Ma/Do 9 – 17, Vr 9 – 16
02 643 12 11
02 643 12 11
Ma/Do 9 – 17, Vr 9 – 16
Ma/Do 9 – 17, Vr 9 – 16
To be phished or not to be phished?
14/12/2023
Tegenwoordig gebeurt alles digitaal: we shoppen online, doen online betalingen, sturen e-mails, enzovoort. Ons leven verplaatst zich als het ware naar de digitale platformen. En jammer genoeg gaat de criminaliteit ook mee met zijn tijd. Hierbij blijkt phishing de snelst groeiende vorm van cybercriminaliteit in de wereld te zijn. Je kent het wel: cybercriminelen die valse berichten uitsturen om bankgegevens te ontfutselen en met die gegevens geld van je rekening proberen halen.
Je hoeft maar verstrooid te zijn en per ongeluk op die ene klik teveel geduwd hebben. Eén klik die tot grote gevolgen kan leiden. De krantenkoppen liegen er niet om: de gestolen bedragen kunnen enorm hoog oplopen. Heb je echt pech, dan ben je al de spaarcenten waar je jarenlang voor gewerkt hebt gewoon kwijt.
Daarnaast blijft het aantal slachtoffers van phishing nog altijd jaarlijks toenemen. Zo blijkt volgens Test Aankoop dat 4 op 5 belgen ooit al eens in aanraking kwam met phishing. Verontrustende cijfers als je het ons vraagt. Maar welke (juridische) stappen kan je ondernemen als je slachtoffer wordt? En wie is er verantwoordelijk voor het gestolen geld?
Voor welke vormen van phishing moeten we uit onze doppen kijken?
Meestal gebruiken cybercriminelen de naam van iemand anders om persoonlijke gegevens, zoals bankkaartnummers, pincodes of wachtwoorden via sms, mail of telefoon te verkrijgen.
Het kan bijvoorbeeld zijn dat de naam van een groot bedrijf, zoals Bpost, Telenet of Fluvius, gebruikt wordt om bankgegevens te ontfutselen. Zo gaan er bijvoorbeeld valse e-mails rond met in de hoofding 'Mislukte incasso'. Cybercriminelen vragen hier, wegens “een mislukte incasso” je rekening opnieuw te koppelen via een website. Doe je dit niet binnen de 48 uur, dan krijg je – volgens de instructies van de mail - een boete van € 5. De website waarnaar wordt verwezen is echter een valse webpagina om bankgegevens in te zamelen en zo geld van je rekening te kunnen halen.
Een tweede vorm van phishing is het gebruik van e-mails of sms’en in naam van overheidsinstellingen, Zoals Mypension, My e-box of itsme, door cybercriminelen om aan bankgegevens te geraken. Hierbij krijg je bijvoorbeeld een sms of e-mail waarin staat dat je een mail ontvangen hebt in je app en je deze kan lezen door via een bepaalde link naar de app te gaan. Die link stuurt je dan door naar een website waarbij je, aan de hand van je bankgegevens, je identiteit moet bevestigen om je app te openen. Een website die jammer genoeg ook vals is en louter gebruikt wordt om je bankgegevens te verzamelen en je rekening te plunderen.
Tot slot kunnen valse berichten ook afkomstig lijken van banken. Kluisrekeningfraude is hier een recent voorbeeld van. Oplichters benaderen je meestal in twee stappen. Eerst sturen ze je een phishingbericht om je persoonlijke bankcodes te ontfutselen. Zo proberen ze toegang te krijgen tot je rekeningen. Daarna bellen ze je op. Ze doen zich dan voor als een medewerker van je bank, leggen uit dat er verdachte transacties op jouw rekening zijn verricht en stellen dan voor om geld over te schrijven naar een zogezegd nieuwe, veilige rekening. Ze zullen alles doen om je vertrouwen te winnen en twijfelen daarbij niet om te verwijzen naar eerder uitgevoerde transacties om hun geloofwaardigheid te vergroten.
Hoe kan je phishing herkennen en voorkomen dat je slachtoffer wordt?
Verifieer altijd de afzender en de links van een mail
Om te beginnen is het belangrijk om goed na te gaan van wie is de mail afkomstig is. Heeft de afzender van de mail een vreemd e-mailadres? Dan mag die eigenlijk meteen al naar de prullenmand. Zo weet je dat de domeinnaam van Telenet zal altijd eindigen op ‘telenet.be’ en dat mails afkomstig van ‘info@detelenetgroupprovider.be’ een grote kans maken om fake te zijn.
Als er een link in de e-mail staat, kan je deze ook makkelijk verifiëren zonder erop te klikken door met je muis over de link te zweven. Kijk hierbij goed na of de link er niet verdacht uitziet door bijvoorbeeld een ‘O’ die in de link staat en eigenlijk een ‘o’ zou moeten zijn. Klik dus nooit op links die niet naar de officiële site van een vertrouwd bedrijf gaan.
Ga altijd via de (bank- of overheids)app of website zelf (en nooit via een link)
Ontvang je een bericht van ‘je bank’ of ‘een overheidsinstelling’ (bv. Itsme) met daarin een link om je codes door te geven of je account te heractiveren? Dan moet er een lampje gaan branden, want zowel banken als overheidsinstellingen zullen je NOOIT een bericht sturen met een link met de vraag om bepaalde acties te ondernemen en je bankgegevens in te vullen. Niet via mail, niet via sms, niet via messenger, en ga zo maar door. Het is dus echt belangrijk om nooit op een link te klikken en altijd actie te ondernemen via de (bank- of itsme)app zelf of door zélf het adres van de (bank)website in je browser te typen.
Beveilig je accounts
Het is belangrijk je bestaande accounts zo goed mogelijk te beveiligen. Zo kan je in My eBox je e-mailnotificaties personaliseren door een persoonlijke afbeelding (een kleur en icoon) te kiezen. Deze persoonlijke afbeelding zal steeds opgenomen worden in alle e-mailmeldingen van My ebox, evenals in het portaal. Op die manier kan je makkelijk onderscheid maken tussen e-mailnotificaties van My eBox en frauduleuze e-mails. Want alleen echte mails en notificaties zullen namelijk jouw persoonlijke afbeelding bevatten.
Welke stappen moet je ondernemen als je toch slachtoffer bent geworden van phishing?
Als je slachtoffer bent geworden van zo’n aanval kan je verschillende stappen ondernemen:
1) Breng je bank zo snel mogelijk op de hoogte van de onrechtmatige transacties en laat je rekeningen blokkeren (card stop).
2) Doe aangifte bij de politie. Het kan van belang, zeker als er meerdere slachtoffers zijn, om aangifte te doen bij de politie. Op die manier zal er verder onderzoek gedaan worden.
3) Stuur je verdachte berichten door naar
4) Verzamel alle gegevens in een dossier om de feiten en geleden schade te bewijzen.
Wie is er aansprakelijk voor het verloren geld?
In de meeste gevallen is het jammer genoeg een onmogelijke zaak om het geld te gaan recupereren bij de cybercriminelen die je rekening leeggemaakt hebben.
Gelukkig heeft de wetgever een oplossing voorzien: in 2018 is er een wetswijziging doorgevoerd waardoor de banken principieel aansprakelijk zijn voor de schade in geval van phishing. Aangezien het aan de bank is om structuren op te zetten waardoor betalingstransacties op een veilige manier kunnen plaatsvinden, moet de bank dan ook in de eerste plaats ter verantwoording worden geroepen.
Op basis van artikel 44 van het Wetboek economisch recht zou men in principe als slachtoffer van phishing de bank kunnen aanspreken: << Artikel VII. 44 WER biedt bescherming in geval van niet-toegestane betalingstransacties met een betaalinstrument. >> Aangezien phishing als een niet-toegestane betalingstransactie wordt beschouwd, is dit artikel ook van toepassing.
Het is van groot belang om je bank tijdig op de hoogte te brengen van deze phishing. Meestal merk je pas achteraf op dat je bent opgelicht en slachtoffer werd van phishing doordat er onverwachts geld van je rekening gehaald werd.
Voor transacties die uitgevoerd zijn vóór de kennisgeving aan de bank is de klant zelf aansprakelijk, maar is deze aansprakelijkheid is beperkt tot een bedrag van 50 euro, wat dus wil zeggen dat de bank alles moet terugbetalen behalve 50 euro. (art. VII.44, §1, lid 1 WER). Er is geen eigen aansprakelijkheid van 50 EUR indien je je bank in kennis hebt gesteld van de phishing voordat er geld van je rekening werd gehaald.
Maar, en dat is heel belangrijk: de klant is wel onbeperkt aansprakelijk indien hij frauduleus, opzettelijk of met grove nalatigheid heeft gehandeld. (art. VII. 44, §1, lid 4 WER). Daar knelt vaak het schoentje. Het is namelijk zo dat grove nalatigheid niet gedefinieerd is door de wetgever en er dus ruimte voor interpretatie is bij de banken over wat nu juist grove nalatigheid inhoudt. De rechtbanken en hoven vullen dit criterium van grove nalatigheid bijgevolg ook zelf in. De rechtbanken nemen voor het criterium 'grove nalatigheid' als maatstaf: "de veronderstelde gedragswijze van een normaal zorgvuldig en omzichtig betaler, geplaatst in dezelfde concrete externe omstandigheden, waarbij geen rekening mag worden gehouden met kenmerken eigen aan de betaler, zoals i.e. de leeftijd." Met andere woorden zal er dus steeds per geval moeten worden beoordeeld of iets als grove nalatigheid wordt beschouwd of niet.
Enkele voorbeelden van grove nalatigheid zijn:
- Het aan de telefoon doorgeven van je pincode of response code voor online bankieren aan vreemden.
- Het noteren van je pincode op je bankkaart.
- Het onbewaakt achterlaten van je kaart of gegevens in een ruimte die voor derden toegankelijk is (bv. ziekenhuiskamer)
- Opmerken dat iemand met je meekijkt als je geld afhaalt aan een automaat en toch je code ingeven
Het is in ieder geval erg belangrijk dat je zoveel mogelijk bewijs van de feiten bewaart en alle gegevens van de oplichters (telefoonnummers, namen, websiteadres,...) noteert zodat je kan aantonen dat iedereen het slachtoffer had kunnen worden van de oplichting.
Wat als je bank weigert om het verloren geld terug te betalen?
Heb je volgens jou helemaal niet frauduleus, opzettelijk of met grove nalatigheid gehandeld en weigert je bank toch om tussen te komen? Dan kan je beslissen om je bank in gebreke te stellen. Dit betekent dat je een schriftelijke mededeling opstuurt naar je bank waarin je aangeeft dat deze tekortschiet in de nakoming van een afspraak. Hier laat je dus weten wat er van de bank (alsnog) wordt verwacht en geef je eigenlijk een laatste kans om alsnog de afspraken na te komen voordat je andere stappen onderneemt. Wanneer dat niet gebeurt, ontstaat er een verzuim, een belangrijke voorwaarde voor verdere stappen. Als je een rechtsbijstandverzekering hebt, kan je deze zorgen overlaten aan juridische specialisten die zich niet enkel bezighouden met het opstellen en verzenden van de ingebrekestelling, maar ook voor je klaarstaan indien er verdere stappen gezet dienen te worden.
Heeft de ingebrekestelling geen succes en moet de zaak voor de rechter worden gebracht? Dan betaalt je rechtsbijstandverzekeraar - binnen de contractuele grenzen - de (gerechts- en advocaat) kosten die nodig zijn om het verloren geld terug te kunnen vorderen van je bank.
Meer informatie over hoe rechtsbijstand je in dergelijke situaties kan helpen? Bekijk het op onze website: Webactive (arag.be)
Opgelet:
Web@ctive, het onderwerp van deze advertentie, is een rechtsbijstandverzekeringsproduct, onderworpen aan het Belgisch recht en is onderhevig aan bepaalde beperkingen en uitsluitingen. Zo kunnen sommige vormen van phishing buiten de dekking vallen (bijvoorbeeld phishing in het kader van elke beroepsactiviteit als zelfstandige of in het kader van weddenschappen, kansspelen of loterijen). De verzekeringsovereenkomst voor dit product wordt gesloten voor een periode van één jaar. Ze wordt jaarlijks stilzwijgend verlengd en kan ten minste 3 maanden voor de vervaldag van het contract per aangetekende brief aan ARAG SE-Branch Belgium worden opgezegd. Als u klachten heeft, neem dan eerst contact op met onze interne dienst
Het is in ieder geval noodzakelijk de infofiche (IPID) en de algemene en bijzondere voorwaarden van dit product door te nemen alvorens erop in te schrijven. Al deze documenten kunnen ook op eenvoudig verzoek gratis worden toegezonden.
Bronnen:
• Testaankoop: 80% van de Belgen al geconfronteerd met phishing. (2021, Juli 13).
• De Tijd: Wat zijn uw rechten als slachtoffer van phishing? (2021, Juni 22).
• FOD Economie: Phishing – niet toegestane betalingstransacties. (n.d.).
• Febelfin: Kluisrekeningfraude. (n.d.).