Online08.05.2023

​De hardnekkige mythe rondom populaire tweestapsverificatie


Rondom populaire tweestapsverificatie – een vorm van multi-factor authentication (MFA) – bestaat een hardnekkige mythe. Veel mensen denken namelijk dat deze extra codes via sms, verificatieapp of bankpas + cardreader vaak voorkomende phishing-scams kunnen verhinderen. Niets is echter minder waar!

Tweestapsverificatie, zoals o.a. wordt gebruikt door overheidsidentificatiedienst DigiD, alle banken, meerdere verzekeraars en sommige webwinkels, biedt slechts bescherming tegen onbevoegd inloggen. Tweestapsverificatie in de meest voorkomende vorm biedt daarentegen geen enkele bescherming tegen phishing-scams door valse websites of valse URL’s.

Onbevoegd inloggen

Onbevoegd inloggen is het inloggen op andermans account door gebruik te maken van iemands gebruikersnaam en wachtwoord of pincode. Dit kan het gevolg zijn van het laten slingeren van met name wachtwoord of pincode, een eenvoudig te raden wachtwoord of pincode, of van het stiekem meekijken over iemands schouder tijdens inloggen of pinnen. Met een extra verificatiemethode door middel van sms, verificatieapp of cardreader en iets dat de eigenaar van het account bij zich draagt (telefoon of bankpas + cardreader) wordt in beginsel zeker gesteld dat het de eigenaar van het account zelf is die inlogt.

Het principe van MFA is dus gebaseerd op iets dat je weet (gebruikersnaam, wachtwoord of pincode) en iets dat je hebt (telefoon of bankpas + cardreader). Het voorkomt onbevoegd inloggen, zelfs als jouw wachtwoord of pincode onverhoopt op straat ligt.

Phishing-scams door valse websites

Vervolgens begint de uiterst hardnekkige mythevorming. Tweestapsverificatie voelt veilig en vertrouwd aan doordat je twee beveiligingsstappen gebruikt om in jouw account te komen. Hierdoor gaan sommige gebruikers er ten onrechte van uit dat het ook helpt tegen phishing-scams door valse websites of valse URL’s. Je bewijst toch immers tot tweemaal toe dat jij het bent?

Phishing-scams door valse websites of valse URL’s worden echter georganiseerd via een ‘man-in-the-middle-attack’. Er bevindt zich hierbij een valse website en criminele computer tussen jouw browser en de legitieme account-server waarop jij probeert in te loggen. Het is alsof jij jouw gebruikersnaam, wachtwoord en het resultaat van de tweestapsverificatie doorgeeft aan een collega die op een computer tegenover jou zit. Die collega kan daarmee vervolgens doodleuk op jouw account inloggen. Klinkt logisch, toch?

In werkelijkheid geef jij jouw gebruikersnaam, wachtwoord en het resultaat van de tweestapsverificatie via de eenvoudig te misleiden browser door aan een valse website op een criminele computer. De crimineel logt vervolgens real-time met jouw gegevens in op de legitieme account-server en heeft vanaf dat moment de volledige controle over jouw account.

Internetbankieren: inloggen met cardreaders of met de mobiele bankapp

Zowel de gelikte cardreaders die banken uitdelen als het inloggen op internetbankieren via de mobiele bankapp zijn volstrekt nutteloos als het aankomt op bescherming tegen phishing-scams door valse bankwebsites. Toegegeven, ze werken prima tegen onbevoegd inloggen. Daarentegen absoluut niet tegen het rechtstreeks doorgeven van accountgegevens en het resultaat van de tweestapsverificatie via jouw browser aan derde partijen (man-in-the-middle-attack).

Daarom is het dus zo belangrijk om de URL van alle websites waarop je inlogt steevast goed te controleren. Dubbel en dwars als je de website bezoekt door middel van een link in een email, een social media app, op een website of na het scannen van een QR-code. Het webadres in de adresbalk van jouw browser is namelijk eenvoudig te manipuleren en qua eerste oogopslag min of meer gelijkend te maken. Terwijl het dat bij nadere inspectie absoluut niet blijkt te zijn!

De opbouw van een domeinnaam

Bij domeinnamen zijn er om precies te zijn 4 onderdelen of extensies waarop je altijd expliciet moet letten om valse websites te kunnen herkennen. Het webadres in de adresbalk van de browser begint altijd met (1) https:// eventueel gevolgd door meerdere onbeduidende extensies, gevolgd door (2) één belangrijke hoofdextensie (>> .dutchcowboys >> .voorbeeld-domeinnaam >> .definitelybritish), DIREKT gevolgd door (3) een officiële landcode (>> .nl >> .com >> .co.uk), DIREKT gevolg door (4) een afsluitende / (forward slash). Spaties zijn niet toegestaan binnen domeinnamen.

opbouw van domeinnaam
opbouw van domeinnaam

Bovenstaande 4 verschillend gekleurde extensies vormen gezamenlijk de essentie van elke domeinnaam. Datgene wat er tussen of er achter staat is niet van belang. Maar staat er bijvoorbeeld:

https://dutchcowboys.artikelen.nl/ dan bevind je je echter op de (potentieel valse) website artikelen.nl/ en geenszins op de website van Dutchcowboys.

Tweestapsverificatie AAN

Indien het beschikbaar is of komt binnen een account, gebruik dan altijd tweestapsverificatie om in te loggen. Dit verhindert in beginsel onbevoegd inloggen. Maak daarbij dan echter geen gebruik van de optie om permanent zonder tweestapsverificatie in te kunnen loggen op zgn. vertrouwde apparaten. De hiermee geïnstalleerde permanente cookies zijn namelijk potentieel te misbruiken op (te klonen naar) apparaten c.q. browsers van derden.

Phishing-resistente MFA

Er bestaat niettemin een vorm van MFA die wel degelijk beschermt tegen zowel onbevoegd inloggen als tegen phishing-scams door valse websites of valse URL’s. Zo’n methode komt in de vorm van elektronische beveiligingssleutels of tokens met een USB-poort of Bluetooth-verbinding. Na de installatie van een dergelijke vorm van tweestapsverificatie binnen jouw account controleert de account-server voortaan behalve gebruikersnaam en wachtwoord tevens of er wordt ingelogd vanaf een computer met de goedgekeurde elektronische beveiligingssleutel of token aangesloten op de USB-poort of via de Bluetooth-verbinding.

Een ‘man-in-the-middle-attack’ is nu niet langer mogelijk. Immers, wanneer de crimineel probeert in te loggen met gestolen accountgegevens constateert de account-server dat de elektronische beveiligingssleutel of token niet aanwezig is in de USB-poort of via de Bluetooth-verbinding van de computer waarop de inloggende browser draait.

Beschikbaarheid phishing-resistente MFA

Helaas zijn er maar betrekkelijk weinig populaire accounts die een dergelijke technisch iets complexere inlogmethode aanbieden. Google en Microsoft zijn bij mijn weten enkele van de weinigen die een dergelijke methode wel aanbieden. Daarbij moet je nog wel zelf een voor het account geschikte fysieke beveiligingssleutel aanschaffen (i.c. Security Key vanaf omstreeks € 40) die je doorgaans voor meerdere accounts kunt gebruiken.

Bedrijfsmatig wordt er daarentegen al jaren massaal gebruik gemaakt van dergelijke elektronische beveiligingssleutels of tokens om op afstand veilig in te kunnen loggen op bedrijfsnetwerken.

Mobiele bankapp fungeert als zijn eigen beveiligingssleutel

Als je inlogt vanuit de mobiele bankapp dan ben je bij voorbaat beschermd tegen valse websites of valse URL’s. De mobiele bankapp verbindt namelijk gegarandeerd alleen met jouw bank. Phishing-scams door valse websites zijn dus niet mogelijk vanuit een mobiele bankapp. Een mobiele bankapp fungeert namelijk als zijn eigen elektronische beveiligingssleutel.

Als gevolg van de architectuur van besturingssystemen is de ‘app als beveiligingssleutel’ echter alleen toepasbaar binnen Android en iOS. Helaas dus niet binnen relatief open of onbeveiligde besturingssystemen, zoals Windows of macOS. Daarvoor zijn er minimaal fysieke beveiligingssleutels met USB of Bluetooth noodzakelijk.

PAS OP

Opent een betaalverzoek op jouw tablet of mobiel na de ingegeven keuze voor jouw bank toch consequent binnen jouw mobiele webbrowser in plaats van binnen jouw mobiele bankapp, dan kan dat een indicatie zijn dat er iets niet in de haak is met het desbetreffende betaalverzoek. Misbruik van bankgegevens is namelijk alleen mogelijk binnen de webbrowser. Probeer het dan later nogmaals om er zeker van te zijn dat het niet de app van jouw bank is die tijdelijk offline is. Blijft het betaalverzoek na de keuze voor jouw bank steevast openen binnen jouw mobiele webbrowser ga er dan maar gevoegelijk vanuit dat dit betaalverzoek malafide is!

Internetbankieren: tweestapsverificatie via de mobiele bankapp beschermt NIET!

De populaire mobiel-inloggen-methode voor internetbankieren betreft daarentegen niets anders dan een ordinaire tweestapsverificatie via een app die geen enkele bescherming biedt tegen phishing-scams. Je doet jouw online transacties uiteindelijk namelijk niet vanuit de app maar vanuit een in essentie eenvoudig te misleiden browser.

Banken opteren voor zwak beveiligingsniveau internetbankieren

Uiteraard is het een schande dat banken hun klanten blijven afschepen met cardreaders en de mobiel-inloggen-methode voor internetbankieren. Deze methoden bieden slechts beveiliging tegen onbevoegd inloggen, maar niet tegen phishing-scams door valse bankwebsites. Dit terwijl bovengenoemde elektronische beveiligingssleutels internetbankieren zouden kunnen beschermen tegen zowel onbevoegd inloggen als tegen phishing-scams door valse bankwebsites.

Doormiddel van een efficiënte investering zouden banken een volledige extra beveiligingslaag aan internetbankieren kunnen toevoegen die phishing-scams via valse bankwebsites volledig verhinderen. Internetbankieren zou daarmee dan feitelijk net zo veilig worden als mobiel bankieren via een bankapp.

Dit artikel is met de grootst mogelijke zorgvuldigheid tot stand gekomen. De auteur aanvaardt niettemin geen enkele aansprakelijkheid in relatie tot de onderwerpen die binnen dit artikel worden beschreven.

[Fotocredits – David © Adobe Stock]

Art Huiskes
Art Huiskes

Art ziet zichzelf als onderzoeksjournalist en doorgrondt het liefst thema's die anderen volgens hem laten liggen. Verklarende en verdiepende artikelen vormen zijn stijl. Hij schuwt ingewikkelde materie daarbij niet.

Verder lezen over App

Spotify ziet er anders uit: dit is wat er is veranderd

Spotify ziet er binnenkort een tikkeltje anders uit. Betekent dat er verder ook veel is veranderd? Nee. De streamingdienst heeft eigenlijk maar één detail aangepast.

Mobile23.05.2024

Spotify ziet er anders uit: dit is wat er is veranderd

WhatsApp helpt je in de strijd tegen veel te veel meldingen

WhatsApp heeft een nieuwe functie om het wat rustiger voor je te maken wanneer je de app opent. Een beetje rust.

Mobile22.05.2024

WhatsApp helpt je in de strijd tegen veel te veel meldingen

Er komt eindelijk een app van Winamp

Mediaspeler Winamp krijgt een app. De retro-tool voor PC's maakt binnenkort de overstap naar smartphones. Ook de PC-tool wordt verbeterd.

Mobile20.05.2024

Er komt eindelijk een app van Winamp

Dyson wil je met AR-app laten zien welke plekjes je bent vergeten

Dyson komt met een app om je te wijzen op de plekjes waar je hebt vergeten te stofzuigen. Heel confronterend, maar er zijn nog vragen.

Technology12.04.2024

Dyson wil je met AR-app laten zien welke plekjes je bent vergeten

Uber nu ook beschikbaar in Zwolle

Taxichauffeurs uit Zwolle kunnen sinds een week de Uber app gebruiken om passagiers te vinden die op zoek zijn naar een rit.

Online10.04.2024

Uber nu ook beschikbaar in Zwolle

​Waarom je gedreven blijft om Duo Lingo of Candy Crush te doen

Sommige spelletjes of apps begin je mee, maar laat je na een paar dagen al links liggen. Anderen doe je elke dag, alsof het een religie is. Helemaal als de klok bijna 12 uur slaat ‘s nachts, dan breekt het zweet je uit...

Mobile18.03.2024

​Waarom je gedreven blijft om Duo Lingo of Candy Crush te doen

Signal heeft meer dan 1 miljoen Nederlandse gebruikers

WhatsApp mag zich binnenkort dan openstellen voor meer ander appverkeer, er zijn nog steeds altnernatieven voor de app die flink in opkomst zijn. Zo schijnt Signal het in Nederland enorm goed te doen: er zijn 1 miljoen N...

Online07.02.2024

Signal heeft meer dan 1 miljoen Nederlandse gebruikers

WhatsApp-alternatief boert goed
​Zo kun je een WhatsApp-kanaal starten en beheren

WhatsApp heeft het sinds kort mogelijk gemaakt om een kanaal te volgen. En je kunt nu ook zelf een kanaal starten. Op die manier kun je als je bijvoorbeeld een bedrijf hebt, of een fanclub runt, je klanten of medefans op...

Social Media26.01.2024

​Zo kun je een WhatsApp-kanaal starten en beheren

Verder lezen over Hackers

App Store onderschept meer dan 7 miljard dollar aan mogelijk frauduleuze transacties

Cybercrime15.05.2024

App Store onderschept meer dan 7 miljard dollar aan mogelijk frauduleuze transacties

En dat in slechts 4 jaar tijd
Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden

Fortinet heeft een nieuwe editie van het Global Threat Landscape Report uitgebracht. In deze nieuwe editie van dit halfjaarlijkse rapport zien we de trends uit de periode van juli tot en met december 2023.

Cybercrime08.05.2024

Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden

Zo blijkt uit nieuw Global Threat Landscape Report van Fortinet
Bescherm jij je online identiteit wel genoeg?

We kennen allemaal wel de verhalen van mensen wiens Instagram-foto’s worden gestolen om een catfish-account aan te maken, of mensen, bedrijven en merken bij wie hackers toegang hebben gekregen tot een van de social media accounts.

Cybercrime15.04.2024

Bescherm jij je online identiteit wel genoeg?

​Ransomware: wel of niet betalen als je bestanden gegijzeld zijn?

Vandaag werd bekend dat we in één jaar tijd in de wereld 1,1 miljard dollar hebben betaald aan ransomware. Losgeld, om de toegang terug te krijgen tot documenten, klantgegevens en meer. Waar er bij fysieke gijzelingen...

Cybercrime08.02.2024

​Ransomware: wel of niet betalen als je bestanden gegijzeld zijn?

Flinke toename datingfraude: In 2023 bedroeg schade méér dan 7 miljoen euro

Volgens de Fraudehelpdesk hebben in 2023 maar liefst 494 mensen aangifte gedaan van datingfraude, waarvan 264 mensen ook flink schade hebben geleden. De totale schade als gevolg van datingfraude in 2023 bedraagt €7.644...

Online29.01.2024

Flinke toename datingfraude: In 2023 bedroeg schade méér dan 7 miljoen euro

75% meer dan in 2022
​Zo wapen je je tegen ransomware

Het wordt een steeds groter probleem: ransomware. Het ene na het andere bedrijf krijgt te maken met ‘gekidnapte’ bestanden, die daarnaast ook nog vaak alsnog worden gelekt. Het gebeurde laatst nog bij de gamestudio a...

Cybercrime19.01.2024

​Zo wapen je je tegen ransomware

Cybercrime & cybersecurity in 2024: toename van AI-gedreven hacks

Van de manipulatie van grote taalmodellen tot vishing met AI-gebaseerde chatbots, kunstmatige intelligentie drukt in 2024 een steeds grotere stempel op het cybersecuritylandschap. Zo voorspelt het WatchGuard Threat Lab v...

Cybercrime04.12.2023

Cybercrime & cybersecurity in 2024: toename van AI-gedreven hacks

Veel MKB-bedrijven denken niet interessant genoeg te zijn voor cybercriminaliteit

Steeds meer MKB-bedrijven krijgen dagelijks te maken met malafide websites en pogingen tot phishing via hun systemen of medewerkers. Zo blijkt uit nieuwe gegevens van KPN. Op wekelijkse basis verijdelt de telco ruim 7 mi...

Cybercrime28.11.2023

Veel MKB-bedrijven denken niet interessant genoeg te zijn voor cybercriminaliteit

Wrong!

Verder lezen over Internet bankieren

Direct betalen via iDEAL hoeft niet meer: nu kan het in drieën

iDEAL kennen veel mensen als de handige betaaloptie bij webwinkels waarmee je meteen kunt betalen met je bankrekening. We kennen het al decennia en zijn er al helemaal aan gewend, maar in het buitenland zijn ze soms jalo...

Online09.04.2024

Direct betalen via iDEAL hoeft niet meer: nu kan het in drieën

We stappen graag en vaak over, maar niet van bank

Het nieuwe jaar is alweer een paar weken oud en de overstap reclames voor zorgverzekeringen liggen weer een maand of tien in de ijskast. Nederlanders stappen graag over als dat betekent dat ze iets kunnen verdienen. Een...

Nieuws24.01.2024

We stappen graag en vaak over, maar niet van bank

​Google Pay: dit zijn de voordelen en nadelen

Het was dit weekend groot nieuws dat ING na dik twee jaar eindelijk Google Pay zal ondersteunen. Waar ongeveer alle grote banken die ondersteuning al bieden, komt de oranje leeuw er nu nog eens mee. En misschien dat het...

Online08.01.2024

​Google Pay: dit zijn de voordelen en nadelen

​Wat is Wero en wat gebeurt er met iDEAL?

Wero. Het klinkt een beetje als weirdo. Maar het is straks een woord dat je waarschijnlijk heel vaak gaat zien. Of nou ja, een naam, die misschien net als paypallen en ‘tikken’ (verwijzend naar Tikkie) een werkwoord...

Online01.11.2023

​Wat is Wero en wat gebeurt er met iDEAL?

Je kunt nu geld uit de muur trekken zonder pinpas

ING heeft een vernieuwing in het leven geroepen waardoor je niet langer je pinpasje nodig hebt wanneer je cash uit de betaalautomaat wil opnemen. Het werkt niet met contactloos betalen, al zou je dat misschien wel verwac...

Online03.07.2023

Je kunt nu geld uit de muur trekken zonder pinpas

​Let op: dit zijn 5 internetscams die momenteel veel voorkomen

In het Verenigd Koninkrijk heeft de Barclays-bank de noodklok geluid. Er is een toename van 87 procent waar het gaat om bankfraude. Maar liefst 70 procent van de bankscams vinden plaats op social media en via grote techp...

Cybercrime08.05.2023

​Let op: dit zijn 5 internetscams die momenteel veel voorkomen

​Banken dreigen door te schieten in hun anti-witwascontroles

Sommigen waarschuwen al voor een nieuwe 'toeslagenaffaire', menig ander dat banken dreigen door te schieten in hun anti-witwascontroles. Verschillende banken bleven aanvankelijk liever ver weg van serieuze pogingen om cr...

Online16.03.2023

​Banken dreigen door te schieten in hun anti-witwascontroles

Kafkaiaanse reflexen bedreigen ook jouw bankrekening
​Apple zet hoog in op Apple Pay: dit is wat de toekomst brengt

Apple wil graag zijn betaaldienst Apple Pay groter maken. Veel groter. Zo moet er een functie bijkomen waarmee je iets nu koopt, maar later kunt betalen. Een soort Klarna, maar dan anders. En later, want de optie heeft v...

Online13.02.2023

​Apple zet hoog in op Apple Pay: dit is wat de toekomst brengt

Verder lezen over Security

5 tips om online veilig te zijn

Heb jij wel eens een bericht ontvangen, met een eis om nu te betalen of je foto’s zullen online worden gezet? Of je krijgt een telefoontje en je hoort een tape van een of andere officiële instelling zoals Interpol, met de mededeling dat jouw identiteit is betrokken bij een fraudezaak en met de te nemen stappen.

Online20.05.2024

5 tips om online veilig te zijn

Dell maakt melding van een mogelijk datalek

Dell heeft een beveiligingsincident gehad. Het is nog wat onduidelijk wat er nu precies is buitgemaakt en waarom.

Cybercrime10.05.2024

Dell maakt melding van een mogelijk datalek

Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden

Fortinet heeft een nieuwe editie van het Global Threat Landscape Report uitgebracht. In deze nieuwe editie van dit halfjaarlijkse rapport zien we de trends uit de periode van juli tot en met december 2023.

Cybercrime08.05.2024

Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden

Zo blijkt uit nieuw Global Threat Landscape Report van Fortinet
World Password Day: omdat we nog steeds niet nadenken over wachtwoordgebruik

Wachtwoorden vormen de basis van ons digitale leven, maar ze dienen ook als toegangspoort voor cybercriminelen om in te breken in gevoelige persoonlijke informatie.

Cybercrime02.05.2024

World Password Day: omdat we nog steeds niet nadenken over wachtwoordgebruik

Standaardwachtwoorden zijn bij wet verboden in het Verenigd Koninkrijk

Gewoon 'wachtwoord' als standaardwachtwoord, lekker makkelijk toch? In het Verenigd Koninkrijk mag het niet meer.

Cybercrime30.04.2024

Standaardwachtwoorden zijn bij wet verboden in het Verenigd Koninkrijk

Bescherm jij je online identiteit wel genoeg?

We kennen allemaal wel de verhalen van mensen wiens Instagram-foto’s worden gestolen om een catfish-account aan te maken, of mensen, bedrijven en merken bij wie hackers toegang hebben gekregen tot een van de social media accounts.

Cybercrime15.04.2024

Bescherm jij je online identiteit wel genoeg?

​Zo omzeil je drukke servers in Call of Duty

Is een van je grootste frustraties over Call of Duty dat je in drukke games wordt geplaatst, terwijl je het liever wat rustiger en overzichtelijker hebt? Daar zijn oplossingen voor. We lichten er eentje uit: een VPN gebr...

Gaming28.03.2024

​Zo omzeil je drukke servers in Call of Duty

​Digitaal mijmeren: Zullen AI’s op het internet op enig moment ontwaken?

Schandalen als gevolg van ontsporende Artificial Intelligence (AI) zullen de aankomende jaren hoogstwaarschijnlijk een wereldwijd probleem gaan vormen. De uitrol en integratie van AI's binnen online toepassingen zullen n...

Online18.03.2024

​Digitaal mijmeren: Zullen AI’s op het internet op enig moment ontwaken?

Mogelijk ontwikkelen AI's een vorm van gedecentraliseerd interactiviteitsbewustzijn