Naar inhoud

De life hacks die elektronisch bankieren nog veiliger maken

Om het maatschappelijk bewustzijn inzake elektronisch bankieren te verbeteren, is het zinvol twee uiteenlopende life hacks onder de aandacht te brengen die consumenten kunnen toepassen om deze vorm van bankieren nog veiliger te maken. Dit gebeurt in het licht van een eerder onderzoek naar de veiligheid van het betalingsverkeer. Een life hack is een slimme techniek die je kunt inzetten voor de verbetering van je dagelijks leven. In dit geval gaat het dus om twee handreikingen voor een veiliger financieel bestaan.


Life hack 1: Voorkom phishing en banking trojans door gebruik van een app voor mobiel bankieren

Over het bestrijden van phishing wordt veel geschreven, maar het ontbreekt daarbij meestal aan een volstrekt heldere uitleg. Over banking trojans wordt daarentegen veel minder bericht. Er zijn dus maar weinig mensen die je precies kunnen vertellen wat de achterliggende principes zijn of wat de ruggengraat van phishing of banking trojans is, terwijl je jezelf met die kennis pas echt optimaal tegen deze vormen van cybercriminaliteit kunt beschermen. De tips die banken uitdragen om deze criminaliteit te voorkomen zijn weliswaar goed bedoeld, maar houden te weinig rekening met het feit dat kwaadwillende activiteiten via een webbrowser, die je ook gebruikt voor internetbankieren, niet in alle gevallen is te voorkomen – ongeacht hoe waakzaam je bent.

Dit heeft alles te maken met de inherente onveiligheid van webbrowsers, waarbij gebruikersgemak vóór gebruikersveiligheid gaat. Ook voor mij geldt dat ik internetbankieren via mijn browser als comfortabeler ervaar dan mobiel bankieren: gemakkelijk voor een groot beeldscherm, met enorm veel overzicht over mijn af- en bijschrijvingen. Niettemin blijkt mobiel bankieren dus echt een stuk veiliger te zijn. Internetbankieren heb ik daarom inmiddels maar grotendeels opgegeven. Op het overzichtelijk doornemen van mijn maandelijkse af- en bijschrijvingen na geef ik mijn betalingsopdrachten tegenwoordig exclusief door via mijn app voor mobiel bankieren.

Life hack 2: Voorkom pasfraude, upgrade jouw pasbeveiliging in een paar stappen

Enkele grote banken in Nederland maken nog steeds gebruik van een zogenaamde generieke cardreader om betalingen te valideren. Dit is minder veilig dan het zogeheten digipas-systeem dat de meeste andere banken gebruiken. Ondanks de veiligheidsbeperkingen van een generieke cardreader kun je echter toch jouw eigen veiligere digipas-systeem creëren.

1. Waarom je betalingen beter altijd uit kunt voeren via de app voor mobiel bankieren op jouw smartphone of tablet

Samenvatting

Een valse kopie van jouw betalingsomgeving is een voorwaarde om phishing te doen slagen. Dit is eenvoudig te realiseren via een browseromgeving en niet of nauwelijks te realiseren via de omgeving van jouw mobiele bankapp. Vooralsnog is jouw app voor mobiel bankieren dus unbreakable!

Phishing-aanvallen richten zich dus altijd op jouw browser. Daarnaast bestaan er ook nog de minder frequent voorkomende banking trojans. Dit zijn sluimerende computervirussen die onder andere razendsnel de in beginsel correct ingetoetste uniform resource locator (URL) van jouw bank kunnen wijzigen in die van een valse banksite. Banking trojans richten zich dus ook bij uitstek op jouw browser.

Waarschuwing: opent een betaallink of een webwinkelbetaling keer op keer via jouw mobiele webbrowser en niet via jouw app voor mobiele bankieren, ga er dan maar gevoegelijk van uit dat er iets niet klopt en sluit alle betalingshandelingen direct af!

Het grootste risico ten aanzien van elektronisch bankieren bestaat tegenwoordig uit phishing-e-mails, -sms’jes of -appjes. Dit zijn nepmailtjes, -sms’jes of -appjes die jou met een dringende boodschap ervan proberen te overtuigen om via de bijgevoegde link in te loggen bij of te betalen via jouw bank. Wanneer je vervolgens op zo'n link klikt, word je via een over het algemeen goed gelijkende valse bankwebsite misleid en loop je het risico van de volledige plundering van jouw betaal- en spaarrekeningen. Hoewel banken, overheidsinstanties en de meeste verzekeraars je in principe nooit vragen om te betalen via een link in e-mail, sms of app, zijn andere instanties daarin minder consequent. Sommige instanties sturen je zelfs rechtstreeks iDEAL-betaallinks om te kunnen betalen. Tref je daarnaast per ongeluk een malafide webwinkel, dan zijn de betaallinks die binnen jouw browser worden afgewikkeld misschien zelf ook wel malafide. Je weet het dus gewoon niet!

Hoewel je jezelf met gezond verstand dus tegen de meeste phishing-e-mails, -sms'jes en -appjes kunt beschermen – dus meteen weggooien – is het zeker niet uitgesloten dat je vroeg of laat toch tegen een valse betaallink aanloopt. Phishing wordt namelijk steeds geavanceerder en de valse berichten of valse webwinkels zijn soms nauwelijks meer van de echte te onderscheiden. Echt verwarrend wordt het als de echte berichten en echte webwinkels niet meer van de valse zijn te onderscheiden en naar die omstandigheden zijn wij helaas hard op weg.

Niettemin kun je – als je jezelf bewust bent van hoe de achterliggende principes en de ruggengraat van phishing en banking trojans functioneren – erger voorkomen, zelfs als je per ongeluk toch op een valse link klikt of een valse webwinkel bezoekt.

Webbrowsers vormen het ultieme doel van phishing-aanvallen en banking trojans

Als je via een webbrowser bankiert zoals met internetbankieren, kunnen internetcriminelen jou relatief gemakkelijk een nagemaakte bankwebsite voorschotelen terwijl op de achtergrond van jouw computer of op een criminele server de eigenlijke bankwebsite draait. Alle gegevens die jij invoert op die valse banksite worden real-time doorgestuurd en ingevuld op de eigenlijke bankwebsite. Uiteraard vormen de hoogte van de bedragen en de bestemming van jouw geld een uitzondering, want die worden vanzelfsprekend in het voordeel van de crimineel veranderd. Op deze manier kun jij in de veronderstelling zijn dat je een relatief klein bedrag aan bepaalde instantie overmaakt, terwijl in de tussentijd via de onzichtbare en eigenlijke bankwebsite jouw volledige rekening wordt leeggeroofd. Daarvoor gebruiken deze internetcriminelen de door jou via de valse bankwebsite verstrekte verificatie- en betaalcodes.

Dit is mogelijk, omdat internet- of browserbankieren apparaat-gebonden noch software-gebonden is. Dat wil zeggen dat jouw bank noch checkt of je op jouw eigen computer bankiert, noch of je vanuit een speciaal daarvoor geregistreerde app dan wel browservenster bankiert. Dit heeft onder andere te maken met gebruikersgemak vóór gebruikersveiligheid, met een aantal beperkingen van het besturingssysteem op een doorsneecomputer, maar vooral met het gegeven dat een browser een volstrekt generiek en omni-toegankelijk product van derden is – in casu van externe makelij - dat überhaupt slecht te beveiligen is. Let op: dit gegeven geldt zowel voor de browser op jouw computer als voor de mobiele browser op jouw smartphone of tablet. Beide browsers werken volgens precies hetzelfde principe.

Phishing-aanvallen richten zich dus altijd op jouw browser. Daarnaast bestaan er ook nog de minder frequent voorkomende banking trojans. Dit zijn sluimerende computervirussen die onder andere razendsnel de in beginsel correct ingetoetste URL van jouw bank kunnen wijzigen in die van een valse banksite. Banking trojans richten zich dus ook bij uitstek op jouw browser.

Mobiele bankapps vormen tegenwoordig de beste bescherming tegen phishing

Deze risico's spelen niet langer als je gebruikmaakt van mobiel bankieren. Jouw app voor mobiel bankieren en jouw smartphone of tablet zijn als unieke entiteiten gekoppeld aan jouw bankrekening. Dit betekent dat het technisch gezien onmogelijk is om met een niet-geregistreerde app voor mobiel bankieren of om met een niet-geregistreerd toestel mobiel te bankieren via jouw bankrekening. Omdat het besturingssysteem van jouw smartphone of tablet bovendien veel veiliger is ingericht dan die van een doorsneecomputer, is het ook niet mogelijk om een valse kopie van jouw app voor mobiel bankieren op de achtergrond te laten draaien – zoals dat in een browseromgeving helaas kinderlijk eenvoudig is door twee verschillende browservensters of -servers te laten draaien, waarvan er één voor jou onzichtbaar blijft. Omdat een valse kopie van jouw betalingsomgeving per definitie een voorwaarde is om phishing te doen slagen, is deze vorm van cybercriminaliteit via een app voor mobiel bankieren vooralsnog niet vertoond!

Dit betekent overigens niet dat het technisch onmogelijk is, maar wel dat de doorontwikkeling van apps voor mobiel bankieren dit hoogstwaarschijnlijk blijvend voorkomt. Speciaal ontwikkelde apps voor mobiele bankieren zijn nu eenmaal een stuk beter te beveiligen dan de generieke en omni-toegankelijke browsers van derde partijen. Weliswaar is een waarschuwing voor smartphones of tablets in relatie tot mobiel bankieren op zijn plaats ten aanzien van een vorm van rooting in Android of jailbreaking in iOS. Dergelijke aanpassingen leiden er mogelijk toe dat het besturingssysteem op jouw mobiele device alsnog kan worden gecompromitteerd.

Waarschuwing: opent de betalingsomgeving van jouw bank via jouw mobiele webbrowser en niet via jouw app voor mobiel bankieren, dan vormt dat een sterke indicatie voor een phishing-aanval of de aanwezigheid van een banking trojan.

Een phishing-aanval via jouw app voor mobiel bankieren is dus bij voorbaat uitgesloten, vanwege de niet te kopiëren betalingsomgeving van de bankapp. Toch hebben internetcriminelen hiervoor weer een uitweg bedacht. Ze proberen namelijk proberen om jouw betalingsomgeving niet via jouw uitstekend beveiligde app voor mobiel bankieren, maar via jouw slecht beveiligde mobiele webbrowser te openen. Jouw mobiele browser is namelijk al net zo onveilig als de browser op jouw computer. Met andere woorden, een phishing-link opent een valse betalingsomgeving altijd via jouw mobiele browser. Dit heeft tot gevolg dat een valse kopie van jouw betalingsomgeving vervolgens toch weer een feit is en dit opent de weg voor misbruik van jouw bankrekening, ondanks het gebruik van jouw smartphone of tablet. Echter, het optreden van een dergelijke situatie alleen al – dus het openen van de bankwebsite in jouw mobiele webbrowser – vormt de beste indicatie dat er mogelijk iets niet klopt!

Dus, opent een betaallink of een webwinkelbetaling keer op keer via jouw mobiele webbrowser en niet via jouw app voor mobiel bankieren, ga er dan maar gevoegelijk van uit dat er iets niet klopt en sluit alle betalingshandelingen in dergelijke gevallen direct af!

2. Creëer jouw eigen veiligere digipas-systeem tegen pasfraude

Samenvatting

Hoewel het risico van deze vorm van pasfraude klein is, kunnen de persoonlijke gevolgen ervan groot zijn. Met een beetje pech wordt, voor je het weet, zowel jouw betaalrekening als jouw spaarrekening volledig geplunderd.

Door een extra bankpas aan te vragen, die expliciet géén toegang biedt tot elektronisch bankieren, creëer je in essentie dezelfde veiligheid als het digipas-systeem.


ABN AMRO en Rabobank onveiliger door het gebruik van generieke cardreaders

Doordat ABN AMRO en Rabobank onder andere toegang bieden tot elektronisch bankieren door middel van een bankpas plus persoonlijk identificatienummer (pin) plus generieke cardreader, kan jouw digitale veiligheid potentieel in het geding komen. Regelmatig gebruik van deze pin in de openbare ruimte brengt namelijk altijd het gevaar van afkijken van jouw persoonlijke code door criminelen met zich mee. Het ontfutselen van jouw bankpas met een ingenieuze babbel- of wisseltruc door deze kwaadwillende medemensen is vervolgens voldoende om volledig toegang tot jouw betaal- en spaarrekeningen te verkrijgen. Immers, de generieke cardreader van jouw bank werkt per definitie voor elke combinatie van bankpas plus pin van diezelfde bank.

De digipas, zoals die door de meeste andere banken wordt gebruikt, biedt hiertegen extra bescherming. Dit komt omdat de digipas geen gebruikmaakt van jouw bankpas plus pin, maar van een eigen 5-cijferige code behorende bij een unieke digipas. De digipas op zichzelf is volstrekt uniek en niet uitwisselbaar met enige andere bankrekening bij diezelfde bank. Een generieke cardreader is dat helaas wel. Omdat je jouw digipas plus 5-cijferige code doorgaans thuis bewaart en dus niet of nauwelijks gebruikt in de openbare ruimte, kunnen criminelen niet zo eenvoudig aan de combinatie van jouw digipas plus 5-cijferige code komen, dit in tegenstelling tot jouw regelmatig in de openbare ruimte gebruikte combinatie van bankpas plus pin. De digipas biedt dus een extra hindernis voor criminelen om toegang tot jouw rekeningen te verkrijgen.

Hoewel het risico van deze vorm van pasfraude klein is, kunnen de persoonlijke gevolgen ervan groot zijn. Met een beetje pech wordt, voor je het weet, zowel jouw betaal- als jouw spaarrekening volledig geplunderd. Wanneer je nu denkt dat zoiets jou zeker niet overkomt, bedenk dan dat er ook altijd een kans bestaat dat je jouw bankpas en pin onder bedreiging af moet geven aan een crimineel. De gevolgen zijn in dat geval precies eender.

Kan ik als klant van ABN AMRO of Rabobank toch mijn eigen veiligere digipas-systeem creëren?

Je kunt echter in principe jouw eigen veiligere digipas-systeem creëren, ook als je bankiert bij ABN AMRO of Rabobank. Dit doe je door een extra bankpas aan te vragen, die expliciet géén toegang biedt tot elektronisch bankieren. Dit wordt door sommige banken ook wel een gemachtigde-pas genoemd. Dit wordt dan vervolgens jouw bankpas voor dagelijks gebruik. Met deze dagelijkse bankpas kun je dan wel gewoon betalen en geld opnemen, maar expliciet niet elektronisch bankieren. Afkijken van de bij deze pas behorende pin en daarna de ontfutseling van jouw bankpas, eventueel onder bedreiging, leidt in dat geval niet automatisch tot de volledige toegang tot jouw betaal- en spaarrekeningen.

Natuurlijk kan deze bankpas nog wel misbruikt worden om te betalen en om geld op te nemen, maar hiertegen kun je jezelf adequaat beschermen door daglimieten in te stellen. En vanzelfsprekend bel je in zo’n geval meteen met jouw bank om deze ontvreemde pas te laten blokkeren. Voor de veiligheid is het overigens wel aan te raden om voor deze extra dagelijkse bankpas een andere pin te kiezen dan die voor de bankpas die je netjes thuis bewaart om elektronisch mee te bankieren. Zo creëer je in essentie dezelfde veiligheid als een digipas-systeem, zoals dat bij de meeste andere banken het geval is.

Omdat de creatie van jouw eigen digipas-systeem geen standaardmethodiek binnen de bank betreft, moet je een en ander waarschijnlijk wel persoonlijk bespreken met een bankmedewerker op jouw lokale bankkantoor. Extra bankpassen die je online aanvraagt, bieden namelijk standaard toegang tot elektronisch bankieren. Op expliciet verzoek kan deze functie echter evengoed worden uitgezet. Ook dan verdient het echter aanbeveling om met enige regelmaat te blijven controleren of deze extra dagelijkse bankpas daadwerkelijk uitgezonderd blijft van toegang tot elektronisch bankieren. Een overijverige bankmedewerker kan namelijk per abuis besluiten om jouw extra pas alsnog de volledige toegang te verlenen tot elektronisch bankieren. Zolang je daar dan niet achter komt, ben je nog even ver van huis als zonder extra pas.

Art Huiskes is onderzoeksjournalist.

Bron: CustomerTalk
0

Reacties

Logo CustomerTalk

Cookie-instellingen

CustomerTalk maakt gebruik van cookies voor een optimale gebruikerservaring.

Graag vragen wij je toestemming voor het plaatsen van deze cookies.

Accepteren Meer informatie