Jouw mobiele bankapp gebruiken voor elektronisch bankieren is het verstandigst

Phishing concentreert zich volledig op internetbankieren via een webbrowser. De potentie van webbrowsers om overal mee te verbinden, wordt daarbij gebruikt om de inloggegevens van gebruikers te onderscheppen om vervolgens betaal- en spaarrekeningen te plunderen.

Hoewel valse bankwebsites grotendeels een kopie zijn van de legitieme bankwebsites koppelen ze met name bedragen en rekeningnummers vals terug. Met deze misleiding verschaffen criminelen zichzelf de benodigde tijd om via de legitieme bankwebsite gelijktijdig de betaal- en spaarrekening leeg te trekken (i.c. man-in-the-middle attack). Daarom is mobiel bankieren via een mobiele bankapp wezenlijk veiliger dan internetbankieren via een webbrowser.

Omdat de legitieme bankwebsites (URL’s) voor iDEAL-betalingen of iDIN-identificatie meestal niet overeenkomen met de primaire bank-URL en bovendien voor elke bank anders zijn opgebouwd, werkt dit misbruik door valse bankwebsites ernstig in de hand. De noodzaak van een dergelijke voorlichtingspagina is natuurlijk een volstrekte gotspe. Phishing via valse bankwebsites maakt dankbaar gebruik van het feit dat elke bank anders om gaat met de URL’s voor iDEAL-betalingen of iDIN-identificatie. Idealiter zou een gebruiker van internetbankieren zich bewust moeten zijn van welke bankwebsites legitiem zijn en welke niet. In de praktijk blijken gebruikers zich daarvan soms onvoldoende bewust.

Binnen een mobiele bankapp zijn alle legitieme bankwebsites vast verankerd binnen de app en wordt het betaalverkeer per definitie alleen gecommuniceerd over deze legitieme bankwebsites. Omdat bedragen en rekeningnummers via legitieme websites (i.c. via de mobiele bankapps) niet te manipuleren zijn, ligt hierin tevens een adequate bancaire oplossing besloten om phishing via valse bankwebsites grotendeels te verhinderen.

Individueel gebruik mobiel bankieren kan phishing volledig voorkomen
Zolang banken geen adequate bancaire oplossing implementeren, is het niettemin mogelijk om op individuele basis maatregelen te nemen die het persoonlijke equivalent zijn van de vooralsnog uitblijvende bancaire oplossing. Een persoonlijke of individuele werkwijze om phishing te verhinderen is voor iedereen met een smartphone of tablet toepasbaar door consequent gebruik te maken van de mobiele bankapp voor alle betaalopdrachten.

Dit betekent dat men naast alle zelf geïnitieerde betaalopdrachten via de mobiele bankapp tevens alle webwinkel-bestellingen en alle overige betaalverzoeken via de mobiele browser op smartphone of tablet moet afhandelen. Bij betaalopdrachten vanuit de mobiele browser wordt namelijk automatisch de mobiele bankapp aangeroepen.

Ondergetekende auteur heeft zichzelf een dergelijk ‘individueel gebruik mobiel bankieren’ een aantal jaren geleden volledig eigen gemaakt, vanwege het feit dat dit een betere gebruikersveiligheid biedt. Ik hanteer deze werkwijze ondanks dat mijn computer en laptop het voordeel bieden van een groter beeldscherm met meer overzicht. In dat geval blijf je echter vast zitten aan het voor phishing gevoelige internetbankieren via een webbrowser.

Webwinkelen als zodanig doe ik overigens nog steeds gewoon via mijn computer met groter beeldscherm, maar de definitieve bestellingen handel ik vervolgens consequent af via de mobiele browser van mijn smartphone of tablet. Dit geldt eveneens voor de afhandeling van alle overige betaalverzoeken. Bij bezit van een account bij een bepaalde webshop wordt de inhoud van het winkelmandje na het inloggen overigens eveneens weergegeven binnen de mobiele browser. Een dergelijke individuele werkwijze vergt echter wel een zekere overtuiging en met name een bepaalde discipline.

Voor diegenen die overwegen het bovenstaande ‘individueel gebruik mobiel bankieren’ daadwerkelijk te gaan hanteren, zijn onderstaande aandachtspunten weliswaar van belang:

Betalingsomleidingen via internetbankieren zijn potentieel malafide
Opent een betaalverzoek op tablet of mobiel na de ingegeven keuze voor de bank toch steevast met internetbankieren via de mobiele webbrowser in plaats van met mobiel bankieren via de mobiele bankapp, dan kan dat een indicatie zijn dat er iets niet in de haak is met het desbetreffende betaalverzoek. Misbruik van bankgegevens op tablet of mobiel is namelijk alleen mogelijk via de mobiele webbrowser. Probeer het dan later nogmaals om er zeker van te zijn dat het niet de app van de bank is die tijdelijk offline is. Blijft het betaalverzoek na de keuze voor de bank steevast openen met internetbankieren via de mobiele webbrowser ga er dan maar vanuit dat het betaalverzoek malafide is.

Identificatie via de mobiele bankapp maakt internetbankieren NIET veiliger
Het bevestigen van een betaalopdracht via internetbankieren door daarbij gebruik te maken van identificatie via de mobiele bankapp (via een QR-code of een interne pushmelding) maakt internetbankieren overigens NIET veiliger. Slechts betaalopdrachten die expliciet worden goedgekeurd vanuit de mobiele bankapp zijn ongevoelig voor phishing. Betaalopdrachten via internetbankieren voorzien van tweestaps-identificatie via de mobiele bankapp zijn relatief even onveilig waar het op phishing aankomt als het internetbankieren zelf.

Vergelijkbaar met het gebruik van de cardreader bij internetbankieren. Dit heeft te maken met het feit dat tweestaps-identificatie slechts bescherming biedt tegen onbevoegd inloggen, maar niet tegen phishing. Dit komt doordat de tweestaps-identificatie via een valse bankwebsite integraal wordt doorgesluisd naar de criminelen, die daarmee onbelemmerd hun gang kunnen gaan binnen de persoonlijke omgeving van de ware bankwebsite.

Mobiele gegevens/Data heeft de voorkeur boven Wifi/Wlan
Om ongewenste onderschepping van versleutelde gegevens tegen te gaan, valt tenslotte het gebruik van Mobiele gegevens/Data dringend aan te bevelen boven Wifi/Wlan gedurende het actieve gegevensgebruik van mobiele bankapps. Op tablets zonder simkaart is dat natuurlijk niet mogelijk en valt te overwegen om een VPN-verbinding te gebruiken.

Dit artikel is met de grootst mogelijke zorgvuldigheid tot stand gekomen. De auteur aanvaardt niettemin geen enkele aansprakelijkheid in relatie tot de onderwerpen die binnen dit artikel worden beschreven.

Art Huiskes (onderzoeksjournalist)