internetbankieren: bestolen

[dietrich]

Beste,

mijn ma werd bestolen via het internetbankieren. Ze is klant bijeen Belgische bank en is zogezegd het enige slachtoffer. We zijn naar het plaatselijk loket geweest omdat mijn ma zag dat er iets niet klopte met haar rekening. Daar met de directeur werd een case geopend. Ter plaatste werd geconstateerd dat er +/- 3500 EUR overgeschreven naar een rekening in Portugal. Maar ze kunnen dit zomaar niet rechtzetten zegt de bank. Mijn ma heeft die dag nochtans maar 1 overschrijving gedaan via pc banking en dan nog met een totaal ander bedrag.
Ikzelf heb al meermaals gebeld naar algemeen nummer van Fortis, en daar krijg ik altijd te horen dat dit in orde komt, maar vandaag kregen we van ons lokaal kantoor te horen dat in het dossier nu staat dat er waarschijnlijk niets zal worden teruggestort.
De bank probeert het allemaal in onze schoenen te schuiven (ze proberen het nu te steken op de virusscanner die z'n werk niet deed => een virus scanner kon toch onmogelijk iedere minuut up-to-date zijn? en dit kan toch NIET gezien worden als grove nalatigheid?? )

Wat moeten we hier verder mee doen? Hoe zit dit wettelijk in elkaar? Is het in Europa niet wettelijk verplicht bij het openen van een bankrekening al je gegevens mee te delen (zo kunnen ze toch weten om wie het gaat en van wie ze geld moeten terugvorderen)?

Ik zal hiervan ook best een PV laten maken bij de politie zeker? Want ik heb het gevoel dat de bank de kleine mens terug in de kou laat staan.

mvg Dietrich

[gebruiker]

Hoe is er een overschrijving door een derde kunnen gebeuren zonder dat er een bevestingscode ingegeven diende te worden via de Fortis digipass?

Je vermeldt dat er wel degelijk een (tweede) overschrijving gebeurde op dezelfde dag? Is er een merkelijk tijdverschil tussen beide overschrijvingen?

Ik zie deze overschrijving naar die derde rekening slechts mogelijk als die ingegeven stond en je moeder DAARNA zelf een overschrijving ingaf en de bevestigingscode genereerde voor haar overschrijving? Ik dacht dat je voor een overschrijving buiten België een apparte dergelijke bevestigingscode dient te generen via een digipass, dus je moeder heeft allicht tweemaal een code dienen in te geven? Dit lijkt mij belangrijk omdat dan de overschrijving naar Portugal technisch wel degelijk geschiedde met haar akkoord.

[Vandebos]

hmmm, nog niet gehoord van de reeks recente hacks van alle ebanking systemen in België??

[gebruiker]

hmmm, nog niet gehoord van de reeks recente hacks van alle ebanking systemen in België??

Vandaar mijn beide eerste vragen.

Als er géén identieke tijd geldt voor beide overschrijvingen dan zou één overschrijving (kunnen) gebeurd zijn zonder de vereiste ingave van de code gegenereerd door de digipass, maw het fortis systeem is onveilig en hun bankrekeningen zijn toegankelijk via dergelijk hacking.

Ik werk zelf met 6 banken (spreiding van risico wordt dat genoemd?) en alle werken met een vorm van ingave van een code, door een toestel door hen afgeleverd gegenereerd.

Ofwel is er een bevestiging gegeven door de houder van de bankrekening, ofwel is rechtstreekse hacking van het online banksysteem zélf mogelijk. Het is dan ook interessant te weten wat er in dit geval gebeurde: zélf een digipasscode gegenereerd én ingegeven of rechtstreekse inbraak in hun online banksysteem.

Het verschil in tijd tussen verwerking van beide overschrijvingen zou hier duidelijkheid kunnen verstrekken.

[dietrich]

Hoe is er een overschrijving door een derde kunnen gebeuren zonder dat er een bevestingscode ingegeven diende te worden via de Fortis digipass?

Je vermeldt dat er wel degelijk een (tweede) overschrijving gebeurde op dezelfde dag? Is er een merkelijk tijdverschil tussen beide overschrijvingen?

Ik zie deze overschrijving naar die derde rekening slechts mogelijk als die ingegeven stond en je moeder DAARNA zelf een overschrijving ingaf en de bevestigingscode genereerde voor haar overschrijving? Ik dacht dat je voor een overschrijving buiten België een apparte dergelijke bevestigingscode dient te generen via een digipass, dus je moeder heeft allicht tweemaal een code dienen in te geven? Dit lijkt mij belangrijk omdat dan de overschrijving naar Portugal technisch wel degelijk geschiedde met haar akkoord.

Deze morgen heb ik nog de ombudsman van BNP aan de telefoon gehad, en deze wist me te zeggen dat er een onderzoek gaande was. Uit zijn verhaal te verstaan was mijn ma bijna het enige slachtoffer bij BNP Paribas Fortis. Daarna heb ik nogmaals naar ons kantoor gebeld of zij als nieuws hadden en op hun beurt hebben zei ook nog eens gebeld naar diezelfde ombudsman, en wist hij tegen hen te zeggen dat ze nu alle dossiers samenvoegen van de gedupeerde klanten. Dus plots zijn er toch veel meer. Nuja, dat ze maar vlug verder zoeken en het geld teruggeven aan de klanten.

Om op uw vraag te antwoorden:

Ik had via ons kantoor reeds een gedetailleerd historiek van de verrichtingen verkregen (chronologisch) en zag dus dat die malafide overschrijving uitgevoerd was vóór de overschrijving die mijn ma die dag heeft gedaan. Maar het exacte tijdstip stond er niet op. Daarom heb ik deze voormiddag nog naar de helpdesk gebeld van het online bankieren bij BNP, en daar wisten ze me te zeggen dat die buitenlandse overschrijving is gebeurd om 9h, en de binnenlandse (die mijn ma zelf ingaf) om 9h20. Opgelet, die ene overschrijving was naar een persoon die in mijn ma haar gekende lijst stond, en het was een binnenlandse overschrijving, dus heeft ze daarvoor niet moeten digitaal ondertekenen.
Ze heeft maar 1 keer haar "bankier-toestelletje" moeten gebruiken, en dit was om aan te melden. Om hoe laat? Om 9h.
Dus het geld werd overgeschreven op het moment mijn ma aanmeldde op de site van BNP Paribas Fortis.

[gebruiker]

Dat ingeven van een overschrijving via Fortis zonder bevestiging kan ik bevestigen, dit blijkt wel maar mogelijk te zijn bij een redelijk laag overschrijvingsbedrag.

Voor die Portugese overschrijving was wel degelijk een digipascode nodig ter bevestiging.

Het zou mogelijk zijn dat de computer waar er mee ingelogd werd bij Fortis van op afstand gebruikt kan worden, dus hier toch een scanning uitvoeren (best met een online scanningsysteem).

Er waren minstens TWEE ingaves nodig van een Digipascode om de Portugese verrichting uit te voeren: éénmaal om in te loggen en éénmaal om de overschijving te bevestigen.

Ik weet niet of ze dit bij Fortis bijhouden (ze zouden dit alleszins moeten doen) maar ik zou de vraag stellen hoeveel keer een digipascode in hun systeem ingegeven werd de betrokken voormiddag tot 9h30. Maw dat ze het bewijs leveren dat er wel degelijk een bevestigingscode gegeven werd voor de Portugese overschrijving.

[gebruiker]

Ondertussen heb ik zelf een overschrijving uitgevoerd via Fortis.

Daaruit blijken 2 elementen:

1. Als iemand anders toegang had bij Fortis (online via een virus) tot die computer en een overschrijving ingaf dan had die enkel in een omslag kunnen geplaatst worden.
2. je moeder diende die omslag te openen en de overschrijving aan te vinken die ze wou uitvoeren EN daarna diende ze een bevestigingscode in te voeren.

Belangrijk element bij 2. is dat een derde, indien deze via een virus de toetsaanslagen van je moeder kon binnenkrijgen (en de ingevoerde Digipascode bij haar inloggen kreeg) deze NIET kon gebruiken als bevestiging voor de overschrijving (omdat bij Fortis je bij bevestiging van een overschrijving in hun digipas zelfs het ganse bedrag dient in te geven alsmede een bijkomende code die het Fortis online bankingsysteem je geeft).

In principe is het onmogelijk dat een derde, zonder het betrokken digipass toestel, een overschrijving kan bevestigen, zelfs niet kan inloggen. Wel te verstaan dat zelfs al was er online toegang tot haar computer vanwege een derde dan had die nooit een overschrijving kunnen bevestigen met de gepaste Digipascode (bij gebreke aan het digipasstoestelletje zelf).

[dietrich]

Dat ingeven van een overschrijving via Fortis zonder bevestiging kan ik bevestigen, dit blijkt wel maar mogelijk te zijn bij een redelijk laag overschrijvingsbedrag.

Voor die Portugese overschrijving was wel degelijk een digipascode nodig ter bevestiging.

Het zou mogelijk zijn dat de computer waar er mee ingelogd werd bij Fortis van op afstand gebruikt kan worden, dus hier toch een scanning uitvoeren (best met een online scanningsysteem).

Er waren minstens TWEE ingaves nodig van een Digipascode om de Portugese verrichting uit te voeren: éénmaal om in te loggen en éénmaal om de overschijving te bevestigen.

Ik weet niet of ze dit bij Fortis bijhouden (ze zouden dit alleszins moeten doen) maar ik zou de vraag stellen hoeveel keer een digipascode in hun systeem ingegeven werd de betrokken voormiddag tot 9h30. Maw dat ze het bewijs leveren dat er wel degelijk een bevestigingscode gegeven werd voor de Portugese overschrijving.

Er ging mij vandaag iemand opbellen die meer op de hoogte was van de technische kant, maar nog steeds niemand gehoord. ik ging inderdaad ook nog vragen naar meer details omtrent het aanmelden, ingave / verwerking overschrijving en welke codes zij allemaal hebben ontvangen.

Bedoeld u met scanning, scannen naar virussen, malware, of scannen op IP adres die zou kunnen in oploop zijn?

De bank heeft op het moment dat de klacht werd ingediend, onmiddellijk het pc-banking contract stopgezet. Indien mijn ma terug wil online bankieren, moest ze de pc eerst volledig laten formateren en daarna aantonen dat de pc terug veilig is voor pc banking. De laptop is ondertussen al voorzien van een nieuwe harde schijf. Maar Ben nu nog op zoek naar een "degelijke virusscanner" zoals ze het beschrijven op hun site https://www.bnpparibasfortis.be/pics/BE ... t_type=sta
Met "degelijk" willen ze zeggen "betalen", om ook dat alweer in de schuld van de klant te kunnen schuiven. Vooral er een degelijke virusscan is, moet er al een virus zijn en dan moet die fabrikant al terug op de hoogte zijn dat er bij die klant een nieuw virus zit, en dan pas een update maken, en de klant zijn scanner updaten, maar ondertussen is het geld al weg.
Dus welk antivirus is degelijk genoeg, dat zet de bank er niet bij hé.

[Vandebos]

zie pb voor degelijke av programma's

[gebruiker]

Er ging mij vandaag iemand opbellen die meer op de hoogte was van de technische kant, maar nog steeds niemand gehoord. ik ging inderdaad ook nog vragen naar meer details omtrent het aanmelden, ingave / verwerking overschrijving en welke codes zij allemaal hebben ontvangen.

Bedoeld u met scanning, scannen naar virussen, malware, of scannen op IP adres die zou kunnen in oploop zijn?

De bank heeft op het moment dat de klacht werd ingediend, onmiddellijk het pc-banking contract stopgezet. Indien mijn ma terug wil online bankieren, moest ze de pc eerst volledig laten formateren en daarna aantonen dat de pc terug veilig is voor pc banking. De laptop is ondertussen al voorzien van een nieuwe harde schijf. Maar Ben nu nog op zoek naar een "degelijke virusscanner" zoals ze het beschrijven op hun site https://www.bnpparibasfortis.be/pics/BE ... t_type=sta
Met "degelijk" willen ze zeggen "betalen", om ook dat alweer in de schuld van de klant te kunnen schuiven. Vooral er een degelijke virusscan is, moet er al een virus zijn en dan moet die fabrikant al terug op de hoogte zijn dat er bij die klant een nieuw virus zit, en dan pas een update maken, en de klant zijn scanner updaten, maar ondertussen is het geld al weg.
Dus welk antivirus is degelijk genoeg, dat zet de bank er niet bij hé.

Scannen op malware, een computer kan geïnfecteerd worden met programma's die derden van op afstand kunnen toegang geven, alsmede toetsaanslagen op die geinfecteerde computer kunnen opvangen en doorsturen.

Je hebt op een computer waarmee een connectie gemaakt wordt met het internet, een virusscanner nodig én daarbovenop een firewall.

Er bestaan online scanningsprogramma's die gratis zijn (om nu onmiddellijk een controle uit te voeren naar mogelijke infectie van die computer). Het is spijtig dat de harde schijf reeds vervangen is want nu is die controle niet meer mogelijk?

Start allereerst met de volgende : http://www.pandasecurity.com/homeusers/ ... ctivescan/" onclick="window.open(this.href);return false;

Daarna kan je de volgende tijdelijk gratis installeren en ermee scannen (het is belangrijk van allereerst een scanning te laten uitvoeren online omdat sommige virussen beletten dat een anti-virus en anti-malware geïnstalleerd wordt.

Ik kan je dergelijke tijdelijk te gebruiken scanner aanbevelen : http://www.kaspersky.com/virusscanner" onclick="window.open(this.href);return false;

Er zijn er nog maar alle online scanners gebruiken de virusdatabase van dat Kaspersky, dus beter bij de bron?


Wat een firewall betreft, als je deze als gratis versie zou zoeken (en geen antivirus + firewall samen betalend zou verkiezen) dan kan je een dergelijke vinden;

http://www.zonealarm.com/security/en-us ... rewall.htm" onclick="window.open(this.href);return false;

[dietrich]

Ik heb op de oude harde schijf de controle gedaan naar virussen, heb daarvoor de allerlaatste boot cd van Avira gedownload, en heb de trojan EyeStye gevonden. We konden maar beter opnieuw een propere start nemen met een lege harde schijf, zodat de bank ook daarover al weer geen commentaar weet. Want ik heb het gevoel dat ze het probleem blij de klant proberen te plaatsen.

Alvast bedankt voor AV en Firewaal tips.

Ik hoop dat de bank snel verder doet met het onderzoek, en correct handelt naar de klant toe.

[Lightning]

Ik heb op de oude harde schijf de controle gedaan naar virussen, heb daarvoor de allerlaatste boot cd van Avira gedownload, en heb de trojan EyeStye gevonden. We konden maar beter opnieuw een propere start nemen met een lege harde schijf, zodat de bank ook daarover al weer geen commentaar weet. Want ik heb het gevoel dat ze het probleem blij de klant proberen te plaatsen.

Alvast bedankt voor AV en Firewaal tips.

Ik hoop dat de bank snel verder doet met het onderzoek, en correct handelt naar de klant toe.

Als die overschrijving is kunnen gebeuren via die trojan, ligt de verantwoordelijkheid wel degelijk bij de klant. Die is in de eerste plaats verantwoordelijk voor zijn eigen beveiliging.

[dietrich]

Ik heb op de oude harde schijf de controle gedaan naar virussen, heb daarvoor de allerlaatste boot cd van Avira gedownload, en heb de trojan EyeStye gevonden. We konden maar beter opnieuw een propere start nemen met een lege harde schijf, zodat de bank ook daarover al weer geen commentaar weet. Want ik heb het gevoel dat ze het probleem blij de klant proberen te plaatsen.

Alvast bedankt voor AV en Firewaal tips.

Ik hoop dat de bank snel verder doet met het onderzoek, en correct handelt naar de klant toe.

Als die overschrijving is kunnen gebeuren via die trojan, ligt de verantwoordelijkheid wel degelijk bij de klant. Die is in de eerste plaats verantwoordelijk voor zijn eigen beveiliging.

ik begrijp dat de fout i.v.m. met pcbanking altijd bij de klant zal liggen als deze zijn computer geïnfecteerd is. De pc waarop het gebeurt is, was trouwens ook voorzien van een virusscanner, maar blijkbaar was het virus sneller dan de update. Wat logisch kan zijn, niet? Eerst is er het virus, dan pas de update. Maar hoeveel mensen die online bankieren weten bijvoorbeeld dat AVG niet degelijk is. In heel veel computerwinkels wordt een nieuwe pc verkocht met een gratis versie van AVG op, dit is gewoon zo. De mensen worden aangespoord om een pc en internet te hebben. Daarna zijn de banken aan de beurt en krijgen mensen op online banking. Maar wordt daar gevraagd welke virusscanner op hun pc staat? Wordt daar gevraagd wat hun computerkennis is? Wordt daar gevraagd of ze ieder uur controleren of hun besturingssysteem reeds de laatste updates heeft binnen gehaald? Hoeveel procent van de mensen die een internetconnectie hebben zijn zich bewust van de gevaren op het internet?

[gebruiker]

Wat hier belangrijk is dat is wat er juist gebeurde.

Malware, een trojan of een virus kan geen Digipasscode genereren! En deze code is nodig om de uitvoering van de overschrijving te bevestigen!

Ofwel werd een dergelijke code ingegeven door je moeder (via het gebruik van haar digipass toestel) ofwel bestaat er een mogelijkheid dat derden het Fortis online banking systeem kunnen misbruiken (lees: hacken). Het is zo simpel.

En met enkel de digipasscode die gegenereert wordt om in te loggen daar kan je niet mee een overschrijving bevestigen!

Malware op een PC kan dus onmogelijk zorgen voor het uitvoeren van die overschrijving bij BNP Fortis!

[Lightning]

Malware op een PC kan dus onmogelijk zorgen voor het uitvoeren van die overschrijving bij BNP Fortis!

Voor zo'n uitspraken zou ik mijn hand niet in het vuur durven steken.