Recente hacks bij Sony waarbij o.a. van miljoenen mensen creditcard informatie is gestolen schrikken nauwelijks meer op. Net zoals de wekelijkse spam van banken waarbij wordt gevraagd om je persoonlijke gegevens van de desbetreffende bank (ook als je geen account hebt) te controleren. Rabobank informeert tegenwoordig via Twitter over mogelijke DDos attacks. Alles wat met Internetbankieren te maken heeft lijkt steeds gevaarlijker te worden.
Regelmatig verschijnen er berichten in de media van slachtoffers van cybercrime. Ruim een week geleden was Rik Ferguson (Director of Security Research) van Trend Micro in Nederland. Ferguson, Certified Ethical Hacker, heeft een simpele en korte verklaring : “It’s all about the money.” Met andere woorden, waar geld is zijn criminelen dat is altijd zo geweest.
Nu het aantal transacties via internet toeneemt, neemt ook het aantal cybercriminelen toe. Financiële instellingen proberen uit alle macht de juiste beveiliging te bieden om hun gebruikers te beschermen tegen deze internetcriminelen. Nieuwe technologieën moeten internet steeds veiliger maken. Helaas blijven deze technologieën nog steeds achter op de evolutie van de dreigingen op het internet.
Een van de belangrijkste vragen is, ben jij wel echt wie je bent? Om deze vraag te beantwoorden, vragen financiële instellingen je te identificeren voordat je wordt doorgelinked naar de beveiligde omgeving waar je een transactie kan doen. Er zijn daarnaast allerlei manieren van identificatie: een gebruikersnaam in combinatie met wachtwoord, een pincode in combinatie met een token, of biometrische beveiliging, bijvoorbeeld via een vingerafdruk.
Het gebruiken van zo veel mogelijk informatie over de gebruiker lijkt de juiste oplossing. Maar ook al gebruik je honderd vragen om te controleren met wie je te maken hebt, het enige wat je te weten komt is dat te persoon waar je mee te maken hebt degene is die wil internetbankieren. Maar het vertelt niets over of de transactie die gedaan wordt ook de juiste is.
Vraag is dan of het wel juist is om de gebruiker te authentiseren? Criminele malware is inmiddels al zo ver ontwikkeld dat het zich integreert in de browser van een geïnfecteerde computer en het zich kan mengen in de transacties die we doen, ook al doen we die in een beveiligde omgeving. Het zou dus zo kunnen zijn dat jij je browser vertelt 500 euro te betalen aan persoon X. Helaas is het zo dat wanneer een crimineel je browser heeft overgenomen hij de transactie kan aanpassen en hem kan veranderen van 500 euro naar 5000 euro en het bedrag kan sturen naar de persoon die hij wil. Wanneer de bank de bevestiging stuurt, ziet de cybercrimineel dit eerst en is hij in staat de officiële bevestiging van de bank weer terug te veranderen zodat de ander denkt dat alles goed gegaan is. Kortom, een man-in-the-browser aanval.
Toch zijn echter de meeste cybercriminelen nog niet zo ver dat ze de tokens kunnen omzeilen, al zijn er helaas “succesvolle” voorbeelden bekend. Als internetcriminelen deze technologieën beter onder de knie krijgen, zijn financiële instellingen gedwongen om goed te kijken naar hun beveiligingssysteem en deze opnieuw vorm te geven.
Een van de oplossingen is een pincode te generen bij elke transactie waar zowel het bedrag, als de ontvanger in worden verwerkt. Kortom, een pincode waarin naast een nummer waarin je laat zien dat je bent wie je bent (traditionele pincode), nu ook de cijfers van het bedrag en het bankrekeningnummer van de ontvanger worden opgenomen. Verandert de intercrimineel je transactie dan klopt deze pincode niet meer en zal de transactie geannuleerd worden. De man-in-the-browser aanval kan hiermee dus voorkomen worden. Helaas beschikken nog maar weinig financiële instellingen over een systeem dat de integriteit van de transactie controleert.
Rik Ferguson: “Banken veranderen, er wordt steeds meer gehandeld in de cloud en mobiel betalen is de toekomst. Mijn boodschap voor directie en security-professionals bij financiële instellingen: zorg voor een technologie die transacties verifieert en blijf niet vertrouwen op simpele gebruikersverificatie technieken.“
Als gebruiker zelf zul je zelf echter ook alert moeten blijven. De vraag of “ben jij wel echt wie je bent?” zul je je als consument ook moeten blijven afvragen als je mails van banken ontvangt of als via andere kanalen je wordt gevraagd om persoonlijke informatie. Helaas is dat meer en meer noodzakelijk. Waar geld is zijn criminelen dat is altijd zo geweest en zal niet meer veranderen.
Henk is Internet Entrepreneur, founder van Dutchcowboys en daarnaast tech en travelblogger, fotograaf, visual storyteller en bovenal een digitale nomade. Je maakt Henk vooral blij met bijzondere auto's, verre reizen en coole gadgets. Zijn grootste passies zijn echter innovatie, creativiteit en duurzaamheid.