Stel jij krijgt een digitaal betaalverzoek toegezonden van een particulier of een ondernemer voor een op zichzelf legitiem openstaand bedrag. Jij reageert natuurlijk niet op de eerste de beste phishingmail, dus je hebt de legitimiteit van dit betaalverzoek vooraf goed gecontroleerd.
Jij kent deze particulier of ondernemer echter niet zo heel goed. Met name als jou geen fysiek adres van deze particulier of ondernemer bekend is, blijft het oppassen. Of er sprake is van een bonafide of een malafide betaalverzoek valt namelijk niet te zien aan het digitale betaalverzoek zelf. Ook uit het daarop volgende keuzemenu valt niets af te leiden. In zoverre is er sprake van een zgn. ‘black box’ die nog elke gewenste vorm aan kan nemen.
Indien jij per ongeluk toestaat dat er een malafide webadres wordt geladen voor een digitale betaling, dan zal er zich een vrijwel exacte phishing-kopie van jouw bankwebsite tussen jouw browser en de legitieme bankwebsite nestelen. Jouw betaalcode komt hiermee rechtstreeks bij de phishing-kopie terecht. Gevolg is dat jouw betaal- en spaarrekening volledig worden leeg getrokken. Meer dan het aftappen van één betaalcode is daar over het algemeen niet voor nodig.
Met het klikken op het betaalverzoek opent er zich ongetwijfeld een vertrouwd uitziend keuzemenu waarbinnen moet worden gekozen voor een bank. Vervolgens kan zich potentieel één van de onderstaande linkjes in jouw webbrowser laden….
Binnen alle tweede rijen webadressen is .nl vervangen door .ni en binnen alle derde rijen is er een letter vervangen door een of twee gelijkende letters of cijfers. Binnen alle volgende rijen is er eveneens geen sprake van legitieme bankdomeinen, maar van de domeinen Tikkie.nl, Betaallink.nl, Betalen.nl, Betaalverzoek.nl, Afhandeling.nl, Overschrijving.nl, Boeking.nl en Acceptgiro.nl. Stuk voor stuk domeinen die helemaal niets met jouw bank te maken hebben en naar verwachting daarom volstrekt malafide inhoud zullen herbergen.
Herken jij in één oogopslag elke spelfout binnen de adresbalk van jouw browser? Besef jij dat adressen die niet in eerste aanleg eindigen op de twee unieke fragmenten van de legitieme domeinnaam van de bank (bijv. abnamro.nl of ing.nl) een volstrekt ander domein vertegenwoordigen? Controleer jij consequent en minutieus het webadres binnen de adresbalk?
Als het antwoord op de bovenstaande vragen ‘nee’, ‘soms’ of ‘niet altijd’ is, dan loop je het reële risico dat jouw betaal- en spaarrekening op enig moment volledig worden leeg getrokken.
Er bestaat echter een adequate oplossing om phishing naar jouw bankgegevens een heel stuk lastiger te maken. Namelijk door consequent gebruik te maken van een mobiele bankapp op tablet of mobiel voor betalingen. Een mobiele bankapp verbindt altijd exclusief met jouw bank. Het is daardoor onmogelijk dat er zich tussen de mobiele bankapp en jouw bank een derde partij nestelt. Hetgeen de achilleshiel van elke webbrowser is.
Webbrowsers zijn namelijk ontworpen als omnipotente interface voor alle webpagina’s. Dit maakt dat er zich eenvoudig webpagina’s tussen de browser en de eigenlijke bron van informatie kunnen voegen. De meeste apps daarentegen zijn ‘dedicated’ en verbinden alleen met vooraf geprogrammeerde servers. Daarin kenmerkt zich over het algemeen de inherente veiligheid van een app boven een webbrowser. Voor mobiele bankapps geldt dit uiteraard per definitie.
Als je tijdens het webwinkelen artikelen hebt uitgezocht vanaf het comfortabele scherm van jouw computer, dan hoef je deze artikelen slechts nog even op te zoeken via jouw mobiele browser om ze vervolgens af te rekenen via jouw mobiele bankapp. Als jij daarentegen via de computer al bent ingelogd op een webwinkel-account dan verschijnt jouw gevulde winkelwagen na simultaan en mobiel inloggen op dit account eveneens binnen jouw mobiele browser.
Indien de webwinkel als keuzemogelijkheid een QR-code op de computer genereert voor afhandeling van de betaling via een mobiele bankapp, dan is omschakelen naar jouw mobiele browser natuurlijk niet meer nodig. Let er daarbij wel goed op dat je binnen jouw mobiele bankapp slechts toestemming geeft voor de afhandeling van een mobiele betaling en niet voor toegang tot internetbankieren. Zie de paragraaf ‘Nota bene’ voor potentiële criminele sluiproutes met betrekking tot het gebruik van mobiele bankapps.
Een betaalverzoek alleen ontvangen op de computer? Even doormailen naar jouw mailaccount op tablet of mobiel. Het is echt zo simpel als het lijkt. Voorkom dat je jouw webbrowser gebruikt als eenvoudig te misleiden betaalmiddel. Mobiele bankapps zijn gewoon een stuk veiliger!
Neem bij het gebruik van mobiele bankapps overigens notie van de onderstaande sluiproutes die internetcriminelen inzetten om je alsnog te proberen te besodemieteren:
Opent een betaalverzoek op jouw tablet of mobiel na de ingegeven keuze voor jouw bank toch consequent binnen jouw mobiele webbrowser in plaats van binnen jouw mobiele bankapp, dan kan dat een indicatie zijn dat er iets niet in de haak is met het desbetreffende betaalverzoek. Misbruik van bankgegevens is namelijk alleen mogelijk binnen de webbrowser. Probeer het dan later nogmaals om er zeker van te zijn dat het niet de app van jouw bank is die tijdelijk offline is. Blijft het betaalverzoek na de keuze voor jouw bank steevast openen binnen jouw mobiele webbrowser ga er dan maar gevoegelijk vanuit dat dit betaalverzoek malafide is!
QR-codes op malafide websites/webwinkels kunnen onder het mom van een mobiele betaling proberen toegang te krijgen tot jouw account voor internetbankieren. Met het accepteren van zo’n legitieme – maar voor een mobiele betaling ongeschikte – QR-code geef je de internetcrimineel vrijelijk toegang tot jouw account voor internetbankieren. Dit kan zonder dat jij überhaupt een valse bankwebsite onder ogen krijgt. Daarom moet je bij het gebruik van QR-codes altijd heel goed opletten waarvoor jij binnen jouw mobiele bankapp precies toestemming verleent: een mobiele betaling of internetbankieren! Dit betreft vooralsnog de enige phishing-methode die rechtstreeks mogelijk is via een mobiele bankapp.
Belangrijk is wel dat je de bonafide mobiele bankapp van jouw bank uit de Apple App Store of de Google Play Store installeert. Dit spreekt voor zich, maar gaat soms toch nog mis. Er worden namelijk regelmatig valse bankapps in de beide appstores aangetroffen. Naast de juiste ontwikkelaar van de app spreekt een hoog aantal downloads eveneens voor de authenticiteit van de bankapp. Vanwege het feit dat malafide bankapps meestal maar kort in de appstores blijven staan, is het aantal downloads doorgaans niet wat je er van mag verwachten. Honderden of duizenden downloads in plaats van de honderdduizenden tot ettelijke miljoenen voor de bonafide mobiele bankapps van de meeste Nederlandse banken.
Dit artikel is met de grootst mogelijke zorgvuldigheid tot stand gekomen. De auteur aanvaardt niettemin geen enkele aansprakelijkheid in relatie tot de onderwerpen die binnen dit artikel worden beschreven.
[Fotocredits – concept w © Adobe Stock]
Art ziet zichzelf als onderzoeksjournalist en doorgrondt het liefst thema's die anderen volgens hem laten liggen. Verklarende en verdiepende artikelen vormen zijn stijl. Hij schuwt ingewikkelde materie daarbij niet.
Verder lezen over Browser
Cybercrime11.10.2024
Online07.08.2024
Online15.12.2023
Online18.10.2023
Online19.05.2023
Online22.11.2022
Online30.09.2022
Social Media18.07.2022
Verder lezen over Hackers
Cybercrime11.10.2024
Cybercrime08.10.2024
Cybercrime30.09.2024
Cybercrime29.08.2024
Cybercrime26.08.2024
Cybercrime16.08.2024
Cybercrime29.07.2024
Cybercrime25.07.2024
Verder lezen over Privacy
Cybercrime30.09.2024
Cybercrime16.09.2024
Social Media09.09.2024
Online24.04.2024
Cybercrime15.04.2024
Online18.03.2024
Online15.02.2024
Cybercrime05.02.2024
Verder lezen over Security
Cybercrime20.11.2024
Cybercrime11.11.2024
Online06.11.2024
Online31.10.2024
Cybercrime23.10.2024
Cybercrime15.10.2024
Cybercrime09.10.2024
Cybercrime08.10.2024