Overslaan en naar de inhoud gaan

Internetbankieren moet en kan veiliger

De veiligheid van internetbankieren is verre van vanzelfsprekend. Banken maken geen cijfers bekend met betrekking tot het aantal fraudegevallen, noch over de hoeveelheid geld die gemoeid is met het schadeloos stellen van de slachtoffers. Maar er komen steeds meer berichten in de media over succesvolle aanvallen op het door de banken zo veilig gepropageerde internetbankieren.
Business
Shutterstock
Shutterstock

De zwakke plek in de beveiliging ligt bij de computer van de eindgebruiker. Vooralsnog zeggen de banken zich nog niet al te veel zorgen te maken over de proporties van de fraude. Maar de Nederlandse Vereniging van Banken heeft desondanks de ‘3x kloppen’-campagne gelanceerd (zie kader), die als doel heeft om klanten bewust te maken van alle zaken die zij altijd eerst zelf zouden moeten contoleren om veilig te kunnen internetbankieren. Bovendien zeggen specialisten dat de gevallen die nu bekend zijn, slechts de aanloop zijn van een grote golf aanvallen van professioneel georganiseerde computercriminelen, die gebruikmaken van zeer geavanceerde malware.De vraag is dan: Moeten we met de huidige stand van zaken tevreden zijn en dus de risico’s op de koop toe nemen, of moeten we streven naar een fundamenteel betere beveiliging. En is dat eigenlijk wel mogelijk?Er moet gewerkt worden aan een fundamenteel betere beveiliging, omdat vrijwel alle door banken gebruikte beveiliging gevoelig is voor ‘man-in-the-middle’- en ‘man-in-the-browser’-aanvallen. Bij een ‘man-in-the-middle’-aanval wordt gebruikgemaakt van een imitatie-bankwebsite die zich voordoet als de authentieke bankwebsite. Deze imitatiebankwebsites zijn in principe te herkennen aan het ontbreken van een (juist) SSL-certificaat. Maar de meeste gebruikers hebben niet de kennis of de wil om het certificaat van een website te valideren (en dit kan mijns inziens ook niet van een gebruiker verlangd worden). Moeilijker te herkennen is de ‘man-in-the-browser’-aanval. De gebruiker werkt hier namelijk met de echte bankwebsite (en dus met geldig certificaat), maar malware die zich in de browser heeft genesteld, manipuleert de door de gebruiker aangemaakte transacties en de gebruiker autoriseert nietsvermoedend de gemanipuleerde transacties.De infrastructuur om deze aanvallen zeer grootschalig uit te voeren, is aanwezig in de vorm van zogenaamde botnets – netwerken van honderdduizenden, soms zelfs miljoenen, geïnfecteerde computers die op afstand bestuurd kunnen worden. Een vrij eenvoudige manier om misbruik via een ‘man-in-the-middle’- of een ‘man-in-the-browser’-aanval te voorkomen, is om het rekeningnummer van de begunstigde (of de laatste paar cijfers daarvan) in de sleutel voor de opdrachtautorisatie op te nemen. Mocht een transactie gemanipuleerd zijn (en dus een ander begunstigderekeningnummer hebben gekregen), dan werkt de autorisatiesleutel niet meer voor de gemanipuleerde transactie. Het komt er dan bijvoorbeeld op neer dat de gebruiker (de laatste paar cijfers van) het begunstigderekeningnummer invoert op een calculator die daarmee de opdrachtautorisatiesleutel berekent.Het ‘actieve’ element van het invoeren op een calculator (de gebruiker moet het juiste begunstigderekeningnummer intoetsen om een autorisatiecode te verkrijgen voor de overschrijving) heeft de voorkeur boven het ‘passief’ vermelden van dit gegeven ter controle door de gebruiker in bijvoorbeeld een sms, omdat dit laatste genegeerd kan worden door de gebruiker (‘Het zal wel kloppen, want het klopt anders ook altijd’; dat slijt er in bij vrijwel iedereen die vaker van dezelfde functionaliteit gebruikmaakt). De calculator die gebruikt wordt voor het berekenen van de autorisatiecodes, moet het liefst geen verbinding hebben met de computer (bijvoorbeeld via USB), om manipulatie van het dataverkeer van en naar de calculator of de calculator zelf te voorkomen. Het is hierbij overigens van belang dat iedere transactie zijn eigen sleutel krijgt en er niet één sleutel wordt gegenereerd voor een aantal transacties tegelijk (zoals nu vaak gebruikelijk is). In theorie zou je wel een getal kunnen invoeren dat is afgeleid van meerdere transacties, maar dat is door de gebruiker zelf niet meer herkenbaar als een begunstigderekeningnummer en dit maakt het gevoelig voor manipulatie.Het inboeten aan gebruiksgemak blijft beperkt; het komt bij particulieren niet zo heel vaak voor dat er meer dan één overschrijving tegelijk wordt uitgevoerd. Het verzamelscherm voor het versturen van overschrijvingen (‘verzendlijst’) is dan overbodig geworden, wat het uitvoeren van enkelvoudige overschrijvingen eenvoudiger maakt.Dit principe wordt nu al door een aantal banken toegepast, maar pas bij transacties voor grotere bedragen (bijvoorbeeld vanaf duizend euro). Maar vanwege de mogelijkheid van een aanval met behulp van botnets, wat aanvallen mogelijk maakt van miljoenen kleinere transacties (van onder de grens waar deze extra beveiliging wordt toegepast) in korte tijd, wordt het wellicht noodzakelijk om deze beveiliging ook voor transacties met kleinere bedragen toe te passen.De hoogte van het bedrag waarbij de gebruiker deze vorm van authenticatie moet toepassen, zou bij de internetbankapplicaties dynamisch instelbaar moeten zijn, om een aanval in de kiem te kunnen smoren.Ruud Kous (ruud.kous@nl.ibm.com) is als IT-architect werkzaam bij IBM Nederland.

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in