Phishing kan door banken grotendeels worden voorkomen

‘Phishing’ vormt de brede noemer van criminele technieken om gebruikers van digitale diensten hun inloggegevens afhandig te maken. Phishing kan in principe betrekking hebben op elke vorm van digitale dienstverlening, maar richt zich meestal op de digitale dienstverlening van banken en het betaalverkeer.

Phishing kan worden uitgevoerd door middel van een slimme babbeltruc, een email, een sms, een appje of elke andere vorm van toegezonden tekstberichten (i.c. direct messaging). Meestal gaat het om berichten met verzoeken om direkt actie te ondernemen, voorzien van een link naar een valse bankwebsite. Vaak lijkt zo’n bericht daadwerkelijk afkomstig te zijn van een digitale dienst die een gebruiker afneemt.

Phishing concentreert zich volledig op internetbankieren via een webbrowser. De potentie van webbrowsers om overal mee te verbinden, wordt daarbij gebruikt om de inloggegevens van gebruikers te onderscheppen om vervolgens betaal- en spaarrekeningen te plunderen. Hoewel valse bankwebsites grotendeels een kopie zijn van de legitieme bankwebsites koppelen ze met name bedragen en rekeningnummers vals terug. Met deze misleiding verschaffen criminelen zichzelf de benodigde tijd om via de legitieme bankwebsite gelijktijdig de betaal- en spaarrekening leeg te trekken (i.c. man-in-the-middle attack).

Vanwege het feit dat de legitieme bankwebsites (URL’s) voor iDEAL-betalingen of iDIN-identificatie meestal niet overeenkomen met de primaire bank-URL en bovendien voor elke bank anders zijn opgebouwd, werkt dit misbruik door valse bankwebsites ernstig in de hand. De noodzaak van een dergelijke voorlichtingspagina is natuurlijk een volstrekte gotspe.

Phishing via valse bankwebsites maakt dankbaar gebruik van het feit dat elke bank anders om gaat met de URL’s voor iDEAL-betalingen of iDIN-identificatie. Idealiter zou een gebruiker van internetbankieren zich bewust moeten zijn van welke bankwebsites legitiem zijn en welke niet. In de praktijk blijken gebruikers zich daarvan soms onvoldoende bewust.

Gegevens en feiten over elektronisch bankieren
Op grond van openbaar toegankelijke informatie kan worden vastgesteld dat phishing tegenwoordig grotendeels kan worden voorkomen. In 2019 waren smartphones aanwezig in 89% en tablets in 66% van de huishoudens (Bron: CBS). Sindsdien zal dit percentage alleen maar zijn toegenomen. Grofweg de helft van alle elektronische betaalopdrachten werd de afgelopen jaren bevestigd met internetbankieren via een webbrowser, de andere helft met mobiel bankieren via een mobiele bankapp (Bron: Betaalvereniging Nederland).

De verhouding van mobiel bankieren ten opzichte van internetbankieren lijkt zich de laatste jaren te stabiliseren op 50/50. Volgens de ING maakt 57% van alle Nederlanders tegenwoordig gebruik van een mobiele bankapp (Bron: ING).

Uit bovenstaande cijfers valt af te leiden dat in het overgrote deel van de Nederlandse huishoudens een smartphone of tablet aanwezig is en dat meer dan de helft van alle Nederlandse rekeninghouders weleens een mobiele bankapp heeft gebruikt. Binnen een mobiele bankapp zijn alle legitieme bankwebsites vast verankerd binnen de app en wordt het betaalverkeer per definitie alleen gecommuniceerd over deze legitieme bankwebsites. Omdat bedragen en rekeningnummers via legitieme websites (i.c. via de mobiele bankapps) niet te manipuleren zijn, ligt hierin een adequate oplossing besloten om phishing via valse bankwebsites grotendeels te verhinderen.

Een individuele werkwijze om phishing te verhinderen is daarom voor iedereen met een smartphone of tablet toepasbaar door consequent gebruik te maken van de mobiele bankapp voor alle betaalopdrachten. Dit betekent dat men naast alle zelf geïnitieerde betaalopdrachten via de mobiele bankapp tevens alle webwinkel-bestellingen en alle overige betaalverzoeken via de mobiele browser op smartphone of tablet moet afhandelen. Bij betaalopdrachten vanuit de mobiele browser wordt namelijk automatisch de mobiele bankapp aangeroepen. Een dergelijke individuele werkwijze vergt echter wel een zekere overtuiging en met name een bepaalde discipline.

Het voorgaande kort samengevat:

• berichten met links naar valse bankwebsites zijn verantwoordelijk voor het merendeel van de plunderingen van betaal- en spaarrekeningen;
• omdat de legitieme bankwebsites (URL’s) voor iDEAL-betalingen of iDIN-identificatie meestal niet overeenkomen met de primaire bank-URL en bovendien voor elke bank anders zijn opgebouwd, werkt dit misbruik door valse bankwebsites ernstig in de hand;
• de meerderheid van alle rekeninghouders is in het bezit van een smartphone of tablet;
• de meerderheid van alle rekeninghouders is reeds bekend met een mobiele bankapp;
• de mobiele bankapps op smartphone of tablet zijn volstrekt ongevoelig voor phishing via valse bankwebsites;
• het opbrengen van de discipline om alle betaalopdrachten consequent via de mobiele bankapp en alle webwinkel-bestellingen en alle overige betaalverzoeken consequent via de mobiele browser af te handelen, zal voor veel gebruikers te veel gedoe zijn;
• de verhouding van het veiligere mobiel bankieren ten opzichte van internetbankieren lijkt zich de laatste jaren te stabiliseren op 50/50;
• phishing-scams met links naar valse bankwebsites worden door de jaren heen steeds geavanceerder en zullen bij ongewijzigd bancair beleid alleen maar toenemen.

Gebruikersgemak van internetbankieren, gebruikersveiligheid van mobiel bankieren
Er is daarom tevens een adequate bancaire systeemoplossing mogelijk om gebruikers beter te beschermen tegen phishing via valse bankwebsites. Een bancaire systeemoplossing die enerzijds het gebruikersgemak biedt van internetbankieren via een webbrowser en anderzijds de gebruikersveiligheid van mobiel bankieren via een mobiele bankapp. Dit kan door het introduceren van de mogelijkheid om betalingen die zijn afgehandeld binnen internetbankieren vervolgens klaar te zetten binnen de mobiele bankapp voor definitieve bevestiging.

Keuzeschakelaar definitief bevestigen
Daarvoor zouden gebruikers moeten kunnen kiezen via de introductie van een zgn. ‘keuzeschakelaar definitief bevestigen’ binnen hun persoonlijke bankomgeving. Zo’n keuzeschakelaar moet de gebruiker enerzijds de mogelijkheid geven te kiezen voor ‘Definitief bevestigen via Internetbankieren’ (standaard of gebruikersdefault) of anderzijds voor ‘Definitief bevestigen via Mobiele Bankapp’.

Betaalopdrachten oorspronkelijk ingegeven via de mobiele bankapp blijven overigens altijd bevestigd worden via de mobiele bankapp, omdat deze nu eenmaal ongevoelig is voor phishing. In dat specifieke opzicht verandert er dus niets.

‘Definitief bevestigen via Mobiele Bankapp’
In het geval dat een gebruiker heeft gekozen voor ‘Definitief bevestigen via Mobiele Bankapp’ en onverhoopt verzeild raakt op een criminele webshop of een vals betaalverzoek ontvangt en vervolgens inlogt via een valse bankwebsite dan is er nog steeds niets verloren. Want als de crimineel op de achtergrond probeert de betaal- en spaarrekening van deze gebruiker leeg te trekken, dan belanden de criminele betaalopdrachten vervolgens eerst in de mobiele bankapp van deze gebruiker. Wanneer de gebruiker inlogt via de mobiele bankapp om de gereed staande betaalopdrachten definitief te bevestigen, dan zullen dergelijke criminele betaalopdrachten de gebruiker ongetwijfeld direkt opvallen als vals en kan de gebruiker ze alsnog verwijderen.

Noodzakelijke vertraging op keuze van ‘Definitief bevestigen via Internetbankieren’
Uiteraard moet de mogelijkheid van het terugzetten naar de gebruikersdefault van ‘Definitief bevestigen via Internetbankieren’ met name via internetbankieren goed worden beveiligd. Anders kan iedere crimineel die toegang krijg tot iemands internetbankieren de spelregels in zijn voordeel veranderen.

Dit betekent in de praktijk dat er binnen internetbankieren een substantiële vertraging moet worden ingebouwd ten aanzien van het terugzetten naar de standaard of gebruikersdefault van ‘Definitief bevestigen via Internetbankieren’. Een vertraging die vanzelfsprekend langer is dan de maximale inlogtijd die internetbankieren toestaat en tevens gevolgd door een email of sms-bericht aangaande de veranderde keuze van de gebruiker.

Dit artikel is met de grootst mogelijke zorgvuldigheid tot stand gekomen. De auteur aanvaardt niettemin geen enkele aansprakelijkheid in relatie tot de onderwerpen die binnen dit artikel worden beschreven.

Art Huiskes (onderzoeksjournalist)