Gelijke regels voor internetbankieren? Maar dan ook voor banken!

De Nederlandse Vereniging voor Banken (NVB) kondigde laatst aan dat er vanaf 1 januari 2014 gelijke regels gelden voor alle banken aangaande het veiliger maken van internetbankieren. Hierbij moeten de klanten, volgens het bericht, voldoen aan onderstaande vijf specifieke veiligheidsregels:

1. De beveiligingscode (Pincode) mag niet zijn uitgelekt;
2. De bankpas mag nooit door iemand anders zijn gebruikt;
3. Apparatuur die voor bankzaken wordt gebruikt moet voorzien zijn van actuele beveiligingssoftware;
4. De klant moet kunnen aantonen dat hij bankafschriften geregeld controleert;
5. De klant moet incidenten direct melden.

Tot zover geen schokkende zaken zult u zeggen, dat doen we toch al allemaal, niemand geeft zijn Pincode af, leent zijn bankpas uit en de door u gebruikte computerapparatuur is voorzien state-of-the-art en actuele beveiligingssoftware. Afschriften worden periodiek gecontroleerd en incidenten worden meteen gemeld.

Eerst maar even terugkijken naar opgetreden incidenten en meldingen over internetbankieren:

1. 26 september 2012: de fraude met internetbankieren is in de eerste helft van dit jaar met 14 procent toegenomen vergeleken met de tweede helft van vorig jaar, de schade van de fraude liep op tot 27,3 miljoen euro. In totaal ging het om 6200 gevallen, ofwel een gemiddeld schadebedrag van 4400 euro;
2. 2 april 2013: het aantal gevallen van fraude met internetbankieren is in de tweede helft van 2012 met 60 procent afgenomen vergeleken met de eerste helft van het jaar. De schade van de fraude daalde van 24,8 miljoen naar 10 miljoen euro. In totaal ging het in 2012 om 34,8 miljoen euro aan schade bij internetbankieren. Ook de schade door skimming (het kopiëren van betaalpassen) daalde van 38,9 miljoen in 2011 naar 29 miljoen euro in 2012;
3. 19 juni 2013: ruimhartige vergoeding bij skimming'. Consumenten van wie de bankrekening is leeggehaald door internetcriminelen, hebben bijna altijd recht op een 'ruimhartige vergoeding' door hun bank. Volgens Buijink (NVB) wordt de schade bij internetcriminaliteit 'bijna altijd' vergoed aan consumenten, behalve als sprake is van 'grove nalatigheid';
4. 20 augustus 2013: ........ mobiel bankieren is niet onveiliger dan bankieren via een pc: de techniek is hetzelfde en niet onveiliger. Het grote verschil zit hem in het feit dat veel mensen beveiligingssoftware op hun pc hebben, maar veel minder mensen dat op hun telefoon gebruiken. Daarnaast wijst de onderzoeker erop dat mensen op hun pc eenvoudiger kunnen zien welke processen er op de achtergrond draaien, terwijl dat op smartphones minder goed in de gaten wordt gehouden;
5. 14 september 2013: schade door fraude met internetbankieren ruim gehalveerd. Fraude met internetbankieren leverde in de eerste helft van 2013 een schadepost van 4,2 miljoen euro op, meldt de Nederlandse Vereniging van Banken. Dat is een daling van 58 procent in een half jaar tijd. In de tweede helft van vorig jaar beliep de schade door fraude met internetbankieren 10 miljoen euro. Vergeleken bij de eerste helft van 2012 is de daling nog groter. Toen was de schade ongeveer 25 miljoen euro.

Tot zover mijn terugblik, conclusies?

1. De banken maken zelf periodiek meldingen dat het allemaal wel mee valt met de fraude met internetbankieren;
2. Ieder kwartaal is er wel een melding dat het weer minder geworden is en dat het schade bedrag per slachtoffer afgenomen is;
3. Bijna alle slachtoffers, zo niet alle slachtoffers krijgen een 'ruimhartige vergoeding' voor de geleden schade.

Dus iedereen blij. Maar als dat inderdaad de waarheid is, waarom worden dan de voorwaarden voor internetbankieren eenzijdig aangescherpt en worden een (groot) deel van de problemen met fraude met internetbankieren bij de klant (u dus) geparkeerd?

Vreemd toch? Of is de werkelijkheid anders? Laten we ons in deze blog even beperken toe de state-of-the-art en actuele beveiligingssoftware. Eis 3 van de banken. Wat is dat dan precies en helpt dit om besmetting van uw pc, tablet, of laptop te voorkomen. Ik laat de aanvallen via skimming even buiten beschouwing.

Even wat achtergrond over de mogelijke besmetting van uw pc, tablet of laptop, hoe gaat dat nu in zijn werk?

1. Een banking Trojan is een special op maat gemaakt stukje (virus) software dat ergens diep in uw pc, tablet, of laptop is geïnstalleerd (in het operating system: Windows XP, Vista, Windows 7 en 8, of in uw browser-programma: Internet Explorer, Firefox, Google Chrome) en via een 'verborgen' communicatiekanaal communiceert met een server ergens op het internet, dit noemen we een command & control server;
2. Zodra u uw internetbankieren applicatie (tablet) start, of verbinding maakt met de server van uw bank (pc of laptop) wordt het virus geactiveerd en stuurt uw gegevens (naam, bankgegevens, pincodes, ed.) door naar de command & control server. Deze reageert daar op door zich actief te nestelen in het communicatiekanaal tussen uw pc, tablet of laptop (dit noemen we een Man-in-the-Middle attack) en de server van de bank. Een andere mogelijkheid is als uw browser-programma geïnfecteerd is (hier spreken we dan over een Man-in-the-Browser attack);
3. U als klant denkt met de server van de bank te communiceren, maar in werkelijkheid wordt deze communicatie onderschept en aangepast doorgestuurd naar de server van de bank. De daadwerkelijke transactie van, zeg € 100 overboeken naar uw tante in Enschede, wordt dan aangepast en u boekt dan, zonder dat u het zelf weet ineens € 1000 over naar de rekening van iemand anders. De aanvaller past hiervoor de meldingen aan die de bank aan u stuurt. Hierdoor hebt u dus niets in de gaten, totdat het te laat is.

Hoe raak je nu besmet met een banking Trojan? Dit gaat in de regel op twee manieren.

1. Nietsvermoedend surf je op het internet. Door het raadplegen van een gehackte website wordt automatisch een bestandje (het startbestandje van het virus) op je computer geïnstalleerd. Dat kan via een lek in bijvoorbeeld de op jouw computer gebruikte software;
2. Je ontvangt een PDF bestand. Bijvoorbeeld een nieuwsbrief of een handleiding. Wanneer je dit bestand opent met een kwetsbare PDF-reader wordt de kwetsbare code uitgevoerd en spreekt het een veiligheidslek aan in de PDF-reader. Hierdoor wordt op je computer het startbestandje van het virus (de banking Trojan) geïnstalleerd.

Nu denkt u vast en zeker: dat zal mij niet gebeuren, u let immers goed op. U opent geen e-mail berichten van vreemde afzenders, en opent al helemaal niet de bijlage in het e-mail bericht, of klikt op de url in het e-mail bericht. Toch? Even terug naar recente aanvallen:

1. 9 maart 2011: miljoen websites besmet. De kans dat iemand na drie maanden van surfen een besmette website heeft bezocht, is 95% aldus beveiligingsbedrijf Dasient;
2. 15 oktober 2013: besmette advertenties op bekende Nederlandse sites. Verschillende bekende Nederlandse websites hebben vanwege een gehackte advertentieplatform bezoekers geïnfecteerde advertenties getoond, maar door een fout van de aanvallers werkt de aanval niet. Dat meldt Mark Loman van het Nederlandse beveiligingsbedrijf SurfRight op Twitter.  De besmette advertenties maken gebruik van beveiligingslekken die niet door gebruikers zijn gepatcht om een banking Trojan te installeren. De Sinowal-malware die via de besmette advertenties wordt verspreid blijkt door weinig virusscanners te worden herkend;
3. 1 november 2013: Hackers richten pijlen op KPN en T-Mobile klanten. Hackers hebben hun pijlen gericht op mobiele bellers van KPN en T-Mobile. Sinds gisteren worden grote hoeveelheden e-mails verstuurd om aan inloggegevens van klanten te komen;
4. 12 november 2013: nu al een miljoen malafide Android-apps. Het aantal kwaadaardige Android-apps is met bijna 20 procent gegroeid tot ruim een miljoen. Maar ook Apple-gebruikers zijn een steeds gewilder doelwit voor criminelen;
5. ZeuS-trojaan achter meer dan de helft van de aanvallen op internetbankieren. Naast phishing-campagnes, gebruiken cybercriminelen vooral bank Trojanen voor het aanvallen van online banktransacties. De ZeuS-versie Citadel was de belangrijkste variant van de gehele familie. Ondanks de recente arrestatie van verschillende personen die achter dit soort banktrojanen zitten, is het aantal infecties met banktrojanen in het eerste kwartaal van 2013 toch gestegen ten opzichte van het laatste kwartaal van 2012;
6. Het ZeuS-trojaans paard is speciaal ontwikkeld om (uw) geld van bankrekeningen te stelen en was in het eerste kwartaal van dit jaar verantwoordelijk voor bijna 60% van alle aanvallen op internetbankieren;
7. In het tweede kwartaal van dit jaar was er een sterke toename van het aantal computers dat besmet raakte met malware die in staat is om geld van online bankrekeningen te stelen. Het aantal computers dat door deze zogeheten 'banking Trojans' geïnfecteerd raakte nam met 29% toe. Ging het in het eerste kwartaal nog om 113.000 computers, in het tweede kwartaal was dit naar 146.000 machines opgelopen;
8. Verder blijkt dat ook de prijzen die cybercriminelen voor malware zoals Zeus, SpyEye, Carberp, IceIX en Citadel vragen de afgelopen jaren sterk zijn gedaald, waarbij Citadel de enige malware is die de vraagprijs zag toenemen, aldus cijfers van het Japanse anti-virusbedrijf Trend Micro. De meeste banking Trojans zouden nog slechts enkele honderden dollars kosten.

Conclusies?

De aanvallen op internetbankieren nemen alleen maar toe, het aantal besmette websites (voornamelijk bij de embedded advertentieteksten) neemt nog steeds toe en ondanks dat er vele aanvallers gearresteerd worden neemt het aantal besmette computers dus toe.

En dus gaan de banken de regels aanscherpen en wordt een deel van risico's van de (on)veilige manier voor internetbankieren bij u als klant geparkeerd. De banken gaan er hierbij meer en meer vanuit dat uw pc, tablet en laptop gezien moet worden als onveilig en besmet. U wordt gedwongen om de 5 regels ter harte te nemen om aan tonen dat u er alles aan gedaan heeft om te voorkomen dat u uw Pincode verliest, uw bankpas uitleent, incidenten meldt en uw bankafschriften controleert. Tot zover geen probleem, maar hoe toont u aan dat u niet besmet bent met een virus.

En dit laatste is nu een van de grootste uitdagingen van de makers van anti-virus software.

De huidige anti-virus software werkt op basis van 'bekende patronen', dus als een nieuw virus ergens opduikt dan wordt het 'patroon' van dit virus doorgestuurd naar alle anti-virus makers. Deze nemen de herkenning van het nieuwe 'patroon' op in hun database en distribueren die naar alle gebruikers van hun antivirus software. In de periode van het bekend worden van een nieuw virus en het implementeren van het nieuwe 'patroon' op uw computer bent u dus per definitie kwetsbaar voor dit virus. Mits u uiteraard gebruikt maakt van de kwetsbare software waarvoor dit nieuwe virus geschreven is. Maar ook daar hebben de virusmakers aan gedacht. Meer en meer virussen kennen een zogenaamd polymorf karakter. Dit is een Trojan die voortdurend verandert, waardoor het moeilijk is te detecteren met antivirus software. De verandering vindt plaats op verschillende manieren: zoals bestandsnaam veranderingen, compressie en codering met variabele sleutels. Hierdoor is detectie op basis van 'bekende patronen' niet mogelijk omdat de Trojan steeds wijzigt.

Dus: u kunt dan wel aantonen dat u over state-of-the-art en actuele beveiligingssoftware beschikt, maar wat zegt dat nu, als we voorgaande in beschouwing nemen. Hoe toont u aan dat de werking van deze software afdoende is.

Het zou dus eigenlijk ook zo moeten zijn dat er gezamenlijke veiligheidsregels moeten komen voor de banken, waaraan hun internetbankier systemen moeten voldoen om te mogen stellen dat een frauduleuze transactie mogelijk te wijten zou kunnen zijn aan de klant. Heeft de bank niet alles gedaan om misbruik te voorkomen? Dan ligt het risico bij de bank en niet bij u als klant.

Een alternatief? Ik zou zeggen, stop met internetbankieren op uw eigen pc, tablet of laptop en ga voortaan uw internetbankieren zaken uitvoeren op de pc die staat op het kantoor van uw bank. Deze valt immers onder het beheer van de bank en als er dan toch nog geld van uw rekening verdwijnt, kunt u de bank aansprakelijk stellen.

Maar dat zal niet in alle gevallen mogelijk zijn.

Dus u bent gewaarschuwd. Let dus goed op uw computer en beveilig deze met state-of-the-art en actuele beveiligingssoftware. Houd uw software updates bij en controleer regelmatig met uw eigen antivirus scanner en/of met online diensten. Hoe dit te doen? Lees mijn andere blogs over computerbeveiliging.

1. Het-wat-en-waarom-van-phishing-en-social-engineering-aanvallen;
2. 4-stappen-zijn-nodig-om-uw-online-diensten-weerbaarder-te-maken;
3. edentifier-2-werkt-niet-voor-firefox-versie-22;
4. zo-bescherm-je-je-smartphone;
5. patchmanagement-en-java.

Kijk hier voor de modus operandi van cybercriminelen en hackers of lees eens mijn andere Blogs.