Het tv-actualiteitenprogramma Nieuwsuur besteedt dinsdagavond 3 januari aandacht aan internetcriminaliteit in de betalingswereld. Aanleiding is de column van Robert van Vliet over het leegplunderen van zijn zakelijke bankrekening door webcriminelen vlak voor kerst. Van Vliet deed aangifte bij de politie en merkte dat een digitale aangifte voor een cybercrime niet mogelijk was. Hij moest naar het dichtstbijzijnde politiekantoor, waar hij merkte dat er amper kennis aanwezig is over de aanpak van de opsporing van digitale boeven.
Van Vliet, die voor Computable tweewekelijkse columns schrijft over de e-overheid, kreeg journaliste Nicole Le Fever van Nieuwsuur over de vloer bij zijn adviesbureau Intercity. De redactie had zijn column Politie.nl kent geen cybercrime gelezen en besloot een item aan internetfraude te wijden. Ook een vertegenwoordiger van de Nederlandse Vereniging van Banken (NVB) komt aan het woord. De uitzending begint om 22.00 uur op Nederland 2.
De internetboeven hebben via de pc die Van Vliet thuis had staan, zijn rekening kunnen plunderen. 'Ik heb actuele antivirussoftware op mijn pc staan, ik heb een automatiseerder om de ict-zaken te regelen, ik doe geen gekke dingen op internet en ik reageer nooit op spam. Toch word ik beroofd.'
Grote zorgen
De columnist maakt zich zorgen over hoe dit soort internetcriminaliteit aangepakt kan worden. 'Zeker als je bedenkt dat heel veel Nederlanders werken zoals ik. Ook omdat de politie de omvang niet op zijn netvlies heeft staan en de bankwereld zich angstvallig stilhoudt over dit onderwerp. Nu skimmen bijna niet meer mogelijk is, ben ik bang dat criminelen zich volop op internet storten en cybercrime dit jaar alle records gaat breken.'
In Nederland is de schade door internetfraude explosief gestegen van 1,9 miljoen euro in 2009 en 9,8 miljoen euro in 2010 naar 11,2 miljoen euro in de eerste jaarhelft van 2011. Dat blijkt uit cijfers van de NVB.
je kan echt niet zomaar inbreken op iemands pc zonder dat de eigenaar er op enige manier aan mee werkt.
deze meneer moet zeker iets hebben gedownload waardoor ze zijn rekening hebben kunnen leeghalen .
of iemand uit zijn kennissen kring heeft iets op zijn pc gegooid in een onbewaakt moment .
ben ook erg benieuwd of deze meneer zijn modem router/firewall wel had ingeschakeld staan.
snap ook niet echt hoe de rekening geplunderd kan worden tegenwoordig heb je een TAN code nodig om toesteming te geven of weten die internet dieven de tan code te omzeilen ?
zet hier mijn vraagtekens bij vind het zeer vaag
Blijkbaar heb je de uitzending van Nieuwsuur niet gezien.
Ik begreep uit de uitzending van Nieuwsuur dat er door de criminelen een betalingsopdracht klaar was gezet, die met de eerstvolgende betalingsopdracht van dhr van Vliet werd geautoriseerd. Alleen is het bij mijn bank (ING) zo dat grote bedragen (zeker als om tienduizenden euro’s gaat) met een aparte TAN-code moeten worden bevestigd, en dat het bedrag wordt meegestuurd met het SMS-bericht waarin de TAN-code zich bevindt. Dit bedrag moet je zelf controleren voordat je de TAN-code intypt ter autorisatie. Ik weet niet of dhr. van Vliet wellicht nog met de papieren TAN-lijst werkt, want deze hebben deze controle niet.
Een vraag aan Robert van Vliet: ik heb begrepen dat de criminelen een betalingsopdracht hadden klaargezet. Bij het invoeren van je TAN codes zie je toch ook die opdracht erbij staan? Zelf check ik altijd alle betalingen alvorens op de Verzenden knop te drukken. Niet om het één of ander, u had het kunnen zien toch?
En zeker als het hier om o.a. de salarisbetalingen gaat, zoals in de uitzendig werd gezegd, zou ik toch verwachten dat u controleert of alles klopt.
Naar mijn idee is er “van buiten” ingelogd op de betreffende rekening, niet via de PC van Robert – hij zit in de ICT dus ik verwacht wel dat hij die zaakjes op orde heeft. Je kan een betaling klaarzetten zonder TAN, je moet dan op een bepaald moment authoriseren en – inderdaad – je zou op dat moment die betaling moeten zien staan. Het was echter geen mooi rond bedrag en in de lijst van meerdere betalingen kan ik me voorstellen dat je die over het hoofd ziet.
Het zou wel waardevol zijn om te weten of het inderdaad zo is gegaan. Een extra visuele check en regelmatig veranderen van de login zou dan veel ellende voorkomen. Kan Robert hier nog op reageren?
Het gereedzetten van de betaalopdracht zie je als gebruiker niet, ook niet in een verzendlijst. Die zie je alleen bij je eigen betalingen.
De dieven schermen de verzendpagina met hun eigen ‘gereedgezette’ betaling af. Ook de TAN-code gaf niet aan dat het om een betaling ging.
Ik krijg mijn TANcode overigens per sms.
Daarnaast behandel je die extra verificatie als gebruiker niet als een betaling maar als een extra beveiligingshandeling. Net zoals bij sommige banken een extra verificatie wordt gevraagd als het een hoog bedrag betreft.
Kortom; bij iedere verificatie of authorisatiehandeling die door de bank wordt gevraagd moet je je afvragen of die legaal is of niet. De consequenties zie je namelijk niet direct. Die worden door de dieven afgeschermd. Een extra visuele check gaat dus niet altijd op omdat de consequenties niet zichtbaar zijn. Vaker van login veranderen zou volgens mij wel kunnen helpen, maar is geen garantie.
Overigens ben ik geen ICT-er. Aangezien ik toepassingen gebruik die 90 procent van de Nederlanders gebruiken (Windows-PC met explorer), betekent dit dat veel mensen risico lopen.
Helaas heb ik dezelfde ervaring, zij het dat ik het tijdig genoeg opmerkte en de bank de (SEPA) transactie kon afbreken voordat mijn salaris bij een Portugese geldezel belandde.
De kern van het probleem is dat het platform waarop de transactie wordt uitgevoerd (PC, laptop) in wezen niet vertrouwd kan worden, terwijl dit platform wel wordt gebruikt om een transactie te bevestigen. Internetcriminelen corrumperen het platform door een rootkit te laten installeren, met als payload een op afstand te besturen bot, bijv. de beruchte ZeusBot. Deze bot kan in potentie elke API aanroep onderscheppen. Handig, want daardoor kan het zichzelf verstoppen voor de virusscanner. Het doel van Zeus is het onderscheppen van netwerkaanroepen van de browser en het manipuleren van specifieke webpagina’s. U denkt wellicht: “Dat kan niet, ik heb een beveiligde SSL verbinding met de bank”. Echter, de SSL encryptie eindigt niet in de browserapplicatie, maar op een lager niveau in het besturingssysteem. De implicatie is dat de inhoud van een pagina in de browser onbetrouwbaar is als het platform onbetrouwbaar is.
Internetcriminelen weten dat iemand niet altijd 100% op zijn hoede is. In mijn geval stopten ze een extra ‘synchronisatie’ pagina in het inlog protocol. In werkelijkheid was de ‘synchronisatie’ natuurlijk een autorisatie voor een extra transactie richting Portugal.
Het gebruik van SMS als extra kanaal voor bevestiging is in principe een goede oplossing. Zolang de mobiel niet gebruikt wordt voor internetbankieren geeft het een hoge graad van zekerheid door het gebruik van twee verschillende platformen. Maar zoals Robert van Vliet aangeeft in bovenstaande reactie is dat kennelijk niet altijd afdoende.
Een goede (en reeds bestaande) oplossing is het gebruik van een USB reader met een schermpje. De reader is een apart apparaatje (van de bank) dat niet gehackt kan worden en dat voor de beveiliging volledig onafhankelijk is van de PC. De browser maakt verbinding met de bank via de reader (die als proxy fungeert), de reader zet de SSL verbinding met de bank op. Een transactie wordt bevestigd door op de reader op een knopje te drukken.
Na het lezen van de reactie van Robert en Jaap is de grote vraag die bij mij opkomt: is er een rootkit of trojan op de betreffende computer aangetroffen??? En zo niet, hoe is die opdracht (ook nog kennelijk onzichtbaar) dan in de verzendlijst is gekomen. Is de login op de banksite omgeleid, is het password geraden?
Als bekend wordt hoe men te werk gaat kan je misschien als gebruiker op dit soort dingen anticiperen.