Internetbankieren: veilig of verraderlijk?

advertisement
Internetbankieren: veilig of
verraderlijk?
Samenvatting:
In de eenentwintigste eeuw rolt geld steeds minder. In plaats daarvan bliept het van het ene account
naar het andere via het internet. Moet je daarbij wakker liggen van bankovervallers met een ICTdiploma?
 Door Nina van Hoof
 15 April 2016
 http://www.zdnet.be/achtergrond/179515/internetbankieren-gek-ofgevaarlijk/?spMailingID=8794621&spUserID=NTU2NDY1NTYzNTIS1&spJobID=901704034&s
pReportId=OTAxNzA0MDM0S0
Online bankieren is een stille insluiper van het internettijdperk. Na het
overwinnen van de initiële argwaan tegenover het beheren van geld via
het riskante wereldwijde web, hebben we de mogelijkheid collectief en
vrij geruisloos omarmd. Zozeer zelfs dat sommige analisten nu het einde
van het cash geld al inluiden. Ik ga hier geen in memoriam schrijven,
maar vast staat dat je tegenwoordig heel wat mogelijkheden hebt om
rechtstreeks je rekening aan te spreken, zonder een stop bij het
plaatselijke bankkantoor en ook zonder je portefeuille boven te halen.
Moeten we speciale beschermingsmaatregelen nemen voor het internetbankieren? Is er een veiligheidsverschil tussen het
gebruik van een browser of een app? Ik sprak met een paar experts om dat uit te spitten. Tussendoor laat ik ook nog wat
streepjes toekomstmuziek horen.
Vaarwel loket
Ook de bankautomaat wordt bedreigd door het salvo aan
nieuwe mogelijkheden via het internet.
Loop het voor jezelf maar eens na: hoe vaak ga je nog langs bij een bankkantoor om met iemand te spreken? Die uitstapjes
waren sowieso al sterk achteruit gegaan sinds de invoer van de geldautomaat, maar zelfs de noodzaak om je fysiek te
verplaatsen voor je financiële beslommeringen is het laatste decennium flink verminderd. Vanuit je woonkamer kan je heel
wat geldzaken regelen.
Digitaal bankieren kende in België zijn koudwatervreesjaren tussen 2000 en 2005. In die periode
startten de meeste banken met het aanbieden van de mogelijkheid om via het internet informatie
op te vragen over bankrekeningen en ook acties uit te voeren als overschrijvingen. Vanaf de
tweede helft van het decennium neemt het gebruik een hoge vlucht. Tegenwoordig heeft het
leeuwendeel van de Belgen al wel eens online zijn geldsituatie gecontroleerd: 91 procent doet
aan thuisbankieren, volgens een recent onderzoek van GfK Belgium. Let wel: het gaat
voornamelijk over internetgebruik via de computer.
Een bank-app vinden we momenteel vaak nog een stapje te ver: 17 procent regelt al eens
bankzaken via de tablet, 13 procent op de smartphone. Daar zal de gekende Belgische traagheid
wel voor iets tussenzitten: in Nederland zijn ze er al lang mee weg, bij ons moet er wat tijd
overgaan voor we ons iets nieuws eigen maken en vertrouwen. Het is dezelfde aftastingsfase
zoals bij het internetbankieren tien jaar geleden.
Aan een beperkt aanbod ligt onze tegenzin alvast niet: zo
goed als elke Belgische bank pronkt met een eigen app en
vaak zelfs met meerdere applicaties om geldzaken te regelen
of andere financiële services te voorzien.
Easy Banking, ING Smart Banking, Belfius Mobile Direct en
KBC Mobile Banking: de apps van de vier grootste banken in
België.
“App is veiliger”
Is de afwachtende houding van de Belg gerechtvaardigd? Is
een app gebruiken minder veilig dan via een browser naar
een website te surfen bij het internetbankieren? Ik ging te
rade bij twee veiligheidsexperts: Eddy Willems van G Data en Geoffrey Van Beylen van Fortinet. Zij gaven een gelijkaardig
en verrassend antwoord. “Eerlijk gezegd: voorlopig valt het verschrikkelijk goed mee met die onveiligheid op mobiele
toestellen,” zegt Willems. “Ik durf zelfs te stellen dat het bijna veiliger is om een app te gebruiken dan om via een browser je
geld te hanteren.”
Van Beylen beaamt die analyse: “Angst is onnodig, zowel bij mobiel bankieren als via de browser. Apps hebben op vlak van
veiligheid een voetje voor omdat ze volledig door de bank zelf zijn geschreven. De code die achter apps zit, is veel diverser
dan bij de websites die je via een browser laadt.” Willems: “Die variatie maakt de vertaalslag voor de cybercrimineel
moeilijker en zorgt ervoor dat deze het vaak niet waard acht om voor één bepaalde applicatie malware te gaan schrijven. Het
hacken van een browser is voor hen relatief gezien veel eenvoudiger en dus winstgevender.” Ook de browserversie van
online banking kan op een stevige veiligheidsgordel rekenen, in de vorm van een https-encryptie. Je merkt deze meteen op
door het slotje dat verschijnt in de webadresbalk van je browser.
“Je moet bij de veiligheid van apps wel een kanttekening maken,” stelt Van Beylen. “Het risico is voor elk mobiel
besturingsysteem anders. Android is wereldwijd het populairste systeem en trekt momenteel de meeste cyberaanvallen aan,
ook al is dat nog lang niet zoveel als op computers. Bovendien is er veel minder controle op de apps die in de Google Play
store verschijnen, in vergelijking met de appwinkel van concurrent Apple.”
Websitebezoeken aan je online rekening zijn afgeschermd door https-encryptie.
Gouden knipoog
Een van de hoekstenen van de beveiliging van internetbankieren, en data in het algemeen, is het authenticatieproces. De
manier waarop een programma vaststelt dat je wel degelijk de persoon bent aan wie een bepaalde rekening is gekoppeld, is de
afgelopen jaren sterk verbeterd. Dat is voor een groot deel aan de digipass te danken, de kaartlezer die voor jou unieke
wachtwoorden genereert.
Een buzzwoord dat je in dat verband regelmatig hoort vallen, is biometrie: het gebruik van lichaamskenmerken om personen
te identificeren. Vingerafdruksensoren zijn tegenwoordig op vele premiumsmartphones te vinden, maar ook irisscanners en
gezichtsherkenning zijn technologieën die men nu op punt brengt en integreert in toestellen. Ook voor internetbankieren zou
biometrische identificatie wel eens een volgende stap kunnen zijn – geen digipass, maar een scan van je vinger, je oog of je
gezicht om je rekening tevoorschijn te halen.
Zowel Willems als Van Beylen kunnen zich een dergelijke evolutie voorstellen. “Een van de eerste toepassingen daarvan is
Apple Pay dat vingerafdrukken gebruikt en er zullen in de toekomst zonder twijfel meer alternatieven komen die gebruik
maken van biometrie. Op dit moment is het voornamelijk de hardware die vaak nog niet geoptimaliseerd is voor dergelijke
functies,” aldus Van Beylen.
Het gebruik van vingerafdrukken als sleutel tot je geld zal de komende jaren zonder twijfel toenemen.
Bank rond je pols
Terwijl we nog weifelend bank-apps gadeslaan, marcheert de technologie verder. Ondertussen zijn er al weer nieuwe
mogelijkheden waar we ons aan moeten aanpassen. Mobiel betalen, bijvoorbeeld, waarbij je je smartphone gebruikt om
aan een rekening te voldoen. Dat doe je onder andere door een QR-code te scannen of de NFC-functie van je mobiel toestel
te gebruiken.
Technologiereuzen als Apple en Samsung zijn al op de kar gesprongen en ook de Belgische banken hebben proefprojecten
lopen rond diverse betaalmogelijkheden voor smartphones. Daarnaast heeft een speler als Bancontact ook zijn eigen app klaar
om je geld mobiel te spenderen.
Misschien hoort daar binnenkort ook je smartwatch bij. Bank-apps voor slimme horloges bestaan, maar zijn doorgaans vrij
basic en hebben niet veel functies. In België is er één bank die momenteel iets dergelijks aanbiedt, namelijk Belfius. Heb je
als klant de Belfius Direct Mobile app op je smartphone met Android 4.3 of hoger, dan kan je op een Android Wear horloge
je rekening bekijken via een gesynchroniseerde app. Je krijgt geen getallen te zien, wel een balkje dat aangeeft of je onder of
boven een zelfingevoerde limiet zit. Eerder een gimmick dan echt handig, maar het is niet ondenkbaar dat je op termijn ook
met je smartwatch zou kunnen betalen. Die hoef je alvast niet eerst uit je broekzak of handtas op te duikelen.
Via NFC kan je contactloos betalen met je smartphone.
Gezond verstand
Eigenlijk kan je met een gerust hart online je geld beheren, zo benadrukken beide veiligheidsexperts. Zowel bankwebsites als
apps zijn zeer robuust gebouwd. Gevaar voor dieven via hacking of malware is bijna onbestaande, alhoewel niet onmogelijk.
Zolang je je houdt aan de basisregels om je computer of mobiel toestel te beschermen, kan er je op dat vlak weinig
overkomen. Maar hier komt er wel een aap uit de mouw: “Blijkbaar hebben we niet dezelfde houding tegenover veiligheid
als het op onze smartphones aankomt,” zegt Willems.
“Veel mensen hebben bijvoorbeeld geen enkel securitypakket op hun telefoon staan zoals een virusscanner. Terwijl dat toch
maar een minimale impact op de snelheid van je toestel heeft en er genoeg aanbod op dat vlak is, zowel betalend als gratis.
Ook een gesloten platform als iOS profiteert van een dergelijke bescherming. Veel iPhone-eigenaars hebben een vals gevoel
van veiligheid. De eerste barstjes zijn echter al verschenen: de app store is niet vrij van malware. Je kan beter voorbereid zijn,
dan nadat het kwaad geschied is, te moeten opkuisen.”
Van Beylen is het eens met Willems: “Te weinig mensen hebben een antivirus op hun smartphone staan, dat kan beter. Een
persoonlijke stelregel die ik ook altijd volg als het over dergelijke gevoelige gegevens gaat: voer deze nooit in op een toestel
van iemand anders. Je weet nooit wat voor programma’s daar opstaan. Dat is veel onveiliger dan pakweg je bank-app te
gebruiken via een openbaar wifinetwerk.”
Mailvissers
De kans dat je rekening door een hacker wordt leeggeplunderd via een virus of malware is dus klein. Waar je wel uit je
doppen voor moet blijven kijken, is phishing.
Phishing is het fenomeen waarbij criminelen via e-mails of telefoontjes je bankgegevens proberen te ontfutselen om met je
geld aan de haal te gaan. Tegenwoordig gaat het niet meer om Afrikaanse prinsen in nood die je in gebrekkig Engels hun
familiefortuin beloven, als je hen even wat geld kan lenen. Phishers zijn heel wat sluwer geworden. Ze hebben hun
technieken aangescherpt en de mails die ze je sturen, lijken vaak op het eerste zicht ook authentiek genoeg om je om de tuin
te leiden. Toch zijn er enkele details die een phishingmail vaak verraden. Slecht taalgebruik is daar een van.
Waarom haal ik net dat punt aan? Het is de clou van de merkwaardige evolutie van internetfraudegevallen in België tijdens
2012 en 2013. In die twee jaren schoot het aantal online fraudemisdrijven pijlsnel omhoog. Het aantal aangegeven gevallen
van via internet gestolen geld, lag respectievelijk tien en twintig maal hoger dan de voorbije jaren. Dat alles valt in 2014 weer
terug naar het niveau van voor de ongewone piek. De reden: een gewiekste phishingbende.
(Bron: Febelfin) Eén bende welbespraakte phishers krikte in twee jaar tijd de fraudecijfers enorm op.
Tien voor taal
Uitgerekend hun taalkennis was het sterke punt van de succesvolle oplichters: ze konden in keurig Nederlands hun
slachtoffers overtuigen om hun instructies in mails en aan de telefoon te volgen. Zo maakten ze op twee jaar tijd enkele
miljoenen euro’s buit bij meer dan 1.000 slachtoffers. De politie slaagde er eind 2014 in om de bende op te rollen in een
gecoördineerde invalactie op verschillende locaties in Nederland.
Bijzonder was dat ze daarbij ook de kopstukken van de criminele organisatie in de handboeien konden slaan, iets wat
daarvoor nog niet was gelukt bij phisingmisdrijven. Nadat de bende achter tralies zat, nam het aandeel aan gestolen geld door
phishing met 85 procent af.
Aanwijzingen verzamelen
Hoe identificeer je nu een phishingmail? Zoals ik hierboven al zei, is het taalgebruik niet altijd een goed richtpunt. Je vindt
verschillende tips op www.safeinternetbanking.be, samengesteld door Febelfin, de Belgische federatie van de financiële
sector. Maar die aanbevelingen zijn vrij algemeen, zoals het feit dat je bank nooit naar je gegevens zal vragen of dat je te
allen tijde een anti-virusscanner op je computer zou moeten hebben staan. Daarom compileer ik hieronder nog enkele
praktische aanwijzingen die een phishingpoging verklikken.
1.
De mail bevat een misleidende domeinnaam. Phishers gebruiken officieel klinkende URLs om slachtoffers in de val te
lokken. Afgeleide webadressen van officiële bedrijven eindigen altijd op de zogenaamde moedersite in hun URL –
bijvoorbeeld “info.microsoft.com”. Wanneer je een bekende naam in een websiteadres terugvindt aan het begin van de
URL, “microsoft.info.com”, dan zit er een luchtje aan.
2.
Check de hyperlink(s) in de mail. Je kan nagaan of de gelinkte URLs matchen met hun eigenlijke adres door je muis over
de link te laten zweven. Als de gelinkte website niet overeenkomt met de ingesloten URL in de mail, dan mag je
achterdochtig worden. Als je denkt dat er iets niet in de haak zit, kan je ook de website zelf controleren door op
verschillende pagina’s te klikken. Oplichters doen vaak niet de moeite om een volledige site na te bouwen.
3.
Het aanbod is te mooi om waar te zijn. Oplichters proberen je ondoordachte dingen te laten doen door je schrik aan te
jagen of euforie op te wekken. Geluk bestaat, maar als dat in de vorm van een slecht geformuleerde mail komt, is
voorzichtigheid de boodschap. Dat geldt ook voor het tegendeel: enorme pech. Zo deed er tijdens deze kerstperiode een
valse mail de ronde van elektronicaketen Saturn, waarbij ontvangers een betalingsbevestiging voor een aankoop van
4.
honderden euro’s kregen. Bedoeling was dat ze in paniek op de factuurbijlage met virus zouden klikken.
M2 vs M1. Word je uitgenodigd om je ergens in te loggen met je kaartlezer en krijg je instructies om daarbij de M2-knop
van het apparaat te gebruiken, dan zit het fout. Je gebruikt de M1-knop voor het aanmeldingsproces, de M2-knop dient
om betalingen te bevestigen.
Vermoed je dat je het slachtoffer bent geworden van een phisher? Elke bank heeft een specifieke pagina op zijn website die
inlichtingen en contactpunten geeft, mocht je dat overkomen. Verder is er ook een overheidsmeldpunt waar je een
internetmisdrijf kan aangeven. Eerst was dat www.ecops.be, maar omdat de dienst overstelpt werd met niet-cruciale vragen,
besliste de politie om dat portaal af te sluiten. Er komt een opvolger voor in de plaats dat zich specifiek op phishing zal
richten op 8 februari 2016. De naam en het websiteadres daarvan is nog onbekend.
Elke bankwebsite heeft een pagina waarop richtlijnen te vinden zijn om phishing te melden.
Muntenketting
We kunnen in deze bespreking over online geldbeheer de ultieme internetmunt niet overslaan: de bitcoin. Het digitale
muntstuk werd in 2008 in het leven geroepen door de mysterieuze Satoshi Nakamoto. Satoshi was de gebruikersnaam die
deze persoon op het internet hanteerde, over de echte identiteit van de man of vrouw is niets bekend. Verschillende media
hebben al eens geclaimd de schepper van de bitcoin te hebben opgespoord, maar geen van die verhalen zijn bevestigd.
Het expliciete doel van bitcoin was om een anonieme munt te creëren waarbij het niet mogelijk was om gebruikers te traceren
en die niet gekoppeld was aan het internationale valutasysteem. Een groot obstakel voor de werking van een dergelijk
anoniem geldmiddel was dat men lange tijd niet wist hoe men fraude kon tegengaan.
Dat vormde de briljante innovatie van Satoshi. Hij bedacht een manier waardoor iedere gebruiker op elk moment wist waar
welke bitcoin zat en er dus geen dubbele munten gespendeerd konden worden: de blockchain. Via het gebruik van
verschillende, verspreidde registers die bijhielden waar de bitcoins zaten, was het mogelijk om misbruik te voorkomen én
anoniem de munten te blijven uitwisselen.
Bitcoin is de ultieme anonieme munt die zowel privacyvoorvechters en criminelen als grootbanken aanspreekt.
Blokkenbank
Bitcoins hebben een slechte naam omdat het een geliefd instrument van de digitale onderwereld is. Denk aan drugsmarkten
op het Deep Web à la Silk Road. Daar kan de komende jaren verandering in komen. Diverse banken hebben al een sterke
interesse getoond in de blockchaintechnologie die bitcoin aanstuurt.
Zo is er het globaal consortium R3 Blockchain, expliciet opgericht om te kijken hoe de techniek geïntegreerd kan worden in
de traditionele financiële sector. Een veertigtal internationale grootbanken sloten zich al bij het initiatief aan, waaronder BNP
Paribas Fortis en ING. Heb je na deze korte introductie zelf zin om meer te weten te komen over de bitcoin, dan kan je heel
wat praktische informatie vinden op www.bitcoinbelgie.be.
Monopoly
Biometrie, mobiel betalen, blockchain: hoe we met ons geld omgaan, zal de komende jaren opnieuw een omschakeling
vragen en ja, misschien zullen bankbiljetten op termijn enkel bij Monopoly terug te vinden zijn. Sta je momenteel nog
terughoudend tegenover het gebruik van websites of apps om je geldzaken te regelen, weet dan dat je je over de veiligheid
van dergelijke programma’s weinig zorgen moet maken, zolang je geen gekke dingen doet. Een aanrader van onze
veiligheidsexperts die we hier graag nog eens herhalen: een virusscanner op je smartphone is echt geen overdreven
maatregel.
Monopoly: binnenkort misschien pure nostalgie?
Download