Internetbankieren: veilig of verraderlijk? Samenvatting: In de eenentwintigste eeuw rolt geld steeds minder. In plaats daarvan bliept het van het ene account naar het andere via het internet. Moet je daarbij wakker liggen van bankovervallers met een ICTdiploma? Door Nina van Hoof 15 April 2016 http://www.zdnet.be/achtergrond/179515/internetbankieren-gek-ofgevaarlijk/?spMailingID=8794621&spUserID=NTU2NDY1NTYzNTIS1&spJobID=901704034&s pReportId=OTAxNzA0MDM0S0 Online bankieren is een stille insluiper van het internettijdperk. Na het overwinnen van de initiële argwaan tegenover het beheren van geld via het riskante wereldwijde web, hebben we de mogelijkheid collectief en vrij geruisloos omarmd. Zozeer zelfs dat sommige analisten nu het einde van het cash geld al inluiden. Ik ga hier geen in memoriam schrijven, maar vast staat dat je tegenwoordig heel wat mogelijkheden hebt om rechtstreeks je rekening aan te spreken, zonder een stop bij het plaatselijke bankkantoor en ook zonder je portefeuille boven te halen. Moeten we speciale beschermingsmaatregelen nemen voor het internetbankieren? Is er een veiligheidsverschil tussen het gebruik van een browser of een app? Ik sprak met een paar experts om dat uit te spitten. Tussendoor laat ik ook nog wat streepjes toekomstmuziek horen. Vaarwel loket Ook de bankautomaat wordt bedreigd door het salvo aan nieuwe mogelijkheden via het internet. Loop het voor jezelf maar eens na: hoe vaak ga je nog langs bij een bankkantoor om met iemand te spreken? Die uitstapjes waren sowieso al sterk achteruit gegaan sinds de invoer van de geldautomaat, maar zelfs de noodzaak om je fysiek te verplaatsen voor je financiële beslommeringen is het laatste decennium flink verminderd. Vanuit je woonkamer kan je heel wat geldzaken regelen. Digitaal bankieren kende in België zijn koudwatervreesjaren tussen 2000 en 2005. In die periode startten de meeste banken met het aanbieden van de mogelijkheid om via het internet informatie op te vragen over bankrekeningen en ook acties uit te voeren als overschrijvingen. Vanaf de tweede helft van het decennium neemt het gebruik een hoge vlucht. Tegenwoordig heeft het leeuwendeel van de Belgen al wel eens online zijn geldsituatie gecontroleerd: 91 procent doet aan thuisbankieren, volgens een recent onderzoek van GfK Belgium. Let wel: het gaat voornamelijk over internetgebruik via de computer. Een bank-app vinden we momenteel vaak nog een stapje te ver: 17 procent regelt al eens bankzaken via de tablet, 13 procent op de smartphone. Daar zal de gekende Belgische traagheid wel voor iets tussenzitten: in Nederland zijn ze er al lang mee weg, bij ons moet er wat tijd overgaan voor we ons iets nieuws eigen maken en vertrouwen. Het is dezelfde aftastingsfase zoals bij het internetbankieren tien jaar geleden. Aan een beperkt aanbod ligt onze tegenzin alvast niet: zo goed als elke Belgische bank pronkt met een eigen app en vaak zelfs met meerdere applicaties om geldzaken te regelen of andere financiële services te voorzien. Easy Banking, ING Smart Banking, Belfius Mobile Direct en KBC Mobile Banking: de apps van de vier grootste banken in België. “App is veiliger” Is de afwachtende houding van de Belg gerechtvaardigd? Is een app gebruiken minder veilig dan via een browser naar een website te surfen bij het internetbankieren? Ik ging te rade bij twee veiligheidsexperts: Eddy Willems van G Data en Geoffrey Van Beylen van Fortinet. Zij gaven een gelijkaardig en verrassend antwoord. “Eerlijk gezegd: voorlopig valt het verschrikkelijk goed mee met die onveiligheid op mobiele toestellen,” zegt Willems. “Ik durf zelfs te stellen dat het bijna veiliger is om een app te gebruiken dan om via een browser je geld te hanteren.” Van Beylen beaamt die analyse: “Angst is onnodig, zowel bij mobiel bankieren als via de browser. Apps hebben op vlak van veiligheid een voetje voor omdat ze volledig door de bank zelf zijn geschreven. De code die achter apps zit, is veel diverser dan bij de websites die je via een browser laadt.” Willems: “Die variatie maakt de vertaalslag voor de cybercrimineel moeilijker en zorgt ervoor dat deze het vaak niet waard acht om voor één bepaalde applicatie malware te gaan schrijven. Het hacken van een browser is voor hen relatief gezien veel eenvoudiger en dus winstgevender.” Ook de browserversie van online banking kan op een stevige veiligheidsgordel rekenen, in de vorm van een https-encryptie. Je merkt deze meteen op door het slotje dat verschijnt in de webadresbalk van je browser. “Je moet bij de veiligheid van apps wel een kanttekening maken,” stelt Van Beylen. “Het risico is voor elk mobiel besturingsysteem anders. Android is wereldwijd het populairste systeem en trekt momenteel de meeste cyberaanvallen aan, ook al is dat nog lang niet zoveel als op computers. Bovendien is er veel minder controle op de apps die in de Google Play store verschijnen, in vergelijking met de appwinkel van concurrent Apple.” Websitebezoeken aan je online rekening zijn afgeschermd door https-encryptie. Gouden knipoog Een van de hoekstenen van de beveiliging van internetbankieren, en data in het algemeen, is het authenticatieproces. De manier waarop een programma vaststelt dat je wel degelijk de persoon bent aan wie een bepaalde rekening is gekoppeld, is de afgelopen jaren sterk verbeterd. Dat is voor een groot deel aan de digipass te danken, de kaartlezer die voor jou unieke wachtwoorden genereert. Een buzzwoord dat je in dat verband regelmatig hoort vallen, is biometrie: het gebruik van lichaamskenmerken om personen te identificeren. Vingerafdruksensoren zijn tegenwoordig op vele premiumsmartphones te vinden, maar ook irisscanners en gezichtsherkenning zijn technologieën die men nu op punt brengt en integreert in toestellen. Ook voor internetbankieren zou biometrische identificatie wel eens een volgende stap kunnen zijn – geen digipass, maar een scan van je vinger, je oog of je gezicht om je rekening tevoorschijn te halen. Zowel Willems als Van Beylen kunnen zich een dergelijke evolutie voorstellen. “Een van de eerste toepassingen daarvan is Apple Pay dat vingerafdrukken gebruikt en er zullen in de toekomst zonder twijfel meer alternatieven komen die gebruik maken van biometrie. Op dit moment is het voornamelijk de hardware die vaak nog niet geoptimaliseerd is voor dergelijke functies,” aldus Van Beylen. Het gebruik van vingerafdrukken als sleutel tot je geld zal de komende jaren zonder twijfel toenemen. Bank rond je pols Terwijl we nog weifelend bank-apps gadeslaan, marcheert de technologie verder. Ondertussen zijn er al weer nieuwe mogelijkheden waar we ons aan moeten aanpassen. Mobiel betalen, bijvoorbeeld, waarbij je je smartphone gebruikt om aan een rekening te voldoen. Dat doe je onder andere door een QR-code te scannen of de NFC-functie van je mobiel toestel te gebruiken. Technologiereuzen als Apple en Samsung zijn al op de kar gesprongen en ook de Belgische banken hebben proefprojecten lopen rond diverse betaalmogelijkheden voor smartphones. Daarnaast heeft een speler als Bancontact ook zijn eigen app klaar om je geld mobiel te spenderen. Misschien hoort daar binnenkort ook je smartwatch bij. Bank-apps voor slimme horloges bestaan, maar zijn doorgaans vrij basic en hebben niet veel functies. In België is er één bank die momenteel iets dergelijks aanbiedt, namelijk Belfius. Heb je als klant de Belfius Direct Mobile app op je smartphone met Android 4.3 of hoger, dan kan je op een Android Wear horloge je rekening bekijken via een gesynchroniseerde app. Je krijgt geen getallen te zien, wel een balkje dat aangeeft of je onder of boven een zelfingevoerde limiet zit. Eerder een gimmick dan echt handig, maar het is niet ondenkbaar dat je op termijn ook met je smartwatch zou kunnen betalen. Die hoef je alvast niet eerst uit je broekzak of handtas op te duikelen. Via NFC kan je contactloos betalen met je smartphone. Gezond verstand Eigenlijk kan je met een gerust hart online je geld beheren, zo benadrukken beide veiligheidsexperts. Zowel bankwebsites als apps zijn zeer robuust gebouwd. Gevaar voor dieven via hacking of malware is bijna onbestaande, alhoewel niet onmogelijk. Zolang je je houdt aan de basisregels om je computer of mobiel toestel te beschermen, kan er je op dat vlak weinig overkomen. Maar hier komt er wel een aap uit de mouw: “Blijkbaar hebben we niet dezelfde houding tegenover veiligheid als het op onze smartphones aankomt,” zegt Willems. “Veel mensen hebben bijvoorbeeld geen enkel securitypakket op hun telefoon staan zoals een virusscanner. Terwijl dat toch maar een minimale impact op de snelheid van je toestel heeft en er genoeg aanbod op dat vlak is, zowel betalend als gratis. Ook een gesloten platform als iOS profiteert van een dergelijke bescherming. Veel iPhone-eigenaars hebben een vals gevoel van veiligheid. De eerste barstjes zijn echter al verschenen: de app store is niet vrij van malware. Je kan beter voorbereid zijn, dan nadat het kwaad geschied is, te moeten opkuisen.” Van Beylen is het eens met Willems: “Te weinig mensen hebben een antivirus op hun smartphone staan, dat kan beter. Een persoonlijke stelregel die ik ook altijd volg als het over dergelijke gevoelige gegevens gaat: voer deze nooit in op een toestel van iemand anders. Je weet nooit wat voor programma’s daar opstaan. Dat is veel onveiliger dan pakweg je bank-app te gebruiken via een openbaar wifinetwerk.” Mailvissers De kans dat je rekening door een hacker wordt leeggeplunderd via een virus of malware is dus klein. Waar je wel uit je doppen voor moet blijven kijken, is phishing. Phishing is het fenomeen waarbij criminelen via e-mails of telefoontjes je bankgegevens proberen te ontfutselen om met je geld aan de haal te gaan. Tegenwoordig gaat het niet meer om Afrikaanse prinsen in nood die je in gebrekkig Engels hun familiefortuin beloven, als je hen even wat geld kan lenen. Phishers zijn heel wat sluwer geworden. Ze hebben hun technieken aangescherpt en de mails die ze je sturen, lijken vaak op het eerste zicht ook authentiek genoeg om je om de tuin te leiden. Toch zijn er enkele details die een phishingmail vaak verraden. Slecht taalgebruik is daar een van. Waarom haal ik net dat punt aan? Het is de clou van de merkwaardige evolutie van internetfraudegevallen in België tijdens 2012 en 2013. In die twee jaren schoot het aantal online fraudemisdrijven pijlsnel omhoog. Het aantal aangegeven gevallen van via internet gestolen geld, lag respectievelijk tien en twintig maal hoger dan de voorbije jaren. Dat alles valt in 2014 weer terug naar het niveau van voor de ongewone piek. De reden: een gewiekste phishingbende. (Bron: Febelfin) Eén bende welbespraakte phishers krikte in twee jaar tijd de fraudecijfers enorm op. Tien voor taal Uitgerekend hun taalkennis was het sterke punt van de succesvolle oplichters: ze konden in keurig Nederlands hun slachtoffers overtuigen om hun instructies in mails en aan de telefoon te volgen. Zo maakten ze op twee jaar tijd enkele miljoenen euro’s buit bij meer dan 1.000 slachtoffers. De politie slaagde er eind 2014 in om de bende op te rollen in een gecoördineerde invalactie op verschillende locaties in Nederland. Bijzonder was dat ze daarbij ook de kopstukken van de criminele organisatie in de handboeien konden slaan, iets wat daarvoor nog niet was gelukt bij phisingmisdrijven. Nadat de bende achter tralies zat, nam het aandeel aan gestolen geld door phishing met 85 procent af. Aanwijzingen verzamelen Hoe identificeer je nu een phishingmail? Zoals ik hierboven al zei, is het taalgebruik niet altijd een goed richtpunt. Je vindt verschillende tips op www.safeinternetbanking.be, samengesteld door Febelfin, de Belgische federatie van de financiële sector. Maar die aanbevelingen zijn vrij algemeen, zoals het feit dat je bank nooit naar je gegevens zal vragen of dat je te allen tijde een anti-virusscanner op je computer zou moeten hebben staan. Daarom compileer ik hieronder nog enkele praktische aanwijzingen die een phishingpoging verklikken. 1. De mail bevat een misleidende domeinnaam. Phishers gebruiken officieel klinkende URLs om slachtoffers in de val te lokken. Afgeleide webadressen van officiële bedrijven eindigen altijd op de zogenaamde moedersite in hun URL – bijvoorbeeld “info.microsoft.com”. Wanneer je een bekende naam in een websiteadres terugvindt aan het begin van de URL, “microsoft.info.com”, dan zit er een luchtje aan. 2. Check de hyperlink(s) in de mail. Je kan nagaan of de gelinkte URLs matchen met hun eigenlijke adres door je muis over de link te laten zweven. Als de gelinkte website niet overeenkomt met de ingesloten URL in de mail, dan mag je achterdochtig worden. Als je denkt dat er iets niet in de haak zit, kan je ook de website zelf controleren door op verschillende pagina’s te klikken. Oplichters doen vaak niet de moeite om een volledige site na te bouwen. 3. Het aanbod is te mooi om waar te zijn. Oplichters proberen je ondoordachte dingen te laten doen door je schrik aan te jagen of euforie op te wekken. Geluk bestaat, maar als dat in de vorm van een slecht geformuleerde mail komt, is voorzichtigheid de boodschap. Dat geldt ook voor het tegendeel: enorme pech. Zo deed er tijdens deze kerstperiode een valse mail de ronde van elektronicaketen Saturn, waarbij ontvangers een betalingsbevestiging voor een aankoop van 4. honderden euro’s kregen. Bedoeling was dat ze in paniek op de factuurbijlage met virus zouden klikken. M2 vs M1. Word je uitgenodigd om je ergens in te loggen met je kaartlezer en krijg je instructies om daarbij de M2-knop van het apparaat te gebruiken, dan zit het fout. Je gebruikt de M1-knop voor het aanmeldingsproces, de M2-knop dient om betalingen te bevestigen. Vermoed je dat je het slachtoffer bent geworden van een phisher? Elke bank heeft een specifieke pagina op zijn website die inlichtingen en contactpunten geeft, mocht je dat overkomen. Verder is er ook een overheidsmeldpunt waar je een internetmisdrijf kan aangeven. Eerst was dat www.ecops.be, maar omdat de dienst overstelpt werd met niet-cruciale vragen, besliste de politie om dat portaal af te sluiten. Er komt een opvolger voor in de plaats dat zich specifiek op phishing zal richten op 8 februari 2016. De naam en het websiteadres daarvan is nog onbekend. Elke bankwebsite heeft een pagina waarop richtlijnen te vinden zijn om phishing te melden. Muntenketting We kunnen in deze bespreking over online geldbeheer de ultieme internetmunt niet overslaan: de bitcoin. Het digitale muntstuk werd in 2008 in het leven geroepen door de mysterieuze Satoshi Nakamoto. Satoshi was de gebruikersnaam die deze persoon op het internet hanteerde, over de echte identiteit van de man of vrouw is niets bekend. Verschillende media hebben al eens geclaimd de schepper van de bitcoin te hebben opgespoord, maar geen van die verhalen zijn bevestigd. Het expliciete doel van bitcoin was om een anonieme munt te creëren waarbij het niet mogelijk was om gebruikers te traceren en die niet gekoppeld was aan het internationale valutasysteem. Een groot obstakel voor de werking van een dergelijk anoniem geldmiddel was dat men lange tijd niet wist hoe men fraude kon tegengaan. Dat vormde de briljante innovatie van Satoshi. Hij bedacht een manier waardoor iedere gebruiker op elk moment wist waar welke bitcoin zat en er dus geen dubbele munten gespendeerd konden worden: de blockchain. Via het gebruik van verschillende, verspreidde registers die bijhielden waar de bitcoins zaten, was het mogelijk om misbruik te voorkomen én anoniem de munten te blijven uitwisselen. Bitcoin is de ultieme anonieme munt die zowel privacyvoorvechters en criminelen als grootbanken aanspreekt. Blokkenbank Bitcoins hebben een slechte naam omdat het een geliefd instrument van de digitale onderwereld is. Denk aan drugsmarkten op het Deep Web à la Silk Road. Daar kan de komende jaren verandering in komen. Diverse banken hebben al een sterke interesse getoond in de blockchaintechnologie die bitcoin aanstuurt. Zo is er het globaal consortium R3 Blockchain, expliciet opgericht om te kijken hoe de techniek geïntegreerd kan worden in de traditionele financiële sector. Een veertigtal internationale grootbanken sloten zich al bij het initiatief aan, waaronder BNP Paribas Fortis en ING. Heb je na deze korte introductie zelf zin om meer te weten te komen over de bitcoin, dan kan je heel wat praktische informatie vinden op www.bitcoinbelgie.be. Monopoly Biometrie, mobiel betalen, blockchain: hoe we met ons geld omgaan, zal de komende jaren opnieuw een omschakeling vragen en ja, misschien zullen bankbiljetten op termijn enkel bij Monopoly terug te vinden zijn. Sta je momenteel nog terughoudend tegenover het gebruik van websites of apps om je geldzaken te regelen, weet dan dat je je over de veiligheid van dergelijke programma’s weinig zorgen moet maken, zolang je geen gekke dingen doet. Een aanrader van onze veiligheidsexperts die we hier graag nog eens herhalen: een virusscanner op je smartphone is echt geen overdreven maatregel. Monopoly: binnenkort misschien pure nostalgie?