Het moest er een keer van komen. Ik werd de laatste in een lange lijst van mensen van wie de bankrekening werd gecompromitteerd en het geld werd gestolen.
Net als elke andere typische ochtend. Ik zat met een kop thee in de ene hand, kat op schoot, en staarde naar het afschrikwekkende vooruitzicht om mijn e-mails door te nemen. Uit nieuwsgierigheid besloot ik mijn online bankieren te controleren om te zien of een storting die ik verwachtte was geland.
Dat is wanneer de pret begon.
Niet alleen ontbrak de storting nog steeds, maar zwart op wit was het bewijs dat mijn bankpas werd gebruikt zonder mijn medeweten of toestemming – evenals een reden waarom de bank het niet had opgemerkt en mij had verteld.
Werk in de wacht, hartverscheurende paniek, overvloedig vloeken, en een verlaten kopje thee later, pakte ik mijn telefoon. Op het moment dat ik “fraude” noemde aan de operator, werd ik weggevoerd naar een team waar, als een kleine genade, ik niet werd onderworpen aan krakende, afschuwelijke klassieke muziektracks die bedoeld zijn om te kalmeren, maar je eigenlijk woedend maken – en in plaats daarvan stond ik slechts enkele seconden in de wacht.
Voordat ik verder ging dan het opsommen van mijn bankgegevens en de antwoorden op beveiligingsvragen, blafte de adviseur hetzelfde standaard juridische advies af dat ik, ironisch genoeg, zelf heb gespuid in how-to gidsen over veilig online blijven. (Voor het geval je het vergeten was, het advies is vrij standaard: je moet geen aankopen doen van verdachte websites, je moet je pc’s vrij houden van malware, je moet niet zo gek zijn om foto’s van je creditcards online te zetten en, natuurlijk, phishing e-mails zijn altijd een slechte, slechte zaak.)
Dat deel van de checklist voorbij, de operator veranderde van een machine in een sympathiek menselijk oor.
Maar één vraag bleef onbeantwoord. Waarom was het toeval, in plaats van een fraudewaarschuwing, die me naar dit stadium leidde?
Er zijn tegenwoordig talloze manieren waarop iemand je zuurverdiende geld kan afnemen of je krediet kan beschadigen. Het gebruik van malware en keyloggers die zijn ontworpen om uw referenties te stelen, skimmers die de informatie op uw kaart afknijpen bij een anders betrouwbaar verkooppunt van de detailhandelaar (PoS) systeem of de ouderwetse maar nog steeds opmerkelijke ATM-kaart cloner zijn slechts een paar van de tools die momenteel worden gebruikt in fraude today.
Ik heb geluisterd naar de gevallen van mijn naasten, vrienden en collega’s die deze nachtmerrie-ervaring hebben meegemaakt. Sommigen kennen de daders als wraakzuchtige ex-vrouwen en echtgenoten, malafide vrienden met plakkerige vingers en verslavingen aan online winkelen, en sommigen weten gewoon niet hoe het is gebeurd of wie zichzelf aan hun geld hielp.
Ik kan een vinger wijzen naar hoe, in mijn geval, hoewel het op dit moment niet al te stabiel is. Ik heb een paar “connecties” die zou zwelgen in vreugde bij het veroorzaken van mij dergelijke problemen, maar ik geloof niet dat een van hen hebben de vaardigheden set of de kennis om dat te doen – en dus toen mijn bankkaart gegevens plotseling werden gebruikt zonder mijn toestemming en geld begon te stromen weg uit de veilige grenzen van mijn bankrekening, moest ik het plaatsen op de schuld bij een tankstation ATM gebruikte ik een paar weken geleden.
Hoewel, in waarheid, ik weet het niet.
De andere opties, die ook geldig kunnen zijn, zijn niet de moeite waard om over na te denken; ten minste totdat ik bewijs heb dat verder wijst dan gestolen geld en in de richting van de mogelijkheid van een veel schadelijker vooruitzicht: identiteitsdiefstal.
Ik was altijd in de veronderstelling dat alles onder controle was. Ik heb een abonnement op een kredietbewakingsdienst die mijn kredietscore voor mij in de gaten houdt en me waarschuwt als er iets verandert – dat is een van de eerste indicatoren dat je iemand hebt die je identiteit zo bewondert dat ze besloten hebben om het te dragen voor creditcard- en leningaanvragen.
Afgezien daarvan heeft mijn bank, Lloyds, een fraudeteam dat rekeningen controleert op onbetrouwbare transacties die op fraude kunnen wijzen (zoals ik op een donkere ochtend om 2 uur ’s nachts te weten kwam toen ik voor een hotelovernachting in New York betaalde).
Ik zit midden in de renovatie van mijn woning en dus zijn er meer transacties dan gewoonlijk — en veel voor kleine, gekke dingen zoals gootsteensponsjes en behangplaksel. Verscholen tussen deze transacties was er een, gelabeld als van een telecom service waar ik geen connectie mee heb.
Hoewel, het bedrag was zo klein dat ik gewoon dacht: “Ik ben stom bezig. De naam is waarschijnlijk van een ander bedrijf en ik ben gewoon vergeten wat ik heb gekocht.”
Ik negeerde dit teken, maar de duivel zit in de details.
Deze “geautoriseerde” betaling werd een van de vele die plotseling mijn rekening overspoelden. Een paar pond hier, twintig pond daar – allemaal kleine bedragen die niet iedereen onmiddellijk zou opvallen, maar samen een complete chaos kunnen veroorzaken.
De operator die mijn rekening bekeek vond het eigenaardig, net als ik, dat de transacties die al waren geautoriseerd allemaal afkomstig waren van telecommunicatie-exploitanten waar ik niets mee te maken heb, waaronder EE en Three.
Bij nader onderzoek van de rekening leek het erop dat dit niet de enige vreemde dingen waren die plaatsvonden. In de loop van slechts een paar dagen was een groot aantal “testtransacties” op de rekening gemaakt.
Deze “tests” verschijnen niet op uw afschrift, en in plaats daarvan worden ze gebruikt door bedrijven om ervoor te zorgen dat er geld op uw rekening staat voordat ze transacties van hogere bedragen doordrukken.
Wij zien ze meestal niet of weten dat ze er zijn, maar banken wel.
Volgens de operator waren er meer dan 40 geregistreerd – wat op zichzelf ongebruikelijk was – en gaf aan dat tenzij de kaart nu werd bevroren en vernietigd, mijn rekening heel goed kon worden getroffen met een nieuw spervuur van geldverzoeken die de rekening volledig zouden bedelen.
Met andere woorden, dit was de fraude vóór de storm.
Lloyds, en veel andere banken, vertrouwen op geautomatiseerde systemen om fraude te detecteren. Hoewel de bank weigerde in te gaan op details over mijn geval of fraudedetectie als geheel, zei de bank wel dat het “fraudepreventie serieus neemt” en “zwaar investeert in detectiesystemen om ervoor te zorgen dat er robuuste controles zijn om onze klanten te beschermen.”
Dus waarom werd deze fraude niet gestopt?
Voor mij, hoewel ik weinig bewijs heb, was het gewoon te vroeg in het proces voor iets anders dan de eigen ogen van de klant om te detecteren. De voorlopige bedragen van £ 10 tot £ 20 lijken opwaarderingen te zijn die kunnen worden gebruikt door gekloonde kaarten — en vallen ook binnen de betalingslimiet van contactloze betaalsystemen die geen pincode vereisen voor gebruik.
Ik sprak met een van de telecombedrijven, Three, die na een onderlinge discussie tot de algemene consensus kwamen dat iemand in Glasgow op dit moment profiteert van een telefoon die is opgewaardeerd dankzij mijn loonstrookje, en dat het waarschijnlijk ofwel een contactloze betaling via een gefabriceerde kaart of een internettransactie was.
Een perfecte proeftuin, zeker, om te zien of een rekening zonder problemen grotere frauduleuze betalingen kan ondersteunen.
Dit was de les. Kleine transacties kunnen een voorbode zijn van grotere problemen. De reden waarom de bank het niet eerder merkte dan ik, is dat de fraude nog niet een niveau had bereikt waarop algoritmen en detectoren in werking traden.
Wat de testbetalingen betreft, kan ik niet zeggen waarom problemen niet werden opgemerkt. Het kan zijn dat er geen backend monitoringsysteem voor deze specifieke processen is, of dat het volume van mijn recente transacties vanwege het huis Lloyds van de geur heeft weggedraaid.
In mijn geval is er niet alleen een onbekend aantal transacties die ongetwijfeld op het punt stonden mijn rekening te beslaan — maar degenen die al het stadium “in behandeling” hebben bereikt, moeten worden gewist voordat ik kan worden terugbetaald. Dus, ondanks het feit dat ik het vroeg heb opgemerkt, heeft het annuleren van een kaart en het in en uit laten vloeien van geld nog steeds voor een hoop problemen gezorgd.
Ik heb een les geleerd dankzij deze ervaring. Als er ook maar een kleine, vreemde transactie op uw rekening staat, bel dan uw bank. Voor een telefoontje, of u nu denkt dat u gewoon dom of vergeetachtig bent, kunt u voorkomen dat fraude zich uitbreidt tot lege rekeningen, gemiste hypotheekbetalingen en geweigerde incasso’s die u nog meer stress en ellende kunnen bezorgen.
We kunnen zelfs de kleinste indicator dat er iets mis is niet langer negeren, zoals ik heb geleerd – maar een snelle controle is alles wat nodig was om te voorkomen dat het nog veel, veel erger wordt.