Iedere zaterdag om 19.05 uur op NPO 1

Schokkend nieuws: gevaarlijk lek in internetbankieren ontdekt

Schokkend nieuws: gevaarlijk lek in internetbankieren ontdekt
Uit onderzoek blijkt dat er een groot lek in de beveiliging van internetbankieren zit. Door dit lek kunnen bankgegevens worden ingezien en overboekingen gemanipuleerd. Dat lek bestond waarschijnlijk al een paar jaar. Wat zijn de gevaren voor consumenten?

Maatschappelijk belang

Brenno de Winter, journalist bij NU.nl, ontdekte dit lek in samenwerking met beveiligingsbedrijf SecureLabs. SecureLabs test op verzoek van bedrijven hun online veiligheid. Soms gaan Ronald Kingma en collega's op zoek naar veiligheidsproblemen met een groot maatschappelijk belang. Begin dit jaar ontdekten ze samen met De Winter het beveiligingsprobleem in het systeem van internetbankieren. Onder het mom van Responsible Disclosure namen ze na deze ontdekking contact op met het Nationaal Cyber Security Center (NCSC) zodat er aan een oplossing kon worden gewerkt voordat ze het nieuws zouden publiceren.   


Wat is het lek?
Een nieuw type aanval maakt het mogelijk om beveiligde online transacties, zoals bij elektronisch bankieren, te manipuleren wanneer deze via een onvertrouwd netwerk worden uitgevoerd. Via deze aanval kunnen aanvallers misbruik maken van internetbankieren door bij uitvoeren van online transacties bankrekeningnummers aan te passen en in sommige gevallen ook bedragen aan te passen. Op het scherm wordt de transactie getoond, zoals de gebruiker denkt deze uit te voeren waardoor de fraude niet direct opvalt. De aanval werkt op Wifi-netwerken, maar is ook toe passen op bekabelde netwerken en via virussen en malware.

Detecteren

In de studio reageren Gijs Boudewijn van Betaalvereniging Nederland en IT-onderzoeksjournalist Brenno de Winter. De banken zijn blij dat de heren deze aanpak hebben gekozen. Het lek was hen niet bekend. Volgens Boudewijn is het lek inmiddels gedicht. "De banken hebben technische maatregelen genomen. Daarnaast geven onze technici aan dat ze de fraude zowel realtime als achteraf kunnen detecteren. Voor mobiel bankieren en tablets bestond het gevaar niet. Via de apps zit er altijd een beveiligde verbinding op." Gebruik geen Internet Explorer

Het zijn niet alleen de banken die actie moesten ondernemen, ook de ontwikkelaars van browsers moesten protocollen aanpassen. Daar zit nog een fiks probleem. Microsoft verwacht namelijk, tot ongeloof van De Winter, de benodigde wijzigingen pas in de nieuwe versie van Internet Explorer mee te nemen. Wanneer dit zal zijn is niet bekend. Tot die is het gebruik van deze browser voor internetbankieren af te raden, aldus de Winter.     

Blokkeren

De banken zullen betalingsverkeer via Internet Explorer niet blokkeren. Volgens Boudewijn zijn er inmiddels afdoende mogelijkheden om de fraude op te sporen. Mochten consumenten hierdoor geld kwijt raken dan zullen de banken dit dekken. Of dat in de praktijk ook zo is zal moeten blijken. In Kassa hebben we veel voorbeelden gezien waarbij banken niet zomaar uitbetalen, ze vragen om bewijs, ondanks dat wettelijk gezien de bewijslast bij de bank ligt. Je moet kunnen aantonen dat je niks verkeerd hebt gedaan. Dat kan voor de consument bij deze vorm van fraude lastig worden. Of criminelen het lek ooit al hebben ontdekt of gebruikt is onbekend.


Eerdere uitzending 2013

Het is niet de eerste keer dat de voorwaarden om veilig te internetbankieren aan bod komen in onze uitzending. Eerder deden we dat op 23 november 2013 al. Bekijk hier het item uit die uitzending.


Meer informatie

We hebben nog een aantal interessante PDF's op een rijtje gezet. Lees hier het nieuwsbericht van het Nationaal Cyber Security Centrum over dit onderwerp. Ook Waarschuwingsdienst.nl heeft een nieuwsbericht uitgebracht dat je hier kan lezen. Tenslotte hebben we een informatieve factsheet over het veilig gebruik van smartphones en tablets.

Tips voor consumenten

Brenno de Winter heeft een aantal tips op een rijtje gezet waar je als consument zijnde op met letten als je gaat internetbankieren. Die kun je hier vinden.