Wie betaalt de schade van online oplichting? Deel 2: spoofing
15.6.2020: Er komen thans veel vragen binnen bij ons kantoor over spoofing. Het gaat daarbij met name over oplichters die zich uitgeven voor ING Bank en ABN. Wij denken thans over een collectieve actie indien de banken geen aansprakelijkheid erkennen. U kunt in dat kader contact opnemen met Annette Mak.
In een eerder blog vertelde ik u dat banken schade die het gevolg is van phishing niet altijd vergoeden. In dit blog staat een andere vorm van (online) oplichting centraal: spoofing. Wat is het, hoe zetten criminelen het in en hoe gaan banken om met de schade van klanten?
Wat is spoofing?
“Goedemiddag, u spreekt met X. Ik ben cyber security consultant bij de afdeling fraudebestrijding van uw bank. Bent u meneer Y? Er is iets mis met uw rekening. We zien dat een malafide bedrijf duizenden euro’s van uw rekening probeert af te schrijven. We zijn ermee bezig, maar om te voorkomen dat u uw geld kwijtraakt willen we u vragen om uw geld tijdelijk op een andere rekening te zetten. Dit is het nummer. Ik wil u wel vragen om haast te maken.”
Hoe groot is de kans dat u hier intrapt, denkt u? Klein? Want hoe kan de beller bewijzen dat hij daadwerkelijk cyber security consultant is bij uw bank? Hij zal wel met een anoniem nummer bellen. Nee, u bent niet naïef, dat overkomt u niet.
Maar wat doet u als blijkt dat de beller uw rekeningnummer(s) kent? En als hij helemaal niet met een anoniem nummer belt, maar het nummer van uw bank in uw display verschijnt? Grote kans dat u dan wel geneigd zult zijn om geld over te maken naar de ‘veilige rekening’.
Toch is het waarschijnlijk dat u dan opgelicht wordt. En wel met een truc die ‘spoofing’ heet. Bij spoofing belt een crimineel zijn slachtoffer op via internet, vaak vanuit het buitenland. Via een heel eenvoudig verkrijgbaar online programma of een app schuift de crimineel het telefoonnummer van uw bank als het ware voor zijn eigen telefoonnummer, waardoor het nummer van uw bank in uw display verschijnt. Daardoor kan de crimineel zich voordoen als de cyber security consultant van uw bank. En uw rekeningnummers? Grote kans dat hij die heeft gekocht van een handelaar die handelt in bij datalekken buitgemaakte persoonsgegevens.
Spoofing is op zich een legale methode. Het wordt ook door grote bedrijven gebruikt. Om te voorkomen dat doorkiesnummers bekend worden schuiven zij het algemene telefoonnummer van het bedrijf voor het betreffende doorkiesnummer. Maar nu hebben criminelen spoofing dus ook ontdekt. Daarbij gaan zij steeds geraffineerder te werk. Zo combineren zij bijvoorbeeld spoofing met phishing. Ze sturen het slachtoffer dan eerst een phishingbericht met een link, gevolgd door een telefoontje met een vervalst telefoonnummer, om zo het phishingbericht geloofwaardiger te maken.
Slachtoffer van spoofing: wie betaalt de schade?
Als u het slachtoffer bent geworden van spoofing is de kans vrij groot dat u uw geld kwijt bent. Banken stellen zich namelijk op het standpunt u te waarschuwen voor de gevaren. Zo geven zij, op hun websites maar ook in andere uitingen, regelmatig aan dat zij u nooit via e-mail of telefonisch zullen vragen om geld over te maken. Het standpunt van de banken is vooralsnog dat zij menen dat, omdat u er zelf voor heeft gekozen om het geld over te maken, zij de schade in principe niet vergoeden.
De vraag is of zij dit standpunt kunnen blijven volhouden. Criminelen gaan tegenwoordig zo professioneel te werk, dat het de vraag is of van consumenten verwacht kan worden dat zij in de gaten hebben dat zij worden opgelicht. En of niet van de banken kan worden verwacht dat zij een actievere rol gaan innemen. Niet zelden gebruiken criminelen methodes die ook bij individuele bankmedewerkers nog niet bekend zijn. Is het dan rechtvaardig dat consumenten met grote schadeposten achterblijven?
Zoals ik in het blog over phishing al aangaf, stellen de Consumentenbond en het Kifid zich inmiddels op het standpunt dat banken verantwoordelijk zijn voor de veiligheid van hun betaaldiensten. Zij roepen banken dan ook op om nieuwe maatregelen te nemen om consumenten tegen online oplichtingspraktijken te beschermen én om hun klanten ruimhartiger te compenseren. Ook juridisch kan dit gevolgen hebben. Een rechter zou immers ook kunnen oordelen dat banken niet aan hun zorgplicht voldoen.
Banken hebben zich tot nu toe juist op het standpunt gesteld dat de toename in online fraude niet betekent dat de bank automatisch aansprakelijk is voor de schade. Zij vinden dat veilig (online) bankieren een gedeelde verantwoordelijkheid is van de bank én de consument. Toekomstige zaken zullen moeten uitwijzen of er een verschuiving in dit standpunt optreedt. Of dat instanties zoals het Kifid vaker in het voordeel van de consument zullen gaan beslissen.
Vragen?
Uiteraard geldt dat wij adviseren om alert te blijven op phishing en spoofing. Als u wordt gebeld door ‘uw bank’, vraag dan altijd met wie u spreekt en of u even kunt terugbellen. Als dat niet mogelijk is, weet u genoeg.
Ben u toch slachtoffer geworden van online oplichting en heeft u naar aanleiding van dit artikel vragen over de mogelijke aansprakelijkheid van uw bank? Neem dan gerust vrijblijvend contact met ons op. Dat kan door te bellen met 072 514 46 66. U kunt ook het contactformulier invullen, dan ontvangt u binnen 24 uur antwoord.