Art ziet zichzelf als onderzoeksjournalist en doorgrondt het liefst thema's die anderen volgens hem laten liggen. Verklarende en verdiepende artikelen vormen zijn stijl. Hij schuwt ingewikkelde materie daarbij niet.
De afgelopen jaren heb ik meermaals uit de doeken gedaan waar het bij de meeste banken precies aan schort als het gaat om de klantveiligheid van zowel internetbankieren als mobiel bankieren. Actuele verwijzingen hiernaar zijn onderaan dit artikel terug te lezen. Mijn bevindingen zullen voor de banken overigens geen al te groot nieuws zijn geweest. Ze zijn er namelijk al jaren van op de hoogte waar zich de belangrijkste systeemzwaktes bevinden met betrekking tot elektronisch bankieren. Verontrustender echter is het feit, dat de meeste banken volstrekt onwelwillend zijn om dergelijke systeemzwaktes aan te pakken. De vier belangrijkste oorzaken van deze onwil om te investeren in extra klantveiligheid licht ik hieronder toe.
1) Oudere en meer kwetsbare gebruikers zijn commercieel al grotendeels afgeschreven
De jongere generaties maken hoofdzakelijk gebruik van mobiel bankieren. Mobiel bankieren is veiliger dan internetbankieren, vanwege het feit dat mobiel bankieren vrijwel ongevoelig is voor phishing-scams. De mobiele bankapp verbindt namelijk alleen met legitieme bankwebsites in tegenstelling tot internetbankieren waarmee je potentieel ook kunt verbinden met valse bankwebsites. Hoewel het technisch heel goed mogelijk is om de belangrijkste voordelen van mobiel bankieren op basis van gebruikerskeuzevrijheid (i.c. optioneel) te integreren binnen internetbankieren, hebben banken daar maar weinig oren naar.
Het blijken met name de oudere en meer kwetsbare gebruikers te zijn die gebruik maken van internetbankieren. Enerzijds vanwege het feit dat internetbankieren veel eerder werd geïntroduceerd dan mobiel bankieren, anderzijds vanwege het feit dat internetbankieren doorgaans een beter overzicht biedt vanwege het grotere beeldscherm. Deze doelgroep van oudere en meer kwetsbare gebruikers is commercieel doorgaans niet langer interessant voor een bank. Deze gebruikers hebben in het verleden namelijk vaak al een hypotheek, een lening of een verzekering bij de bank afgesloten of ze zijn sowieso relatief onbemiddeld. In commercieel opzicht kan een bank aan deze klanten daarom weinig extra geld meer verdienen.
Vandaar ook dat banken zich niet zo druk maken over de potentiële gebruikersonveiligheid van met name deze oudere en meer kwetsbare gebruikers. Het verdienpotentieel is namelijk toch al binnen en nadere investeringen in de gebruikersveiligheid voor deze overwegend internetbankierende doelgroep leveren banken per saldo nauwelijks extra geld op.
2) Klantgemak gaat uitdrukkelijk boven klantveiligheid
De meeste banken kiezen uitdrukkelijk voor een jong, vlot en eigentijds imago. Bankzaken mogen namelijk niet stoffig overkomen, maar moeten vooral een snelle en gemakkelijke uitstraling hebben. De belangrijkste systeemzwaktes binnen elektronisch bankieren zijn dan ook het direkte gevolg van keuzes voor gebruikersgemak boven gebruikersveiligheid. De huidige technische infrastructuur van elektronisch bankieren richt zich erop om in zo min mogelijk stappen een betaling of een overboeking te kunnen doen. Het Europese wettelijk minimumkader wordt daarbij het liefst zo nauw mogelijk gevolgd. Ondanks het feit dat er tegenwoordig technisch meer mogelijk is, dan waarmee binnen dit wettelijk minimumkader rekening is gehouden.
Extra beveiligingsstappen die de gebruikersveiligheid substantieel zouden verhogen, sneuvelen bij de meeste banken onder het mom van het zo snel en zo gemakkelijk mogelijk bankzaken moeten kunnen doen. Het gevolg is dat phishing-scams een groeiend maatschappelijk probleem vormen, terwijl ze in technisch opzicht inmiddels grotendeels voorkomen kunnen worden door de technische infrastructuur van internetbankieren op slechts enkele kleine punten aan te passen.
3) Banken rekenen op victim blaming om zelf maatschappelijk uit de wind te blijven
De meest gehoorde reakties naar aanleiding van verhalen van slachtoffers wiens volledige bankrekening is leeggeplunderd als gevolg van phishing-scams zijn: ‘Hoe kan iemand nu zo dom zijn?’ of ‘Zoiets zou mij nou echt nooit overkomen!’. Banken wentelen zich relatief comfortabel in dergelijke reakties van victim blaming, omdat ze hierdoor in maatschappelijk opzicht zelf grotendeels uit de wind blijven. Ze doen hier bovendien zelf nog een schepje bovenop door in hun eenzijdige voorlichtingscampagnes te blijven benadrukken dat de meeste phishing-scams voorkomen kunnen worden door alle bank-URL’s binnen internetbankieren nauwgezet en consequent te controleren (zie ook punt 4).
4) Banken dragen zelf deels bij aan de systeemonveiligheid van internetbankieren
Ja dûh, maar in de praktijk van het internet is een dergelijke nauwgezette en consequente controle eigenlijk alleen maar haalbaar als je gebruik maakt van een geavanceerd computerprogramma…..zoals bijvoorbeeld…..een mobiele bankapp!
Banken laten bovendien fijntjes achterwege dat met name de legitieme bankwebsites (URL’s) voor iDEAL-betalingen of iDIN-identificatie intuïtief moeilijk zijn te onderscheiden van valse bankwebsites. Dergelijke betaallinks (iDEAL) of links voor persoonsidentificatie (iDIN) komen namelijk meestal niet overeen met de primaire bank-URL en zijn bovendien voor elke bank weer anders opgebouwd. In het kader van een veilig en betrouwbaar maatschappelijk betaalverkeer is het toch een volstrekte gotspe dat gebruikers van internetbankieren dergelijke bank-URL’s handmatig zouden moeten controleren om te voorkomen dat ze eventueel op valse bankwebsites belanden?
De oplossing tegen phishing via valse bankwebsites ligt voor het oprapen
Binnen mobiele bankapps wordt immers wel standaard voorzien in automatische controles op legitieme websites ter voorkoming van valse overboekingen. Binnen internetbankieren echter laten banken de potentiële introductie van een extra beveiligingsstap ‘mobiel bankieren’ op basis van gebruikerskeuzevrijheid (i.c. optioneel) ter voorkoming van valse overboekingen liever achterwege. Met name vanwege de hierboven aangehaalde vier issues frustreren c.q. blokkeren banken binnen internetbankieren de introductie van een gebruikers-optionele extra beveiligingsstap ‘mobiel bankieren’ ter voorkoming van valse overboekingen.
Waarbij hoogstwaarschijnlijk het gegeven dat het voornamelijk de oudere en meer kwetsbare gebruikers zijn die internetbankieren – waaraan voor banken weinig extra geld meer te verdienen valt – de doorslag geeft. Terwijl een dergelijke aanpak juist het groeiende maatschappelijke probleem van phishing-scams via valse bankwebsites grotendeels zou kunnen beslechten.
Mijn eerder gepubliceerde artikelen over:
- een actueel beveiligingsissue binnen mobiele bankapps,
- nog altijd actuele beveiligingsissues met betrekking tot generieke cardreaders.
[Fotocredits – daviles © Adobe Stock]
Verder lezen over Internet bankieren
Cybercrime21.06.2024
Phishingslachtoffers Bunq krijgen nu wel hun geld terug
Online09.04.2024
Direct betalen via iDEAL hoeft niet meer: nu kan het in drieën
Nieuws24.01.2024
We stappen graag en vaak over, maar niet van bank
Online08.01.2024
Google Pay: dit zijn de voordelen en nadelen
Online01.11.2023
Wat is Wero en wat gebeurt er met iDEAL?
Online03.07.2023
Je kunt nu geld uit de muur trekken zonder pinpas
Cybercrime08.05.2023
Let op: dit zijn 5 internetscams die momenteel veel voorkomen
Online08.05.2023
De hardnekkige mythe rondom populaire tweestapsverificatie
Verder lezen over Security
Cybercrime20.11.2024
Wortell opent nieuw next-gen Cyber Defense Center
Cybercrime11.11.2024
Dit zijn de huidige trends binnen cybersecurity en hoe je jezelf beschermt
Online06.11.2024
Veel computer-influencers zijn weinig meer dan pseudo-experts
Online31.10.2024
Eerst checken, dan bestellen: Klik niet meteen op die bestelknop!
Nieuwe campagne tegen onbetrouwbare webshopsCybercrime23.10.2024
Ransomwareaanvallen slagen nog steeds: 178 stuks in 2023
Cybercrime15.10.2024
Pas op: er is een groot beveiligingslek in WordPress-plugin Jetpack
Cybercrime09.10.2024
Deze week meerdere waarschuwingscampagnes over phishing: waarom?
Cybercrime08.10.2024