donderdag 9 februari 2012

Tags

Weekblad

Betalingsverkeer: Internetbankieren

woensdag 31 oktober 2007 15:49

Twee op de drie Nederlanders regelen hun geldzaken via internet. Criminelen bestoken banken met pogingen om die online-rekeningen te kraken. Dat zal alleen maar erger worden, voorspellen experts. Ligt de ruim 74 miljard euro op Nederlandse online-spaarrekeningen voor het grijpen? 'Dit is het topje van de ijsberg.'

Twintig Belgen stonden onlangs raar te kijken toen ze een blik wierpen op hun bankrekeningoverzicht. Ze hadden geen grote bedragen overgeboekt en toch stond er opeens niks meer op hun rekening. Het bleek het werk van de Russische maffia. Met hulp van een computerprogramma wisten de fraudeurs een stuk of twintig rekeningen te plunderen. Alleen al dit jaar werden er in België 23 geslaagde virtuele bankovervallen gepleegd.

Ook in Nederland hebben criminelen het gemunt op internetrekeningen, meer zelfs nog dan in België. Elke dag wordt er wel een bank aangevallen. Slechts heel af en toe komt zo'n geval in de publiciteit. Zo werd in augustus een 'handvol' klanten van ABN AMRO slachtoffer van cybercriminelen die geld van hun rekening haalden. Met speciaal voor de ABN AMRO-site ontworpen spionagesoftware liftten fraudeurs met klanten mee naar binnen toen die de toegangscodes intoetsten (zie 'Vileine virussen en nepwebsites' op pagina 64). Ook in maart waren vier ABN AMRO-klanten de klos. Fraudeurs zouden, naar verluidt, duizenden euro's hebben buitgemaakt. ABN AMRO houdt het op 'kleine bedragen'. Volgens de bank gebruikten de getroffen klanten verouderde besturingssystemen en internetbrowsers.

In september was het de Postbank die onder vuur lag. Klanten kregen bij het inloggen op de betaalsite een scherm te zien waarin zij beveiligingscodes, de zogeheten TAN-codes, moesten invullen. Het ging hier echter om een vals invoerscherm, dat de gegevens rechtstreeks naar de fraudeurs doorstuurde. De Postbank waarschuwde haar klanten direct. Bij niemand werd geld van de rekening gestolen, aldus de bank.

Hoe vaak criminelen erin slagen geld te ontfutselen van Nederlandse internetrekeningen is niet bekend. Banken houden dat angstvallig geheim, bang als ze zijn voor slechte publiciteit. De bekende fraudegevallen zijn 'incidenten', zeggen ze. Sterker nog, Nederland heeft volgens hen een van de veiligste systemen ter wereld, zo niet het veiligste, om te internetbankieren. Bovendien wordt er achter de schermen hard gewerkt om criminelen op afstand te houden en de rekeningen nog beter te beveiligen. Over hoe de banken dat precies doen, laten ze weinig los. Dat zou criminelen maar in de kaart spelen. Ga gerust door met internetbankieren, is de boodschap. In Nederland is weinig aan de hand.

Maar is dat echt zo? Zijn Nederlandse bankrekeningen inderdaad zo goed beveiligd dat rekeninghouders zich geen zorgen hoeven te maken? Richten fraudeurs hun pijlen liever op landen als Frankrijk, Duitsland of de Verenigde Staten, waar internetbankieren nog niet werkt met geavanceerde machientjes en eenmalige cijfercombinaties (zie 'Geheimtaal' op pagina 66)?

Het antwoord is nee. Nederland is juist verrassend aantrekkelijk voor cybercriminelen en zal alleen maar interessanter worden. 'De gevallen die we nu hebben gezien, zijn het topje van de ijsberg,' zegt Uriel Maimon, zelf ooit een fervent hacker en nu onderzoeker bij beveiligingsbedrijf RSA Security, dat voor banken online-criminelen opspoort. 'Over zo'n anderhalf jaar zullen Nederlandse banken nog veel meer onder vuur komen te liggen. Het zal dan lijken of die aanvallen uit het niets komen, maar dat is niet zo.'

Banken worden constant bestookt, elke dag ligt er wel een bank onder vuur, stelt Maimon. In het Anti-Fraud Command Center van RSA nabij Tel Aviv monitoren tientallen medewerkers, in opdracht van banken over de hele wereld, waaronder ING Bank en de Postbank, dag en nacht de acties van internetcriminelen. Maimon: 'Soms wordt een geval openbaar, zoals onlangs bij ABN AMRO. Maar er speelt zich veel meer af onder de oppervlakte.' Of de aanvallen ook succesvol zijn, kan Maimon niet zeggen. Maar hij vermoedt van wel.

Waarom kwam bijvoorbeeld ABN AMRO dit jaar twee keer in de publiciteit door een cyberaanval? Toeval, volgens de bank. 'Alle banken worden geraakt door cybercrime,' zegt Max Mouwen, hoofd van ABN AMRO's afdeling internetbankieren. 

Computerklunzen
Dat Nederland nu en in de toekomst een interessant doelwit is, heeft meerdere redenen. Zo zijn Nederlanders simpelweg enthousiaste gebruikers van internetbankieren, meer dan inwoners van andere landen. Twee van de drie klanten regelen hun bankzaken via het web (zie 'Internet in de lift' op pagina 64). Dat zal de komende jaren waarschijnlijk toenemen tot 85 à 90 procent. Alleen senioren en stugge digibeten zullen vasthouden aan de papieren acceptgiro's en overschrijfkaarten. Maar omdat banken daar steeds vaker geld voor vragen, zullen zelfs de ware computerklunzen overstag gaan.

Nederlanders bankieren niet alleen massaal via internet, ze doen dat ook nog eens intensief, zo blijkt uit recent onderzoek van De Nederlandsche Bank (DNB): 90 procent regelt vrijwel alle bankzaken online en 70 procent maakt minimaal een keer per week gebruik van internetbankieren.

Op al die online-rekeningen staat een gigantisch bedrag. Van de betaalrekeningen wordt dat niet precies bijgehouden. Wel is bekend dat alleen al op de internetspaarrekeningen aan het eind van 2006 maar liefst 74 miljard euro stond (zie 'Spaargeld vaker online' op pagina 64).

Dat geld is bovendien razendsnel over te boeken. Een bedrag dat een klant overmaakt kan al binnen enkele seconden op een andere rekening staan. Ter vergelijking: in de Verenigde Staten, waar internetbankieren nog in de kinderschoenen staat, kan een transactie dagen, soms wel een week duren. Intussen kunnen banken controleren of de overboeking wel in de haak is. Bij creditcardbetalingen, waar ook zoveel tijd wordt genomen, gaat daardoor de helft van de frauduleuze betalingen niet door. Die tijd hebben de Nederlandse banken door hun rappe overboekingen niet. ABN AMRO schakelde afgelopen maart, na de online-inbraak, de functie om spoedbetalingen te doen niet voor niks tijdelijk uit. Te fraudegevoelig.

Nederlandse banken pronken graag met hun fraudebestendige betaalmethode, waarbij klanten alleen kunnen inloggen met een paslezer, hun pincode en een eenmalige cijfercombinatie. Daardoor zou internetbankieren zo goed als onkraakbaar zijn. Deels klopt dat. Phishing , waarbij criminelen via bijvoorbeeld namaak-e-mails wachtwoorden proberen te achterhalen, is in Nederland zo goed als kansloos. Als het een fraudeur al zou lukken om een wachtwoord te stelen, is die code een paar seconden later al niet meer bruikbaar. De Postbank werkt weliswaar met vaste wachtwoorden, maar klanten hebben bij betalingen een zogeheten TAN-code nodig, die bij elke transactie weer anders is. 

Onzichtbare programmaatjes
Nieuwe, geavanceerdere methodes echter - kleine, onzichtbare programmaatjes die criminelen installeren op thuiscomputers - weten precies wanneer iemand inlogt. En liften dan ongemerkt mee naar binnen. Een paslezer, eenmalig wachtwoord en pincode voldoen dan niet langer als slot op de kluis.

'Nederlandse banken vertrouwen volledig op eenmalige wachtwoorden,' zegt Maimon. 'Maar als criminelen eenmaal het systeem zijn binnengedrongen, kunnen ze doen wat ze willen.' Banken monitoren volgens hem te weinig of transacties legitiem zijn.

Pas als klanten beginnen te klagen, wordt duidelijk dat er fraude in het spel is. Maar dat is nou net een van de knelpunten: heel veel mensen hebben helemaal niet door dat ze zijn beroofd. Vaak beperkt de diefstal zich tot relatief kleine bedragen van een paar honderd of hooguit enkele duizenden euro's.

Een groot fraudegeval bij de Zweedse bank Nordea toont dat maar al te goed aan. Afgelopen januari kwam die bank erachter dat er bij 250 klanten in totaal 800.000 euro was gestolen. De diefstal vond plaats in een periode van vijftien maanden, waarin een groot aantal kleine transacties was gedaan. Nordea dacht al die tijd dat haar klanten die overboekingen gewoon zelf deden. Maar in werkelijkheid was het spionagesoftware die ongehinderd zijn gang kon gaan. Het is de grootste online-kraak ooit. Althans, voor zover bekend. 'Duitse en Britse banken hebben nog veel grotere verliezen geleden,' beweert Ingmar Borelius van Nordea. Maar ze wisten die beter geheim te houden.

Nederlandse banken gaan in elk geval op zoek naar grondiger manieren om hun bankrekeningen te beveiligen. De veilig geachte rekenkastjes moeten nóg fraudebestendiger worden. Zo krijgen alle drie miljoen klanten van ABN AMRO volgend jaar zomer een nieuwe paslezer. Die moeten ze aansluiten op hun computer via een usb-kabeltje. Klanten wordt bij elke transactie gevraagd om te controleren of het bedrag op het computerscherm en het paslezerschermpje overeenkomen. ABN AMRO hoopt hiermee de man-in-the-browser -methode, die fraudeurs in augustus op de bank loslieten (zie 'Vileine virussen en nepwebsites' op pagina 66), uit te schakelen.

Banken overwegen bovendien om in de toekomst ook een biometrisch element, bijvoorbeeld een vingerafdruk, toe te voegen. Of dat veel nut heeft, moet nog blijken. Ook zo'n vingerafdruk bestaat immers uit digitale informatie van eentjes en nulletjes, en is dus door spionagesoftware te kraken.

Hoe geavanceerd de kastjes ook worden, criminelen zullen altijd een kiertje vinden. Na de recente aanvallen op ABN AMRO en de Postbank hebben dan ook vrijwel alle Nederlandse banken RSA benaderd om voor hen de gevaren van de boze buitenwereld in de gaten te houden. Maimon: 'We praten nu met enkele banken om voor hen de beveiliging te verbeteren.'

Haast is daarbij geboden. In landen als Duitsland en het Verenigd Koninkrijk voeren banken nu nieuwe, geavanceerde systemen in die fraudeurs op afstand moeten houden. Criminelen die tot nu toe vooral daar actief waren, zullen hun activiteiten deels verplaatsen naar Nederland, zo is de verwachting.

'Honderd procent beveiliging bestaat niet. Niet in de fysieke en ook niet in de elektronische wereld,' zegt Jochem Binst, van het Belgische Vasco, dat voor vrijwel alle banken de wachtwoordapparaatjes fabriceert. 'De kans dat je in een steegje van je portemonnee wordt beroofd, is nog altijd vele malen groter dan dat je rekening wordt geplunderd.'

Die gedachte willen banken er bij hun klanten inhouden. Ze doen er alles aan om hun methodes veilig te houden, of op zijn minst veilig te laten lijken. Alles beter dan het scenario waarin klanten het vertrouwen in internetbankieren verliezen en weer teruggaan naar de bankkantoren om een bedrag over te maken. Want dat is vele malen duurder dan online-fraude ooit zal kunnen worden.

Zo houdt u uw rekening veilig: www.elsevier.nl/internetbankieren

Kader bij artikel: 

Wat kunt u doen?
Als cybercriminelen een rekening leegroven, neemt de bank de schade in principe voor haar rekening. Dat is niet zonder meer het geval als het slachtoffer criminelen vrij spel gaf door bijvoorbeeld bijlagen van malafide mailtjes te openen, ondanks waarschuwingen van de bank. Voorzichtigheid is daarom geboden. Met een paar voorzorgsmaatregelen verkleint u de kans dat uw rekening wordt geplunderd.

  • De meeste methodes waar internetcriminelen zich van bedienen, werken alleen op computers zonder veiligheidsmaatregelen of met verouderde programma's, zoals Windows 2000. Daarin zitten veiligheidslekken waarvan criminelen listig gebruik maken. Zorg daarom voor een goede firewall en een antivirusprogramma - gratis te downloaden op download.com - en houdt deze actueel door ook alle updates te downloaden . Doe dat ook met het besturingssysteem en de webbrowser. Zo krijgen fraudeurs moeilijker toegang tot uw computer.
  • Ga altijd na of de internetverbinding beveiligd is bij bankieren of betalen via internet. Dat is het geval als het webadres begint met ' https :' in plaats van 'http:'. Bovendien verschijnt er dan een hangslotje in de webbrowser. Derden kunnen de verzonden gegevens dan niet onderscheppen.
  • Tik het webadres van de bank altijd zelf in de browser. Klik in e-mails nooit op links naar de site van de bank; die kunnen naar valse websites leiden waarmee criminelen gegevens achterhalen.
  • Check uw saldo regelmatig en controleer rekeningafschriften nauwgezet. Criminelen schrijven vaak kleine bedragen af, zodat de fraude niet snel wordt opgemerkt. De meeste banken vergoeden fraude alleen als deze binnen een paar dagen na ontvangst van het rekeningafschrift is gemeld.

Geheimtaal
Wisselende inlogcode geeft extra veiligheid
Om in te loggen op de website van de bank en transacties te bevestigen, hebben klanten van de meeste Nederlandse banken een steeds wisselende code nodig. Die wordt door een speciaal apparaatje berekend. Hoe weet de website van de bank of de ingevoerde code klopt?

De klant moet zijn bankpas plus pincode in het apparaatje invoeren om een code te laten berekenen. Met behulp van informatie op de chip van de pas 'weet' het apparaatje of de pincode klopt. Als dat het geval is, berekent het apparaatje een code aan de hand van de informatie op de chip en het tijdstip . Omdat tijd een rol speelt in de berekening, is elke code beperkt geldig. Hoe lang dat is, zeggen banken niet.

De informatie op de chip van de pas is ook opgeslagen op de netwerkcomputer van de bank. Daardoor kan de bank dezelfde berekening maken als het apparaatje en vervolgens de ingevoerde code met de berekende code vergelijken. Klopt de code, dan krijgt de klant toegang tot de website of kan hij betalingen bevestigen.

Vileine virussen en nepwebsites
Hoe cybercriminelen u geld afhandig maken
Internetfraudeurs bedienen zich van geniepige programmaatjes om rekeningen van nietsvermoedende mensen die internetbankieren leeg te roven. Zo bestookten ze klanten van ABN AMRO met een computervirus dat in actie komt zodra de klant het webadres van de bank heeft ingetypt. Bij zo'n zogeheten man in the middle -aanval leidt het virus het slachtoffer naar een namaakwebsite, identiek aan die van de bank. Zodra een klant daarop probeert in te loggen, krijgt hij een foutmelding. Onzichtbaar voor het slachtoffer hebben de criminelen intussen ingelogd op de echte banksite en een overboeking klaargezet. Na de foutmelding krijgt het slachtoffer het verzoek opnieuw 'in te loggen'. Door dat te doen, bevestigt het slachtoffer de frauduleuze overboeking. Bij ABN AMRO wordt dezelfde code gebruikt om in te loggen en transacties te bevestigen.

Fraudeurs proberen dezelfde bank daarnaast te bestelen met een man in the browser -aanval. Daartoe infecteren ze computers met een zogenoemd Trojaans paard, een malafide programma dat zich ongemerkt in een computer nestelt als de eigenaar dubieuze software downloadt of een e-mailbijlage opent. Het programma houdt bij welke websites het slachtoffer bezoekt. Zodra hij inlogt op de website van de bank, stuurt het een tweede programma naar de computer. Dat opent een scherm met een foutmelding. Achter de schermen zijn de criminelen ingelogd op de echte banksite, waar ze een overboeking hebben klaargezet. Die bevestigt het slachtoffer ongemerkt als hij opnieuw probeert in te loggen.

Klanten van de Postbank moeten oppassen voor een virus dat na het invoeren van gebruikersnaam en wachtwoord op de banksite een vals scherm geeft. Daarin worden 'ter controle' enkele zogeheten TAN-codes gevraagd. Met deze codes bevestigen Postbankklanten hun transacties; wie zijn codes in het valse scherm invoert, geeft cybercriminelen dus vrij spel om malafide overboekingen te doen. Deze vorm van fraude is bij steeds minder klanten mogelijk. De meeste krijgen bij elke transactie een sms'je met een TAN-code - ze kunnen dus geen toekomstige codes invoeren. Alleen klanten die nog een ouderwetse papieren lijst met codes hebben, kunnen slachtoffer worden van een dergelijke aanval.

Even duur
Internetbankieren leidt niet tot verlaging van banktarieven
Toen internetbankieren zo'n zes jaar geleden populair werd, moesten klanten daar nog fors voor betalen. Postbank en Rabobank vroegen 48 gulden (21 euro) per jaar voor de mogelijkheid tot internetbankieren; ING rekende zelfs 72 gulden (32 euro). Vreemd, want wie zijn geldzaken via internet regelt, neemt de bank veel werk uit handen. Vroeger handelde personeel overboekingen af aan de balie; klanten die internetbankieren doen dat zelf - en dus goedkoper - met een druk op de knop.

Het ligt voor de hand dat de banktarieven door die kostenbesparing omlaag kunnen. Dat zit er volgens de banken echter niet in, want op particuliere betalingen zeggen ze verlies te maken. Bovendien zouden het ontwikkelen van bankiersoftware en de beveiliging daarvan duur zijn.

Korting op hun betalingsverkeer krijgen klanten vooralsnog dus niet, maar ze worden vaak wel op een andere manier beloond. De meeste banken geven internetbankierders een hogere spaarrente.

 

Door Jorien Apperloo, Bart Reijnen


leadImage

 reacties

Commentaren Philip Willems

Bevriezen alle uitkeringen en lonen te simplistisch

advertentie





leadImage

 reacties

weblog Zeker weten

God het Opperwezen versus groene mannetjes

leadImage

 reacties

weblog Brussels Blog

Banenplannen voor een Hollands Europa

Commercieel dossiers

Hier vindt u diverse dossiers van onze adverteerders

Werken in Finance - ICT, topbanen voor u geselecteerd
Wonen & Design, tips voor uw interieur
Franchise starten / Eigen onderneming beginnen