"Internetbankieren niet veilig" =============================== Reformatorisch Dagblad , 2/1/08, Gijsbert Bouw NIJMEGEN - Criminele hackers kunnen sinds enkele maanden het systeem achter internetbankieren kraken. "Dit is dramatisch voor de veiligheid van bankieren. De campagne `3x kloppen' helpt hier niet tegen." De strijd tussen banken en criminele hackers woedt al lang. Ook afgelopen jaar waren websites van Nederlandse banken regelmatig het slachtoffer: van oktober 2006 tot maart 2007 waren er maandelijks zo'n negen meldingen. Zo ontvingen klanten van SNS begin december 2007 een nepmail van zogeheten phishers waarin om persoonlijke bankgegevens werd gevraagd. Phishers (van fishing, hengelen) zijn criminelen die grote aantallen berichten versturen die afkomstig lijken van een betrouwbare organisatie. Doel is de ontvanger persoonlijke informatie zoals inlogcodes te ontfutselen, of spyware te installeren op de pc om zo bij de banktegoeden van het slachtoffer te komen. Zo komt het regelmatig voor dat men via e-mail naar een valse website wordt gelokt met het verzoek daar zogenaamd "de inloggevens te controleren." Alleen al in de Verenigde Staten dupeerden phishers afgelopen jaar 3,6 miljoen mensen en `verdienden' daarmee 3,2 miljard dollar (2,2 miljard euro), bleek vorige maand uit een onderzoek van adviesorganisatie Gartner. In de meeste landen moet de gebruiker van internetbankieren inloggen met een inlognaam en een wachtwoord. "Dit is een tamelijk onveilig systeem", zegt prof. dr. Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit Nijmegen. Internetbankierders in Nederland gebruiken een systeem van tweefactorenauthenticatie, waarbij gebruik wordt gemaakt van een inlognaam, een wachtwoord en een unieke code die door een apparaatje wordt gegenereerd. Jacobs: "We voelden ons hiermee veilig. Sinds een aantal maanden is dit systeem door hackers doorbroken. Dat is dramatisch." Het internetbankieren heeft sinds een paar maanden last van zogenaamde `man in the browser'-aanvallen, een vorm die veel op phishing lijkt, maar pharming (van farming, oogsten) heet. Bij phishing verstuurt de crimineel mails die een gebruiker naar een nagemaakte site lokt; bij pharming wordt de internetbankierder omgeleid naar een nagebootste site, nadat hij het bekende webadres heeft ingetypt. De computerkrakers voeren bij de `man-in-the-browser'-aanval een offensief uit met een Trojaans paard, een computervirus dat zich vermomt als onschuldig programmaatje. De kwaadaardige software nestelt zich in de computers van nietsvermoedende internetbankierders. Als zij inloggen op de site van hun bank, opent de software een scherm met een foutmelding. Ondertussen loggen de krakers met de ingevoerde code in op de banksite, waar ze een overboeking klaarzetten. Als het slachtoffer weer probeert in te loggen, gebruiken de criminelen deze code om de transactie te bevestigen. Het systeem van tweefactorenauthenticatie is niet bestand tegen deze aanvallen. De banken zien de aanvallen op het internetbankieren als een probleem, aldus Michel Noordermeer, woordvoerder van de Nederlandse Vereniging van Banken (NVB). "Dit tast het vertrouwen van de consument in het bankwezen aan. Maar we hielden van tevoren rekening met het kraken van het tweefactorenauthenticatiesysteem. Welke methode er ook wordt bedacht, er komt een moment waarop criminelen gaten in het systeem vinden. Honderd procent veiligheid bestaat helaas niet." Om de veiligheid van internetbankieren te vergroten, startte de NVB begin november de campagne `3x kloppen'. "Doel hiervan is de consument te wijzen op zijn verantwoordelijkheid en hem bewust te maken van de gevaren die er kunnen zijn", zegt Noordermeer. De campagne wijst de klant erop dat zijn pc-beveiliging, de website van de bank en de bij- en afschrijvingen moeten kloppen. Volgens hoogleraar Jacobs biedt de campagne geen veiligheid nu hackers de tweefactorenauthenticatie kunnen kraken. "Alles wat een slachtoffer op zijn scherm ziet, klopt. De klant kan niets tegen een aanval doen, behalve achteraf controleren of de transacties die gedaan zijn, kloppen. Maar dan kan het leed al geleden zijn." Noordermeer is het hier niet mee eens. "Wanneer je de instructies uit de campagne opvolgt, ben je veilig bezig en is de kans op problemen zo goed als nul. Mocht er onverhoopt toch geld worden ontvreemd, dan vergoedt de bank de schade, net zoals dit bij problemen met de pinpas gebeurt." Banken blijven investeren in de beveiliging van hun websites. Jacobs: "Bij sommige banken moet de gebruiker het bedrag op de paslezer intoetsen als die hoger is dan 1000 euro. Ook kunnen banken nog vragen het bankrekeningnummer waarnaar een transactie wordt geboekt te geven, om zo het aantal contolegegevens te vergroten." Noordermeer benadrukt de rol die de banken spelen in de veiligheid van hun sites. "Banken werken hier constant aan met steeds geavanceerdere technieken om het criminelen zo moeilijk mogelijk te maken. Het is en blijft een kat-en-muisspel."