Klanten van Odido doen er goed aan hun bankrekening en inbox extra goed in de gaten te houden na het grote datalek van vorige week. Bij een cyberaanval zijn mogelijk gegevens van zo'n 6,5 miljoen klanten van Odido en Ben buitgemaakt. Het gaat om namen, adressen, postcodes, woonplaatsen, e-mailadressen en telefoonnummers. Daarnaast liggen er ook gevoelige gegevens op straat, zoals bankrekeningnummers en paspoortgegevens.
Volgens cybersecurityexpert Martin Krämer van KnowBe4 levert dit meer risico op dan alleen een golf aan phishingmails en nepcalls. Hij wijst erop dat criminelen de buitgemaakte bankrekeningnummers kunnen gebruiken om ongeautoriseerde incasso's te doen. Hij raadt klanten daarom aan hun afschrijvingen actief te controleren en verdachte posten direct na te lopen. Ook waarschuwt hij dat criminelen met de gelekte persoonsgegevens krediet kunnen aanvragen op naam van slachtoffers. Daarom adviseert hij Odido-klanten om hun registratie bij het Bureau Krediet Registratie (BKR) te checken.
Uit een rondgang langs banken blijkt dat zij niet rekenen op grootschalige fraude puur met gestolen bankrekeningnummers. Berend Jan Beugel van de Betaalvereniging Nederland spreekt wel van een reëel risico op kleinschalige fraude. Daarbij gebruiken criminelen een rekeningnummer om bijvoorbeeld een telefoonabonnement of een online dienst, zoals een streamingabonnement, af te sluiten op naam van iemand anders.
Voor dit soort misbruik is steeds een aparte overeenkomst nodig. Voor elke nieuwe incasso moet een machtiging vastliggen. Dat maakt fraude op grote schaal lastig uit te voeren en verkleint de kans dat grote groepen klanten tegelijk de dupe worden. Toch kan individuele schade vervelend zijn, zeker als iemand er laat achter komt dat er al langer kleine bedragen worden afgeschreven.
Rekeninghouders staan gelukkig niet machteloos bij onterechte incasso's. Beugel legt uit dat je elke automatische afschrijving binnen acht weken zonder reden kunt terugboeken via je bank. Dat geldt ook als het gaat om een relatief klein bedrag of een eenmalige afschrijving waar je geen toestemming voor hebt gegeven. Het is dus slim om je rekeningoverzicht regelmatig door te nemen en onbekende incasso's meteen aan te pakken.
Ook na die eerste acht weken is het nog mogelijk om geld terug te vragen. Tot dertien maanden na de afschrijving kan een klant bij de bank een verzoek indienen om een incasso terug te draaien. In dat geval moet de partij die de afschrijving heeft gedaan aantonen dat er een geldige machtiging was. Kan die partij dat niet, dan krijgt de rekeninghouder het geld teruggestort.
Volgens Beugel is grootschalige incassofraude via dit soort datalekken vrijwel uitgesloten. Banken houden incassanten streng in de gaten en grijpen in als er veel klachten binnenkomen. Zodra meerdere klanten melden dat ze zonder toestemming zijn geïncasseerd door dezelfde partij, kan de bank die incassant blokkeren en verdere afschrijvingen stopzetten. Beugel benadrukt daarom dat klanten onterechte afschrijvingen altijd moeten melden, ook als het om kleine bedragen gaat. Hoe sneller klachten binnenkomen, hoe eerder banken verdachte partijen kunnen afsluiten.
Source: Fok frontpage