Oplichting met papieren TAN-codes van ING
Ingrid Zuurmond Expert Geld & VerzekeringBijgewerkt op:15 januari 2018
Geld overboeken is tegenwoordig een fluitje van een cent via de mobiele telefoon of internet. Bij een overboeking via internetbankieren krijg je vaak per keer van de bank een code via een token of kaartlezer.
Bij ING kun je een overboeking sinds kort goedkeuren via de mobiel bankieren app, maar de meeste klanten gebruiken een zogeheten TAN-code voor de overboeking: een Transactie Autorisatie Code. Die code krijg je via een smsje op de telefoon of haal je van een papieren lijst.
De meeste ING-klanten ontvangen de code per sms, maar bijna 1 miljoen zoeken de 6-cijferige TAN-code op via een ouderwetse papieren lijst aan de hand van het 3-cijferig volgnummer dat bij de overboeking staat. Die cijfercombinatie is één keer te gebruiken. Volgens ING zijn beide kanalen even veilig, maar dat is niet helemaal waar.
Bedrag en rekening gewijzigd
De ‘papieren’ codes zijn - in tegenstelling tot de TAN-codes per sms - niet gekoppeld aan de overboeking. Zolang de opdracht nog niet is verstuurd kan iemand het bedrag nog honderden of duizenden euro’s ophogen, afhankelijk van het saldo en de betaallimiet (standaard €5000, op te hogen tot €50.000).
Ook kan het rekeningnummer van de ontvanger worden gewijzigd. Een kwaadwillende moet dan wel de besturing van je computer overnemen zodra de TAN-code is ingetoetst in de digitale bankomgeving. Banken vergoeden je schade in principe niet, omdat je zelf toegang geeft tot je computer en je codes voor inloggen en bevestigen van betaalopdrachten.
Bekijk hoe dit werkt in de video.
Let op!
Je kunt momenteel geen video's bekijken, omdat je hiervoor geen cookies hebt geaccepteerd. Wil je toch video's bekijken? Wijzig dan je cookie instellingen en accepteer de YouTube cookies
Bij een TAN-code per sms is er wél een koppeling met de betaalopdracht. Je krijgt een smsje met de TAN-code, het volgnummer en het bedrag zodat je dit kunt controleren met wat er op je scherm staat. Pas je de ontvanger of het bedrag aan, dan krijg je een nieuwe TAN-code per sms en kun je de oude niet meer gebruiken. Een stuk veiliger vinden wij.
Microsoft-oplichters
Dat dit allemaal kan gebeuren lijkt misschien onwerkelijk, maar dat valt tegen. Oplichters hebben allerlei trucjes om toegang te krijgen tot je computer en bankomgeving. De Fraudehelpdesk kreeg vorig jaar alleen al ruim 1400 meldingen van pogingen tot Microsoft-oplichting, waarbij sommige mensen honderden tot duizenden euro’s afhandig werd gemaakt.
Er is dan bijvoorbeeld zogenaamd een probleem met je computer dat op afstand kan worden opgelost. Via software als TeamViewer krijgt de nepmedewerker toegang tot je computer en vraagt je een klein bedrag over te maken voor de hulp. Doe je dat, dan neemt de medewerker je computer over en doet net of de overboeking niet lukt of hij hoogt het bedrag op en past het rekeningnummer aan.
Zo raakte een van de Consumentenbondleden en ‘papieren’ ING-bankklant €2000 kwijt. Het hoogste schadebedrag door Microsoft-oplichting dat bij de Fraudehelpdesk werd gemeld was €47.000, de totale schade was zo’n 2 ton.
Lees meer over tips bij telefonische phishing en nepmails.
ING
ING zegt in een reactie dat ze geen plannen heeft het papieren TAN-systeem te wijzigen. De bank geeft toe dat er geen controle is op het bedrag bij gebruik van een papieren TAN-lijst, maar voor de aansprakelijkheid van klanten maakt dit niets uit. 'Het gebruik van TAN-lijsten en SMS-TAN is allebei veilig, maar als klanten codes gaan delen en vreemden toegang geven tot de bankieromgeving, dan is geen enkel middel meer veilig’, aldus een ING-woordvoerder.
Opgelicht: en nu?
Wat kun je doen als je slachtoffer wordt van phishing of oplichting?
- Waarschuw direct de bank als je gegevens aan derden hebt verstrekt en laat je passen blokkeren. Wijzig belangrijke wachtwoorden (zoals van je computer en telefoon).
- Doe ook zo snel mogelijk aangifte bij de politie. Na signalen via de politie van oplichting kan de bank een klantrelatie beëindigen.
- Probeer je geld terug te krijgen via een Procedure Onverschuldigde Overboekingen (POB) bij de bank. Die procedure is er om je te helpen geld terug te krijgen als je onbedoeld geld hebt overgemaakt naar een verkeerde begunstigde, zoals bij fraude en oplichting. De bank benadert dan de rekeninghouder die het geld ontvangen heeft. Dit is overigens niet mogelijk bij frauduleuze overboekingen naar een buitenlandse rekening.
- Vergoedt de bank niet, dien dan een klacht in en stap desnoods naar het Kifid. Toon aan dat jij je aan de veiligheidsvoorschriften hebt gehouden en slachtoffer bent van gewiekste criminelen.
Voorkomen is natuurlijk beter dan genezen: geef dus nooit je inlogcodes of bankgegevens prijs, geef de besturing van je computer nooit uit handen en download niets op verzoek van iemand aan de telefoon. Stel ook een limiet in voor betalen, overboeken en geld opnemen via je bank.
Aanvullende reactie ING
'ING is het niet eens met de conclusie van de Consumentenbond. De conclusie is gebaseerd op een individueel geval waarbij een klant haar inloggegevens en TAN-code heeft gedeeld met een oplichter. Het gebruik van TAN-lijsten en SMS-TAN is allebei veilig. De veiligheid van online bankieren is zeer belangrijk voor ING en onze veiligheidsexperts houden continu de ontwikkelingen met betrekking tot veilig bankieren in de gaten. We drukken onze klanten dan ook op het hart om op een verantwoorde en veilige manier met hun inloggegevens en TAN-codes om te gaan en ze niet te delen met derden', aldus een ING-woordvoerder.