'Ge-SMS-te TAN-code kan eigelijk niet meer'

Maar er zijn ook banken die een transactieautenticatie-code ('TAN'-code) via een SMS-je aan de rekeninghouder doorgeven. Dat werkte voortreffelijk in de tijd dat mobiele telefoons nog geen eigen internetconnectie hadden en dus nauwelijks te hacken waren. Maar nu telefoons in toenemende mate IP-verbindingen onderhouden met allerhande servers en zwaar beladen zijn met apps waarvan de gangen voor de gebruiker vaak onduidelijk zijn, is er weinig reden meer om er op te vertrouwen dat het sms-verkeer vertrouwelijk is en blijft.

NSSlabs illustreert zijn stelling aan de hand van een stuk of 6 voorbeelden van malware-producten die, vermomd als app, de gebruiker informatie ontfutselen waarmee hackers in staat zijn sms-jes van de bank te herrouteren naar hun eigen telefoon of pc. Vaak ook werkt de truc in combinatie met PC-malware die zich aan de gebruiker presenteert als een beveiligingsupdate die naar gegevens over de gebruikte mobiele telefoon vraagt.

Een in het rapport afgedrukte screendump toont een pop-up die valselijk voorzien is van de naam en logo van het beveiligingsprogramma Trusteer, dat door veel (ook Nederlandse) banken als beveiligingsoplossing aan rekeninghouders wordt aanbevolen.

Vooral Android is onveilig

De smartphone-malware is veelal een variatie op oorspronkelijk voor de pc-ontwikkelde fraudesoftware. Volgens NSSlabs doet het probleem zich met name voor bij telefoons die gebruik maken van Googles besturingssysteem Android. Daarin spelen twee factoren een rol: op Android telefoons zijn apps - en dus ook malware - vrijelijk te installeren, zonder autoriserende instantie, zoals iOS die wel heeft in de vorm van de App Store van Apple. Daarnaast blijkt veel van de mobiele malware te worden gebracht vanuit landen die voorheen deel uitmaakten van Soviet Unie en in die landen is Android veel meer in gebruik dan iOS.