Een mail en een telefoontje: 53.500 euro gestolen
WEESP - Een normaal ogende e-mail en een telefoontje: dat hadden de dieven nodig om 53.500 euro te stelen van watersportbedrijf De Bruyn. Een duidelijk geval van phishing of kloppen de interne protocollen van de Rabobank niet? Het is aan de rechter.
door Christian Pfeiffer
Marco de Bruijn komt nu actief naar buiten met dit verhaal om anderen te waarschuwen en omdat hij geen gehoor vindt bij de bank. "Als dit naar tevredenheid was opgelost, dan was er geen probleem geweest. Bij de ING en ABN Amro is dit beter geregeld."
We gaan ruim een jaar terug. Naar vrijdag 24 januari 2014. Een medewerker van De Bruijn krijgt een mail van, wat lijkt, de Rabobank. In die mail wordt gevraagd om de contactgegevens van het bedrijf bij te werken. Alles lijkt normaal, de gegevens kloppen, alleen het telefoonnummer ontbreekt. De medewerker vult op de pagina het nummer in en krijgt daarmee, zonder dat hij het weet, een virus geïnstalleerd.
Directeur Marco de Bruijn ruikt maandag al onraad en belt de Rabobank. Die adviseert de mail te verwijderen en stelt niet de afzender te zijn. Geen waarschuwing voor virussen, niks. Twee dagen later gaat het mis. Die dinsdag (28 januari) wordt het bedrijf in de middag gebeld door een mevrouw die zich voorstelt als een medewerker van de afdeling internetbeveiliging van de Rabobank. Marco de Bruijn is in gesprek en ze wordt doorverbonden naar de eerdergenoemde medewerker: het begin van een lang gesprek van meer dan 30 minuten waarin wordt gesproken over een veiligheidsonderzoek. Terloops vraagt de 'bankmedewerkster' de medewerker om een aantal combinaties op de Random Reader (een beveiligingskastje om te internetbankieren) in te tikken. Er wordt uitdrukkelijk niet om bankrekeningnummers of pincodes gevraagd.
Als Marco de Bruijn uit het gesprek komt en ziet dat zijn medewerker met zijn Random Reader in zijn hand aan de telefoon is ruikt hij meteen onraad. Hij grijpt in en vraagt aan de bankmedewerkster zich te indentificeren per mail. Dat gebeurt niet. De Bruijn laat de verbinding kort daarna verbreken. Te laat, als blijkt dat twee bedragen van samen 53.500 euro van de bedrijfsrekening zijn afgeschreven. Meteen wordt actie ondernomen. De Bruijn belt de Rabobank om te vragen of de rekening onmiddellijk kan worden geblokkeerd. De bedragen zijn afgeschreven aan een autobedrijf met de omschrijving 'Mercedes CLS'. Een uur later belt de Rabobank terug: ze zijn te laat. Er is een auto gekocht van het geld en die is afgemeld voor de export naar Ghana. De Rabobank stelt de ondernemer voor om aangifte te doen. Een medewerker gaat naar het politiebureau aan de Hoogstraat, maar wordt weggestuurd. Pas de volgende morgen om 11.00 uur kan er een aangifte worden aangenomen. Ook pas die ochtend gaat er een opsporingsbevel de deur uit voor de auto. Tevergeefs. Die wordt niet meer gevonden.
Het geld is afgeschreven met de omschrijving 'Mercedes CLS'
Wie is aansprakelijk?
Hier begint het getouwtrek. Wie is er aansprakelijk voor de schade? Natuurlijk is het niet handig om in te gaan op e-mails en telefoontjes van banken waarin om gegevens wordt gevraagd. Maar er wordt door de banken ingeprent om geen pincodes te geven. Dat is hier ook niet gebeurd. Met het virus dat op de computer is geïnstalleerd konden de inloggegevens van afstand worden afgekeken en hadden de dieven alleen de codes van de Random Reader nodig om overboekingen te doen.
Ook heeft de Rabobank een vrij ruime coulanceregeling voor internetoplichting en waarschuwden zij een maand eerder nog voor phishers die sieraden en auto's kochten. Als laatste heeft de bank niet meteen het autobedrijf laten weten dat er een vreemde betaling plaatsvond nadat De Bruijn melding doet bij het crisisnummer van de bank. Om 14.25 uur wordt het eerste bedrag afgeschreven door de dieven. Om 14.54 uur trekt De Bruijn aan de bel. Pas om 15.30 uur licht de bank het autobedrijf in en vraagt om de auto achter te houden. Te laat: de dieven namen de auto tien minuten eerder mee. Dat alles steekt Marco de Bruijn en hij daagt de Rabobank voor de rechter.
"De gedupeerde ondernemer mocht van de Rabobank geen contact opnemen met het garagebedrijf waar de criminelen de auto hadden gekocht. De fraudedienst van de Rabobank zou het zelf allemaal wel regelen en heeft dat later ook zo tegen de politie gezegd. Van regelen is niets gebleken, integendeel, Rabobank lijkt het onderzoek te willen blokkeren en weigert zelfs om haar gedupeerde cliënt de telefoontaps van zijn eigen telefoongesprekken met de bank te verstrekken", zo pleit de advocaat van De Bruijn.
De Rabobank kan niet tegen het WeesperNieuws inhoudelijk op deze zaak ingaan. In brieven over de zaak aan De Bruijn laat de bank het volgende weten over de zaak. "U en de bank hebben afspraken gemaakt. Daarin staat dat de klant zorgvuldig met de codes moet omgaan. De I- en/of S-code (red: de randomreadercodes) mogen alleen worden gebruikt voor internetbankieren en voor andere bankzaken die worden gedaan op onze website. De codes mag de klant aan niemand bekendmaken. Dus ook niet aan (vermeende) bankmedewerkers." Even verderop in de brief: "Ook mag het algemeen bekend verondersteld worden dat bankmedewerkers nooit naar pincodes en andere beveiligingscodes vragen en dat die nooit mogen worden afgestaan, aan niemand."
De Rabobank stelt aan de hand van bovenstaande regels dat zij niet aansprakelijk gesteld kan worden voor de schade. De dagvaarding gaat vandaag de deur uit.
