Vijf keer veilig internetbankieren

Ophef deze week over internetbankieren: is de e.dentifier2 met USB-connectie onveilig? Het antwoord verrast. Webwereld laveert tussen gehypete bangmakerij en het eeuwige downplayen van de banken door.

Vijf keer veilig internetbankieren, met tussen de regels door telkens de vraag: wat is (on)veilig? En: waar liggen de risico's?

Windows XP SP1 met IE6
Oma vindt dat internetbankieren tegenwoordig verdomd handig, maar doet dit op een pc met Windows XP SP1, Internet Explorer 6 en een probeerversie van Norton 2004. Het wemelt van de malware en oma's rekening is al drie keer geplunderd. De eerste keer was wel schrikken, maar na drie dagen had de bank het saldo weer netjes aangevuld.

De moraal van dit gechargeerde verhaaltje: Je computer zit vol met trojans, je bankrekening wordt geplunderd, maar je geld is veilig. Uiteraard is dit geen welgemeend advies voor veilig internetbankieren, maar alleen om een punt te maken dat vaak over het hoofd wordt gezien: voor consumenten is bij internetbankieren het financiŽle risico, en dat is toch wat echt pijn doet, praktisch nihil.

Hele volksstammen hebben nog nooit van 3xkloppen gehoord, alle campagnes van de banken ten spijt. Het zijn vrijblijvende adviezen, voor velen onbekend, door anderen in de wind geslagen. En waarom ook niet, ik krijg mijn geld toch terug? Niet ik, maar de bank draagt het risico. Uiteraard wordt dit risico uiteindelijk afgewenteld op alle klanten.

Hier op Webwereld besteden we in zo'n geval primair aandacht aan security-risico's, maar voor de banken gaat het uiteindelijk om financiŽle risico's. Die vragen zich af: Hoeveel klanten (lees: omzet) lopen naar de concurrent als we internetbankieren veiliger maar omslachtiger maken? Hoeveel klanten kunnen we winnen met gebruiksvriendelijke maar mogelijk minder-veilige oplossing? Hoeveel fraudepogingen kunnen we detecteren voor de transactie voltooid is? Hoeveel malicieuze transacties kunnen we terugdraaien?

Totdat banken betere beveiliging bij de klant af gaan dwingen (willen we dat eigenlijk?), hier vier methoden om ťcht veiliger te internetbankieren. Al is het maar voor de gemoedsrust.

3x kloppen
Het gedateerd klinkende 3x kloppen-advies van de banken is feitelijk nog steeds relevant. De raadgevingen zijn relatief eenvoudig: gebruik antispyware en een virusscanner, zorg dat je besturingssysteem, browser en andere software up-to-date is en de firewall aan staat. De volgende stap is: let op of het adres van websites klopt en vergewis je waar mogelijk of de afzender van een e-mail bonafide is. Ten slotte dienen mensen hun bij- en afschrijvingen te controleren op afwijkingen.

Die lijst is flink uit te breiden en is sindsdien ook uitgebreid, onder het ronkende motto "Samen houden we bankieren veilig". Logische adviezen die ook los van het internetbankieren algemeen geldig zijn.

Gťťn Windows
Praktisch alle malware en banking trojans richten zich op Windows. Dat is logisch, omdat dit besturingssysteem nog steeds zeer dominant is. Windows pc's zijn de ideale en brede doelgroep van de cybercriminelen. Dus internetbankieren met een ander OS vermindert de risico's op fraude aanzienlijk. Uiteraard kan dat dan met een Mac of een Linux-machine, maar er zijn ook zat alternatieven voor wie alleen een Windows pc heeft. Zo is de aloude truc van een Live CD of USB zeer effectief en eenvoudig in gebruik. Hierop staat een compleet OS (meestal een Linux distro) die meteen vanaf de drager kan opstarten.

Eigenlijk zouden banken hier ook zelf mee aan de slag moeten, om het voor hun securitybewuste klanten nog eenvoudiger te maken. Een image-bestand, of beter nog, een kant en klare usb-stick met een gestripte Linux distro en een gestripte browser die bijvoorbeeld alleen naar de banksite kan.

Een nadeel hierbij is dat de computer opnieuw moet worden opgestart. Voor wie daarvoor geen geduld heeft en iets meer thuis is op zijn computer, kan een virtuele machine zoals VirtualBox uitkomst bieden.

Ook mobiel internetbankieren valt onder dit kopje. Gevoelsmatig staat dit velen tegen, maar hele volksstammen doen het al, en toch toe zonder veel fraude-incidenten. Dat mobiel bankieren onveilig is berust op een misverstand, vindt ook de Consumentenbond. Uiteraard kan ook hierbij een checklist geen kwaad, met adviezen als: gebruik geen geroot toestel, installeer geen apps uit onbetrouwbare bron en bankier bij voorkeur niet via een open wifi-netwerk.

Een lekke USB-token
Dit klinkt paradoxaal, maar ABN Amro-klanten die gebruik maken van de lekke e.dentifier2 met USB lopen momenteel minder risico op bankfraude dan diegene met token zonder USB-functie. Wat?!

Het is heel simpel, er is voor zover bekend nog geen enkele trojan-variant in het wild bekend die zich specifiek richt op usb-gekoppelde tokens, lek of niet. Want zelfs om de lekke e.dentifier te kunnen misbruiken moeten cybercriminelen compleet nieuwe malwaremodules schrijven, om bijvoorbeeld de gegenereerde autorisatiecodes te kunnen onderscheppen. Die worden immers niet meer door de gebruiker handmatig in de browser ingevoerd.

De bestaande trojans, die werken via een man-in-the-browser aanval, hebben zich al bewezen bij systemen die gebruik maken losse tokens en tan-codes. Het risico op fraude met niet-gekoppelde tokens is dus reŽel.

Voor de usb-variant is dit risico vooralsnog 'academisch'. En dat zal waarschijnlijk voorlopig ook zo blijven, want cybercriminelen doen ook hun kostenbatenafweging en gaan voor het laaghangende fruit. Zoals de onderzoekers van de Radboud Universiteit die de kwetsbaarheid ontdekten zelf schrijven: "Zolang er eenvoudigere methoden zijn zullen criminelen die verkiezen boven deze complexere aanval."

Een dichtgetimmerde USB-token
En als het USB-tokensysteem wťl goed is geÔmplementeerd, wat bij de nieuwe USB e.dentifier2 het geval is, zo bezweert ABN Amro, is de gebruiker sowieso een stuk veiliger. Want het concept van een USB-token is absoluut goed, vinden ook de security-onderzoekers van de Radboud.

"Een reader koppelen aan de pc via een USB-kabel kan het probleem van man-in-the-browser aanvallen oplossen of in elk geval het risico en de impact drastisch beperken", schrijven ze. Sterker nog, het is een van de weinige gevallen waarmee zowel de security Šls de gebruiksvriendelijkheid wordt verbeterd, omdat gebruikers niet zelf de autorisatiecodes meer in de reader of de browser hoeven in te tikken.

Potentieel zou een hacker met malware de communicatie via de USB-kabel kunnen afluisteren of zelfs manipuleren. "Maar de functionaliteit die over een USB-kabel loopt kan sterk worden ingeperkt en, gegeven de simpelheid van het device en de duidelijke securityvereisten, lijkt het risico eenvoudig te beheersen," aldus Blom et al.

En er is vast nog wel een veiliger variant denkbaar, die niet werkt met een browser plugin en JavaScript, want die klinken ook als zeer aantrekkelijke aanvalsvectoren voor hackers. Bijvoorbeeld een USB-token die een separate verbinding heeft met servers van de bank, en niet via de browser.

Staar je er niet op blind, de USB-token is zeker geen panacee, maar het ziet er goed uit als slag in de wapenwedloop met de cybercriminelen. Maar in godsnaam, laat zo'n systeem grondig testen door een legertje white hat hackers vůůr het aan miljoenen klanten te geven.