Art ziet zichzelf als onderzoeksjournalist en doorgrondt het liefst thema's die anderen volgens hem laten liggen. Verklarende en verdiepende artikelen vormen zijn stijl. Hij schuwt ingewikkelde materie daarbij niet.
Rondom populaire tweestapsverificatie – een vorm van multi-factor authentication (MFA) – bestaat een hardnekkige mythe. Veel mensen denken namelijk dat deze extra codes via sms, verificatieapp of bankpas + cardreader vaak voorkomende phishing-scams kunnen verhinderen. Niets is echter minder waar!
Tweestapsverificatie, zoals o.a. wordt gebruikt door overheidsidentificatiedienst DigiD, alle banken, meerdere verzekeraars en sommige webwinkels, biedt slechts bescherming tegen onbevoegd inloggen. Tweestapsverificatie in de meest voorkomende vorm biedt daarentegen geen enkele bescherming tegen phishing-scams door valse websites of valse URL’s.
Onbevoegd inloggen
Onbevoegd inloggen is het inloggen op andermans account door gebruik te maken van iemands gebruikersnaam en wachtwoord of pincode. Dit kan het gevolg zijn van het laten slingeren van met name wachtwoord of pincode, een eenvoudig te raden wachtwoord of pincode, of van het stiekem meekijken over iemands schouder tijdens inloggen of pinnen. Met een extra verificatiemethode door middel van sms, verificatieapp of cardreader en iets dat de eigenaar van het account bij zich draagt (telefoon of bankpas + cardreader) wordt in beginsel zeker gesteld dat het de eigenaar van het account zelf is die inlogt.
Het principe van MFA is dus gebaseerd op iets dat je weet (gebruikersnaam, wachtwoord of pincode) en iets dat je hebt (telefoon of bankpas + cardreader). Het voorkomt onbevoegd inloggen, zelfs als jouw wachtwoord of pincode onverhoopt op straat ligt.
Phishing-scams door valse websites
Vervolgens begint de uiterst hardnekkige mythevorming. Tweestapsverificatie voelt veilig en vertrouwd aan doordat je twee beveiligingsstappen gebruikt om in jouw account te komen. Hierdoor gaan sommige gebruikers er ten onrechte van uit dat het ook helpt tegen phishing-scams door valse websites of valse URL’s. Je bewijst toch immers tot tweemaal toe dat jij het bent?
Phishing-scams door valse websites of valse URL’s worden echter georganiseerd via een ‘man-in-the-middle-attack’. Er bevindt zich hierbij een valse website en criminele computer tussen jouw browser en de legitieme account-server waarop jij probeert in te loggen. Het is alsof jij jouw gebruikersnaam, wachtwoord en het resultaat van de tweestapsverificatie doorgeeft aan een collega die op een computer tegenover jou zit. Die collega kan daarmee vervolgens doodleuk op jouw account inloggen. Klinkt logisch, toch?
In werkelijkheid geef jij jouw gebruikersnaam, wachtwoord en het resultaat van de tweestapsverificatie via de eenvoudig te misleiden browser door aan een valse website op een criminele computer. De crimineel logt vervolgens real-time met jouw gegevens in op de legitieme account-server en heeft vanaf dat moment de volledige controle over jouw account.
Internetbankieren: inloggen met cardreaders of met de mobiele bankapp
Zowel de gelikte cardreaders die banken uitdelen als het inloggen op internetbankieren via de mobiele bankapp zijn volstrekt nutteloos als het aankomt op bescherming tegen phishing-scams door valse bankwebsites. Toegegeven, ze werken prima tegen onbevoegd inloggen. Daarentegen absoluut niet tegen het rechtstreeks doorgeven van accountgegevens en het resultaat van de tweestapsverificatie via jouw browser aan derde partijen (man-in-the-middle-attack).
Daarom is het dus zo belangrijk om de URL van alle websites waarop je inlogt steevast goed te controleren. Dubbel en dwars als je de website bezoekt door middel van een link in een email, een social media app, op een website of na het scannen van een QR-code. Het webadres in de adresbalk van jouw browser is namelijk eenvoudig te manipuleren en qua eerste oogopslag min of meer gelijkend te maken. Terwijl het dat bij nadere inspectie absoluut niet blijkt te zijn!
De opbouw van een domeinnaam
Bij domeinnamen zijn er om precies te zijn 4 onderdelen of extensies waarop je altijd expliciet moet letten om valse websites te kunnen herkennen. Het webadres in de adresbalk van de browser begint altijd met (1) https:// eventueel gevolgd door meerdere onbeduidende extensies, gevolgd door (2) één belangrijke hoofdextensie (>> .dutchcowboys >> .voorbeeld-domeinnaam >> .definitelybritish), DIREKT gevolgd door (3) een officiële landcode (>> .nl >> .com >> .co.uk), DIREKT gevolg door (4) een afsluitende / (forward slash). Spaties zijn niet toegestaan binnen domeinnamen.
Bovenstaande 4 verschillend gekleurde extensies vormen gezamenlijk de essentie van elke domeinnaam. Datgene wat er tussen of er achter staat is niet van belang. Maar staat er bijvoorbeeld:
https://dutchcowboys.artikelen.nl/ dan bevind je je echter op de (potentieel valse) website artikelen.nl/ en geenszins op de website van Dutchcowboys.
Tweestapsverificatie AAN
Indien het beschikbaar is of komt binnen een account, gebruik dan altijd tweestapsverificatie om in te loggen. Dit verhindert in beginsel onbevoegd inloggen. Maak daarbij dan echter geen gebruik van de optie om permanent zonder tweestapsverificatie in te kunnen loggen op zgn. vertrouwde apparaten. De hiermee geïnstalleerde permanente cookies zijn namelijk potentieel te misbruiken op (te klonen naar) apparaten c.q. browsers van derden.
Phishing-resistente MFA
Er bestaat niettemin een vorm van MFA die wel degelijk beschermt tegen zowel onbevoegd inloggen als tegen phishing-scams door valse websites of valse URL’s. Zo’n methode komt in de vorm van elektronische beveiligingssleutels of tokens met een USB-poort of Bluetooth-verbinding. Na de installatie van een dergelijke vorm van tweestapsverificatie binnen jouw account controleert de account-server voortaan behalve gebruikersnaam en wachtwoord tevens of er wordt ingelogd vanaf een computer met de goedgekeurde elektronische beveiligingssleutel of token aangesloten op de USB-poort of via de Bluetooth-verbinding.
Een ‘man-in-the-middle-attack’ is nu niet langer mogelijk. Immers, wanneer de crimineel probeert in te loggen met gestolen accountgegevens constateert de account-server dat de elektronische beveiligingssleutel of token niet aanwezig is in de USB-poort of via de Bluetooth-verbinding van de computer waarop de inloggende browser draait.
Beschikbaarheid phishing-resistente MFA
Helaas zijn er maar betrekkelijk weinig populaire accounts die een dergelijke technisch iets complexere inlogmethode aanbieden. Google en Microsoft zijn bij mijn weten enkele van de weinigen die een dergelijke methode wel aanbieden. Daarbij moet je nog wel zelf een voor het account geschikte fysieke beveiligingssleutel aanschaffen (i.c. Security Key vanaf omstreeks € 40) die je doorgaans voor meerdere accounts kunt gebruiken.
Bedrijfsmatig wordt er daarentegen al jaren massaal gebruik gemaakt van dergelijke elektronische beveiligingssleutels of tokens om op afstand veilig in te kunnen loggen op bedrijfsnetwerken.
Mobiele bankapp fungeert als zijn eigen beveiligingssleutel
Als je inlogt vanuit de mobiele bankapp dan ben je bij voorbaat beschermd tegen valse websites of valse URL’s. De mobiele bankapp verbindt namelijk gegarandeerd alleen met jouw bank. Phishing-scams door valse websites zijn dus niet mogelijk vanuit een mobiele bankapp. Een mobiele bankapp fungeert namelijk als zijn eigen elektronische beveiligingssleutel.
Als gevolg van de architectuur van besturingssystemen is de ‘app als beveiligingssleutel’ echter alleen toepasbaar binnen Android en iOS. Helaas dus niet binnen relatief open of onbeveiligde besturingssystemen, zoals Windows of macOS. Daarvoor zijn er minimaal fysieke beveiligingssleutels met USB of Bluetooth noodzakelijk.
PAS OP
Opent een betaalverzoek op jouw tablet of mobiel na de ingegeven keuze voor jouw bank toch consequent binnen jouw mobiele webbrowser in plaats van binnen jouw mobiele bankapp, dan kan dat een indicatie zijn dat er iets niet in de haak is met het desbetreffende betaalverzoek. Misbruik van bankgegevens is namelijk alleen mogelijk binnen de webbrowser. Probeer het dan later nogmaals om er zeker van te zijn dat het niet de app van jouw bank is die tijdelijk offline is. Blijft het betaalverzoek na de keuze voor jouw bank steevast openen binnen jouw mobiele webbrowser ga er dan maar gevoegelijk vanuit dat dit betaalverzoek malafide is!
Internetbankieren: tweestapsverificatie via de mobiele bankapp beschermt NIET!
De populaire mobiel-inloggen-methode voor internetbankieren betreft daarentegen niets anders dan een ordinaire tweestapsverificatie via een app die geen enkele bescherming biedt tegen phishing-scams. Je doet jouw online transacties uiteindelijk namelijk niet vanuit de app maar vanuit een in essentie eenvoudig te misleiden browser.
Banken opteren voor zwak beveiligingsniveau internetbankieren
Uiteraard is het een schande dat banken hun klanten blijven afschepen met cardreaders en de mobiel-inloggen-methode voor internetbankieren. Deze methoden bieden slechts beveiliging tegen onbevoegd inloggen, maar niet tegen phishing-scams door valse bankwebsites. Dit terwijl bovengenoemde elektronische beveiligingssleutels internetbankieren zouden kunnen beschermen tegen zowel onbevoegd inloggen als tegen phishing-scams door valse bankwebsites.
Doormiddel van een efficiënte investering zouden banken een volledige extra beveiligingslaag aan internetbankieren kunnen toevoegen die phishing-scams via valse bankwebsites volledig verhinderen. Internetbankieren zou daarmee dan feitelijk net zo veilig worden als mobiel bankieren via een bankapp.
Dit artikel is met de grootst mogelijke zorgvuldigheid tot stand gekomen. De auteur aanvaardt niettemin geen enkele aansprakelijkheid in relatie tot de onderwerpen die binnen dit artikel worden beschreven.
[Fotocredits – David © Adobe Stock]
Verder lezen over App
Technology12.04.2024
Dyson wil je met AR-app laten zien welke plekjes je bent vergeten
Online10.04.2024
Uber nu ook beschikbaar in Zwolle
Mobile18.03.2024
Waarom je gedreven blijft om Duo Lingo of Candy Crush te doen
Online07.02.2024
Signal heeft meer dan 1 miljoen Nederlandse gebruikers
WhatsApp-alternatief boert goedSocial Media26.01.2024
Zo kun je een WhatsApp-kanaal starten en beheren
Startups11.01.2024
CES: volledig offline gegevens overdragen kan nu met de LiveDrop app
Mobile28.12.2023
In 2023 hebben we ruim 6,6 miljard euro betaald met Tikkies
Nieuw jaarrecordAutomotive13.12.2023
Gepersonaliseerde waarschuwingen voor spookrijders krijgen via app
Vlaanderen pioniert!Verder lezen over Hackers
Cybercrime15.04.2024
Bescherm jij je online identiteit wel genoeg?
Cybercrime08.02.2024
Ransomware: wel of niet betalen als je bestanden gegijzeld zijn?
Online29.01.2024
Flinke toename datingfraude: In 2023 bedroeg schade méér dan 7 miljoen euro
75% meer dan in 2022Cybercrime19.01.2024
Zo wapen je je tegen ransomware
Cybercrime04.12.2023
Cybercrime & cybersecurity in 2024: toename van AI-gedreven hacks
Cybercrime28.11.2023
Veel MKB-bedrijven denken niet interessant genoeg te zijn voor cybercriminaliteit
Wrong!Cybercrime20.11.2023
Last minute decemberaankopen: een feest voor fraudeurs
Cybercrime13.11.2023
Cybercrime in 2024: AI en CaaS maken het leven van cybercriminelen makkelijker
Verder lezen over Internet bankieren
Online09.04.2024
Direct betalen via iDEAL hoeft niet meer: nu kan het in drieën
Nieuws24.01.2024
We stappen graag en vaak over, maar niet van bank
Online08.01.2024
Google Pay: dit zijn de voordelen en nadelen
Online01.11.2023
Wat is Wero en wat gebeurt er met iDEAL?
Online03.07.2023
Je kunt nu geld uit de muur trekken zonder pinpas
Cybercrime08.05.2023
Let op: dit zijn 5 internetscams die momenteel veel voorkomen
Online16.03.2023
Banken dreigen door te schieten in hun anti-witwascontroles
Kafkaiaanse reflexen bedreigen ook jouw bankrekeningOnline13.02.2023
Apple zet hoog in op Apple Pay: dit is wat de toekomst brengt
Verder lezen over Security
Cybercrime15.04.2024
Bescherm jij je online identiteit wel genoeg?
Gaming28.03.2024
Zo omzeil je drukke servers in Call of Duty
Online18.03.2024
Digitaal mijmeren: Zullen AI’s op het internet op enig moment ontwaken?
Mogelijk ontwikkelen AI's een vorm van gedecentraliseerd interactiviteitsbewustzijnOnline15.02.2024
Je AI-geliefde is onbetrouwbaar: onveilig en uit op geld
Doe het veiligCybercrime12.02.2024
Nieuwe techniek haalt door muren heen data van je camera’s
Cybercrime06.02.2024
Safer Internet Day: 5 tips om veiliger te internetten
Cybercrime05.02.2024
Consumenten bezuinigen op kosten, maar helaas ook op privacy en security
Online29.01.2024