Internetbankieren via Wifi-hotspots: doe het veilig

Adviesbedrijf in informatiebeveiliging SecureLabs en onderzoeksjournalist Brenno de Winter hebben een denkbeeldige aanval op internetbankieren gedemonstreerd met een programmeerbare mobiele WiFi-router. Een handige cybercrimineel kan een WiFi-hotspot zelf programmeren om het internetverkeer tussen een willekeurige website en de browser van een nietsvermoedende gebruiker te onderscheppen, om te leiden en te manipuleren. Zo kan de cybercrimineel ongemerkt toegang krijgen tot ‘accounts’ en vertrouwelijke gegevens van gebruikers op beveiligde websites, bijvoorbeeld bij Facebook, Amazon of PayPal. De reconstructie laat zien hoe dit ook bij internetbankieren mogelijk is.

In Nederland is geen geslaagde aanval volgens deze methode op internetbankieren bekend. De aanval probeert onoplettende gebruikers te misleiden en kan goed worden voorkomen als banken én gebruikers er alert op zijn.

Banken investeren voortdurend in nieuwe maatregelen om bankieren veilig te houden. Een zogeheten SSL-beveiligingscertificaat op een website voor internetbankieren biedt bijvoorbeeld al een goede basisbescherming als gebruikers daar scherp op letten. Wanneer gebruikers een groen slotje in de adresbalk van hun webbrowser zien, kunnen ze controleren dat ze een veilige verbinding met hun bank hebben. Door op het slotje te klikken kunnen ze vaststellen dat ze inderdaad met hun eigen bank verbinding hebben en dat alle gegevens (zoals toegangscodes) worden versleuteld voordat ze met de website worden uitgewisseld.

De getoonde aanval heeft betrekking op internetbankieren via een normale webbrowser. Veel banken bieden voor smartphones en tablets een zogenoemde app aan waarmee men mobiel kan bankieren. Bankieren via zo’n app biedt bij de gedemonstreerde aanval meer veiligheid dan via een standaard webbrowser.

Verder kunnen banken verdachte transacties herkennen en voorkomen. Overboekingen naar ‘bekende’ rekeningen, bijvoorbeeld van de huisbaas, de sportvereniging of de gemeente worden normaal afgehandeld. Bij een transactie die afwijkt van het gebruikelijke betalingspatroon van de rekeninghouder, bijvoorbeeld naar een rekening die nooit eerder werd gebruikt, kunnen door de bank aanvullende controles worden uitgevoerd.

Gebruikers kunnen ook veel zelf doen. Ze kunnen om te beginnen vermijden om te internetbankieren via een onbekende en onbeveiligde WiFi-hotspot. Dat zijn hotspots waarvan niet bekend is wie de eigenaar is en die niet om een veilig wachtwoord vragen. Vooral bij hotspots in openbare ruimten die voor iedereen toegankelijk zijn, moeten gebruikers op hun hoede zijn.

Bij het gebruik van een gewone webbrowser om te internetbankieren, is het raadzaam om alleen verbinding te maken met een vertrouwde en beveiligde WiFi-hotspot. Mobiel bankieren via een app van de bank biedt een betere beveiliging bij genoemde aanval.

Verder kunnen gebruikers het groene slotje van de website van hun bank controleren. Bij een aanval staat het slotje soms niet in de adresbalk van de webbrowser maar op de webpagina zelf. Dat is een teken dat er iets niet klopt; het slotje moet op de adresbalk van de webbrowser staan. Als men op het slotje klikt, moet de naam van de bank juist worden vermeld en er mogen geen waarschuwingen worden getoond.

Rekeninghouders kunnen de veiligheid bij internetbankieren verder bevorderen door de uniforme veiligheidsregels van de banken goed op te volgen. De websites van de banken en VeiligBankieren.nl bieden daarover uitgebreide informatie.