5 augustus 2015 13:39

Hoe veilig is internetbankieren?

Je kan overal waar je wil je geld beheren en uitgeven. Tenzij misschien op plaatsen waar er amper internet is. Hoe zit het tegenwoordig met de veiligheid van dat mobiel bankieren?

Niet iedereen is blij met de fantastische dienstverlening die internetbankieren heet. Onlangs nog verklaarde een van mijn buren (een man van rond de 30) dat hij nog liever door de regen met de fiets naar de bank in het centrum rijdt, dan dat hij online moet bankieren. De eerlijkheid gebiedt me wel om te zeggen dat die anekdote diende om een verhaal over hoe hard hij computers haat te illustreren, en niet zozeer over hoe hard hij internetbankieren haat. Toegegeven: ik vind internetbankieren ook vooral leuk om te kijken hoeveel geld er op mijn rekening staat, en minder om rekeningen te betalen. Maar ik betaal gewoon niet graag rekeningen.

Dat nakijken hoeveel geld je nog (of niet meer) hebt, kan tegenwoordig ook eender waar. Zowat alle banken hebben een degelijke app, waarmee je (bijna) alles kan doen wat je op je computer kan doen. In de meeste gevallen beperkt dat zich vooral tot het nakijken van je saldo, want om transacties te doen heb je vaak nog je kaartlezer nodig. Dat is vervelend als je op de trein even snel wat geld wilt overschrijven, maar het zorgt ook voor een stevige beveiliging. Hoe mobieler internetbankieren wordt, hoe belangrijker immers de beveiliging.

Two-factor authentication

*De meeste banken gebruiken dezelfde kaartlezer, alleen het logo verschilt.*

Enkele jaren geleden kon ik nog overal op internet aankopen doen met mijn kredietkaart, zonder dat ik me op een of andere manier moest legitimeren. Dat was ontzettend handig en goed (of slecht, afhankelijk van hoe je het bekijkt) om impulsaankopen te doen. Op een gegeven moment moest ik op steeds meer websites mijn identiteit bevestigen door mijn kredietkaart in het ‘kaske’ van de bank te steken en een procedure met codes te volgen.

In het begin was dat erg frustrerend, want je hebt niet zomaar altijd die kaartlezer bij de hand. Maar gaandeweg raakte ik aan dat extra stukje veiligheid gewend, en tegenwoordig zal je niet snel nog een site vinden waar je zomaar kan betalen door enkel en alleen je kredietkaartgegevens in te voeren.

Je zal zo goed als altijd te maken krijgen met wat men two-factor authentication noemt, of een tweeledige verificatiemethode: je hebt je inloggegevens voor je mobiele bankaccount nodig, en daarnaast nog een extra stukje hardware. Enkel met die combinatie kan je dan aan je rekeningen, wat het voor mensen van slechte wil een pak moeilijker maakt om ze te plunderen. Bij de ene bank heb je je bankkaart en een kaartlezer nodig, terwijl de andere bank bijvoorbeeld een sms naar je gsm-nummer stuurt.

Met of zonder vinger

*Is je vingerafdruk de veiligste of minst veilige barrière?*

In november vorig jaar voerde ING als eerste bank in België biometrie toe aan die vergelijking. Biometrie betekent dat er biologische eigenschappen gebruikt worden om een gebruiker te herkennen. Dat kan stemherkenning zijn, een oogscanner, of – zoals in dit geval – een vingerafdrukscanner. Wie een iPhone met zo’n vingerafdrukscanner heeft (de 5S, 6 of 6 Plus) kan met dus zijn vinger inloggen in de app van ING, in plaats van een pincode te moeten intikken. Zo ben je zeker dat jij en jij alleen in de app kan. Tenzij iemand je vinger steelt. In dat geval ben je natuurlijk slechter af dan wanneer iemand enkel je pincode nodig heeft.

Met de lancering van de iPhone 5S en zijn vingerafdrukscanner kwam er trouwens een hele discussie op gang over de veiligheid van biometrisch inloggen. Is het nu een veel betere of veel slechtere beveiliging? Het is erg veilig in die zin dat jouw vingerafdruk uniek is, en moeilijk om na te maken. Een pincode kan je raden, een vingerafdruk niet. Aan de andere kant kan het frustraties meebrengen als je vinger niet meteen herkend wordt, als je bijvoorbeeld net een vettige pizza gegeten hebt of vergeten bent dat je handschoenen aan hebt. En, belangrijker: een pincode kan je veranderen, een vingerafdruk niet.

Om je vingerafdruk te herkennen, moet die in een of andere vorm opgeslagen worden op het toestel waarmee je hem gebruikt. Dat betekent per definitie dat die gegevens ook gestolen kunnen worden. En zodra iemand jouw vingerafdruk in zijn bezit heeft, kan hij meteen ook inloggen op andere toestellen waar je je vinger gebruikt als beveiliging. Je kan wel snel van pincode veranderen, maar niet zo snel van vingerafdruk. De beveiliging van je vingerafdrukgegevens is dus cruciaal. Is dit alles een reden om geen biometrische veiligheid te gebruiken? Nee. Banken zullen biometrie pas gebruiken als ze zelf zeker genoeg zijn dat de beveiliging sterk genoeg is, en het zal altijd moeilijker blijven om dat soort gegevens te stelen dan om de geboortedatum van je kat te raden.

Extra veiligheidsmaatregelen

De meeste apps om online te bankieren bevatten trouwens meer veiligheidsmaatregelen dan je op het eerste zicht zou denken. Zo kunnen ze gebruik maken van de gps-module in je smartphone, om na te gaan of je je op een “logische” plaats bevindt wanneer je mobiel je geld wil beheren. Check je meestal je saldo in de trein tussen Mechelen en Brussel (al is die kans klein aangezien je op de trein zelden een stabiele mobiele verbinding hebt), dan zal de app achterdochtig worden als je ineens vanuit hartje Rusland je rekeningen willen bekijken.

Natuurlijk kan je zelf ook veel doen aan de veiligheid van je bankierapp(s), net zoals dat met online bankieren in je browser het geval is. Zorg bijvoorbeeld dat je jezelf uitlogt wanneer je klaar bent met de app. De meeste apps zullen dat ook in jouw plaats doen, maar dikwijls duurt dat wel een paar minuten. Als je telefoon net dan gestolen wordt, hebben de dieven toegang tot jouw rekening. Een ramp is dat meestal niet, dankzij die two-factor authentication waar ik het eerder over had. Zolang de dieven jouw code, kaart en kaartlezer of vinger(afdruk) niet hebben, zullen ze weinig kunnen uitvoeren.

Checken op de smartwatch

*Voorlopig voegt een smartwatch niets toe aan online bankieren.*

Wie tegenwoordig helemaal hip wil zijn, checkt zijn saldo trouwens niet meer op zijn smartphone maar op zijn horloge. Dat voorrecht is voorlopig nog voorbehouden voor Belfius-klanten die de Belfius Direct Mobile app draaien op een smartphone met Android 4.3 of hoger, en een Android Wear-smartwatch hebben. Denk bijvoorbeeld aan de Motorola Moto 360, de Samsung Gear Live of de LG G Watch.

Wereldschokkende dingen moet je er niet van verwachten: je krijgt enkel een zogenaamde saldometer te zien, een balkje dat van rood naar groen gaat en een driehoekje dat aangeeft waar op het balkje je huidige saldo zich bevindt. De app werkt dan ook alleen als je eerst een minimum- en een maximum-bedrag hebt ingesteld. Cijfers toont de app niet, om de discretie te waarborgen. Een leuke gimmick, maar niet meer dan dat. Toch verwacht ik dat de combinatie van verschillende toestellen in de toekomst een rol zal spelen in de nooit aflatende beveiligingsevolutie.

Betalen zonder kaart

Een leuk voorbeeld is de app van Bancontact, waarmee je makkelijk geld kan uitwisselen met vrienden, familie of totale onbekenden. Je moet een keer een bankkaart activeren in de app met je kaartlezer, en daarna kan je de app gebruiken. De interface is erg eenvoudig: je moet aangeven of je geld wil ontvangen, of moet betalen. In het eerste geval moet je aangeven om hoeveel geld het gaat en kan je eventueel een boodschap toevoegen.

Onderaan zie je steeds door welke bank de transactie zal uitgevoerd worden. Daarna genereert de app een QR-code. Moet je betalen, dan opent de app een QR-scanner waarmee je de code van de ontvanger moet scannen. Je krijgt dan de details van de transactie te zien en kan kiezen om te betalen. Een fluitje van een cent en bijna onmogelijk te vervalsen, want de code wordt ter plekke gegenereerd en moet je ook ter plekke inscannen. Het enige risico is dat je vriend een malafide app heeft geïnstalleerd om de code te genereren, maar de kans dat zo’n vervalsing tot in de officiële App Store of Google Play Store geraakt, is klein.

Sommige banken willen de app van Bancontact integreren in hun eigen app, maar op dit moment zijn we zover nog niet. De apps van alle verschillende banken bespreken zou ons te ver leiden in dit dossier, en bovendien kan je een bank-app pas echt beoordelen als je hem geruime tijd gebruikt. In tegenstelling tot wat je zou denken betaalt de multimediajournalistiek niet genoeg om een rekening bij elke bank te verantwoorden. Nét niet. Zelf gebruik ik de apps van Argenta en van BNP Paribas Fortis zowel op Android (smartphone) als iOS (tablet).

Op de smartphone vind ik die van Argenta mooier en gebruiksvriendelijk, op de iPad heeft die van Fortis leukere mogelijkheden (zoals mooie grafieken en saldogeschiedenis). De mobiele beveiliging pakken ze ook anders aan: de app van Argenta vraagt me om mijn pincode (die anders is dan die van mijn bankkaart), bij Fortis kan ik kiezen of ik wil inloggen met een paswoord of met de kaartlezer. Fortis geeft op het aanmeldscherm wel mijn klantnummer, kaartnummer en contractnummer prijs. Dat vind ik een wat vreemde keuze, want hoewel die gegevens op zich niet geheim zijn, worden ze wel te grabbel gegooid voor eender wie mijn gsm in handen krijgt en zich bij mijn bank wil voordoen als mezelf.

Phishing en co

*Een gewaarschuwd man is er twee waard.*

En daarmee zijn we, alle technologische vernieuwing ten spijt, aanbeland bij wat nog steeds een van de grootste veiligheidslekken van online bankieren is: phishing. Als gehard internetgebruiker herken je zo’n vals aas ongetwijfeld van ver, maar ik heb het afgelopen jaar toch enkele héél overtuigende phishingmails zien binnenrollen. Het gebrekkige taalgebruik blijft in de die gevallen achterwege en de mails zien er ook heel echt uit. De twee belangrijkste weggevers zijn het e-mailadres van de afzender, en de website waar je naartoe gestuurd wordt. Een mailadres kan nog vervalst worden, een url niet.

De echte url van jouw bank is normaal gezien https://www.denaamvanjouwbank.be (let op de https in plaats van http), een valse url zal er dikwijls uitzien als http://ietswillekeurigs.com/denaamvanjouwbank.be of zelfs gewoon helemaal nonsens zijn. Ben je toch op de site belandt, klik dan eens op andere links in het menu. Phishers doen zelden de moeite om de hele website na te maken, en dan zie je al snel waar je belandt. In de adresbalk van je browser moet een slot-icoontje verschijnen. Klik daarop om het veiligheidscertificaat na te kijken, daar moet altijd de juiste url van je bank getoond worden met de melding dat de identiteit geverifieerd is.

Daarnaast zijn er nog een aantal makkelijke tips voor de wat meer goedgelovige mensen in je familie of vriendenkring: je bank zal nooit ofte nimmer naar persoonlijke gegevens vragen in een mail, of het nu gaat om je adres, geboortedatum of kredietkaartnummer. Ben je toch al dieper in het proces beland en vraagt de website om in te loggen met je kaartlezer, dan is het goed om te weten dat je enkel kan inloggen met de M1-knop van die kaartlezer. Om een transactie te verrichten moet je de M2-knop gebruiken. Vraagt de site dus om in te loggen door op M2 te drukken en een code in te geven, dan weet je dat er iets niet pluis is.

Misbruik melden

*Elke bank heeft zijn eigen infopagina over phishing. Google gerust eens op “jouw bank phishing” om die pagina snel te vinden.*

Ben je er toch ingetrapt, contacteer dan meteen je bank (heel wat banken hebben trouwens een speciaal meldadres in de vorm phishing@jouwbank.be) en bel indien nodig Card Stop op 070 344 344. Je kan het ook melden bij eCops, het Belgische meldpunt om internetcriminaliteit te melden. Om op de hoogte te blijven van de nieuwste fraudetechnieken (om jezelf te wapenen, natuurlijk) en om tips te lezen over hoe je jezelf beter kan beschermen tijdens het online bankieren kan je terecht op www.safeinternetbanking.be, een handige website van Febelfin, de Belgische federatie van de financiële sector.

Eens je in de (echte) online module van je bank zit, kan je normaal gezien veilig bankieren. Toch kan er altijd malware op je computer staan die stiekem meekijkt. Zorg daarom dat je beveiligingspakket steeds up-to-date is, net als je browser en eigenlijk alle andere software op je computer. Wil je eventuele malware te slim af zijn, dan kan je voor je online bankzaken ook een schermtoetsenbord gebruiken, in plaats van alles in te geven met je hardwaretoetsenbord. In Windows zoek je op Schermtoetsenbord, op Mac OS X vind je het schermtoetsenbord in het venster Systeemvoorkeuren.

Veilige browser

*Bitdefender Safepay biedt je een veilige omgeving om online te bankieren en shoppen.*

Wil je helemaal veilig online bankieren, dan kan je ook naar je bank surfen in een speciale browser. Bitdefender Safepay is speciaal ontwikkeld om veilig te internetbankieren en online te shoppen, en het beschermt je onder andere tegen keyloggers die je toetsenbordaanslagen registreren. Je hoeft geen antiviruspakket van Bitdefender geïnstalleerd te hebben om Safepay te kunnen gebruiken.

Daarnaast kan je om online te betalen ook een dienst als Paypal gebruiken. Die schermt je kaartgegevens af met een login, zodat je nooit nog zelf je kredietkaartnummer hoeft in te geven. Word je het slachtoffer van een oplichter, dan krijg je in de meeste gevallen je geld ook terug van Paypal. Apple lanceerde samen met de nieuwe iPhones ook z’n betaaldienst Apple Pay, maar daar hoeven we in Europa voorlopig nog niet te veel van te verwachten.

Ben je geïnteresseerd in de evolutie van two-factor authentication en wat ons op dat vlak zoal te wachten staat, dan kan je jezelf informeren op de website van Vasco, het bedrijf dat de kaartlezers en andere beveiligingsmechanismen voor je online banking produceert. Het is hun taak om de moeilijke balans te vinden tussen optimale beveiliging en gebruiksvriendelijkheid.