27 januari 2020

Voorkom phishing en banking-trojans door gebruik van een mobiele bankapp!

Life-Hack: een slimme techniek of methode die je kunt toepassen op het dagelijks leven om jouw leven te verbeteren.  In dit geval: een handreiking voor een veiliger financieel leven!

In dit artikel beschrijft onderzoeksjournalist Art Huiskes een life-hack die je kunt inzetten om elektronisch bankieren nog veiliger te maken. Art Huiskes heeft eerder uitgebreid onderzoek gedaan naar de veiligheid van elektronisch bankieren bij grote Nederlandse banken.

Over het bestrijden van phishing wordt veel geschreven, maar het ontbreekt daarbij meestal aan een volstrekt heldere uitleg. Over banking-trojans wordt daarentegen veel minder bericht. Er zijn dus maar weinig mensen die je precies kunnen vertellen wat de achterliggende principes zijn of wat de ruggengraat van phishing of banking-trojans is. Terwijl je jezelf met die kennis pas echt optimaal tegen phishing en banking-trojans kunt beschermen. De tips die banken uitdragen om phishing e.d. te voorkomen zijn weliswaar goed bedoeld, maar houden te weinig rekening met het feit dat phishing e.d. via een webbrowser (internetbankieren) niet in alle gevallen is te voorkomen. Ongeacht hoe waakzaam je bent. Dit heeft alles te maken met de inherente onveiligheid van webbrowsers, waarbij gebruikersgemak vóór gebruikersveiligheid gaat. Ook voor mijzelf geldt, dat ik internetbankieren via mijn browser als comfortabeler ervaar dan mobiel bankieren. Gemakkelijk van achter een groot beeldscherm, met enorm veel overzicht over mijn af- en bijschrijvingen. Niettemin blijkt mobiel bankieren dus echt een stuk veiliger te zijn! Internetbankieren heb ik daarom inmiddels maar grotendeels opgegeven. Op het overzichtelijk doornemen van mijn maandelijkse af- en bijschrijvingen na, geef ik mijn betalingsopdrachten tegenwoordig exclusief door via mijn mobiele bankapp. Het volledige verhaal met achtergronden vind je verderop in dit artikel.

 

Waarom je betalingen beter altijd uit kunt voeren via de mobiele bankapp op jouw smartphone of tablet!

  • Een valse kopie van jouw betalingsomgeving is een voorwaarde om phishing te doen slagen. Eenvoudig te realiseren via een browser-omgeving, niet of nauwelijks te realiseren via de omgeving van jouw mobiele bankapp. Vooralsnog is jouw mobiele bankapp dus ‘unbreakable’!
  • Phishingaanvallen zullen zich dus altijd richten op jouw browser. Daarnaast bestaan er ook nog de minder frequent voorkomende banking-trojans. Dit zijn sluimerende computer-virussen die o.a. razendsnel de in beginsel correct ingetoetste URL van jouw bank kunnen wijzigen in die van een valse banksite. Banking-trojans richten zich dus ook bij uitstek op jouw browser.
  • Waarschuwing: opent een betaallink of een webwinkel-betaling keer op keer via jouw mobiele webbrowser en niet via jouw mobiele bankapp, ga er dan maar gevoegelijk van uit dat er iets niet klopt en sluit alle betalingshandelingen direct af!

Het grootste risico ten aanzien van elektronisch bankieren bestaat tegenwoordig uit phishing-emails, -sms’jes of -app’jes. Dit zijn nepmailtjes, -sms’jes of -app’jes die jou met een dringende boodschap ervan proberen te overtuigen om via de bijgevoegde link in te loggen bij of te betalen via jouw bank. Wanneer je vervolgens op zo’n link klikt, word je via een over het algemeen goed gelijkende valse bankwebsite misleid en loop je het risico van de volledige plundering van jouw betaal- en spaarrekening. Hoewel banken, overheidsinstanties en de meeste verzekeraars je in principe nooit zullen vragen om te betalen via een link in email, sms of app, zijn andere instanties daarin minder consequent. Sommige instanties sturen je zelfs rechtstreeks iDEAL-betaallinks om te kunnen betalen. Tref je daarnaast per ongeluk een malafide webwinkel, dan zijn de betaallinks die binnen jouw browser worden afgewikkeld misschien zelf ook wel malafide? Je weet het dus gewoon niet!

Hoewel je jezelf met gezond verstand dus tegen de meeste phishing-emails/sms’jes/app’jes kunt beschermen (i.c. meteen weggooien), is het zeker niet uitgesloten dat je vroeg of laat toch tegen een valse betaallink aanloopt. Phishing wordt namelijk steeds geavanceerder en de valse berichten of valse webwinkels zijn soms nauwelijks meer van de echte te onderscheiden. Echt verwarrend wordt het als de echte berichten en echte webwinkels niet meer van de valse zijn te onderscheiden, en daarnaar zijn wij helaas hard op weg.

Niettemin kun je – als je jezelf bewust bent van hoe de achterliggende principes en de ruggengraat van phishing en banking-trojans functioneren – erger voorkomen, zelfs als je per ongeluk toch op een valse link klikt of een valse webwinkel bezoekt. Lees daarvoor hieronder verder over hoe phishing precies in elkaar steekt.

 

Webbrowsers vormen het ultieme doel van phishingaanvallen en banking-trojans.

Als je via een webbrowser bankiert (internetbankieren) dan kunnen internetcriminelen jou relatief gemakkelijk een nagemaakte bankwebsite voorschotelen, terwijl op de achtergrond van jouw computer, hetzij op een criminele server, de eigenlijke bankwebsite draait. Alle gegevens die jij invoert op die valse banksite worden real-time doorgestuurd en ingevuld op de eigenlijke bankwebsite. Uiteraard op de hoogte van de bedragen en de bestemming van jouw gelden na, die worden vanzelfsprekend in het voordeel van de crimineel veranderd. Op deze manier kun jij in de veronderstelling zijn dat je een relatief klein bedrag aan Instantie Y overmaakt, terwijl in de tussentijd via de onzichtbare en eigenlijke bankwebsite jouw volledige rekening wordt leeggeroofd. Daarvoor gebruiken deze internetcriminelen de door jou via de valse bankwebsite verstrekte verificatie- en betaalcodes.

Dit is mogelijk, omdat internet- of browserbankieren apparaatgebonden noch software-gebonden is. D.w.z. dat jouw bank noch checkt of je op jouw eigen computer bankiert, noch of je vanuit een speciaal daarvoor geregistreerde app c.q. browservenster bankiert. Dit heeft o.a. te maken met gebruikersgemak vóór gebruikersveiligheid, met een aantal beperkingen van het besturingssysteem op een doorsnee computer, maar vooral met het gegeven dat een browser een volstrekt generiek en omni-toegankelijk product van derden is (i.c. van externe makelij) dat überhaupt slecht te beveiligen is. Let op: dit laatste gegeven geldt zowel voor de browser op jouw computer als voor de mobiele browser op jouw smartphone of tablet. Beiden werken volgens precies hetzelfde principe.

Phishingaanvallen zullen zich dus altijd richten op jouw browser. Daarnaast bestaan er ook nog de minder frequent voorkomende banking-trojans. Dit zijn sluimerende computer-virussen die o.a. razendsnel de in beginsel correct ingetoetste URL van jouw bank kunnen wijzigen in die van een valse banksite. Banking-trojans richten zich dus ook bij uitstek op jouw browser.

 

Mobiele bankapps vormen tegenwoordig de beste bescherming tegen phishing.

Eerder benoemde risico’s spelen niet langer als je via een mobiele bankapp bankiert (mobiel bankieren). Jouw mobiele bankapp en jouw smartphone of tablet zijn als unieke entiteiten geregistreerd aan jouw bankrekening. Dit betekent dat het technisch gezien onmogelijk is om met een niet-geregistreerde mobiele bankapp of met een niet-geregistreerd toestel mobiel te bankieren via jouw bankrekening. Omdat het besturingssysteem van jouw mobiele telefoon of tablet bovendien veel veiliger is ingericht dan die van een doorsnee computer, is het ook niet mogelijk om een valse kopie van jouw mobiele bankapp op de achtergrond te laten draaien. Zoals dat in een browseromgeving helaas kinderlijk eenvoudig is door twee verschillende browservensters of -servers te laten draaien, waarvan er één voor jou onzichtbaar blijft. Omdat een valse kopie van jouw betalingsomgeving per definitie een voorwaarde is om phishing te doen slagen, is phishing via een mobiele bankapp vooralsnog niet vertoond!

Dit betekent overigens niet dat het technisch onmogelijk is, maar wel dat de doorontwikkeling van mobiele bankapps dit hoogstwaarschijnlijk zal (blijven) voorkomen. Speciaal ontwikkelde mobiele bankapps zijn nu eenmaal een stuk beter te beveiligen dan de generieke en omni-toegankelijke browsers van derden. Weliswaar is een waarschuwing op zijn plaats ten aanzien van ‘gerootte’ (Android) of ‘gejailbreakte’ (iOS) smartphones of tablets in relatie tot mobiel bankieren. Dergelijke aanpassingen leiden er mogelijk toe dat jouw mobiele besturingssysteem alsnog kan worden gecompromitteerd.

 

Waarschuwing:  opent de betalingsomgeving van jouw bank via jouw mobiele webbrowser en niet via jouw mobiele bankapp, dan vormt dat een sterke indicatie voor een phishing-aanval of de aanwezigheid van een banking-trojan.

Een phishing-aanval via jouw mobiele bankapp is dus bij voorbaat uitgesloten, vanwege de niet-te-kopiëren betalingsomgeving van de mobiele bankapp. Toch hebben internet-criminelen hiervoor weer een uitweg bedacht. Ze zullen namelijk proberen om jouw betalingsomgeving niet via jouw uitstekend beveiligde mobiele bankapp, maar via jouw slecht beveiligde mobiele webbrowser te openen. Jouw mobiele browser is namelijk al net zo onveilig als de browser op jouw computer. M.a.w. een phishing-link zal een valse betalingsomgeving altijd openen via jouw mobiele browser. Met als gevolg dat een valse kopie van jouw betalingsomgeving vervolgens toch weer een feit is en dit opent de weg voor misbruik van jouw bankrekening, ondanks het gebruik van jouw smartphone of tablet. Echter het optreden van een dergelijke situatie alleen al (i.c. het openen van de bankwebsite in jouw mobiele webbrowser) vormt de beste indicatie dat er mogelijk iets niet klopt!

Dus, opent een betaallink of een webwinkel-betaling keer op keer via jouw mobiele webbrowser en niet via jouw mobiele bankapp, ga er dan maar gevoegelijk van uit dat er iets niet klopt en sluit alle betalingshandelingen direct af!

 

Bron:  Art Huiskes  (onderzoeksjournalist)