image

Internetbankieren onvoldoende beveiligd

woensdag 22 juni 2005, 10:09 door Redactie, 9 reacties

Internetbankieren is nog altijd niet veilig genoeg, zo blijkt uit een internationaal onderzoek Comsec Security Consulting. Aangezien het gebruik van deze vorm van bankieren enorm is gestegen, zijn ook de risico’s van identiteitsfraude door onder andere phishing enorm toegenomen.

Het onderzoek heeft zich gericht op de vraag of er een correlatie bestaat tussen iets oudere beveiligingsconcepten en de hedendaagse risico’s. Daarvoor heeft men gekeken welke eisen banken wereldwijd stellen aan de identificatie van hun klanten bij het internet bankieren en hoe makkelijk het voor buitenstaanders is om deze beveiliging te omzeilen. Onder de ruim dertig banken die zijn onderzocht waren onder andere de Nederlandse Rabobank, ABN Amro, SNS Bank, ING, de Postbank en de Belgische Dexia Bank. Daarnaast zijn diverse andere Europese, Amerikaanse en Aziatische banken bekeken.

Allereerst stelt het onderzoek dat bankcliënten de e-Banking service van hun bank vertrouwen. Dat terwijl het rapport concludeert dat het makkelijker is geworden om identiteitsfraude te plegen. Banken zouden hiertegen maatregelen moeten nemen. Niet alleen om geen geld te verliezen, maar ook ter voorkoming van reputatieschade. Er is wel verbetering in de beveiliging waargenomen, want banken gebruiken steeds vaker meer geavanceerde identificatiemethoden.

Maar het verbeteren van de beveiligingsinfrastructuur is niet genoeg. Uit het onderzoek blijkt namelijk ook dat 53 procent van de banken de identificatie informatie, die de klant nodig heeft om in te loggen, maar over één kanaal verstuurt in één pakketje. 42 procent van de aan het onderzoek deelnemende banken gebruikt voor het versturen meerdere kanalen (waaronder telefoon, e-mail, post etc.). De overgebleven 8 procent verstuurt de informatie wel over één kanaal, maar doet dit in verschillende pakketjes. “Banken die hun online beveiliging goed voor elkaar hebben maar niet dezelfde investering doen in de logistieke procedures brengen hun hele beveiligingsinfrastructuur in gevaar”, aldus Henk van der Heijden van Comsec.

Het gebruik van identificatiemethoden voor de e-Banking dienst verschilt verder per bank. Het meest populair als identificatiemethode is de TAN-procedure. De cliënt voert zijn bankpas in in een kaartlezer en moet vervolgens zijn pincode of bankrekeningnummer intoetsen. Met een code kan hij dan gebruik maken van de dienst. Maar niet alle banken stellen even hoge eisen aan de identificatie. Bij eenderde van de onderzochte banken zijn alleen een gebruikersnaam en wachtwoord voldoende om toegang tot het systeem te krijgen. Deze banken stellen hun klanten daardoor bloot aan de gevaren van diefstal van hun identiteit. Uit een onderzoek van Gartner van vorig jaar bleek dat al meer dan 1,4 miljoen mensen hier slachtoffer van geworden zijn. Bovendien groeien ook phishing-aanvallen met 50% per maand.

Banken zouden daarom volgens de onderzoekers meer tijd moeten investeren in de technische mogelijkheden om te kunnen verifiëren of degene die inlogt ook werkelijk de rekeninghouder is. Hierbij valt te denken aan een digitale handtekening of biometrische informatie. Als een klant namelijk eenmaal ingelogd is op zijn account hoeft hij zich bij 67 procent van de onderzochte banken niet opnieuw te identificeren zolang hij gebruik maakt van de dienst. Bij 33 procent moet een cliënt zich wel heridentificeren bij het doen van transacties.

Bij drie van de tien banken, die geen gebruik maken van de TAN-procedure of smartcards, hoeven gebruikers bovendien niet eens hun initiële password te wijzigen. Daardoor zijn deze gebruikers een nog makkelijkere prooi voor phishing. Voor het gebruik en het tijdig veranderen zouden banken duidelijke procedures op moeten stellen.

Reacties (9)
22-06-2005, 12:18 door Anoniem
Dit kan men blijven roepen, maar bij de Nederlandse banken
is dit aan dovemans oren gericht. Heilig overtuigd van hun
eigen kunnen en genomen maatregelen wordt er niets aangepast
totdat ze zelfs weer wat nieuws willen.
22-06-2005, 14:13 door Anoniem
Het is natuurlijk weer investeren, en dat gaan ze op bepaald
ogenblik terug doorrekenen aan de klant.
22-06-2005, 17:29 door G-Force
Maar WELKE banken hebben nu de zaak op orde? En WELKE niet?

Dit had toch in het artikel moeten staan...

En waar is de link van dit bedrijf (Comsec Security Consulting)?
22-06-2005, 20:27 door Peter_
Door Peter V.
Maar WELKE banken hebben nu de zaak op orde? En WELKE niet?

Dit had toch in het artikel moeten staan...

En waar is de link van dit bedrijf (Comsec Security
Consulting)?

http://www.comsecglobal.com/www/index.asp
22-06-2005, 22:11 door Anoniem
Door Peter V.Maar WELKE banken hebben nu de
zaak op orde? En WELKE niet?
Zie jij dan graag dat het de aanvallers makkelijk gemaakt
wordt door ze duidelijke targets aan te wijzen? Dat ze
moeten zoeken houdt er al aardig wat tegen en de rest wordt
vertraagd.
23-06-2005, 03:09 door Anoniem
Ik snap de FUD niet.

Immers wat heb je nodig indien je iemand online wilt beroven?

Bij de ABN AMRO zijn inlogcodes +wachtwoord + bankpas + calculator +
pincode
En bij de Postbank (My Postbank) zijn inlogcodes + wachtwoord + GSM

In beide gevallen is het makkelijk om iemand gewoon opstraat van zijn
pinpas te ontdoen en de pincode uit hem te slaan, als dat je hem/haar
digitaal gaat proberen te beroven.
27-06-2005, 10:27 door Anoniem
Mensen moet maar beter opletten als ze internet bankieren of
de pagina's beveiligd zijn..
01-07-2005, 17:41 door Anoniem
Weet iemand iets van de virus die vrij is gekomen.
Wit was op het nieuws, het schijnt dat de virus ziet wanneer
je aan het internet bankieren bent. Als je 20 euro wil overzetten
dat dit bedrag 2000 euro word en overwordt gezet naar een andere
bankrekening... Ik geloof er niets van maar mischien dat andere er mee
over weten

Alvast bedankt
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.