In dit artikel beschrijft onderzoeksjournalist Art Huiskes twee verschillende life-hacks die je kunt inzetten om elektronisch bankieren nog veiliger te maken. Art Huiskes heeft eerder uitgebreid onderzoek gedaan naar de veiligheid van elektronisch bankieren bij grote Nederlandse banken.
Over het bestrijden van phishing wordt veel geschreven, maar het ontbreekt daarbij meestal aan een volstrekt heldere uitleg. Over banking-trojans wordt daarentegen veel minder bericht. Er zijn dus maar weinig mensen die je precies kunnen vertellen wat de achterliggende principes zijn of wat de ruggengraat van phishing of banking-trojans is. Terwijl je jezelf met die kennis pas echt optimaal tegen phishing en banking-trojans kunt beschermen. De tips die banken uitdragen om phishing e.d. te voorkomen zijn weliswaar goed bedoeld, maar houden te weinig rekening met het feit dat phishing e.d. via een webbrowser (internetbankieren) niet in alle gevallen is te voorkomen. Ongeacht hoe waakzaam je bent. Dit heeft alles te maken met de inherente onveiligheid van webbrowsers, waarbij gebruikersgemak vóór gebruikersveiligheid gaat. Ook voor mijzelf geldt, dat ik internetbankieren via mijn browser als comfortabeler ervaar dan mobiel bankieren. Gemakkelijk van achter een groot beeldscherm, met enorm veel overzicht over mijn af- en bijschrijvingen. Niettemin blijkt mobiel bankieren dus echt een stuk veiliger te zijn! Internetbankieren heb ik daarom inmiddels maar grotendeels opgegeven. Op het overzichtelijk doornemen van mijn maandelijkse af- en bijschrijvingen na, geef ik mijn betalingsopdrachten tegenwoordig exclusief door via mijn mobiele bankapp. Het volledige verhaal met achtergronden vind je verderop in dit artikel.
Enkele grote banken in Nederland maken nog steeds gebruik van een zgn. generieke cardreader om betalingen te valideren. Minder veilig dan het zgn. digipas-systeem dat de meeste andere banken gebruiken. Ik leer je verderop in dit artikel hoe je ondanks de veiligheidsbeperkingen van een generieke cardreader toch jouw eigen veiligere digipas-systeem kunt creëren.
Samenvatting
Een valse kopie van jouw betalingsomgeving is een voorwaarde om phishing te doen slagen. Eenvoudig te realiseren via een browser-omgeving, niet of nauwelijks te realiseren via de omgeving van jouw mobiele bankapp. Vooralsnog is jouw mobiele bankapp dus 'unbreakable'!
Phishingaanvallen zullen zich dus altijd richten op jouw browser. Daarnaast bestaan er ook nog de minder frequent voorkomende banking-trojans. Dit zijn sluimerende computer-virussen die o.a. razendsnel de in beginsel correct ingetoetste URL van jouw bank kunnen wijzigen in die van een valse banksite. Banking-trojans richten zich dus ook bij uitstek op jouw browser.
Waarschuwing: opent een betaallink of een webwinkel-betaling keer op keer via jouw mobiele webbrowser en niet via jouw mobiele bankapp, ga er dan maar gevoegelijk van uit dat er iets niet klopt en sluit alle betalingshandelingen direct af!
Het grootste risico ten aanzien van elektronisch bankieren bestaat tegenwoordig uit phishing-emails, -sms'jes of -app'jes. Dit zijn nepmailtjes, -sms'jes of -app'jes die jou met een dringende boodschap ervan proberen te overtuigen om via de bijgevoegde link in te loggen bij of te betalen via jouw bank. Wanneer je vervolgens op zo'n link klikt, word je via een over het algemeen goed gelijkende valse bankwebsite misleid en loop je het risico van de volledige plundering van jouw betaal- en spaarrekening. Hoewel banken, overheidsinstanties en de meeste verzekeraars je in principe nooit zullen vragen om te betalen via een link in email, sms of app, zijn andere instanties daarin minder consequent. Sommige instanties sturen je zelfs rechtstreeks iDEAL-betaallinks om te kunnen betalen. Tref je daarnaast per ongeluk een malafide webwinkel, dan zijn de betaallinks die binnen jouw browser worden afgewikkeld misschien zelf ook wel malafide? Je weet het dus gewoon niet!
Hoewel je jezelf met gezond verstand dus tegen de meeste phishing-emails/sms'jes/app'jes kunt beschermen (i.c. meteen weggooien), is het zeker niet uitgesloten dat je vroeg of laat toch tegen een valse betaallink aanloopt. Phishing wordt namelijk steeds geavanceerder en de valse berichten of valse webwinkels zijn soms nauwelijks meer van de echte te onderscheiden. Echt verwarrend wordt het als de echte berichten en echte webwinkels niet meer van de valse zijn te onderscheiden, en daarnaar zijn wij helaas hard op weg.
Niettemin kun je - als je jezelf bewust bent van hoe de achterliggende principes en de ruggengraat van phishing en banking-trojans functioneren - erger voorkomen, zelfs als je per ongeluk toch op een valse link klikt of een valse webwinkel bezoekt. Lees daarvoor hieronder verder over hoe phishing precies in elkaar steekt.
Webbrowsers vormen het ultieme doel van phishingaanvallen en banking-trojans.
Als je via een webbrowser bankiert (internetbankieren) dan kunnen internetcriminelen jou relatief gemakkelijk een nagemaakte bankwebsite voorschotelen, terwijl op de achtergrond van jouw computer, hetzij op een criminele server, de eigenlijke bankwebsite draait. Alle gegevens die jij invoert op die valse banksite worden real-time doorgestuurd en ingevuld op de eigenlijke bankwebsite. Uiteraard op de hoogte van de bedragen en de bestemming van jouw gelden na, die worden vanzelfsprekend in het voordeel van de crimineel veranderd. Op deze manier kun jij in de veronderstelling zijn dat je een relatief klein bedrag aan Instantie Y overmaakt, terwijl in de tussentijd via de onzichtbare en eigenlijke bankwebsite jouw volledige rekening wordt leeggeroofd. Daarvoor gebruiken deze internetcriminelen de door jou via de valse bankwebsite verstrekte verificatie- en betaalcodes.
Dit is mogelijk, omdat internet- of browserbankieren apparaatgebonden noch software-gebonden is. D.w.z. dat jouw bank noch checkt of je op jouw eigen computer bankiert, noch of je vanuit een speciaal daarvoor geregistreerde app c.q. browservenster bankiert. Dit heeft o.a. te maken met gebruikersgemak vóór gebruikersveiligheid, met een aantal beperkingen van het besturingssysteem op een doorsnee computer, maar vooral met het gegeven dat een browser een volstrekt generiek en omni-toegankelijk product van derden is (i.c. van externe makelij) dat überhaupt slecht te beveiligen is. Let op: dit laatste gegeven geldt zowel voor de browser op jouw computer als voor de mobiele browser op jouw smartphone of tablet. Beiden werken volgens precies hetzelfde principe.
Phishingaanvallen zullen zich dus altijd richten op jouw browser. Daarnaast bestaan er ook nog de minder frequent voorkomende banking-trojans. Dit zijn sluimerende computer-virussen die o.a. razendsnel de in beginsel correct ingetoetste URL van jouw bank kunnen wijzigen in die van een valse banksite. Banking-trojans richten zich dus ook bij uitstek op jouw browser.
Mobiele bankapps vormen tegenwoordig de beste bescherming tegen phishing.
Eerder benoemde risico's spelen niet langer als je via een mobiele bankapp bankiert (mobiel bankieren). Jouw mobiele bankapp en jouw smartphone of tablet zijn als unieke entiteiten geregistreerd aan jouw bankrekening. Dit betekent dat het technisch gezien onmogelijk is om met een niet-geregistreerde mobiele bankapp of met een niet-geregistreerd toestel mobiel te bankieren via jouw bankrekening. Omdat het besturingssysteem van jouw mobiele telefoon of tablet bovendien veel veiliger is ingericht dan die van een doorsnee computer, is het ook niet mogelijk om een valse kopie van jouw mobiele bankapp op de achtergrond te laten draaien. Zoals dat in een browseromgeving helaas kinderlijk eenvoudig is door twee verschillende browservensters of -servers te laten draaien, waarvan er één voor jou onzichtbaar blijft. Omdat een valse kopie van jouw betalingsomgeving per definitie een voorwaarde is om phishing te doen slagen, is phishing via een mobiele bankapp vooralsnog niet vertoond!
Dit betekent overigens niet dat het technisch onmogelijk is, maar wel dat de doorontwikkeling van mobiele bankapps dit hoogstwaarschijnlijk zal (blijven) voorkomen. Speciaal ontwikkelde mobiele bankapps zijn nu eenmaal een stuk beter te beveiligen dan de generieke en omni-toegankelijke browsers van derden. Weliswaar is een waarschuwing op zijn plaats ten aanzien van 'gerootte' (Android) of 'gejailbreakte' (iOS) smartphones of tablets in relatie tot mobiel bankieren. Dergelijke aanpassingen leiden er mogelijk toe dat jouw mobiele besturingssysteem alsnog kan worden gecompromitteerd.
Waarschuwing: opent de betalingsomgeving van jouw bank via jouw mobiele webbrowser en niet via jouw mobiele bankapp, dan vormt dat een sterke indicatie voor een phishing-aanval of de aanwezigheid van een banking-trojan.
Een phishing-aanval via jouw mobiele bankapp is dus bij voorbaat uitgesloten, vanwege de niet-te-kopiëren betalingsomgeving van de mobiele bankapp. Toch hebben internet-criminelen hiervoor weer een uitweg bedacht. Ze zullen namelijk proberen om jouw betalingsomgeving niet via jouw uitstekend beveiligde mobiele bankapp, maar via jouw slecht beveiligde mobiele webbrowser te openen. Jouw mobiele browser is namelijk al net zo onveilig als de browser op jouw computer. M.a.w. een phishing-link zal een valse betalingsomgeving altijd openen via jouw mobiele browser. Met als gevolg dat een valse kopie van jouw betalingsomgeving vervolgens toch weer een feit is en dit opent de weg voor misbruik van jouw bankrekening, ondanks het gebruik van jouw smartphone of tablet. Echter het optreden van een dergelijke situatie alleen al (i.c. het openen van de bankwebsite in jouw mobiele webbrowser) vormt de beste indicatie dat er mogelijk iets niet klopt!
Dus, opent een betaallink of een webwinkel-betaling keer op keer via jouw mobiele webbrowser en niet via jouw mobiele bankapp, ga er dan maar gevoegelijk van uit dat er iets niet klopt en sluit alle betalingshandelingen direct af!
Samenvatting
Hoewel het risico van de verderop beschreven vorm van pasfraude klein is, kunnen de persoonlijke gevolgen ervan groot zijn. Met een beetje pech worden voor je het weet zowel jouw betaal- als jouw spaarrekening volledig leeggetrokken.
Door een extra bankpas aan te vragen, welke expliciet géén toegang biedt tot elektronisch bankieren, creëer je in essentie dezelfde veiligheid als het digipas-systeem.
ABN-Amro en Rabobank onveiliger door het gebruik van generieke cardreaders.
Doordat ABN-Amro en Rabobank o.a. toegang bieden tot elektronisch bankieren d.m.v. een bankpas+pincode+generieke cardreader kan jouw digitale veiligheid potentieel in het geding komen. Regelmatig gebruik van deze pincode in de openbare ruimte brengt namelijk altijd het gevaar van afkijken van jouw pincode door criminelen met zich mee. Het ontfutselen van jouw bankpas met een ingenieuze babbel- of wisseltruc door deze criminelen is vervolgens voldoende om de volledige toegang tot jouw betaal- en spaarrekening te verkrijgen. Immers, de generieke cardreader van jouw bank werkt per definitie voor elke bankpas+pincode- combinatie van diezelfde bank.
De digipas, zoals die door de meeste andere banken wordt toegepast, biedt hiertegen extra bescherming. Dit komt omdat de digipas geen gebruik maakt van jouw bankpas+pincode, maar van een eigen 5-cijferige code behorende bij een unieke digipas. De digipas op zichzelf is volstrekt uniek en niet uitwisselbaar met enige andere bankrekening bij diezelfde bank. Een generieke cardreader is dat helaas wel. Omdat je jouw digipas+5-cijferige code doorgaans thuis zult bewaren en dus niet of nauwelijks zult gebruiken in de openbare ruimte, kunnen criminelen niet zo eenvoudig aan de combinatie van jouw digipas+5-cijferige code komen. Dit in tegenstelling tot jouw regelmatig in de openbare ruimte gebruikte combinatie van bankpas+pincode. De digipas biedt dus een extra hindernis voor criminelen om toegang tot jouw rekening te verkrijgen.
Hoewel het risico van de beschreven vorm van pasfraude klein is, kunnen de persoonlijke gevolgen ervan groot zijn. Met een beetje pech worden voor je het weet zowel jouw betaal- als jouw spaarrekening volledig leeggetrokken. Wanneer je nu denkt: 'Ha, maar zoiets overkomt mij toch zeker niet!' bedenk dan dat er ook altijd een kans bestaat dat je jouw bankpas en pincode onder bedreiging af moet geven aan een crimineel. De gevolgen zijn in dat geval precies eender.
Jazeker, je kunt in principe jouw eigen veiligere digipas-systeem creëren, ook als je bankiert bij ABN-Amro of Rabobank. Dit doe je door een extra bankpas aan te vragen, welke expliciet géén toegang biedt tot elektronisch bankieren. Dit wordt door sommige banken ook wel een gemachtigden-pas genoemd. Dit wordt dan vervolgens jouw bankpas voor dagelijks gebruik. Met deze 'dagelijkse' bankpas kun je vervolgens wel gewoon betalen en geld opnemen, maar expliciet niet elektronisch bankieren. Afkijken van de bij deze pas behorende pincode en vervolgens de ontfutseling van jouw bankpas (eventueel onder bedreiging) leidt in dat geval niet automatisch tot de volledige toegang tot jouw betaal- en spaarrekening.
Natuurlijk kan deze bankpas nog wel misbruikt worden om te betalen en om geld op te nemen, maar hiertegen kun je jezelf adequaat beschermen door daglimieten in te stellen. En vanzelfsprekend bel je meteen met jouw bank om deze ontvreemde pas te laten blokkeren. Voor de veiligheid is het overigens wel aan te raden om voor deze extra 'dagelijkse' bankpas een andere pincode te kiezen dan die voor de bankpas die je netjes thuis bewaart om elektronisch mee te bankieren. Zo creëer je in essentie dezelfde veiligheid als een digipas-systeem, zoals dat bij de meeste andere banken het geval is.
Omdat de creatie van jouw eigen digipas-systeem geen standaard-methodiek binnen de bank betreft, zul je één en ander waarschijnlijk wel persoonlijk moeten bespreken met een bankmedewerker op jouw lokale bankkantoor. Extra bankpassen die je online aanvraagt, bieden namelijk standaard toegang tot elektronisch bankieren. Op expliciet verzoek kan deze functie echter evengoed worden uitgezet! Ook dan verdient het echter aanbeveling om met enige regelmaat te blijven controleren of deze extra 'dagelijkse' bankpas daadwerkelijk uitgezonderd blijft van toegang tot elektronisch bankieren. Een (over)ijverige bankmedewerker zou namelijk per abuis kunnen besluiten om jouw extra pas alsnog de volledige toegang te verlenen tot elektronisch bankieren. Zolang je daar dan niet achter komt, ben je nog even ver van huis als zonder extra (digi)pas.
Dit artikel is met de grootst mogelijke zorgvuldigheid tot stand gekomen. De auteur aanvaardt niettemin geen enkele aansprakelijkheid in relatie tot de onderwerpen die binnen dit artikel worden beschreven.
Art Huiskes
Onderzoeksjournalist
art.huiskes@gmail.com
Voor vragen, meer informatie of andere zaken kunt u per mail contact opnemen. Voor het inleveren van artikelen of foto’s voor de thema “Uit de oude doos” kunt u ook het mail adres gebruiken.
Mail: info@ouderenbelangen.nl