ING-klanten overspoeld door phishingmails

ING-klanten hebben de afgelopen weken drie vier phishingmails per week in hun e-mailbox gekregen. Ook niet ING-klanten worden belaagd door de phishers.

Vandaar dat ING een grootscheepse waarschuwingscampagne is gestart. Klanten krijgen na het inloggen op hun online bankieromgeving eerst een waarschuwingsscherm te zien met de tekst: "Geef uw TAN-code nooit af. Ga er net zo mee om als met uw pincode."

Gevarieerde mails
ING geeft deze dringende waarschuwing af omdat er volgens de bank een piek is te zien in het aantal verstuurde phishingmails. Klanten kunnen een aantal verschillende e-mails per week krijgen, telkens met een verschillend uiterlijk en inhoud.

"Normaal komt dat bijna niet voor", legt een woordvoerder van ING uit. "Misschien is het hooguit eens een keer n mailtje." Vandaar dat het nodig is om klanten op deze manier te waarschuwen.

Op een aparte pagina staat uitgebreid uitgelegd waar klanten op moeten letten bij veilig internetbankieren. Ook staan daar een aantal voorbeelden van voorkomende phishingmails en valse inlogschermen. Het is de eerste keer dat ING zo groots uitpakt met een phishingwaarschuwing.

Zorgplicht
De woordvoerder wijst erop dat er altijd gewaarschuwd wordt als er phishingmails in omloop zijn. Deze keer is door de significant grotere hoeveelheid en diversiteit voor deze directe aanpak gekozen. "De toon en de aard van de mail wijzigt ook met de dag, en dan vinden wij dat we uit zorgplicht vanuit de bank daar gewoon heel open en transparant over moeten communiceren."

Naast de waarschuwingen neemt ING ook andere maatregelen. Wat die precies inhouden wil de bank niet kwijt om "de crimineel niet wijzer te maken dan dat hij al is".

TAN-code systeem
Opvallend aan de phishingwaarschuwing is dat er flink gehamerd wordt op het geheim houden van TAN-codes. Dat zijn codes die per sms worden verstuurd en waarmee klanten een betalingsopdracht kunnen bevestigen. Anders dan bij andere banken werkt ING niet met een calculator, of zoals de Rabobank hem noemt: een random reader.

De woordvoerder benadrukt dat het TAN-code systeem gewoon veilig is. "Wij blijven bij dat standpunt", aldus de zegsman. "De criminelen vragen alleen maar naar gebruikersnaam, wachtwoord en soms een TAN-code." Met die drie gegevens kunnen zij hun slag slaan.

Rekeningen leeggehaald
Ondanks de geclaimde veiligheid van het systeem komt het wel eens voor dat een klant toch in een val trapt. "Dan heb je het echt over enkele klanten die twijfelen en gegevens achterlaten (op een nepsite - red.) en die dan schade hebben." Die schade wordt "in principe" door ING vergoed, zegt de woordvoerder. De bank wil geen inzicht geven in hoe hoog die bedragen zijn. Ook fraudecijfers brengt ING niet naar buiten. "Dat komt echt slechts een enkele keer voor."

De waarschuwing blijft voorlopig in de huidige prominente vorm online staan, totdat vrijwel iedere klant de tekst heeft gelezen. Verder wordt er informatie over de huidige phishingacties verspreid via een speciale phishingpagina.

Daar wordt iedere phishingmail geplaatst zodat klanten zelf kunnen controleren of een mail nep of echt is. ING vraagt nooit in een mail of telefonisch om TAN-codes. Er staat ook uitgelegd wat klanten kunnen doen als zij toch per ongeluk gegevens achterlaten op een phishingsite.

Verdere maatregelen
Sites waar phishers gebruik van maken om ING-accounthebbers om de tuin te leiden, worden zo snel mogelijk uit de lucht gehaald. Ook wordt er aangifte gedaan bij de politie. "En natuurlijk kijken wij naar maatregelen om te voorkomen dat er dergelijke mailtjes worden rondgestuurd." Hoe dat in zijn werk gaat wil de bank ook liever voor zichzelf houden.