Banken beheren jouw geld. Veiligheid staat daarbij voorop en aangezien het overgrote deel van ons geld tegenwoordig alleen digitaal bestaat, behoren ook gewelddadige overvallen op banken nagenoeg tot het verleden. Criminaliteit is daarmee echter niet uitgebannen. Waar het om banken en geld gaat, is het werkveld van de crimineel verschoven naar de digitale wereld. In deze digitale wereld zijn zowel de banken als ook haar klanten steeds vaker het doelwit van criminele activiteiten.
Frequente berichtgeving in de media over fraude met internetbankieren geeft aan dat digitale criminaliteit een serieuze bedreiging is. Banken lijken echter alert en passen continu hun systemen en procedures aan om te voorkomen dat gegevens van haar klanten worden misbruikt. Maar hoe veilig is ons geld eigenlijk? Hoe veilig is het internetbankieren?
Banken geven aan dat internetbankieren een gezamenlijke verantwoordelijkheid is van banken en klanten. Om klanten te informeren over drie regels waaraan zij zich moeten houden bij het internetbankieren is door de Nederlandse Vereniging van Banken (NVB) het initiatief tot de actie ‘drie keer kloppen' genomen. De drie regels voor klanten zijn: zorg dat de pc-beveiliging up-to-date is, controleer of de website echt van jouw bank is en controleer altijd je betalingen. In deze landelijke voorlichtingscampagne wordt de Nederlander geattendeerd op het belang van veilig internetbankieren.
Waar de klant het moet doen met deze ‘drie regels', investeren banken jaarlijks vele miljoenen om systemen en procedures voor authenticatie van haar klanten te realiseren en te verbeteren. De meest gangbare authenticatiemiddelen die banken momenteel inzetten zijn nummercalculatoren, tokens en smartphones, al dan niet aangevuld door gebruik van sms met TAN-code. Kenmerkend voor al deze beveiligingsmaatregelen is dat het hier om eenzijdige authenticatie gaat. De bank wil zeker weten met de klant te maken te hebben. Of de klant weet of zij daadwerkelijk met de bank communiceert, wordt door banken als vanzelfsprekend aangenomen. Immers, banken vormen toch geen bedreiging voor haar klanten? Door deze eenzijdige maatregelen van banken kunnen criminelen zich kinderlijk eenvoudig via de pc en internetbrowser, de geliefde werkplaats van hackers, of door het infecteren van het besturingssysteem van de smartphone van de klant, met interceptietools tussen de klant en de bank begeven. Zij controleren zo ongemerkt de communicatie tussen de bank en de klant. Zowel de bank als de klant communiceren feitelijk met de crimineel (‘man in the middle'). Gebruik van sms en TAN-code biedt op het gebied van beveiliging nauwelijks toegevoegde waarde. Alle sms-verkeer is eenvoudig op te vangen met apparatuur die in iedere zichzelf respecterende spyshop verkrijgbaar is. Ook verzenden van sms-data onder een zelf gekozen nummer wordt door verschillende websites aangeboden. Zo denkt de klant met de bank te communiceren en de bank met de klant terwijl in werkelijkheid een crimineel tegoeden naar andere rekeningen doorsluist .
Maar mag de bank dan wel verwachten dat de klant zo goed is onderlegd dat deze de situatie van de zogenaamde ‘man in the middle' onderkent? Waar banken miljoenen aan het verbeteren van haar authenticatieproces uitgeven moeten klanten zonder specialistische kennis over het authenticatieproces en zonder deugdelijke ondersteuning het doen met de drie keer kloppen-regels. Zolang banken niet investeren in en overgaan op ‘two way'-authenticatie, waarbij ook de klanten er zeker van kunnen zijn daadwerkelijk met de bank te communiceren, zal internetbankieren nooit veilig zijn.
Een veilig betalingsverkeer via internet is een zaak van ons allemaal. Het initiatief voor drie keer kloppen van de NVB draagt zeker bij aan de bewustwording bij klanten. Waar banken het echter terecht over de gezamenlijke verantwoordelijkheid hebben, bieden zij haar klanten onvoldoende mogelijkheden om vast te stellen dat ook zij daadwerkelijk met hun bank communiceren. ‘Two way'-authenticatie is een oplossing die daadwerkelijk kan bijdragen aan een veilige en volgende generatie internetbankieren.
Eugene Derksen
Directeure
Four Oaks
Dat van het ontbreken van de authenticatie van de bank lijkt mij wel mee te vallen:
Regel 2 van “drie maal kloppen” is “Controleer of de website echt van uw bank is”.
Dus of je een https-verbinding hebt en of tevens het “hangslotje” c.q. certificaat van de site klopt.
Daarmee heb je toch de authenticatie van de (site van de) bank vastgesteld en is de “man in the middle” toch niet mogelijk?
@Marco: Slaap zacht… Het kan niet anders dan dat je commentaar ironisch is bedoeld, of anders… zou de zorgplicht van banken inhouden dat ze jou het recht op Internet-bankieren zouden moeten ontzeggen… (Ja, zorgplicht gaat zo ver dat je niet meer met je eigen geld mag doen wat je wilt …!).
Het artikel raakt wel iets, maar niet de kern. 2-weg-authenticatie is namelijk ‘kinderlijk eenvoudig’ te omzeilen door een cracker die ook maar iets waard is. ’t Helpt wellicht iets, maar verre, zeer verre van alles.
Two-factor authenticatie als beveilging is nutteloos als je PC gehacked is met e.o.a. malware die je DNS en/of de bankwebsite spoofed. Men kan gewoon meeliften op je transacties.
Dat de bank je geld altijd terug geeft als je ‘gehacked’ bent is niet zo van zelf sprekend, zie de volgende bepaling uit de sinds kort gewijzigde bankvoorwaarden:
Artikel 2 Zorgplicht bank en cli?nt
“2. De cli?nt neemt jegens de bank de nodige zorgvuldigheid in acht en houdt daarbij naar beste vermogen rekening met de belangen van de bank. De cli?nt stelt de bank in staat haar wettelijke en contractuele verplichtingen na te kunnen komen en haar dienstverlening correct te kunnen uitvoeren. De cli?nt mag van de diensten en/of producten van de bank geen oneigenlijk of onrechtmatig gebruik (laten) maken,
waaronder mede begrepen gebruik dat strijdig is met wet- en regelgeving, dienstbaar is aan strafbare
feiten of schadelijk is voor de bank of haar reputatie of voor de integriteit van het financi?le stelsel.”
Vooral het woordje ‘laten’ duidt naar mening dat de klant verantwoordelijk is voor de beveiliging van haar spullen om te voorkomen dat anderen daar misbruik van kunnen maken. Hoe reageert de bank als blijkt dat je geld verloren heb doordat je besmet bent door een virus?
Het lijkt mij dat banken de verantwoordelijkheid naar de klant toe schuiven. Of heb ik het helemaal mis?
@Michiel
Dat klopt. De klant is ook verantwoordelijk voor de beveiliging van haar spullen. Dus ook voor het zorgen dat je PC vrij is van virussen of malware. Deze verantwoordelijkheid kun je niet bij een bank neerleggen, aangezien een bank dit niet mag controleren. (bovendien, zelfs dan zou malware de bank een onjuiste goedkeuring kunnen geven. Vergelijk het met de registraties van Windows bij Microsoft. Ook die worden omzeild door nep “goedberichtjes”).
@Eugene
Een two-way authenticatie geeft zeker meer zekerheid, maar het is wachten op het moment dat hier ook weer iets omheen verzonnen is. Zolang er een factor tussen beide partijen zit die te beinvloeden is, en dat is in dit geval de grote wolk genaamd “het internet”, dan is 100% veiligheid een utopie.
Zoals je in je artikel al aangeeft, het draagt er zeker aan bij. Of het DE oplossing is? Ik betwijfel het…
Het gaat hier om een aantal zaken rondom het doen van transacties met internetbankieren:
1. De bank moet de klant zekerheid geven dat hij in verbinding staat met de juiste website van de bank.
2. De bank wil aan zijn kant zekerheid hebben dat hij met de klant te doen heeft. Het maakt niet uit waar de klant vandaan komt, als het maar echt de klant is.
3. Iedere transactie van waarde moet door beide partijen controleerbaar zijn en gecontroleerd worden.
Alle drie deze voorwaarden moeten met redelijke zekerheid vastgesteld kunnen worden.
Punt 1 is vooral een zaak van de klant en de algemene infrastructuur. De bank kan hier aan bijdragen door een kwaliteitscertificaat te gebruiken, zijn eigen infrastructuur veilig op orde te hebben en te kijken of er geen misleidende domeinnamen zijn geregistreerd. Dit doen ze. Ook is het belangrijk de klant bewust te maken van de noodzaak tot beveiliging aan zijn kant. Vandaar b.v. de actie 3 keer kloppen. Bedreigingen zijn inderdaad DNS-spoofing en zwakheden in de uitvoering van het SSL protocol op het HTTP protocol in de browser. Daar wordt aan gewerkt…
Op punt 2 wordt door de banken zwaar geinvesteerd. Vooral omdat de klant overal vandaan mag komen is het belangrijk dit deel goed in de vingers te hebben. Dit mag je gerust aan de banken overlaten.
Punt 3 doen de Nederlandse banken gelukkig goed. Dit is een cruciale schakel in de keten. Mocht een hacker punt 1 en 2 omzeild hebben, dan is nog steeds een protocol te doorlopen met informatie die niet uit de PC komt (b.v. SMS, TAN, calculator) voordat zomaar transacties uitgevoerd kunnen worden buiten de klant om. En dit geldt zelfs als de PC besmet is geraakt.
Als (zware ALS) de hacker zich als man-in-the-middle tussen de bank en de klant weet in te wurmen, kan er theoretisch een kat-en-muis spel gespeeld worden. Hierbij zou het mogelijk zijn dat de transactie van de klant ongemerkt aangepast wordt. Praktisch heel moeilijk toe te passen. Op dit punt horen bank en klant vooral ook de transacties achteraf na te kijken op zaken die niet kloppen. Dit is het grootste risico bij internetbankieren, zonder dat ik hiermee wil zeggen dat dit een groot risico is, omdat het zo een complex scenario vergt.
Wederzijdse authenticatie is in feite een gecombineerde oplossing die punt 1 en 2 samen aanpakt, meestal met verlies aan flexibiliteit voor de klant. Punt 3 wordt hierbij niet aangepakt. Vandaar dat het als oplossing het gestelde probleem niet structureel aanpakt. Ik houd voorlopig mijn vertrouwen in internetbankieren in Nederland.
Zoals Marc al aangeeft is er wel degelijk 2 way authenticatie mbv het SSL certificaat, dus MitM is uitgesloten. Het probleem is echter MitB (Man in the Browser), maar daarvoor kan de bank weinig meer doen dan voorlichten. Zolang de klant niet in staat is om zijn eigen PC te beveiligen loopt hij een risico. Dus ook met 2 weg authenticatie ! En dat risico heeft de consument niet alleen met bankieren maar met alle online diensten.
Roepen dat banken niet willen investeren is natuurlijk wel erg makkelijk scoren. Ik ben daarom wel erg benieuwd wat meneer Derksen als “volgende generatie internet bankieren” ziet, want dat komt absoluut niet uit de verf. Als hij de banken beschuldigt van onwil zal hij ook moeten vertellen hoe het volgens hem beter kan.