‘Phishing‘ is de brede noemer van criminele technieken om gebruikers van digitale diensten hun inloggegevens afhandig te maken. Phishing kan in principe betrekking hebben op elke vorm van digitale dienstverlening, maar richt zich meestal op de digitale dienstverlening van banken en het betaalverkeer. Phishing kan worden uitgevoerd door middel van een slimme babbeltruc, een email, een sms, een appje of elke andere vorm van toegezonden tekstberichten (i.c. direct messaging). Meestal gaat het om berichten met verzoeken om direkt actie te ondernemen, voorzien van een link naar een valse bankwebsite. Vaak lijkt zo’n bericht daadwerkelijk afkomstig te zijn van een digitale dienst die een gebruiker afneemt.
Een in opkomst zijnde vorm van phishing betreft bankpasfraude. Bij bankpasfraude worden iemand zowel de bankpas als de bijbehorende pincode ontfutseld door middel van een slimme babbeltruc. Deze vorm van phishing richt zich met name op ouderen en kwetsbaren. Het kan eigenlijk alleen maar worden verhinderd met voldoende voorlichting.
Daarentegen kan phishing waarbij gebruik wordt gemaakt van links naar valse bankwebsites grotendeels worden voorkomen door de invoering van enkele adequate bancaire maatregelen. Vooralsnog zijn er nauwelijks Nederlandse of Belgische banken bekend die dergelijke maatregelen hebben doorgevoerd. De schade als gevolg van phishing-scams neemt hierdoor, niet geheel toevallig, al jaren toe. Slechts Bunq staat alleen het veiligere mobiel bankieren via de mobiele bankapp toe.
Bij de meest voorkomende gevallen van phishing worden gebruikers door middel van een vorm van direct messaging geconfronteerd met een link (URL) naar een valse bankwebsite. Na het klikken op zo’n valse link verkeert de argeloze gebruiker in de veronderstelling zich naar zijn of haar persoonlijke bankomgeving te begeven. Daarmee geeft de gebruiker zijn of haar inloggegevens prijs aan de criminelen achter de valse bankwebsite. Die hebben daaraan vervolgens voldoende om de volledige betaal- en spaarrekening van deze gebruiker leeg te trekken. Dit doen ze door – met de gebruiker ingelogd via de valse bankwebsite – gelijktijdig in te loggen binnen de ware persoonlijke bankomgeving van de gebruiker (i.c. man-in-the-middle attack). Met de voortschrijdende penetratie van mobiel bankieren is het echter inmiddels prima mogelijk om een adequate bancaire oplossing tegen phishing via valse bankwebsites te implementeren.
Het vervolg van dit artikel schetst een aantal procesmatige aanbevelingen om met relatief kleine bancaire aanpassingen van de digitale infrastructuur van elektronisch bankieren phishing via valse bankwebsites grotendeels te verhinderen. Hieraan voorafgaand is het echter noodzakelijk om enkele statistische gegevens te delen.
In 2019 waren smartphones aanwezig in 89% en tablets in 66% van de huishoudens (Bron: CBS). Sindsdien zal dit percentage alleen maar zijn toegenomen. Grofweg de helft van alle elektronische betaalopdrachten werd de afgelopen jaren bevestigd met internetbankieren via een webbrowser, de andere helft met mobiel bankieren via een mobiele bankapp (Bron: Betaalvereniging Nederland). De verhouding van mobiel bankieren ten opzichte van internetbankieren lijkt zich de laatste jaren te stabiliseren op 50/50. Volgens de ING maakt 57% van alle Nederlanders tegenwoordig gebruik van een mobiele bankapp (Bron: ING). Uit bovenstaande cijfers valt af te leiden dat in het overgrote deel van de Nederlandse huishoudens een smartphone of tablet aanwezig is en dat meer dan de helft van alle Nederlandse rekeninghouders weleens een mobiele bankapp heeft gebruikt.
Niettemin wordt nog steeds ongeveer de helft van alle betaalopdrachten bevestigd met internetbankieren via een webbrowser. Dit is het gevolg van een tweetal omstandigheden. De eerste is dat internetbankieren nu eenmaal meer overzicht biedt vanwege het doorgaans grotere computerbeeldscherm in vergelijking met dat van een smartphone of tablet. De tweede is dat er rond mobiel bankieren nog steeds een zweem van onveiligheid hangt. Dit hangt samen met zijn latere introductie rond 2010, terwijl internetbankieren al ruim voor 2000 werd geïntroduceerd. In werkelijkheid is mobiel bankieren via een mobiele bankapp juist veiliger dan internetbankieren via een webbrowser. Dit komt doordat een mobiele bankapp slechts kan verbinden met legitieme bankwebsites, terwijl een webbrowser eveneens kan verbinden met valse bankwebsites.
Phishing concentreert zich niet voor niets volledig op internetbankieren via een webbrowser. De potentie van webbrowsers om overal mee te verbinden, wordt daarbij gebruikt om de inloggegevens van gebruikers te onderscheppen om vervolgens betaal- en spaarrekeningen te plunderen. Hoewel valse bankwebsites grotendeels een kopie zijn van de legitieme bankwebsites koppelen ze met name bedragen en rekeningnummers vals terug. Met deze misleiding verschaffen criminelen zichzelf de benodigde tijd om via de legitieme bankwebsite gelijktijdig de betaal- en spaarrekening leeg te trekken (i.c. man-in-the-middle attack). Daarom is mobiel bankieren via een mobiele bankapp wezenlijk veiliger dan internetbankieren via een webbrowser.
Omdat de legitieme bankwebsites (URL’s) voor iDEAL-betalingen of iDIN-identificatie meestal niet overeenkomen met de primaire bank-URL en bovendien voor elke bank anders zijn opgebouwd, werkt dit misbruik door valse bankwebsites ernstig in de hand. De noodzaak van een dergelijke voorlichtingspagina is natuurlijk een volstrekte gotspe. Phishing via valse bankwebsites maakt dankbaar gebruik van het feit dat elke bank anders om gaat met de URL’s voor iDEAL-betalingen of iDIN-identificatie. Idealiter zou een gebruiker van internetbankieren zich bewust moeten zijn van welke bankwebsites legitiem zijn en welke niet. In de praktijk blijken gebruikers zich daarvan soms onvoldoende bewust.
Binnen een mobiele bankapp zijn alle legitieme bankwebsites vast verankerd binnen de app en wordt het betaalverkeer per definitie alleen gecommuniceerd over deze legitieme bankwebsites. Omdat bedragen en rekeningnummers via legitieme websites (i.c. via de mobiele bankapps) niet te manipuleren zijn, ligt hierin tevens een adequate bancaire oplossing besloten om phishing via valse bankwebsites grotendeels te verhinderen.
Zolang banken geen adequate bancaire oplossing implementeren, is het niettemin mogelijk om op individuele basis maatregelen te nemen die het persoonlijke equivalent zijn van de vooralsnog uitblijvende bancaire oplossing. Een persoonlijke of individuele werkwijze om phishing te verhinderen is voor iedereen met een smartphone of tablet toepasbaar door consequent gebruik te maken van de mobiele bankapp voor alle betaalopdrachten. Dit betekent dat men naast alle zelf geïnitieerde betaalopdrachten via de mobiele bankapp tevens alle webwinkel-bestellingen en alle overige betaalverzoeken via de mobiele browser op smartphone of tablet moet afhandelen. Bij betaalopdrachten vanuit de mobiele browser wordt namelijk automatisch de mobiele bankapp aangeroepen. Ondergetekende auteur heeft zichzelf een dergelijk ‘individueel gebruik mobiel bankieren’ een aantal jaren geleden volledig eigen gemaakt, vanwege het feit dat dit een betere gebruikersveiligheid biedt. Ik hanteer deze werkwijze ondanks dat mijn computer en laptop het voordeel bieden van een groter beeldscherm met meer overzicht. In dat geval blijf je echter vast zitten aan het voor phishing gevoelige internetbankieren via een webbrowser.
Webwinkelen als zodanig doe ik overigens nog steeds gewoon via mijn computer met groter beeldscherm, maar de definitieve bestellingen handel ik vervolgens consequent af via de mobiele browser van mijn smartphone of tablet. Dit geldt eveneens voor de afhandeling van alle overige betaalverzoeken. Bij bezit van een account bij een bepaalde webshop wordt de inhoud van het winkelmandje na het inloggen overigens eveneens weergegeven binnen de mobiele browser. Een dergelijke individuele werkwijze vergt echter wel een zekere overtuiging en met name een bepaalde discipline.
N.B. Voor diegenen die overwegen het bovenstaande ‘individueel gebruik mobiel bankieren’ daadwerkelijk te gaan hanteren, zijn er nog enkele nadere aandachtspunten van belang.
Laten we het een en ander eens op een rijtje zetten en analyseren:
Er is echter ook een adequate bancaire systeemoplossing mogelijk om gebruikers beter te beschermen tegen phishing via valse bankwebsites. Een bancaire systeemoplossing die enerzijds het gebruikersgemak biedt van internetbankieren via een webbrowser en anderzijds de gebruikersveiligheid van mobiel bankieren via een mobiele bankapp. Dit kan door het introduceren van de mogelijkheid om betalingen die zijn afgehandeld binnen internetbankieren vervolgens klaar te zetten binnen de mobiele bankapp voor definitieve bevestiging.
Daarvoor zouden gebruikers moeten kunnen kiezen via de introductie van een zgn. ‘keuzeschakelaar definitief bevestigen’ binnen hun persoonlijke bankomgeving. Zo’n keuzeschakelaar moet de gebruiker enerzijds de mogelijkheid geven te kiezen voor ‘Definitief bevestigen via Internetbankieren’ (standaard of gebruikersdefault) of anderzijds voor ‘Definitief bevestigen via Mobiele Bankapp’. Betaalopdrachten oorspronkelijk ingegeven via de mobiele bankapp blijven overigens altijd bevestigd worden via de mobiele bankapp, omdat deze nu eenmaal ongevoelig is voor phishing. In dat specifieke opzicht verandert er dus niets.
In het geval dat een gebruiker heeft gekozen voor ‘Definitief bevestigen via Mobiele Bankapp’ en onverhoopt verzeild raakt op een criminele webshop of een vals betaalverzoek ontvangt en vervolgens inlogt via een valse bankwebsite dan is er nog steeds niets verloren. Want als de crimineel op de achtergrond probeert de betaal- en spaarrekening van deze gebruiker leeg te trekken, dan belanden de criminele betaalopdrachten vervolgens eerst in de mobiele bankapp van deze gebruiker. Wanneer de gebruiker inlogt via de mobiele bankapp om de gereed staande betaalopdrachten definitief te bevestigen, dan zullen dergelijke criminele betaalopdrachten de gebruiker ongetwijfeld direkt opvallen als vals en kan de gebruiker ze alsnog verwijderen.
Uiteraard moet de mogelijkheid van het terugzetten naar de gebruikersdefault van ‘Definitief bevestigen via Internetbankieren’ met name via internetbankieren goed worden beveiligd. Anders kan iedere crimineel die toegang krijg tot iemands internetbankieren de spelregels in zijn voordeel veranderen. Dit betekent in de praktijk dat er binnen internetbankieren een substantiële vertraging moet worden ingebouwd ten aanzien van het terugzetten naar de standaard of gebruikersdefault van ‘Definitief bevestigen via Internetbankieren’. Een vertraging die vanzelfsprekend langer is dan de maximale inlogtijd die internetbankieren toestaat en tevens gevolgd door een email of sms-bericht aangaande de veranderde keuze van de gebruiker.
Banken zullen aanvankelijk wellicht in de weerstand schieten. Het is namelijk nogal wat als er op grond van een ongevraagd extern onderzoek wordt geconcludeerd dat de betaalveiligheid van elektronisch bankieren op bepaalde punten wezenlijk kan worden verbeterd. Mogelijk zullen banken daarom tegenwerpen dat een dergelijke extra stap het gebruikersgemak voor iedereen verslechtert. Derhalve dient een dergelijk ‘Definitief bevestigen via Mobiele Bankapp’ slechts als keuzemogelijkheid te worden aangeboden, waarbij ‘Definitief bevestigen via Internetbankieren’ de standaard of gebruikersdefault blijft.
Daarnaast zullen banken mogelijk wijzen op de potentiële vertragingen die optreden bij het doen van online betalingen. Webwinkel-betaalopdrachten zijn doorgaans maar een beperkt aantal minuten houdbaar. Dit nadeel is echter gemakkelijk te ondervangen door de mobiele bankapp bij de hand te houden en direkt in te loggen nadat de gebruiker de betaalopdracht via internetbankieren heeft bevestigd. Meestal heeft de gebruiker hiervoor sowieso de mobiele bankapp al bij de hand ter tweestaps-identificatie. Ook zouden webwinkel-aanbieders de houdbaarheid van betaalopdrachten in overleg met ‘Betaalvereniging Nederland’ omstreeks 1 á 2 minuten kunnen verlengen.
Anderzijds gokken banken er wellicht liever op dat internetbankieren op de langere termijn vanzelf uitgefaseerd raakt door het toenemende gebruik van de mobiele bankapp. Overigens spreken de cijfers dit vooralsnog duidelijk tegen. Daarnaast zullen banken mogelijk aanvoeren dat ze in veel gevallen van phishing hun klanten achteraf financieel tegemoet komen. Een dergelijke houding is mijns inziens echter volstrekt ontoereikend, omdat slachtoffers van phishing behalve financiële schade ook regelmatig serieuze emotionele schade oplopen, zo is gebleken uit onderzoek. Daarom roep ik banken op om toch vooral serieus werk te maken van bovenstaande aanbevelingen. Phishing-scams met links naar valse bankwebsites worden door de jaren heen bovendien steeds geavanceerder en zullen bij ongewijzigd bancair beleid alleen maar toenemen. Het is maatschappelijk onacceptabel om slechts in te zetten op voorlichting, terwijl phishing met de huidige technische middelen al grotendeels kan worden voorkomen.
Toegegeven, het vergt één extra stap, maar het betekent wel dat gebruikers te allen tijde zelf de controle houden over hun betaalopdrachten. De regelmatig voorkomende praktijk van plundering van rekeningen toont aan dat dit momenteel niet altijd het geval is. Zeker niet als gebruikers gewend zijn hun betaalopdrachten af te handelen via internetbankieren via een webbrowser. Is het via de criminele praktijk van phishing nog mogelijk om valse betalingen of overschrijvingen via internetbankieren te introduceren, bij de definitieve bevestiging van betaalopdrachten via de mobiele bankapp zullen dergelijke valse betalingen of overschrijvingen de gebruiker zeker opvallen en kan de gebruiker ze alsnog verwijderen.
Met het introduceren van een dergelijke werkwijze door banken hoeft er niets te veranderen voor klanten zonder mobiele bankapp, noch voor klanten die zo’n extra stap toch te omslachtig vinden. Klanten echter die wel degelijk prijs stellen op meer bescherming kunnen door middel van de hierboven beschreven keuzemogelijkheid hun voordeel doen met de inherente veiligheid van de mobiele bankapp, terwijl ze toch gewoon gebruik kunnen blijven maken van het ultieme gebruikersgemak van internetbankieren via computer of laptop.
In het kader van rechtszaken van door phishing gedupeerde rekeninghouders tegen hun bank hebben banken een extra zakelijk belang om bovenstaande aanbevelingen te implementeren. Indien een rechter op grond van bovenstaande aanbevelingen namelijk in staat is om vast te stellen dat een bank niet al het mogelijke in het werk heeft gesteld om misbruik van rekeningen te voorkomen, dan valt het pleit potentieel voordeliger uit voor de gedupeerde rekeninghouders. Door dit onderzoeksartikel actief te delen met de toepasselijke beroepsgroepen probeer ik een dergelijk pleit te bevorderen. Terecht in veel gevallen, omdat uit mijn aanbevelingen blijkt dat banken daadwerkelijk méér kunnen doen tegen phishing!
Derhalve zal ik dit artikel na publicatie actief delen met de respectievelijke beroepsverenigingen van advocaten en rechtsbijstandverleners en met financiële kennisinstellingen. Tevens zal ik dit artikel na publicatie actief delen met platformen en websites die schrijven over banken en financiële dienstverlening.
Dit artikel is met de grootst mogelijke zorgvuldigheid tot stand gekomen. De auteur aanvaardt niettemin geen enkele aansprakelijkheid in relatie tot de onderwerpen die binnen dit artikel worden beschreven.
[Fotocredits – Bits and Splits, Rawpixel.com & daviles © Adobe Stock]
Opent een betaalverzoek op tablet of mobiel na de ingegeven keuze voor de bank toch steevast met internetbankieren via de mobiele webbrowser in plaats van met mobiel bankieren via de mobiele bankapp, dan kan dat een indicatie zijn dat er iets niet in de haak is met het desbetreffende betaalverzoek. Misbruik van bankgegevens op tablet of mobiel is namelijk alleen mogelijk via de mobiele webbrowser. Probeer het dan later nogmaals om er zeker van te zijn dat het niet de app van de bank is die tijdelijk offline is. Blijft het betaalverzoek na de keuze voor de bank steevast openen met internetbankieren via de mobiele webbrowser ga er dan maar vanuit dat het betaalverzoek malafide is.
Het bevestigen van een betaalopdracht via internetbankieren door daarbij gebruik te maken van identificatie via de mobiele bankapp (via een QR-code of een interne pushmelding) maakt internetbankieren overigens NIET veiliger. Slechts betaalopdrachten die expliciet worden goedgekeurd vanuit de mobiele bankapp zijn ongevoelig voor phishing. Betaalopdrachten via internetbankieren voorzien van tweestaps-identificatie via de mobiele bankapp zijn relatief even onveilig waar het op phishing aankomt als het internetbankieren zelf. Vergelijkbaar met het gebruik van de cardreader bij internetbankieren. Dit heeft te maken met het feit dat tweestaps-identificatie slechts bescherming biedt tegen onbevoegd inloggen, maar niet tegen phishing. Dit komt doordat de tweestaps-identificatie via een valse bankwebsite integraal wordt doorgesluisd naar de criminelen, die daarmee onbelemmerd hun gang kunnen gaan binnen de persoonlijke omgeving van de ware bankwebsite.
Om ongewenste onderschepping van versleutelde gegevens tegen te gaan, valt tenslotte het gebruik van Mobiele gegevens/Data dringend aan te bevelen boven Wifi/Wlan gedurende het actieve gegevensgebruik van mobiele bankapps. Op tablets zonder simkaart is dat natuurlijk niet mogelijk en valt te overwegen om een VPN-verbinding te gebruiken.
Dit artikel is met de grootst mogelijke zorgvuldigheid tot stand gekomen. De auteur aanvaardt niettemin geen enkele aansprakelijkheid in relatie tot de onderwerpen die binnen dit artikel worden beschreven.
