een aantal vergelijkbare zaken hebben herbeoordeeld. Hierbij zijn wij tot de conclusie gekomen dat we de coulanceregeling in het belang van deze klanten ruimhartiger willen interpreteren”, aldus de bank.
Verder laat ABN AMRO hier werk van te maken en met aanvullende veiligheidsmaatregelen te komen. “Zo werken we bijvoorbeeld aan een manier die klanten in staat stelt om extra blokkades toe te passen op overboekingen. Dit geeft klanten een extra mogelijkheid zichzelf te beschermen door (spaar)geld niet direct weg te kunnen boeken onder druk van de oplichter.” De bank zegt geen tijdstip te kunnen noemen wanneer de maatregelen worden geïmplementeerd. “Vanzelfsprekend willen we dit zo snel mogelijk realiseren.”
Ijzersterk argument in rechtbank
Advocaat Marius Hukpes staat regelmatig slachtoffers van spoofing, helpdeskfraude en andere vormen van bankfraude bij. Hij benadrukt dat de huidige compensatieregeling als tijdelijke oplossing is bedacht. In zijn ogen is het aan de politiek om nieuwe wetgeving te bedenken voor nieuwe, toekomstige vormen van bankfraude.
Het feit dat particulieren bij ABN AMRO de daglimiet niet naar beneden kunnen bijstellen, is volgens Hupkes een ‘ijzersterk argument’ in de rechtbank als slachtoffers via een rechtszaak financiële compensatie eisen. Dat ABN AMRO niet de mogelijkheid biedt om de overboeklimiet aan te passen, noemt hij ‘nalatigheid’. “Alle andere banken hebben die keuze al lang gemaakt en daar verschillen in aangebracht”, aldus de advocaat.
Bron: bnnvara.nl, vpngids.nl
Meer info over bank helpdesk fraude 》
Bekijk alle vormen en begrippen 》
Tips of verdachte activiteiten gezien? Meld het hier.
Bankhelpdesk fraude gerelateerde berichten
25-jarige man aangehouden voor bankhelpdesk fraude
Na een aantal maanden onderzoek te hebben gedaan naar bankhelpdesk fraude is op dinsdag 22 februari 2022 een 25-jarige verdachte aangehouden.
Zeventien jarig meisje aangehouden voor bankhelpdesk fraude - “De buit bedroeg zeker 44.000 euro”
Dank voor het delen, meisje van 17 is herkend
Politie roept mensen op alert te blijven middels lancering ABC-methode
De politie heeft in september en oktober 2021 meerdere verdachten aangehouden in een grote cyberzaak. De verdachten gaven zich aan de telefoon uit als medewerkers van een bank en kwamen aan de deur bij slachtoffers. Deze babbeltruc, ook wel bankhelpdesk fraude genoemd, is gebruikt bij minimaal 95 personen. De politie roept mensen dan ook op om alert te blijven bij verdachte telefoontjes of mailtjes en lanceert daarom de ABC-methode.
"Banken moeten de optimale voorwaarden creëren zodat hun klanten veilig kunnen bankieren"
Banken moeten meer doen om te voorkomen dat klanten het slachtoffer worden van helpdesk fraude of spoofing. Het zelf kunnen verlagen van de overboeklimiet is een van maatregelen die klanten noemen om fraude tegen te gaan. Banken mogen dit signaal niet negeren.
Criminelen combineren cybercrime vormen en werken samen
De politie onderzoekt zo’n honderd cyberdelicten, waarbij criminelen steeds weer op een laffe manier slachtoffers in hun portemonnee en veiligheidsgevoel weten te raken. Dit jaar werden al ruim 250 Zeeuwen getroffen. De politie hield al drie cybercriminelen aan en kreeg zicht op tientallen vooralsnog onbekende verdachten. De politie vraagt de hulp van het publiek bij de herkenning van vijf onbekende daders.
Drie aanhoudingen voor bankhelpdesk fraude tijdens controle auto
Er is momenteel veel sprake van oplichtingsvormen zoals spoofing met bankhelpdesk fraude.