Online29.03.2022

​Waarom banken nauwelijks investeren in extra klantveiligheid


Oudere en meer kwetsbare gebruikers zijn commercieel al grotendeels afgeschreven

De afgelopen jaren heb ik meermaals uit de doeken gedaan waar het bij de meeste banken precies aan schort als het gaat om de klantveiligheid van zowel internetbankieren als mobiel bankieren. Actuele verwijzingen hiernaar zijn onderaan dit artikel terug te lezen. Mijn bevindingen zullen voor de banken overigens geen al te groot nieuws zijn geweest. Ze zijn er namelijk al jaren van op de hoogte waar zich de belangrijkste systeemzwaktes bevinden met betrekking tot elektronisch bankieren. Verontrustender echter is het feit, dat de meeste banken volstrekt onwelwillend zijn om dergelijke systeemzwaktes aan te pakken. De vier belangrijkste oorzaken van deze onwil om te investeren in extra klantveiligheid licht ik hieronder toe.

1) Oudere en meer kwetsbare gebruikers zijn commercieel al grotendeels afgeschreven

De jongere generaties maken hoofdzakelijk gebruik van mobiel bankieren. Mobiel bankieren is veiliger dan internetbankieren, vanwege het feit dat mobiel bankieren vrijwel ongevoelig is voor phishing-scams. De mobiele bankapp verbindt namelijk alleen met legitieme bankwebsites in tegenstelling tot internetbankieren waarmee je potentieel ook kunt verbinden met valse bankwebsites. Hoewel het technisch heel goed mogelijk is om de belangrijkste voordelen van mobiel bankieren op basis van gebruikerskeuzevrijheid (i.c. optioneel) te integreren binnen internetbankieren, hebben banken daar maar weinig oren naar.

Het blijken met name de oudere en meer kwetsbare gebruikers te zijn die gebruik maken van internetbankieren. Enerzijds vanwege het feit dat internetbankieren veel eerder werd geïntroduceerd dan mobiel bankieren, anderzijds vanwege het feit dat internetbankieren doorgaans een beter overzicht biedt vanwege het grotere beeldscherm. Deze doelgroep van oudere en meer kwetsbare gebruikers is commercieel doorgaans niet langer interessant voor een bank. Deze gebruikers hebben in het verleden namelijk vaak al een hypotheek, een lening of een verzekering bij de bank afgesloten of ze zijn sowieso relatief onbemiddeld. In commercieel opzicht kan een bank aan deze klanten daarom weinig extra geld meer verdienen.

Vandaar ook dat banken zich niet zo druk maken over de potentiële gebruikersonveiligheid van met name deze oudere en meer kwetsbare gebruikers. Het verdienpotentieel is namelijk toch al binnen en nadere investeringen in de gebruikersveiligheid voor deze overwegend internetbankierende doelgroep leveren banken per saldo nauwelijks extra geld op.

2) Klantgemak gaat uitdrukkelijk boven klantveiligheid

De meeste banken kiezen uitdrukkelijk voor een jong, vlot en eigentijds imago. Bankzaken mogen namelijk niet stoffig overkomen, maar moeten vooral een snelle en gemakkelijke uitstraling hebben. De belangrijkste systeemzwaktes binnen elektronisch bankieren zijn dan ook het direkte gevolg van keuzes voor gebruikersgemak boven gebruikersveiligheid. De huidige technische infrastructuur van elektronisch bankieren richt zich erop om in zo min mogelijk stappen een betaling of een overboeking te kunnen doen. Het Europese wettelijk minimumkader wordt daarbij het liefst zo nauw mogelijk gevolgd. Ondanks het feit dat er tegenwoordig technisch meer mogelijk is, dan waarmee binnen dit wettelijk minimumkader rekening is gehouden.

Extra beveiligingsstappen die de gebruikersveiligheid substantieel zouden verhogen, sneuvelen bij de meeste banken onder het mom van het zo snel en zo gemakkelijk mogelijk bankzaken moeten kunnen doen. Het gevolg is dat phishing-scams een groeiend maatschappelijk probleem vormen, terwijl ze in technisch opzicht inmiddels grotendeels voorkomen kunnen worden door de technische infrastructuur van internetbankieren op slechts enkele kleine punten aan te passen.

3) Banken rekenen op victim blaming om zelf maatschappelijk uit de wind te blijven

De meest gehoorde reakties naar aanleiding van verhalen van slachtoffers wiens volledige bankrekening is leeggeplunderd als gevolg van phishing-scams zijn: ‘Hoe kan iemand nu zo dom zijn?’ of ‘Zoiets zou mij nou echt nooit overkomen!’. Banken wentelen zich relatief comfortabel in dergelijke reakties van victim blaming, omdat ze hierdoor in maatschappelijk opzicht zelf grotendeels uit de wind blijven. Ze doen hier bovendien zelf nog een schepje bovenop door in hun eenzijdige voorlichtingscampagnes te blijven benadrukken dat de meeste phishing-scams voorkomen kunnen worden door alle bank-URL’s binnen internetbankieren nauwgezet en consequent te controleren (zie ook punt 4).

4) Banken dragen zelf deels bij aan de systeemonveiligheid van internetbankieren

Ja dûh, maar in de praktijk van het internet is een dergelijke nauwgezette en consequente controle eigenlijk alleen maar haalbaar als je gebruik maakt van een geavanceerd computerprogramma…..zoals bijvoorbeeld…..een mobiele bankapp!

Banken laten bovendien fijntjes achterwege dat met name de legitieme bankwebsites (URL’s) voor iDEAL-betalingen of iDIN-identificatie intuïtief moeilijk zijn te onderscheiden van valse bankwebsites. Dergelijke betaallinks (iDEAL) of links voor persoonsidentificatie (iDIN) komen namelijk meestal niet overeen met de primaire bank-URL en zijn bovendien voor elke bank weer anders opgebouwd. In het kader van een veilig en betrouwbaar maatschappelijk betaalverkeer is het toch een volstrekte gotspe dat gebruikers van internetbankieren dergelijke bank-URL’s handmatig zouden moeten controleren om te voorkomen dat ze eventueel op valse bankwebsites belanden?

De oplossing tegen phishing via valse bankwebsites ligt voor het oprapen

Binnen mobiele bankapps wordt immers wel standaard voorzien in automatische controles op legitieme websites ter voorkoming van valse overboekingen. Binnen internetbankieren echter laten banken de potentiële introductie van een extra beveiligingsstap ‘mobiel bankieren’ op basis van gebruikerskeuzevrijheid (i.c. optioneel) ter voorkoming van valse overboekingen liever achterwege. Met name vanwege de hierboven aangehaalde vier issues frustreren c.q. blokkeren banken binnen internetbankieren de introductie van een gebruikers-optionele extra beveiligingsstap ‘mobiel bankieren’ ter voorkoming van valse overboekingen.

Waarbij hoogstwaarschijnlijk het gegeven dat het voornamelijk de oudere en meer kwetsbare gebruikers zijn die internetbankieren – waaraan voor banken weinig extra geld meer te verdienen valt – de doorslag geeft. Terwijl een dergelijke aanpak juist het groeiende maatschappelijke probleem van phishing-scams via valse bankwebsites grotendeels zou kunnen beslechten.

Mijn eerder gepubliceerde artikelen over:

[Fotocredits – daviles © Adobe Stock]

Art Huiskes
Art Huiskes

Art ziet zichzelf als onderzoeksjournalist en doorgrondt het liefst thema's die anderen volgens hem laten liggen. Verklarende en verdiepende artikelen vormen zijn stijl. Hij schuwt ingewikkelde materie daarbij niet.

...

Verder lezen over Internet bankieren

Phishingslachtoffers Bunq krijgen nu wel hun geld terug

Het blijft een dilemma: als je slachtoffer wordt van phishing, dan heb je zelf je geld weggegeven: of is dat niet zo eenvoudig te stellen?

Cybercrime21.06.2024

Phishingslachtoffers Bunq krijgen nu wel hun geld terug

Direct betalen via iDEAL hoeft niet meer: nu kan het in drieën

iDEAL kennen veel mensen als de handige betaaloptie bij webwinkels waarmee je meteen kunt betalen met je bankrekening. We kennen het al decennia en zijn er al helemaal aan gewend, maar in het buitenland zijn ze soms jalo...

Online09.04.2024

Direct betalen via iDEAL hoeft niet meer: nu kan het in drieën

We stappen graag en vaak over, maar niet van bank

Het nieuwe jaar is alweer een paar weken oud en de overstap reclames voor zorgverzekeringen liggen weer een maand of tien in de ijskast. Nederlanders stappen graag over als dat betekent dat ze iets kunnen verdienen. Een...

Nieuws24.01.2024

We stappen graag en vaak over, maar niet van bank

​Google Pay: dit zijn de voordelen en nadelen

Het was dit weekend groot nieuws dat ING na dik twee jaar eindelijk Google Pay zal ondersteunen. Waar ongeveer alle grote banken die ondersteuning al bieden, komt de oranje leeuw er nu nog eens mee. En misschien dat het...

Online08.01.2024

​Google Pay: dit zijn de voordelen en nadelen

​Wat is Wero en wat gebeurt er met iDEAL?

Wero. Het klinkt een beetje als weirdo. Maar het is straks een woord dat je waarschijnlijk heel vaak gaat zien. Of nou ja, een naam, die misschien net als paypallen en ‘tikken’ (verwijzend naar Tikkie) een werkwoord...

Online01.11.2023

​Wat is Wero en wat gebeurt er met iDEAL?

Je kunt nu geld uit de muur trekken zonder pinpas

ING heeft een vernieuwing in het leven geroepen waardoor je niet langer je pinpasje nodig hebt wanneer je cash uit de betaalautomaat wil opnemen. Het werkt niet met contactloos betalen, al zou je dat misschien wel verwac...

Online03.07.2023

Je kunt nu geld uit de muur trekken zonder pinpas

​Let op: dit zijn 5 internetscams die momenteel veel voorkomen

In het Verenigd Koninkrijk heeft de Barclays-bank de noodklok geluid. Er is een toename van 87 procent waar het gaat om bankfraude. Maar liefst 70 procent van de bankscams vinden plaats op social media en via grote techp...

Cybercrime08.05.2023

​Let op: dit zijn 5 internetscams die momenteel veel voorkomen

​De hardnekkige mythe rondom populaire tweestapsverificatie

Rondom populaire tweestapsverificatie - een vorm van multi-factor authentication (MFA) - bestaat een hardnekkige mythe. Veel mensen denken namelijk dat deze extra codes via sms, verificatieapp of bankpas + cardreader vaa...

Online08.05.2023

​De hardnekkige mythe rondom populaire tweestapsverificatie

Verder lezen over Security

Eerst checken, dan bestellen: Klik niet meteen op die bestelknop!

We gaan in sneltreinvaart richting de feestdagen. Black Friday, Cyber Monday, Sinterklaas en Kerstmis volgen elkaar in rap tempo op. En dus gaan we ook met zijn allen weer op zoek naar de leukste cadeaus en scherpste aanbiedingen. Maar daar spelen ook kwaadwillenden slim op in. En dus komt Autoriteit Consument & Markt nu alvast met een waarschuwing voor onbetrouwbare webshops in aanloop naar de feestdagen.

Online31.10.2024

Eerst checken, dan bestellen: Klik niet meteen op die bestelknop!

Nieuwe campagne tegen onbetrouwbare webshops
Ransomwareaanvallen slagen nog steeds: 178 stuks in 2023

Niet alleen lokale documenten, ook clouddocumenten worden op slot gezet en een proces van chantage volgt: ransomware.

Cybercrime23.10.2024

Ransomwareaanvallen slagen nog steeds: 178 stuks in 2023

Pas op: er is een groot beveiligingslek in WordPress-plugin Jetpack

Het zit al sinds 2016 in Jetpack en het zorgt dat gebruikers die ingelogd zijn kunnen lezen wat er in ingediende formulieren staat.

Cybercrime15.10.2024

Pas op: er is een groot beveiligingslek in WordPress-plugin Jetpack

Deze week meerdere waarschuwingscampagnes over phishing: waarom?

Pas op voor phishing! Je wordt er volop door gewaarschuwd door meerdere campagnes, is dat wel zo effectief?

Cybercrime09.10.2024

Deze week meerdere waarschuwingscampagnes over phishing: waarom?

Unlock Digitale Weerbaarheid: leer online gevaren te herkennen

Jim Stolze is een campagne gestart om de digitale weerbaarheid van Nederlanders te vergroten. Samen met KPN, ING en Microsoft is het platform 'Unlock Digitale Weerbaarheid' opgezet, met gratis lessen die online en bij jou in de buurt gevolgd kunnen worden.

Cybercrime08.10.2024

Unlock Digitale Weerbaarheid: leer online gevaren te herkennen

Nee, LEGO raadt je niet aan de LEGO Coin te kopen

In ieder geval doet LEGO geen uitspraken over hoe dit is gebeurd. Het zegt alleen: “Op 5 oktober 2024 verscheen er kort een ongeautoriseerde banner op LEGO.com.'

Cybercrime07.10.2024

Nee, LEGO raadt je niet aan de LEGO Coin te kopen

Ben jij online op te lichten? Doe de gratis cursus Digitale Weerbaarheid

De gratis cursus is bedoeld om je bewuster te maken van wat er allemaal alarmbellen moet doen rinkelen in de toekomst.

Cybercrime02.10.2024

Ben jij online op te lichten? Doe de gratis cursus Digitale Weerbaarheid

Hoe bescherm je de data in je brein?

Het is niet ondenkbaar dat er straks ook mensen die geen lichamelijke beperkingen hebben met een breinchip rondlopen. Maar: hoe zorg je dat je breindata beschermd blijft?

Cybercrime30.09.2024

Hoe bescherm je de data in je brein?