Nieuws

Het groeiend probleem van phishing: de moeilijke grens tussen onwetendheid en nalatigheid

Wat is Phishing ?

Phishing kan omschreven worden als een vorm van oplichting waarbij de fraudeur via elektronische communicatiemiddelen de beveiligingscodes, aangemaakt met de bankkaart van het slachtoffer, tracht te bemachtigen.

Vormen van Phishing :

Gelet op de veelheid aan elektronische communicatiemiddelen kent phishing eveneens verscheidene vormen:

• Fraudeurs benaderen hun slachtoffers vaak via phishing emails of -sms’en, die zogezegd afkomstig zijn van:
  • de bank, waarbij bijvoorbeeld aan het slachtoffer gevraagd wordt om een nieuwe kaartlezer aan te vragen
  • de FOD Financiën met bijvoorbeeld de melding dat het slachtoffer nog een openstaande schuld heeft
  • de Vlaamse overheid met bijvoorbeeld de melding dat het slachtoffer recht heeft op een coronapremie
  • de telecomaanbieder van het slachtoffer met bijvoorbeeld de melding dat deze nog een betalingsachterstand heeft
  • …
• Ook fraude bij aan- en verkopen via 2dehands.be en andere soortgelijke websites (Facebook Marketplace, Vinted, etc.), waarbij de fraudeur zich voordoet als geïnteresseerde koper of verkoper vallen steeds vaker voor.
• Whale phishing is een vorm phishing waarbij fraudeurs (veelal) via WhatsApp een bericht naar hun slachtoffer sturen en doen zij zich hierbij voor als de dochter of zoon van het slachtoffer. Ze stellen dat hun gsm stukgegaan is waardoor zij een nieuw telefoonnummer hebben. Na een kort gesprek met het slachtoffer vraagt de fraudeur vervolgens aan zijn slachtoffer om verschillende overschrijvingen voor hem uit te voeren.
• Tevens komt beleggingsfraude/boiler room fraude voor, waarbij fraudeurs zeer interessante investeringen voorstellen aan hun slachtoffers, die dan verschillende overschrijvingen doen om te investeren, maar hun geld nooit terugzien.

Het aantal phishing-dossiers blijft toenemen

Uit het verslag van Ombudsfin van het jaar 2021 blijkt dat het aantal dossiers blijft toenemen. In het jaar 2015 ontving Ombudsfin 261 klachten, terwijl het aantal klachten in 2021 702 bedroeg. Ombudsfin stelt eveneens vast dat fraudeurs steeds professioneler te werk gaan. De gehanteerde mailadressen bevatten steeds minder grammaticale of spellingsfouten, de URL-links komen geloofwaardiger over en de valse websites zijn moeilijker om te onderscheiden van de officiële websites.

Slachtoffer van phishing-praktijken

De kans dat u het slachtoffer wordt van deze praktijken wordt groter doordat de fraudepogingen aan geloofwaardigheid winnen. Wanneer u  meent slachtoffer te zijn is het belangrijk dat u uw bank hiervan onmiddellijk verwittigt. Zo kan de bank uw bankrekening blokkeren en proberen om de ontvreemde gelden terug te krijgen.

De vraag dringt zich op dat wanneer u het slachtoffer wordt en de bank er niet in slaagt om uw gelden te recupereren, of u dan de mogelijkheid heeft om de geleden schade via een gerechtelijke procedure te verhalen (bij de bank, overheid,…).

Wanneer u dergelijke schadeclaim voor het gerecht brengt, zal de rechter op basis van de feitelijke elementen van het dossier beoordelen of u recht heeft op een schadevergoeding. Hierbij dient de rechter rekening te houden met artikel  VII.44 §1 WER. De relevante passage uit voormeld artikel luidt als volgt:

“1. In afwijking van artikel VII.43 draagt de betaler tot aan de kennisgeving verricht overeenkomstig artikel VII.38, § 1, 2°, het verlies tot een bedrag van ten hoogste 50 euro met betrekking tot alle niet-toegestane betalingstransacties die voortvloeien uit het gebruik van een verloren of gestolen betaalinstrument of uit het onrechtmatig gebruik van een betaalinstrument.
In afwijking van het eerste lid, draagt de betaler geen enkel verlies indien:  1° het verlies, de diefstal of het onrechtmatig gebruik van een betaalinstrument niet kon worden vastgesteld door de betaler voordat een betaling plaatsvond, tenzij de betaler zelf frauduleus heeft gehandeld, (…)

De betaler draagt alle verliezen in verband met niet-toegestane betalingstransacties

De betaler draagt alle verliezen in verband met niet-toegestane betalingstransacties indien de betaler deze heeft geleden doordat hij frauduleus heeft gehandeld of opzettelijk of door grove nalatigheid één of meer van de in artikel VII. 38 genoemde verplichtingen niet is nagekomen. In die gevallen is het in de eerste alinea bedoelde maximumbedrag niet van toepassing.” (eigen onderlijning)

Uit de inhoud van artikel 44 §1 WER kunnen samenvattend volgende principes gededuceerd worden:

• Indien u het slachtoffer bent, zal u in principe maximaal een verlies van 50,00 EUR moeten dragen. Voor het overige saldo van de ontvreemde gelden zal u een schadevergoeding kunnen bekomen.
• U zal als slachtoffer geen verlies dragen en dus alle ontvreemde gelden kunnen terugvorderen van de betalingsdienst, indien u kan aantonen dat de fraude voorafgaandelijk niet detecteerbaar was. Doordat de fraudeurs steeds professioneler te werk gaan, zal de detecteerbaarheid afnemen en de kans op een volledige vergoeding van het slachtoffer vergroten.
• In het geval dat u zelf frauduleus/opzettelijk handelt of door een grove nalatigheid het slachtoffer bent geworden, heeft u geen recht op een schadevergoeding en zal de rechter uw vordering dus afwijzen.

Grove nalatigheid

In een arrest van 5 november 2020 diende het Hof van Beroep te Antwerpen zich te buigen over de vraag of een slachtoffer een grove nalatigheid had begaan. De bank wierp immers op dat ze het ontvreemde bedrag niet diende te vergoeden omdat het slachtoffer nalatig gehandeld had. Het Hof van Beroep besloot dat er sprake was van grove nalatigheid in de zin van artikel VII 44, §1 op basis van hiernavolgende elementen: de phishing email:

• was afkomstig van een niet-officieel mailadres.
• bevatte het nietszeggend onderwerp “bericht”.
• bevatte een dt-fout.
• bevatte geen logo van de bank.
• werd om 1u57 s ’nachts verzonden.

Het slachtoffer van 89 jaar vroeg het Hof om rekening te houden met zijn leeftijd

Het slachtoffer in deze zaak was 89 jaar oud en vroeg het Hof om rekening te houden met zijn leeftijd. Het Hof stelt hieromtrent dat de leeftijd van het slachtoffer de grove nalatigheid niet vergoelijkt. Volgens het Hof dient de aanwezigheid van nalatig handelen beoordeeld te worden volgens het criterium van de veronderstelde gedragswijze van een normaal zorgvuldig en omzichtig betaler, geplaatst in dezelfde omstandigheden, waarbij er geen rekening gehouden mag worden met kenmerken eigen aan de betaler, zoals de leeftijd. In de rechtspraak hanteert men dus een abstract criterium om te beoordelen of er sprake is van een nalatigheid in hoofde van het slachtoffer. De professionelere aanpak van de fraudeurs zal er echter toe leiden dat een normaal zorgvuldig persoon het frauduleus karakter moeilijker kan detecteren, hetgeen de kans op nalatig handelen door het slachtoffer doet afnemen.

Hoe voorkomt u phishing?

Tot slot wensen wij u nog attent te maken op de aanbevelingen die Ombudsfin uitvaardigde om te voorkomen dat u slachtoffer wordt:

• Consulteer regelmatig safeonweb.be. Daar vindt u heel veel nuttige tips en waarschuwingen over alle gekende fraudepraktijken op het internet.
• Controleer steeds het volledige mailadres of de volledige URL van een website. De kleinste schrijffouten of het gebruik van atypische domeinnamen of mailadressen wijzen op fraude. Bij de minste twijfel, stop uw handelingen of de communicatie en doe de nodige verificaties via extra opzoekingen.
• Wanneer iets te mooi lijkt om waar te zijn, dan is dat waarschijnlijk ook het geval en is het dus fraude. Laat u niet verleiden en stop de communicatie of handelingen.
• Aan de hand van codes (aangemaakt door uw kaartlezer) kan een fraudeur van op afstand betalingen doen, overschrijvingen doen via uw homebanking of zelfs úw banking app installeren op zijn persoonlijke smartphone. Communiceer dus nooit codes, aangemaakt door uw kaartlezer, aan een derde.
• Gebruik nooit uw kaartlezer wanneer u een betaling moet ontvangen. Daarvoor is een kaartlezer nooit nodig.
• De toetsen en tekst op uw kaartlezer vertellen u al heel veel over de handelingen die u aan het doen bent. Op de knoppen staat niet voor niets “Buy”, “Sign”, “Identify”. Wees u bewust van wat u doet en lees ook de tekst die eventueel verschijnt op uw kaartlezer (of hou de tekst die op uw kaartlezer verschijnt ook aandachtig in de gaten).

Bijkomende vragen?

Aarzel niet om ons team ondernemingsrecht te contacteren, maak eenvoudig een afspraak via onderstaande knop.

Afspraak Maken

Artikel geschreven door mr. Antoon Gielis

Bronnen

[1] https://www.ombudsfin.be/sites/default/files/Jaarverslag%202021%20Ombudsfin.pdf

[2] Antwerpen 5 november 2020, BFR 2021, nr. 1, 3-6.

[3] G. LAGUESSE, “Phishing et responsabilités : l’appréciation in abstracto de la négligence grave”, BFR 2021, nr. 1, 11-13.

[4] https://www.ombudsfin.be/sites/default/files/Jaarverslag%202021%20Ombudsfin.pdf