Online29.03.2022

​Waarom banken nauwelijks investeren in extra klantveiligheid


Oudere en meer kwetsbare gebruikers zijn commercieel al grotendeels afgeschreven

De afgelopen jaren heb ik meermaals uit de doeken gedaan waar het bij de meeste banken precies aan schort als het gaat om de klantveiligheid van zowel internetbankieren als mobiel bankieren. Actuele verwijzingen hiernaar zijn onderaan dit artikel terug te lezen. Mijn bevindingen zullen voor de banken overigens geen al te groot nieuws zijn geweest. Ze zijn er namelijk al jaren van op de hoogte waar zich de belangrijkste systeemzwaktes bevinden met betrekking tot elektronisch bankieren. Verontrustender echter is het feit, dat de meeste banken volstrekt onwelwillend zijn om dergelijke systeemzwaktes aan te pakken. De vier belangrijkste oorzaken van deze onwil om te investeren in extra klantveiligheid licht ik hieronder toe.

1) Oudere en meer kwetsbare gebruikers zijn commercieel al grotendeels afgeschreven

De jongere generaties maken hoofdzakelijk gebruik van mobiel bankieren. Mobiel bankieren is veiliger dan internetbankieren, vanwege het feit dat mobiel bankieren vrijwel ongevoelig is voor phishing-scams. De mobiele bankapp verbindt namelijk alleen met legitieme bankwebsites in tegenstelling tot internetbankieren waarmee je potentieel ook kunt verbinden met valse bankwebsites. Hoewel het technisch heel goed mogelijk is om de belangrijkste voordelen van mobiel bankieren op basis van gebruikerskeuzevrijheid (i.c. optioneel) te integreren binnen internetbankieren, hebben banken daar maar weinig oren naar.

Het blijken met name de oudere en meer kwetsbare gebruikers te zijn die gebruik maken van internetbankieren. Enerzijds vanwege het feit dat internetbankieren veel eerder werd geïntroduceerd dan mobiel bankieren, anderzijds vanwege het feit dat internetbankieren doorgaans een beter overzicht biedt vanwege het grotere beeldscherm. Deze doelgroep van oudere en meer kwetsbare gebruikers is commercieel doorgaans niet langer interessant voor een bank. Deze gebruikers hebben in het verleden namelijk vaak al een hypotheek, een lening of een verzekering bij de bank afgesloten of ze zijn sowieso relatief onbemiddeld. In commercieel opzicht kan een bank aan deze klanten daarom weinig extra geld meer verdienen.

Vandaar ook dat banken zich niet zo druk maken over de potentiële gebruikersonveiligheid van met name deze oudere en meer kwetsbare gebruikers. Het verdienpotentieel is namelijk toch al binnen en nadere investeringen in de gebruikersveiligheid voor deze overwegend internetbankierende doelgroep leveren banken per saldo nauwelijks extra geld op.

2) Klantgemak gaat uitdrukkelijk boven klantveiligheid

De meeste banken kiezen uitdrukkelijk voor een jong, vlot en eigentijds imago. Bankzaken mogen namelijk niet stoffig overkomen, maar moeten vooral een snelle en gemakkelijke uitstraling hebben. De belangrijkste systeemzwaktes binnen elektronisch bankieren zijn dan ook het direkte gevolg van keuzes voor gebruikersgemak boven gebruikersveiligheid. De huidige technische infrastructuur van elektronisch bankieren richt zich erop om in zo min mogelijk stappen een betaling of een overboeking te kunnen doen. Het Europese wettelijk minimumkader wordt daarbij het liefst zo nauw mogelijk gevolgd. Ondanks het feit dat er tegenwoordig technisch meer mogelijk is, dan waarmee binnen dit wettelijk minimumkader rekening is gehouden.

Extra beveiligingsstappen die de gebruikersveiligheid substantieel zouden verhogen, sneuvelen bij de meeste banken onder het mom van het zo snel en zo gemakkelijk mogelijk bankzaken moeten kunnen doen. Het gevolg is dat phishing-scams een groeiend maatschappelijk probleem vormen, terwijl ze in technisch opzicht inmiddels grotendeels voorkomen kunnen worden door de technische infrastructuur van internetbankieren op slechts enkele kleine punten aan te passen.

3) Banken rekenen op victim blaming om zelf maatschappelijk uit de wind te blijven

De meest gehoorde reakties naar aanleiding van verhalen van slachtoffers wiens volledige bankrekening is leeggeplunderd als gevolg van phishing-scams zijn: ‘Hoe kan iemand nu zo dom zijn?’ of ‘Zoiets zou mij nou echt nooit overkomen!’. Banken wentelen zich relatief comfortabel in dergelijke reakties van victim blaming, omdat ze hierdoor in maatschappelijk opzicht zelf grotendeels uit de wind blijven. Ze doen hier bovendien zelf nog een schepje bovenop door in hun eenzijdige voorlichtingscampagnes te blijven benadrukken dat de meeste phishing-scams voorkomen kunnen worden door alle bank-URL’s binnen internetbankieren nauwgezet en consequent te controleren (zie ook punt 4).

4) Banken dragen zelf deels bij aan de systeemonveiligheid van internetbankieren

Ja dûh, maar in de praktijk van het internet is een dergelijke nauwgezette en consequente controle eigenlijk alleen maar haalbaar als je gebruik maakt van een geavanceerd computerprogramma…..zoals bijvoorbeeld…..een mobiele bankapp!

Banken laten bovendien fijntjes achterwege dat met name de legitieme bankwebsites (URL’s) voor iDEAL-betalingen of iDIN-identificatie intuïtief moeilijk zijn te onderscheiden van valse bankwebsites. Dergelijke betaallinks (iDEAL) of links voor persoonsidentificatie (iDIN) komen namelijk meestal niet overeen met de primaire bank-URL en zijn bovendien voor elke bank weer anders opgebouwd. In het kader van een veilig en betrouwbaar maatschappelijk betaalverkeer is het toch een volstrekte gotspe dat gebruikers van internetbankieren dergelijke bank-URL’s handmatig zouden moeten controleren om te voorkomen dat ze eventueel op valse bankwebsites belanden?

De oplossing tegen phishing via valse bankwebsites ligt voor het oprapen

Binnen mobiele bankapps wordt immers wel standaard voorzien in automatische controles op legitieme websites ter voorkoming van valse overboekingen. Binnen internetbankieren echter laten banken de potentiële introductie van een extra beveiligingsstap ‘mobiel bankieren’ op basis van gebruikerskeuzevrijheid (i.c. optioneel) ter voorkoming van valse overboekingen liever achterwege. Met name vanwege de hierboven aangehaalde vier issues frustreren c.q. blokkeren banken binnen internetbankieren de introductie van een gebruikers-optionele extra beveiligingsstap ‘mobiel bankieren’ ter voorkoming van valse overboekingen.

Waarbij hoogstwaarschijnlijk het gegeven dat het voornamelijk de oudere en meer kwetsbare gebruikers zijn die internetbankieren – waaraan voor banken weinig extra geld meer te verdienen valt – de doorslag geeft. Terwijl een dergelijke aanpak juist het groeiende maatschappelijke probleem van phishing-scams via valse bankwebsites grotendeels zou kunnen beslechten.

Mijn eerder gepubliceerde artikelen over:

[Fotocredits – daviles © Adobe Stock]

Art Huiskes
Art Huiskes

Art ziet zichzelf als onderzoeksjournalist en doorgrondt het liefst thema's die anderen volgens hem laten liggen. Verklarende en verdiepende artikelen vormen zijn stijl. Hij schuwt ingewikkelde materie daarbij niet.

Verder lezen over Internet bankieren

Direct betalen via iDEAL hoeft niet meer: nu kan het in drieën

iDEAL kennen veel mensen als de handige betaaloptie bij webwinkels waarmee je meteen kunt betalen met je bankrekening. We kennen het al decennia en zijn er al helemaal aan gewend, maar in het buitenland zijn ze soms jalo...

Online09.04.2024

Direct betalen via iDEAL hoeft niet meer: nu kan het in drieën

We stappen graag en vaak over, maar niet van bank

Het nieuwe jaar is alweer een paar weken oud en de overstap reclames voor zorgverzekeringen liggen weer een maand of tien in de ijskast. Nederlanders stappen graag over als dat betekent dat ze iets kunnen verdienen. Een...

Nieuws24.01.2024

We stappen graag en vaak over, maar niet van bank

​Google Pay: dit zijn de voordelen en nadelen

Het was dit weekend groot nieuws dat ING na dik twee jaar eindelijk Google Pay zal ondersteunen. Waar ongeveer alle grote banken die ondersteuning al bieden, komt de oranje leeuw er nu nog eens mee. En misschien dat het...

Online08.01.2024

​Google Pay: dit zijn de voordelen en nadelen

​Wat is Wero en wat gebeurt er met iDEAL?

Wero. Het klinkt een beetje als weirdo. Maar het is straks een woord dat je waarschijnlijk heel vaak gaat zien. Of nou ja, een naam, die misschien net als paypallen en ‘tikken’ (verwijzend naar Tikkie) een werkwoord...

Online01.11.2023

​Wat is Wero en wat gebeurt er met iDEAL?

Je kunt nu geld uit de muur trekken zonder pinpas

ING heeft een vernieuwing in het leven geroepen waardoor je niet langer je pinpasje nodig hebt wanneer je cash uit de betaalautomaat wil opnemen. Het werkt niet met contactloos betalen, al zou je dat misschien wel verwac...

Online03.07.2023

Je kunt nu geld uit de muur trekken zonder pinpas

​Let op: dit zijn 5 internetscams die momenteel veel voorkomen

In het Verenigd Koninkrijk heeft de Barclays-bank de noodklok geluid. Er is een toename van 87 procent waar het gaat om bankfraude. Maar liefst 70 procent van de bankscams vinden plaats op social media en via grote techp...

Cybercrime08.05.2023

​Let op: dit zijn 5 internetscams die momenteel veel voorkomen

​De hardnekkige mythe rondom populaire tweestapsverificatie

Rondom populaire tweestapsverificatie - een vorm van multi-factor authentication (MFA) - bestaat een hardnekkige mythe. Veel mensen denken namelijk dat deze extra codes via sms, verificatieapp of bankpas + cardreader vaa...

Online08.05.2023

​De hardnekkige mythe rondom populaire tweestapsverificatie

​Banken dreigen door te schieten in hun anti-witwascontroles

Sommigen waarschuwen al voor een nieuwe 'toeslagenaffaire', menig ander dat banken dreigen door te schieten in hun anti-witwascontroles. Verschillende banken bleven aanvankelijk liever ver weg van serieuze pogingen om cr...

Online16.03.2023

​Banken dreigen door te schieten in hun anti-witwascontroles

Kafkaiaanse reflexen bedreigen ook jouw bankrekening

Verder lezen over Security

BIMI: zo weet je straks dat het echt de politie is die je mailt

BIMI: het is niet alleen aspergebroccoli, het is ook een manier voor jou om te zien dat het echt de politie is die je mailt.

Online12.06.2024

BIMI: zo weet je straks dat het echt de politie is die je mailt

Bedrijfsprofielen en TikTok-beroemdheden worden online aangevallen

TikTok meldt nu dat hackers al meerdere accounts van grote merken en beroemdheden hebben aangevallen. Met succes.

Cybercrime05.06.2024

Bedrijfsprofielen en TikTok-beroemdheden worden online aangevallen

Mogelijk hack bij Ticketmaster: honderden miljoenen gegevens buitgemaakt

Ticketmaster heeft als grootste ticketbedrijf enorm veel invloed, maar ook enorm veel klantgegevens. En die schijnen nu op straat te liggen.

Cybercrime30.05.2024

Mogelijk hack bij Ticketmaster: honderden miljoenen gegevens buitgemaakt

Pas op voor nieuwe ransomware die Windows BitLocker misbruikt

Er verschijnt dagelijks ransomware. ShrinkLocker is de nieuwe 'ster', het maakt misbruik van een belangrijk onderdeel van Windows: BitLocker.

Cybercrime29.05.2024

Pas op voor nieuwe ransomware die Windows BitLocker misbruikt

5 tips om online veilig te zijn

Heb jij wel eens een bericht ontvangen, met een eis om nu te betalen of je foto’s zullen online worden gezet? Of je krijgt een telefoontje en je hoort een tape van een of andere officiële instelling zoals Interpol, met de mededeling dat jouw identiteit is betrokken bij een fraudezaak en met de te nemen stappen.

Online20.05.2024

5 tips om online veilig te zijn

Dell maakt melding van een mogelijk datalek

Dell heeft een beveiligingsincident gehad. Het is nog wat onduidelijk wat er nu precies is buitgemaakt en waarom.

Cybercrime10.05.2024

Dell maakt melding van een mogelijk datalek

Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden

Fortinet heeft een nieuwe editie van het Global Threat Landscape Report uitgebracht. In deze nieuwe editie van dit halfjaarlijkse rapport zien we de trends uit de periode van juli tot en met december 2023.

Cybercrime08.05.2024

Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden

Zo blijkt uit nieuw Global Threat Landscape Report van Fortinet
World Password Day: omdat we nog steeds niet nadenken over wachtwoordgebruik

Wachtwoorden vormen de basis van ons digitale leven, maar ze dienen ook als toegangspoort voor cybercriminelen om in te breken in gevoelige persoonlijke informatie.

Cybercrime02.05.2024

World Password Day: omdat we nog steeds niet nadenken over wachtwoordgebruik