Een lek bij zeker tien Nederlandse banken maakte het mogelijk om een zogeheten phishing-website over de originele website te plaatsen. Een gebruiker heeft die aanval nauwelijks door.
Onderzoek legde vervolgens een zogenaamd cross site scripting probleem bloot. Via een simpele zoekactie kwamen vervolgens tien websites met hetzelfde probleem naar voren. De banken hebben het lek inmiddels gedicht.
Het ging om de sites van ABN AMRO, Rabobank, ING, Binck, Alex, ASN, Knab, SNS, Triodos en de Belgsiche site van Van Lanschot Bankiers. Met het lek is het mogelijk om in de browser opdrachten te geven en de werking van de website te beïnvloeden.
Lees verder via NU.nl.
Vraag: De banken hebben nieuwe regels voor internetbankieren opgesteld waar klanten aan moeten voldoen als ze in het geval van fraude hun geld terug willen krijgen. Zo mag er geen illegale software zijn geïnstalleerd, moet de computer up-to-date zijn en moet de rekening regelmatig worden gecontroleerd. Als ik het goed begrijp, dan ben ik aansprakelijk voor fraude als ik die regels overtreed. Mag dat zomaar?
Antwoord: Deze veiligheidsregels zijn door de banken opgesteld (in overleg met de Consumentenbond) maar ze kunnen natuurlijk de wet niet wijzigen. Hoofdregel bij fraude met betaalmiddelen is dat de bank het risico draagt (art. 7:529 BW). De bank heeft het beste overzicht op wat er gebeurt, zij kunnen beveiligingsmaatregelen invoeren en zij kunnen typische fraudezaken vaak volautomatisch detecteren. De bank mag de klant een eigen risico geven van €150 bij bij verlies en diefstal (tot het moment van melding) en bij ongeautoriseerd gebruik wanneer de klant de veiligheidsmaatregelen heeft verwaarloosd.
Lid 2 van art. 7:529 BW bepaalt dat bij fraude, opzet en grove nalatigheid van de klant deze zelf het risico moet dragen. Bij fraude en opzet is dat logisch: wie dat soort dingen doet, kan toch niet verwachten dat de gevolgen vergoed gaan worden. Maar bij “grove nalatigheid” is dat toch moeilijker. Wanneer is iemand nalatig? Wanneer is dat grof?
Veiligheidsvoorwaarden staan apart in de wet genoemd. Er staat expliciet dat je verplicht bent als klant deze voorwaarden op te volgen (art. 7:524 BW). Doe je dat niet, dan kan de rechter (art. 7:529 lid 3 BW) besluiten dat je een groter eigen risico draagt dan de normaal geldende 150 euro bij frauduleuze transacties. Hij kan ook besluiten dat het eigen risico toch gewoon geldt, of zelfs het eigen risico omlaag doen, afhankelijk van de aard van het misbruikte beveiligingsprobleem. Bij een zeer geavanceerde Trojan helpt zelfs de beste virusscanner niet, dus om dan te zeggen “u had géén enkele virusscanner en daarom bent u volledig zelf aansprakelijk voor het verlies” gaat wat ver. De bankvoorwaarden moeten natuurlijk wel redelijk zijn (art. 6:233 BW).
Lees verder via Security.NL.
