Pagina Menu

Veilig bestaat niet

In onze moderne informatie­maatschappij worden enorme hoeveel­heden gegevens opgeslagen en gecommuniceerd via het internet. Vaak gaat het daarbij om gegevens die we niet zomaar met derden willen delen, zoals persoonlijke of financiële gegevens. Iedereen vraagt zich daarom wel eens af of internetbankieren veilig is, of e-mail afgetapt kan worden en of onze persoonlijke gegevens in het elektronisch patiëntendossier wel goed beschermd zijn. Informatiebeveiliging is noodzakelijk. In de praktijk is informatiebeveiliging door allerlei tegenstrijdige eisen een compromis, waardoor de deur tot misbruik op een kier gezet wordt.

Neem als voorbeeld de vraag of internetbankieren veilig is. Een eenduidig antwoord op deze vraag is niet te geven. We maken met zijn allen massaal gebruik van internetbankieren. Kent u iemand in uw familie of kennissenkring die onlangs het slachtoffer is geworden van misbruik bij internetbankieren? Waarschijnlijk niet. Ook de media berichten er nauwelijks over, terwijl die toch op dit soort zaken verzot zijn. In de dagelijkse praktijk lijkt er dus slechts een klein risico. Maar absolute veiligheid bestaat niet, er is altijd een zeker risico. Hoe groot dat risico is, valt moeilijk te zeggen. Banken lopen niet te koop met dit soort informatie.

Geheimschrift

We kunnen een tipje van de sluier oplichten door te analyseren hoe we internetbankieren. Applicaties voor internetbankieren maken dankbaar gebruik van cryptografie. Gegevens worden eerst in een geheimschrift omgezet, voordat ze over het internet worden verstuurd. De moderne cryptografische algoritmen zijn zo goed, dat ze in de praktijk niet te kraken zijn.

Cryptografie zorgt ook voor authenticatie, waarmee we de identiteit van de partij aan de andere kant van de internetverbinding onomstotelijk kunnen vaststellen. Deze toepassingen van cryptografie zorgen voor een goede beveiliging. Daarnaast wordt er gebruik gemaakt van allerlei aanvullende maatregelen, zoals inlogcodes en wachtwoorden, of een toegangstoken (bijvoorbeeld de random reader van de Rabobank) met bankpas en pincode, of TAN-codes via de mobiele telefoon. Banken hebben wat dat betreft hun zaakjes aardig op orde en veiligheid staat hoog in het vaandel.

Achilleshiel

ip_crimineel.jpg

 

Maar daarmee is de zaak bij lange na niet af. De architectuur van het internet en de internetprotocollen is complex en dateert uit de tijd dat beveiliging nog nauwelijks om aandacht vroeg. Hackers en onderzoekers slagen er dan ook veelvuldig in om nieuwe lekken te vinden. Beveiligde varianten van internetprotocollen zijn er we, maar grootschalige invoering laat op zich wachten.

Techniek biedt oplossingen, maar er is meer nodig dan alleen techniek. De achilleshiel is en blijft de mens, en dat geldt zeker voor leken op het gebied van informatie- en communicatietechniek. Het is wel veel gevraagd om van een leek te verwachten om bij elke transactie via internetbanieren de URL te controleren (of liever nog het IP-adres, immers ook DNS is niet waterdicht) en het certificaat te controleren.

Argeloze gebruiker

Het gevaar zit verder niet zozeer in de communicatie via het netwerk, maar in de computer van de argeloze gebruiker. Er is tegenwoordig een enorme hoeveelheid kwaadaardige software in omloop. Een up-to-date virusscanner en firewall zijn minimale eisen om deze kwaadaardige software buiten de deur te houden. Wat denkt u bijvoorbeeld van een kwaadaardig stukje programma dat alles wat u intikt en schermafdrukken doorstuurt naar een computercrimineel in een ver land? En dan zijn er nog social engineering methoden zoals phishing, waarmee criminelen op slinkse wijze inspelen op het vertrouwen van mensen en allerlei informatie proberen te ontfutselen.

Veiligheid bankpas

Banken verstrekken ons allerlei bankpassen, waarmee we ons geld kunnen storten en opnemen. Zijn die wel veilig? en hoe zit het met de gebruiksvriendelijkheid? De indruk bestaat dat de banken niet wakker liggen als die twee aspecten voor de klant niet zo goed verzorgd zijn. Dat er reden is voor ongerustheid over de veiligheid van uw bankpas, leest u op deze website: tweakers.mobi/nieuws/59621

Er is dus nog voldoende werk om de veiligheid van internetbankieren te verbeteren, maar vooralsnog lijken we er zonder al te grote ongelukken mee weg te komen. Het advies: internetbankier gerust, maar wees bedacht op misbruik en controleer regelmatig uw rekeningoverzicht.

Beveiliging ING omzeilen

Fraudeurs hebben een gat ontdekt in de TAN-beveiliging van ING internetbankieren. Rekeninghouders van ING bank zijn de afgelopen tijd slachtoffer geworden van een listige bankfraude, waarbij de TAN-codes zijn omzeild. De fraudeurs maken daarbij gebruik van Paypal en Click&Buy. Crimesite werd getipt over deze methode en kreeg ook lijsten te zien met inlognamen en wachtwoorden van gedupeerde ING-rekeninghouders.
Rekeningen van ING-klanten werden geplunderd, waarbij bedragen van rekeningen werden gehaald zonder dat er door ING om een TAN-code werd gevraagd. Met zo'n code moet een klant normaal gesproken iedere transactie goed keuren. Waarschijnlijk zijn de gegevens van zeker honderden klanten van ING bij fraudeurs op internet bekend, maar mogelijk veel meer. Zie hier de reactie van ING.

Hoe werkt het?

Het eerste dat de fraudeur nodig heeft zijn de gebruikersnaam en het wachtwoord van de rekeninghouder. Er zijn verschillende manieren om daar aan te komen. Phishing mailtjes zijn emails waarin mensen worden verleid om op nep-websites hun gebruikersnaam en wachtwoord in te voeren. Phishing fraudes zijn het afgelopen jaar spectaculair gestegen.

Een tweede manier werkt met een botnet. Er is speciale software in omloop die het gemunt heeft op ING-gebruikers wier computers geïnfecteerd zijn met een botnet. Die software filtert uit de toetsaanslagen van gebruikers hun inlognaam en wachtwoord en stuurt die naar de computer van de fraudeur. De fraudeur kan normaal gesproken geen geld overmaken. Daarvoor is bij de ING namelijk een zogenoemde TAN-code noodzakelijk, die de bank op papieren lijsten stuurt of naar de mobiele telefoon van de klant zendt.

Maar nu is er een manier gevonden om dit te omzeilen en toch bedragen van nietsvermoedende rekeninghouders op te nemen.

Riskante pop-up

Ziet u tijdens het internetbankieren een pop-up in uw scherm waarin staat dat de bankpas opgestuurd moet worden? Deze melding komt van criminelen. Niet van uw bank. Uw bank vraagt u nooit om uw betaalpas op te sturen.

Omdat de pop-up verschijnt tijdens het internetbankieren kunt u denken dat de melding betrouwbaar is. Toch gaat het hier om een nieuwe vorm van phishing.

Hoe het kan dat deze pop-up verschijnt wordt nog nader onderzocht. Waarschijnlijk zijn de criminelen er in een eerder stadium in geslaagd kwaadaardige software (malware) op de computer te installeren. De malware houdt in de gaten wanneer u naar de website van een bank gaat. De pop-up komt niet van uw internetbankieren site zelf.

Vertrouwt u een bericht niet dat van de bank afkomstig lijkt? Bel uw bank! Controleer of het bericht waar u over twijfelt een betrouwbaar of vals bericht is. Maak een schermafbeelding zodat u later de mededeling aan de bank kan tonen. U kunt de melding doorsturen naar de bank. Misschien is het nodig uw computer te laten controleren en schoonmaken door een specialist. Maak geen gebruik van uw computer tot uw computer weer vrij van malware is.

Factuurfraude

Criminelen sturen u per post een valse factuur, in de hoop dat u die betaalt. Dit kan een factuur zijn waarop bijvoorbeeld het rekeningnummer is aangepast naar een vals rekeningnummer. Een nepfactuur voor een niet-bestaande betalingsverplichting of voor een niet-bestaand bedrijf is ook mogelijk. Uw bank mag het bedrag dat u onterecht heeft betaald niet naar u terug boeken. U heeft namelijk geen automatische incasso afgegeven, maar zelf een betalingsopdracht uitgevoerd en die digitaal ondertekend met uw tancode of scanner. Controleer uw facturen daarom altijd goed.

PayPal

De fraudeur heeft toegang tot een ING-rekening, want hij weet de gebruiksnaam en het wachtwoord. Hij kan de bij- en afschrijvingen zien, maar nog geen betalingen doen. Vervolgens maakt hij een Paypal account aan en vult het ING rekeningnummer in bij Paypal. Paypal stuurt na een paar dagen twee kleine bedragen (tussen 0,01 en 0,20 eurocent) naar die ING rekening, om te verifieren dat degene die het Paypal account opent ook echt toegang tot de ING-rekening heeft. Maar de fraudeur kan de bijschrijvingen zien en zodra die bedragen zijn overgeboekt op de ING-rekening, vult de fraudeur die in op zijn Paypal-account. Daarmee verifiëert Paypal dat de ING-rekening van de fraudeur is.

Vervolgens kan de fraudeur bestellingen plaatsen en betalen met Paypal. De bedragen die met de Paypal rekening worden betaald, worden automatisch afgeschreven van de ING rekening. Er wordt niet om een TAN-code gevraagd.

Click and Buy account

Met de ING-rekening kan de fraudeur een Click and Buy account openen. Ook dat account stuurt een klein bedrag naar de ING-bankrekening ter verificatie. Bij de overschrijving zit een code die de gebruiker online kan zien. De fraudeur vult de code in op de Click and Buy website en Clilck and Buy is actief. Hij gaat shoppen en bestellingen plaatsen.

Cashen

Als hij een afleveradres heeft, kan de fraudeur de bestellingen laten bezorgen. Hij kan ook een nep-onderneming starten met een rekening bij PayPal. Vervolgens plaatst de fraudeur op naam van de ING-klant en rekening nep-orders die via PayPal worden betaald.

Met Click and Buy is het ook mogelijk op Pokerstart, Partypoker of Full Tilt Poker dagelijks een voorschot van US $400 te krijgen, dat later van de bankrekening wordt afgeschreven. Pokersites houden onregelmatige speelwijzen wel in de gaten. Maar de systemen van die sites kunnen geen geleidelijke verliezen waarnemen als frauduleus. Zo kan een fraudeur door online te pokeren tegen vrienden onopvallend verliezen. Periodiek laat de fraudeur grotere bedragen uitbetalen.

Cash-outs

Het binnenhalen van kleine bedragen zal de fraudeur systematisch aanpakken. Uiteindelijk wil hij de opbrengst laten verdwijnen en spoorloos blijven. Dat innen heet in jargon de cash-out

Op internet gaat het overschrijven van fraudegeld vaak via Moneybookers, Alertpay of Liberty Reserve. De reden daarvoor is eenvoudig: op die sites is overschrijven van emailadres naar emailadres mogelijk.

Niemand kan vaststellen wie er precies achter bepaalde transacties zit.

TAN-code

De afgelopen dagen heeft Crimesite uitgelegd hoe botnets werken en hoe die gebruikt worden bij het vergaren van persoonlijke gegevens van gebruikers.

Een informant zegt aan Crimesite: 'Lijsten van gebruikers van banken zoals ING, mét hun wachtwoorden, zijn op internet te koop. Probleem voor de koper is natuurlijk dat die niet weet of die rekeningen al zijn afgesloten doordat er fraude is ontdekt.'

Deze vorm van fraude is alleen mogelijk bij banken die toegang bieden tot internetbankieren zonder dat het bankpasje nodig is om in te loggen. Bij bijvoorbeeld ABN-AMRO moet de gebruiker het bankpasje combineren met de e-dentifier en een code daarvan intikken in de pc. In Nederland is deze fraude alleen bij ING-bank en SNS Bank mogelijk. In Duitsland werkt het bij de Sparkasse evenals bij sommige andere Europese banken.

ING heeft altijd beweerd dat de TAN-codes veilig zijn en een laatste veiligheidsklep zijn tegen fraude. Deze nieuwe vorm van fraude bewijst dat ING internetbankieren ernstige lekken vertoont. Wordt het geen tijd voor ING om af te stappen van die TAN-codes? De bank lijkt zich erop te bezinnen maar laat geen helder 'ja' of 'nee' horen: ING heeft een team van veiligheidsexperts in huis dat zich dagelijks bezig houdt met de veiligheid van internetbankieren en voortdurend aanpassingen doet aan de systemen.

Hoe bankiert u veilig

  • Controleer of u gebruik maakt van een beveiligde internetverbinding.
    Voor het verzenden van gevoelige informatie, zoals uw creditcardgegevens, is het belangrijk dat u gebruik maakt van een beveiligde internetverbinding. Bij een beveiligde internetverbinding staat er https://adreswebsite in de adresbalk van uw browser in plaats van het normale http://adreswebsite. De letter s staat voor secure (Engels voor "veilig"). Bij de meeste browsers ziet u ook een slotje in de adresbalk of onderin in het browserscherm.
  • Controleer of u zich echt op de website van uw bank bevindt.
    Kijk of er geen spelfouten in het webadres staan. Typ bij voorkeur zelf het adres van uw bank in in plaats van het volgen van een link.
  • Volg altijd de instructies van uw bank op bij het doen van betalingen, overschrijvingen enz.
    Als u de betaling correct uitvoert en alles verloopt zoals u gewend bent, dan is het internetbankieren veilig. Stop direct als de procedure niet verloopt zoals u gewend bent. Controleer ook altijd uw af- en bijschrijvingen. Geef rare of opvallende transacties direct door aan uw bank.
  • Controleer altijd nogmaals het ingevulde bedrag, het rekeningnummer en de datum voor u een transactie goedkeurt.
  • Reageer niet op verzoeken om inloggegevens of pincode via de e-mail of telefoon.
    Banken vragen nooit om uw inloggegevens of pincode. Er is dan sprake van oplichterij. Dit soort e-mails wordt phishing genoemd. Op Veilig Bankieren staan voorbeelden van phishingmails.
  • Geef uw persoonlijke (bank)gegevens niet aan onbekende websites.
  • Beveilig uw computer.
    Onder Beveiligen op deze website vindt u meer informatie hierover.
  • Let goed op wanneer u gebruik maakt van een openbare computer.
    Maak geen gebruik van de optie om uw gebruikersnaam en wachtwoord op te slaan, zodat andere gebruikers niet kunnen inloggen op uw bankaccount. Zorg ervoor dat u altijd uitlogt voordat u van de computer wegloopt. Controleer ook goed of de computer gebruik maakt van een beveiligde internetverbinding.

Een storing in Mijn Dealingroom

ABN-AMRO stelt klanten in staat het koersverloop op de AEX en andere beurzen te volgen via het onderdeel Mijn Dealingroom.

Dat onderdeel maakt gebruik van Java-software. Wie veel gebruik maakt van Mijn Dealingroom, wordt aangeraden om regelmatig de Java-cache te legen.

Dit doet u als volgt:
- Ga via Start naar Instellingen (Settings) / Configuratiescherm (Control Panel).
- Dubbelklik op het pictogam Java.
- Open het tabblad General.
- Klik hier op de knop Settings... onderin bij het onderdeel Temporary Internet Files
- Selecteer Delete Files.
- Zorg ervoor dat u alle mogelijkheden heeft geselecteerd en klik op OK.