Het consumentenplatform van BNNVARA. Kassa is er weer op zaterdag 4 januari met de Belbusspecial!
ING gaat slachtoffers QR-fraude toch vergoeden
07-09-2019
•
leestijd 3 minuten
•
742 keer bekeken
•
Afgelopen maanden ontving ING een stroom aan klachten van klanten die de dupe waren geworden van fraude met een QR-code. In sommige gevallen konden oplichters via deze wijze duizenden euro’s buitmaken.
Gedupeerde klanten kregen van de bank in eerste instantie te horen dat zij de schade niet vergoed zouden krijgen en de bank ontkent dat er problemen zijn met hun eigen systeem waardoor deze fraude kan plaatsvinden. ING laat nu toch weten het systeem aan te gaan passen met extra veiligheidsstappen en alle schade van klanten met terugwerkende kracht te gaan vergoeden.
Hoe werkt het?
De fraude begint via Marktplaats, waar het slachtoffer iets te koop heeft staan. Een oplichter neemt vervolgens via WhatsApp contact op over het product dat te koop staat en geeft aan dit te willen kopen. Als de beide partijen een prijs overeen zijn gekomen, vraagt de oplichter om het rekeningnummer van het slachtoffer, zodat hij het geld kan overmaken en de koop rond is. Vervolgens krijgt slachtoffer het bericht van de oplichter dat hij het geld via een zakelijke rekening heeft overgemaakt en dat deze betaling alleen even via een QR-code geaccepteerd hoeft te worden. Hierna zou het geld direct op de rekening moeten staan.
Het slachtoffer krijgt dus een QR-code toegestuurd die hij of zij in de ING bankieren app moet scannen. Hierna denkt hij of zij met het scannen een betaling te ontvangen, maar in werkelijkheid krijgt de oplichter door middel van een koppeling toegang tot de rekening van het slachtoffer. Er wordt dus misbruik gemaakt van de door de ING geboden mogelijkheid voor het koppelen van een tweede toestel door middel van een QR-code.
Slachtoffers krijgen in eerste instantie geen vergoeding
Slachtoffers ontdekten pas dat de oplichter toegang had tot hun bankrekening als ze hun rekening bekeken en zagen dat er veel geld was verdwenen. Contact met ING leverden dan niet veel op; de bank bleef volhouden dat de klant zelf verantwoordelijk was voor de gemaakte koppeling en de bank de schade niet zou vergoeden. ING zegt nu te hebben gezien dat er de afgelopen maanden enkele honderden meldingen van klanten binnenkwamen die de dupe waren van fraude met de QR-code. Die klanten hebben niet het idee dat ze zelf nalatig zijn geweest, maar de bank wees de verzoeken tot schadevergoeding af.
Deskundige Internetveiligheid Rik van Duijn van KPN Security legt uit dat de QR-code die hier is gebruikt geen nepcode is, maar de officiële QR-code van de ING-app. Echter zit het oplichtingsproces zo in elkaar dat het slachtoffer zich niet van de koppeling bewust is. Rik bekijkt voor Kassa het koppelingssysteem met de QR-code van ING en vergelijkt deze met twee andere grote banken, namelijk ABN AMRO en Rabobank. Hij stelt hierbij dat er bij het systeem van ING minder stappen nodig zijn om een apparaat te koppelen, wat kwetsbaar zou kunnen zijn: "Dat betekent dat zo’n crimineel ook minder informatie uit een slachtoffer hoeft te onttrekken".
ING belooft aanvullende maatregelen te nemen
ING laat in Kassa weten dat zij toch aanvullende maatregelen gaat nemen ten behoeve van de veiligheid van de klant. ING-woordvoerder Eva Herscbach: "Wij vonden het proces veilig en heel duidelijk, maar dat blijkt nu toch niet zo te zijn, dus we passen het aan". Klanten worden met de aanpassingen in de nieuwe update gewaarschuwd dat met dit proces een ander toestel toegang krijgt tot de rekening en dus transacties kan doen vanaf die rekening op een andere telefoon. Ook krijgen mensen een melding te zien dat zij bij een QR-verzoek van een vreemde direct contact met de bank moeten opnemen. ING laat weten dat alle klanten die slachtoffer zijn geweest van QR-fraude met terugwerkende kracht de complete schade vergoed krijgen. Klanten krijgen hierover volgende week een brief van ING, stelt de bank.
Reactie
Meer uitleg van de bank over de QR-fraude en de nieuwe aanpassingen lees je
hier
.