Nederlandse banken gaan de komende jaren extra maatregelen treffen om aanvallen op internetbankiers te voorkomen, vroegtijdig te ontdekken of het effect te minimaliseren. Over de aard van de maatregelen laat niemand iets los.
In augustus is ABN AMRO getroffen door een zogenoemd ‘man in the browser'-virus dat klanten via internet hadden binnengehaald. "Het ging om klanten die niet de laatste beveiligingsupdates van Microsoft hadden toegepast", licht woordvoerster Brigitte Seegers toe.
"Het is de tweede keer in de geschiedenis van ABN AMRO internetbankieren dat wij getroffen zijn door een virus. We hebben direct met succes maatregelen kunnen treffen waardoor het aantal gedupeerden tot een handvol beperkt is gebleven."
Eerder was de bank getroffen door een ‘man in the middle'-aanval, waarbij iemand zich nestelt tussen de server van de bank en de pc van de internetbankier en vervolgens hengelt naar authenticatie- en rekeninggegevens. Het Nederlandse bedrijf Trustalert heeft een techniek ontwikkeld (onder andere met kort te gebruiken authenticatiesleutels) om dergelijke aanvallen tegen te gaan. "We zijn met dit bedrijf in overleg", zegt Seegers, "maar ook met andere experts. Omdat het hier om beveiliging gaat, kan ik geen details geven over de maatregelen die we nemen."
Voorsprong
De Nederlandse Verenging van Banken (NVB) meldt dat de banken gezamenlijk overleggen hoe de hengelaars (phishers) de deur uit zijn te houden. "Gezien de bankspecifieke kenmerken van systemen is het niet aan de NVB om een oplossing van een bepaalde partij aan te bevelen; de banken bepalen dit zelf", aldus woordvoerder Raymond Peil.
Wim Hafkamp, verantwoordelijk voor de informatiebeveiligingsstrategie van de Rabobank Groep, zegt dat de Nederlandse banken, omdat ze sterke authenticatie gebruiken, vooralsnog buiten schot zijn gebleven. Criminelen mikken eerst op de zwakste tegenstanders. "Maar in het buitenland neemt sterke authenticatie ook toe, dus verliezen wij onze voorsprong als we niet verder gaan." Hij wijst erop dat de klanten ook hun verantwoordelijkheid moeten nemen.
Dat is simpel opgemerkt dat de klanten ook hun verantwoordelijkheid moeten nemen. Hoe? Wanneer de Provider weer eens een up-date realiseert, dan liggen de nieuwe wachtwoorden er even uit en hebben bijna alle gebruikers het wachtwoord “Welkom” “Begin” “Start” o.i.d.. De crackers weten wanneer een systeem eruit heeft gelegen, de gebruikers vaak niet! In die tussentijd staan hun systemen open voor “Jan en Alleman”. Zo zijn er veel meer schakels waarop de gebruiker geen enkele invloed heeft. Denk hierbij aan de (te)vergaande bevoegdheden van de politie-opsporingsdiensten. Iedereen weet dat dit de organisatie is met de meeste infiltranten vanuit de onderwereld. Ook vervolgen sommige (ex) agenten binnen de onderwereld hun carriere of binnen security-bedrijven. Hoe kan een leek zich hiertegen beschermen? Het is daarom schandalig dat de banken de finaniele verantwoordelijkheid verschuiven van hun organisatie naar de klant. Is ze er zo van overtuigd dat ze de slag heeft verloren? Het lijkt er wel op. Waar zijn we mee bezig!