Naar inhoud

De veiligheid tegenover het gemak van elektronisch bankieren

In de afgelopen maanden hebben verschillende nieuwsmedia meermaals bericht over geraffineerde vormen van misbruik van passen en applicaties voor elektronisch bankieren. Daarvan zijn met name senioren het slachtoffer geworden, zo lijkt het. Hoe kan het dat de banken in Nederland dit soort situaties niet voorkomen en is elektronisch bankieren eigenlijk nog wel optimaal beveiligd? Dat was de allereerste vraag die in mij opborrelde. Naar aanleiding van deze en diverse andere vragen heb ik mij grondig verdiept in de belangrijkste aspecten van elektronisch bankieren.

En raad eens? Ik ben enorm geschrokken van de kwetsbaarheid van elektronisch bankieren. Uit mijn onderzoek blijkt namelijk dat sommige grotere banken de gebruikersveiligheid bewust opofferen ten gunste van het gebruikersgemak. Bij die instellingen lijkt het vooral te draaien om de eenvoud, de toegankelijkheid en het gemak. Begrijp mij niet verkeerd, gebruikersgemak is absoluut een groot goed, maar dit mag mijns inziens nooit ten koste gaan van de gebruikersveiligheid en van de zuur verdiende spaarcenten van de klanten.

Stel je eens voor dat iemand zich aan jouw deur meldt die een pakketje voor je heeft. De bezorger vertelt jou dat je eerst een euro moet pinnen om dat pakketje in ontvangst te nemen. Je laat je uiteindelijk door de vlotte babbeltruc van de bezorger overtuigen, pint een euro en neemt het pakketje in ontvangst. Enkele uren later kom jij tot jouw grote schrik tot de ontdekking dat je bank- en spaarrekeningen volledig zijn leeg getrokken. Of een ander scenario, je pint in een drukke en overvolle winkel aan de kassa en later op de markt word je bijna omver gelopen door een ruziënd stel. Een paar uur later kom je er vervolgens achter dat je bank- en spaarrekeningen volledig zijn leeggehaald. Misschien fictieve scenario's voor jou maar allerminst onwerkelijk, omdat het mensen zoals jij en ik wel degelijk is overkomen.

Voor alle duidelijkheid, wat is er in deze gevallen precies gebeurd? Je bent in eerste instantie waarschijnlijk ten prooi gevallen aan het opslaan of afkijken van jouw pincode. Daarna ben je het slachtoffer geworden van de omwisseling of diefstal van jouw bankpas. In het eerste geval heb je waarschijnlijk gepind op een nep-pinapparaat. Dit valse pinapparaat heeft echter geen betaling uitgevoerd, maar alleen jouw pincode nauwkeurig opgeslagen. De bezorger heeft bij het verwijderen van jouw bankpas uit dit apparaat heel slinks en ongemerkt jouw pas verwisseld met een eender exemplaar van diezelfde bank. In het tweede geval heeft het ene deel van het ruziënde stel al in de winkel tijdens het pinnen over jouw schouder heen je pincode afgekeken. Later, op de markt tijdens de bewust door het paar gecreëerde verwarring, heeft het andere deel van het criminele stel vervolgens jouw bankpas ontvreemd.


Keuzevrijheid in bank maar geen keuzevrijheid in veiligheid van het systeem

Natuurlijk, je belt meteen jouw bank zodra jij je bewust bent van de omwisseling of diefstal van jouw bankpas. Maar dit soort internetcriminelen zijn razendsnel en vaak is het leed al geschied voordat jij je bij jouw bank kunt melden. Kan een dergelijk scenario zich bij alle banken voordoen? Dat vraag jij je nu misschien af. Het onthutsende antwoord daarop is ‘Nee’, want sommige banken zijn vanwege de inrichting van hun faciliteiten voor elektronisch bankieren hiervoor duidelijk gevoeliger dan andere banken. Je moet weten dat banken in hun afwegingen de kosten en het gebruikersgemak soms voor laten gaan op absolute veiligheid.

Het bestaande systeem is met extra gebruikershandelingen of met aanvullende procedures zeker nog een stuk veiliger te maken. Maar de kosten en het gebruikersgemak spelen een grote rol in de keuzes voor de inrichting van het elektronisch bankieren. Deze realiteit betekent dat je als klant daarin maar weinig keuzevrijheden hebt. Behalve de keuze voor jouw bank kun je bijvoorbeeld niet kiezen voor een grotere veiligheid van het elektronisch bankieren. Tenminste, niet zonder veel moeite en met het nodige verstand van zaken. Het gevolg hiervan is dat bij bepaalde banken bepaalde vormen van misbruik meer voor de hand lijken te liggen dan bij andere banken.

ABN AMRO en Rabobank onveiliger vanwege gebruik generieke cardreaders

Voor alle duidelijkheid, inloggen bij de bank via een webbrowser – meestal op een personal computer of een laptop – wordt internetbankieren genoemd. Inloggen via de mobiele bankapp op een smartphone of een tablet wordt mobiel bankieren genoemd. Om in te loggen in de functionaliteit van het internetbankieren kun je bij ABN AMRO, Knab en Rabobank gebruik maken van jouw bankpas plus pincode en een cardreader. Bij ABN AMRO heet dit device overigens een e.dentifier en bij Rabobank een Rabo Scanner.

Wanneer je jouw bankpas in zo'n cardreader steekt en vervolgens jouw pincode intoetst, genereert het apparaat de noodzakelijke inlog- en betaalcodes voor het internetbankieren. Dit geldt eveneens voor bijzondere betalingen binnen het mobiel bankieren. Om daadwerkelijk te kunnen betalen of bedragen over te schrijven moet je bij ABN AMRO en Knab vervolgens nog een code van het beeldscherm overtypen op de cardreader en bij Rabobank een afbeelding van het beeldscherm scannen. Op deze manier identificeer je jezelf als rekeninghouder doormiddel van bankpas plus pincode plus cardreader.

Het feit wil echter dat cardreaders per definitie niet persoonsgebonden, maar generiek van aard zijn. Dat wil zeggen dat elke cardreader van een bank te gebruiken is met elke bankpas plus pincode van klanten van diezelfde bank. In de geschetste scenario's, waarin criminelen net jouw pincode en bankpas hebben bemachtigd, is het gebruik van de juiste generieke cardreader voldoende om de volledige toegang tot jouw bank- en spaarrekeningen te krijgen. In no time kunnen kwaadwillende individuen alle bedragen overgeheveld hebben naar een criminele tussenrekening. Tenminste, zolang jouw gestolen bankpas nog niet door de bank is geblokkeerd.

Om in te loggen via jouw webbrowser – internetbankieren – heb je bij Knab ook nog een gebruikersnaam en een wachtwoord nodig. Een dergelijke voorzorgsmaatregel maakt pasmisbruik, ondanks het gebruik van een generieke cardreader, al een stuk minder aannemelijk.

Hoewel banken zeggen dat ze dergelijke uitzonderlijke transacties in veel gevallen tijdig blokkeren, bestaat hierover in de praktijk maar weinig zekerheid. Bovendien, wil jij afwachten of jouw bank wel of niet tijdig ingrijpt? Je moet dan maar afwachten of je ooit nog iets van jouw gestolen geld terugziet. Bankgaranties zijn tegenwoordig lang niet meer zo stellig als in de begintijd van het elektronisch bankieren. Banken wijzen tegenwoordig al snel met de beschuldigende vinger naar de in hun overtuiging onzorgvuldige klant.

De mantra's waarvan zij zich dan gemakshalve bedienen, bestaan vooral uit verwijten van grove onzorgvuldigheid. Tegenwoordig is financieel misbruik immers bijna altijd het gevolg van ingenieuze babbeltrucs of geavanceerde digitale misleiding. Banken hanteren opportuun dat dit de eigen verantwoordelijkheid van hun klanten betreft. Van oudsher stellen banken zich eigenlijk alleen garant voor de gevolgen van misbruik als direct gevolg van gecompromitteerde banksoftware.

Zelfs als jij alle betalingshandelingen al jaren standaard met jouw mobiele bankapp of mobiel bevestigen – de variant waarbij je bankiert via de webbrowser maar toestemming geeft via de mobiele bankapp – uitvoert, blijft de mogelijkheid voor misbruik met jouw bankpas plus pincode plus generieke cardreader wagenwijd openstaan. Hoewel je cardreaders op het eerste gezicht dus lijkt te kunnen vermijden, blijven de cardreader plus bankpas plus pincode beschikbaar als de gebruikelijke inlog- en betaalmethode. Zowel ABN AMRO als Rabobank bevestigen dat het niet mogelijk is om op speciaal verzoek de e.dentifier of Rabo Scanner definitief als inlogmogelijkheid te verwijderen uit het elektronisch bankieren. Jammer, want dit zou jouw betalingsomgeving een stuk veiliger maken met alleen nog de strikt gepersonaliseerde inlogmogelijkheid van jouw mobiele bankapp.

Complimenten aan ING, SNS, ASN en Regiobank voor gebruik digipassen

Er bestaan echter al heel lang inherent veiligere methoden, die een forse extra hindernis opwerpen voor internetcriminelen. Het betreft hier het gebruik van zogenaamde digipassen voor internetbankieren en voor bijzondere transacties binnen mobiel bankieren. Digipassen zijn gepersonaliseerde digitale apparaatjes die na het ingeven van een 5-cijferige code bepaalde inlog- en betaalcodes genereren. In aanleg is dit vergelijkbaar met cardreaders, maar de digipas plus 5-cijferige code maken géén gebruik van jouw bankpas plus pincode.

Het betreft namelijk een volstrekt onafhankelijke manier van inloggen. Daardoor bewaar je jouw digipas plus 5-cijferige code als vanzelf ook vaker gescheiden van jouw bankpas – lees: thuis. Wat je niet regelmatig gebruikt in een publieke ruimte, kan overeenkomstig ook minder snel worden gecompromitteerd. Qua gebruik is het vergelijkbaar met jouw mobiele bankapp plus 5-cijferige code. Jouw smartphone fungeert in dat geval als digipas.

Ter vervanging van de verouderde TAN-codes die de bank voorheen per sms naar jouw mobiele telefoon zond, biedt ING nu of mobiel bevestigen via jouw smartphone of een zogeheten ING Scanner – een digipas met een kleurencode-scanfunctie – voor mensen zonder smartphone. SNS, ASN en Regiobank bieden al langer digipassen. Daarnaast bieden alle banken mobiel bevestigen aan via jouw smartphone. Het grote voordeel van deze beide systemen is dat zowel jouw smartphone als deze digipassen volstrekt persoonlijk zijn.

Dit betekent dat om in te loggen op jouw rekening je of een 5-cijferige code moet invoeren in jouw mobiele bankapp of een 5-cijferige code op jouw digipas. Omdat de digipassen geen gebruik maken van jouw bankpas plus pincode, is toegang tot jouw rekening via het geschetste misbruik op deze manier onmogelijk. Tel daarbij op dat om in te loggen via jouw webbrowser – internetbankieren – je bij ING een gebruikersnaam en een wachtwoord nodig hebt en het lijkt erop dat deze bank de beveiliging van jouw rekening prima voor elkaar heeft.

Helaas biedt de ING-app dan wel weer als enige de mogelijkheid om via een simpele autorisatie van een QR-code jouw app op een tweede digitaal apparaat naar keuze te installeren. In aanleg handig voor eigen gebruik, maar funest als een internetcrimineel jou een dergelijke QR-code toestuurt. Ondanks duidelijke waarschuwingen hiervoor in de app zijn hier de afgelopen tijd toch aardig wat mensen ingetuind.

Qua veiligheid is het natuurlijk de kat op het spek binden om een gepersonaliseerde, secuur beveiligde bankapp door middel van een op een betalingscode lijkende QR-code op meerdere apparaten te kunnen installeren. Je vraagt je meteen af wie zoiets heeft bedacht. Mijns inziens een majeure – en vooralsnog voortdurende – misser van ING. Maar zoals al gezegd, gebruikersgemak gaat wel vaker voor op gebruikersveiligheid.

Uiteraard kan jouw gestolen bankpas – dit geldt natuurlijk voor iedere bank – nog altijd worden misbruikt om geld te pinnen of artikelen te betalen. Maar tegen deze vorm van fraude kun je tenminste een degelijke dagelijkse limiet instellen, die de schade behoorlijk kan beperken. Een dergelijke optie is standaard beschikbaar bij alle banken.

Per saldo zijn individuele digipassen een stuk veiliger dan generieke cardreaders

Hoewel internetbankieren, mobiel bankieren en mobiel bevestigen op zichzelf erg veilig zijn, kan de mogelijkheid van het standaard toestaan van toegang via een bankpas plus pincode plus generieke cardreader deze veiligheid alsnog ernstig compromitteren. ABN AMRO en Rabobank bieden vooralsnog zo’n zwakkere standaardtoegang, zonder extra voorzorgsmaatregelen zoals Knab wel biedt. Een ketting is helaas maar zo sterk als zijn zwakste schakel.

Generieke cardreaders zijn tegenwoordig daarom de spreekwoordelijke zwakste schakel van het elektronisch bankieren. Natuurlijk zijn ABN AMRO en Rabobank hiervan op de hoogte. Maar gebruikersgemak en invoeringskosten wegen vooralsnog blijkbaar zwaarder dan jouw gebruikersveiligheid. Deze banken spreken al jaren hun voornemen uit om hun cardreader op termijn te vervangen. In het licht van de kwetsbaarheden mag jij je echter afvragen waarom hiermee niet meer haast wordt gemaakt.

Opgemerkt moet worden dat het niet de cardreaders zelf zijn die onveilig zijn. Op zichzelf zijn de cardreaders namelijk erg veilig. Het is vooral de combinatie van een bankpas plus pincode plus generieke cardreader en het regelmatige gebruik van een pas en pincode in een publieke ruimte die het geheel kwetsbaar maakt. Dit is zeker het geval als er geen gebruikersnaam plus wachtwoord zijn vereist om in te loggen op de functionaliteit van het internetbankieren. Dit zorgt voor een kwetsbaarheid omdat het in de praktijk aannemelijk is dat het een vaardige crimineel lukt om deze drie zaken bijeen te sprokkelen.

Digipassen werken daarentegen volstrekt onafhankelijk van een bankpas plus pincode en worden als gevolg daarvan meestal gescheiden – lees: thuis – bewaard. Dit maakt het voor een crimineel op zijn minst noodzakelijk om bij jou in te breken om jouw digipas te bemachtigen, zonder enige garantie dat hij daarmee ook jouw 5-cijferige code verkrijgt. Individuele digipassen werpen daarmee automatisch een effectievere drempel op tegen misbruik van elektronisch bankieren dan generieke cardreaders doen.

Belangrijkste aanbevelingen tegen pasmisbruik en app-misbruik

Pasmisbruik overkomt je, omdat het systeem voor elektronisch bankieren niet waterdicht is. De kortste klap voor de gecompromitteerde banken – ABN AMRO en Rabobank – om hun beveiliging van het internetbankieren op korte termijn te verbeteren, is het invoeren van de verplichting om in te loggen middels een unieke gebruikersnaam en een wachtwoord. Een heel stuk degelijker is natuurlijk de uitrol van digipassen in plaats van de huidige generatie kwetsbare generieke cardreaders.

Het middels een QR-code autoriseren van de bankapp op een tweede apparaat naar keuze – zoals bij ING – kan een stuk veiliger, als het wordt gecombineerd met het gebruik van de al bestaande digipas. Op deze manier is het niet langer aannemelijk dat mensen nog met een snelle babbeltruc worden verleid.

In hun reactie op een voorpublicatie van dit artikel erkennen deze banken in principe het gevaar van misbruik door de combinatie van een bankpas plus pincode plus generieke cardreader. Ze bagatelliseren het tegelijkertijd ook door te stellen dat er door de toename van contactloos betalen tegenwoordig minder gelegenheid bestaat om de pincode af te kijken. Toch moeten pashouders nog regelmatig hun pincode invoeren, als ze hun maximale limiet voor contactloos betalen van 50 euro hebben bereikt.

Daarnaast stellen de banken dat phishing – internetbankieren via een frauduleuze link en website – een veel groter probleem vormt dan pasmisbruik. Dit mag misschien zo wezen, maar tegen phishing kun je jezelf met het nodige gezonde verstand prima beschermen. Pasmisbruik overkomt je, omdat het systeem voor elektronisch bankieren zelf niet waterdicht is.

Wat kun je doen om jezelf beter te beschermen?

Gemakshalve ga ik er vanuit dat je klant bent bij ABN AMRO of Rabobank en dat je geen zin hebt om van bank te wisselen. Wat kun je in dat geval doen om jezelf beter te beschermen? Een bankwissel lijkt mij namelijk een dagtaak, vanwege het op de hoogte brengen van al je betalingscontacten van een gewijzigde bankrekening. Zoals aangegeven kun je als klant van één van deze banken niet zonder meer kiezen voor een inherent grotere veiligheid van het elektronisch bankieren. Tenminste, niet zonder veel moeite en met het nodige verstand van zaken.

Toch is er één ding dat je wel kunt doen. Je kunt jouw bankkantoor namelijk expliciet verzoeken om een extra bankpas zónder standaardtoegang tot elektronisch bankieren. Op deze manier zorg je ervoor dat je uiteindelijk over twee bankpassen beschikt – liefst natuurlijk ook met twee verschillende pincodes – waarvan slechts één bankpas nog toegang geeft tot elektronisch bankieren. In dat geval kun je de door jouw bank gecompromitteerde veiligheid als gevolg van hun generieke cardreader effectief omzeilen.

Immers, als je vervolgens slechts nog dié bankpas – die expliciet géén toegang meer heeft tot internetbankieren – gebruikt om te pinnen op pinapparaten of betaalautomaten, leidt misbruik van deze bankpas plus pincode plus generieke cardreader niet langer automatisch tot toegang tot jouw functionaliteit voor elektronisch bankieren. Overigens kun je dergelijke specifieke voorkeuren of instellingen hoogstwaarschijnlijk niet standaard online regelen en vergt dit wel een persoonlijk bezoek en nadere uitleg aan jouw bankkantoor.

Art Huiskes is onderzoeksjournalist.

Bron: CustomerTalk
0

Reacties

Logo CustomerTalk

Cookie-instellingen

CustomerTalk maakt gebruik van cookies voor een optimale gebruikerservaring.

Graag vragen wij je toestemming voor het plaatsen van deze cookies.

Accepteren Meer informatie