Internetbankieren moet en kan veiliger
De zwakke plek in de beveiliging ligt bij de computer van de eindgebruiker. Vooralsnog zeggen de banken zich nog niet al te veel zorgen te maken over de proporties van de fraude. Maar de Nederlandse Vereniging van Banken heeft desondanks de ‘3x kloppen’-campagne gelanceerd (zie kader), die als doel heeft om klanten bewust te maken van alle zaken die zij altijd eerst zelf zouden moeten contoleren om veilig te kunnen internetbankieren. Bovendien zeggen specialisten dat de gevallen die nu bekend zijn, slechts de aanloop zijn van een grote golf aanvallen van professioneel georganiseerde computercriminelen, die gebruikmaken van zeer geavanceerde malware.
De vraag is dan: Moeten we met de huidige stand van zaken tevreden zijn en dus de risico’s op de koop toe nemen, of moeten we streven naar een fundamenteel betere beveiliging. En is dat eigenlijk wel mogelijk?
Er moet gewerkt worden aan een fundamenteel betere beveiliging, omdat vrijwel alle door banken gebruikte beveiliging gevoelig is voor ‘man-in-the-middle’- en ‘man-in-the-browser’-aanvallen. Bij een ‘man-in-the-middle’-aanval wordt gebruikgemaakt van een imitatie-bankwebsite die zich voordoet als de authentieke bankwebsite. Deze imitatiebankwebsites zijn in principe te herkennen aan het ontbreken van een (juist) SSL-certificaat. Maar de meeste gebruikers hebben niet de kennis of de wil om het certificaat van een website te valideren (en dit kan mijns inziens ook niet van een gebruiker verlangd worden). Moeilijker te herkennen is de ‘man-in-the-browser’-aanval. De gebruiker werkt hier namelijk met de echte bankwebsite (en dus met geldig certificaat), maar malware die zich in de browser heeft genesteld, manipuleert de door de gebruiker aangemaakte transacties en de gebruiker autoriseert nietsvermoedend de gemanipuleerde transacties.
De infrastructuur om deze aanvallen zeer grootschalig uit te voeren, is aanwezig in de vorm van zogenaamde botnets – netwerken van honderdduizenden, soms zelfs miljoenen, geïnfecteerde computers die op afstand bestuurd kunnen worden. Een vrij eenvoudige manier om misbruik via een ‘man-in-the-middle’- of een ‘man-in-the-browser’-aanval te voorkomen, is om het rekeningnummer van de begunstigde (of de laatste paar cijfers daarvan) in de sleutel voor de opdrachtautorisatie op te nemen. Mocht een transactie gemanipuleerd zijn (en dus een ander begunstigderekeningnummer hebben gekregen), dan werkt de autorisatiesleutel niet meer voor de gemanipuleerde transactie. Het komt er dan bijvoorbeeld op neer dat de gebruiker (de laatste paar cijfers van) het begunstigderekeningnummer invoert op een calculator die daarmee de opdrachtautorisatiesleutel berekent.
Het ‘actieve’ element van het invoeren op een calculator (de gebruiker moet het juiste begunstigderekeningnummer intoetsen om een autorisatiecode te verkrijgen voor de overschrijving) heeft de voorkeur boven het ‘passief’ vermelden van dit gegeven ter controle door de gebruiker in bijvoorbeeld een sms, omdat dit laatste genegeerd kan worden door de gebruiker (‘Het zal wel kloppen, want het klopt anders ook altijd’; dat slijt er in bij vrijwel iedereen die vaker van dezelfde functionaliteit gebruikmaakt). De calculator die gebruikt wordt voor het berekenen van de autorisatiecodes, moet het liefst geen verbinding hebben met de computer (bijvoorbeeld via USB), om manipulatie van het dataverkeer van en naar de calculator of de calculator zelf te voorkomen. Het is hierbij overigens van belang dat iedere transactie zijn eigen sleutel krijgt en er niet één sleutel wordt gegenereerd voor een aantal transacties tegelijk (zoals nu vaak gebruikelijk is). In theorie zou je wel een getal kunnen invoeren dat is afgeleid van meerdere transacties, maar dat is door de gebruiker zelf niet meer herkenbaar als een begunstigderekeningnummer en dit maakt het gevoelig voor manipulatie.
Het inboeten aan gebruiksgemak blijft beperkt; het komt bij particulieren niet zo heel vaak voor dat er meer dan één overschrijving tegelijk wordt uitgevoerd. Het verzamelscherm voor het versturen van overschrijvingen (‘verzendlijst’) is dan overbodig geworden, wat het uitvoeren van enkelvoudige overschrijvingen eenvoudiger maakt.
Dit principe wordt nu al door een aantal banken toegepast, maar pas bij transacties voor grotere bedragen (bijvoorbeeld vanaf duizend euro). Maar vanwege de mogelijkheid van een aanval met behulp van botnets, wat aanvallen mogelijk maakt van miljoenen kleinere transacties (van onder de grens waar deze extra beveiliging wordt toegepast) in korte tijd, wordt het wellicht noodzakelijk om deze beveiliging ook voor transacties met kleinere bedragen toe te passen.
De hoogte van het bedrag waarbij de gebruiker deze vorm van authenticatie moet toepassen, zou bij de internetbankapplicaties dynamisch instelbaar moeten zijn, om een aanval in de kiem te kunnen smoren.
Ruud Kous (ruud.kous@nl.ibm.com) is als IT-architect werkzaam bij IBM Nederland.
Ultieme oplossing |
Drie regels voor consumenten De ‘3x kloppen’-campagne van de Nederlandse Vereniging van Banken (NVB) wil gebruikers van internetbankieren bewust maken van drie regels waar de consument zich aan moet houden bij het internetbankieren: ▪ De pc-beveiliging dient up-to-date te zijn. ▪ De gebruiker dient te controleren of de website waarop wordt ingelogd ook echt van de bank is. ▪ De gebruiker dient betalingen, gedaan via internetbankieren, altijd te controleren. Het eerste punt heeft betrekking op het besturingssysteem, (draadloos) netwerk, browser, firewall, antivirus en antispyware. Het besturingssysteem en de browser worden tegenwoordig vaak automatisch geüpdatet en antivirus is ook behoorlijk ingeburgerd, evenals de firewall (dankzij Windows XP SP2). Maar de beveiliging van het draadloze netwerk en antispyware zijn nog lang geen gemeengoed. Mogen we van een gemiddelde consument verlangen dat hij al deze zaken voor elkaar heeft? Hetzelfde geldt voor het tweede punt: Is het raar als een internetgebruiker er niet op let of het adres van de website begint met https in plaats van http? Laat staan of een gebruiker het digitale certificaat van een website verifieert. En als het inlogproces anders verloopt dan anders, dan is er wellicht een nieuwe versie van de internetbankapplicatie beschikbaar gekomen, toch? Wat betreft het derde punt: een gebruiker die zelden een betaling via internetbankieren doet, zal deze waarschijnlijk nauwgezet controleren. Maar iemand die dat zeer regelmatig doet, zal niet iedere keer alle schermen bestuderen. Vroeger waren computers voor techneuten en hobbyisten, van wie je dit soort zaken mocht verwachten. Maar tegenwoordig gebruikt bijna iedereen een pc of laptop en de meeste computergebruikers bankieren ook via internet. Het zijn echter niet meer het type mensen dat zich bekommert om firewalls, netwerkbeveiliging, internetcertificaten en dergelijke. |
Registreren
- Direct toegang tot AGConnect.nl
- Dagelijks een AGConnect nieuwsbrief
- 30 dagen onbeperkte toegang tot AGConnect.nl
Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!