29 februari 2020

Stel bedrijven aansprakelijk voor gevolgen phishing bij ontbreken van ‘Mijn Omgeving’.

U leest het goed. Bankieren over sociale media. Dat klinkt inderdaad wel heel riskant. Maar in feite is dat precies wat er tegenwoordig steeds vaker gebeurt. Hiervan is sprake als consumenten reageren en handelen op betaallinks die ze toegezonden krijgen over sociale media. De maatschappelijke trend is dat er steeds meer van dergelijke betaallinks worden verstuurd over sociale media.

Dit artikel probeert een verklaring te vinden waarom consumenten, ondanks alle voorlichting, slachtoffer blijven worden van phishing-scams en ransom-pogingen. De auteur, Art Huiskes, heeft in een eerder artikel (zie link) aangetoond dat de bestrijding van deze vorm van internetcriminaliteit alleen kans van slagen heeft als organisaties en bedrijven collectief besluiten om te stoppen met het versturen van risicovolle betaallinks over sociale media.

Betaallinks verstuurd over sociale media vormen een ernstig onderschat maatschappelijk risico. Als ultiem drukmiddel om dit tij te keren, suggereert de auteur het volgende. Stel organisaties en bedrijven die ondanks alles betaallinks blijven versturen over sociale media, maar geen alternatief bieden via hun ‘Mijn Omgeving’, juridisch aansprakelijk voor concreet geleden betalingsmisbruik.

 

Malafide betaallinks betrokken bij een groot aantal phishing-scams.

Natuurlijk bestaat er een breder spectrum aan misleidende links dan alleen maar malafide betaallinks. Valse links om in te loggen op online accounts van met name sociale media zijn bijvoorbeeld ook bijzonder in trek. Ten behoeve van het onderscheid beschouwen we die als ‘indirecte’ vorm van phishing. Zulke indirecte vormen van phishing kunnen weliswaar leiden tot misbruik van accounts, maar meestal pas in latere instantie tot financieel misbruik. Als ransom-poging voldoen dergelijke malafide links om in te loggen op online accounts natuurlijk wel direkt.

Over het onderscheid tussen indirecte en directe vormen van phishing zijn maar weinig betrouwbare gegevens voorhanden. Aangenomen mag echter worden dat malafide betaallinks een stuk attractiever blijken voor criminelen dan malafide links om in te loggen op online accounts. Door deze gevolgtrekking door te trekken (follow the money) mag worden aangenomen dat malafide betaallinks nu of in de toekomst betrokken zullen zijn bij een substantieel aantal phishing-scams.

 

Aangeboren vertrouwen en falen van intuïtie.

De oorzaak van veel voorkomend slachtofferschap op het internet ligt verborgen in dieper liggende psychologische aspecten. In psychologisch opzicht is het hoofdzakelijk ons aangeboren vertrouwen in anderen dat ons eenvoudig de das kan omdoen op het internet. Binnen deze virtuele wereld heeft onze eveneens aangeboren intuïtie het namelijk een stuk moeilijker dan binnen een reële omgeving. Deze twee aspecten tezamen leiden tot een bepaalde psychologische vooringenomenheid om malafide betaallinks (hetzij links om in te loggen) maar al te gemakkelijk als legitiem te beschouwen. Zulke psychologische vooringenomenheid (i.c. vertrouwen) vormt dus ontegenzeggelijk een belangrijke oorzaak voor onze problemen met phishing-scams en ransom-pogingen.

 

Het grootste risico van betaallinks bestaat uit de mogelijkheid ze gedachteloos af te handelen.

Een veel wezenlijker deel van de onveiligheid van betaallinks over sociale media ligt echter in het feit dat consumenten hiermee min of meer gedachteloos kunnen betalen. De in essentie één-kliks-afhandeling schakelt ons gezond verstand al bij voorbaat uit. Dát, in combinatie met het gemak waarmee dergelijke malafide berichten tegenwoordig in grote aantallen kunnen worden verstuurd, maakt dat deze vorm van criminaliteit bloeit als nooit tevoren. Nog nooit eerder in onze geschiedenis was het zo eenvoudig om iemand op te lichten. Anoniem, grootschalig en daardoor statistisch trefzeker.

 

De persoonlijke consequenties van malafide betaallinks kunnen enorm zijn.

Hierboven hebben we vastgesteld dat het grootste gevaar van een betaallink over email, sms of app uitgaat van het feit dat deze min of meer gedachteloos kan worden afgehandeld. Het is precies deze gedachteloosheid waar internetcriminelen misbruik van maken. Hier bovenop heeft een malafide betaallink ook nog eens de potentie om zgn. niet-toegestane betalingen mogelijk te maken (i.c. plundering van uw rekening). Bij elkaar opgeteld, kan slechts één moment van gedachteloos handelen enorme persoonlijke gevolgen hebben. Dit vormt het ernstige risico dat betaallinks over sociale media vertegenwoordigen. Of anders geformuleerd, het ernstige risico dat bankieren over sociale media inhoudt. En zeg nou zelf, zou u willens en wetens bankieren over sociale media?

 

‘Mijn Omgeving’ vormt het beste alternatief voor het versturen van betaalverzoeken.

Er bestaat niettemin een prima alternatief voor het versturen van betaalverzoeken in de vorm van de ‘Mijn Omgeving’. Deze ‘Mijn Omgeving’ vormt een uitstekend alternatief om betaalverzoeken, zoals bijv. iDEAL-betalingen, klaar te zetten. Een aankondigingsmailtje (zonder link uiteraard) en klaar! In deze persoonlijke omgeving op de website van uw aanbieder kunt u met uw eigen gebruikersnaam en wachtwoord inloggen.

Een korte bekende URL gecombineerd met uw eigen inloggegevens, eventueel met tweestaps-verificatie, garandeert de authenticiteit van de gereed staande betaalverzoeken. Organisaties en bedrijven die deze persoonlijke omgeving exclusief gebruiken om u betaalverzoeken toe te sturen, bewijzen hun klanten daarmee een dienst. Immers elke schijnbare email, sms of app van dit bedrijf met een concrete betaallink kunt u direkt naar de prullenbak verwijzen als zijnde een phishing-scam of ransom-poging.

 

Ook een malafide ‘Mijn Omgeving’ activeert het gezond verstand vanwege actief handelen.

Dus een bonafide ‘Mijn Omgeving’ loodst u een inherent veilige digitale omgeving binnen. Natuurlijk valt te verwachten dat als malafide betaallinks criminelen minder geld opleveren, ze zullen proberen mensen te verleiden in te loggen op een valse ‘Mijn Omgeving’. Hoe dan ook, het is beter om nooit rechtstreeks op welke link dan ook te klikken in relatie tot een betaalverzoek! Echter elke ‘Mijn Omgeving’ vergt op zijn minst enig actief handelen (een URL kiezen/checken, een gebruikersnaam invullen, een wachtwoord invullen) van de zijde van de consument. Het is juist dergelijk actief handelen dat bij de doorsnee consument ‘het gezond verstand’ activeert.

Dit houdt in dat als iemand enige tijd wordt gegund om te handelen op een toegezonden betaalverzoek, diegene gedurende die tijd actief kan overwegen om toch maar niet in te loggen op een verdachte ‘Mijn Omgeving’. Het vereiste actief handelen van de zijde van de consument schept dus per definitie betere voorwaarden om betalingsfraude te voorkomen dan een betaallink, die volstrekt gedachteloos kan worden afgehandeld.

 

Stel bedrijven aansprakelijk voor gevolgen phishing bij ontbreken van ‘Mijn Omgeving’.

Tenslotte valt er zeker iets voor te zeggen om een organisatie of een bedrijf zonder ‘Mijn Omgeving’ juridisch aansprakelijk te stellen na concreet geleden betalingsmisbruik. Om preciezer te zijn na betalingsmisbruik als gevolg van een malafide betaallink schijnbaar ‘namens’ de organisatie of het bedrijf in kwestie. Het niet beschikken over een ‘Mijn Omgeving’ om betaalverzoeken in af te kunnen handelen, maakt het voor consumenten namelijk erg lastig om bonafide betaalberichten van malafide betaalberichten te kunnen onderscheiden. De organisatie of het bedrijf in kwestie is wat mij betreft in dergelijke gevallen aan te klagen op grond van het schenden van hun noodzakelijke zorgplicht jegens hun klanten.

 

Bron:  Art Huiskes  (onderzoeksjournalist)