De fraude met internetbankieren blijft stijgen. Hoe gaan criminelen te werk en waarom is het geld niet terug te halen?
De telefoon gaat bij Dirk Massink thuis. Zijn vrouw neemt op. Het is Kimberly van de Rabobank. Ze wil enkele zaken bij het internetbankieren controleren, omdat er valse e-mails zijn gestuurd. Massink neemt de hoorn over en geeft de inlogcodes via de telefoon door aan Kimberly.
Een tijd later blijkt dat er 3600 euro van zijn rekening is afgeschreven. De Rabobank vergoedt de schade niet, omdat Massink in hun ogen verwijtbaar nalatig is geweest. Andere banken als ING en ABN Amro zijn minder streng. Consumentenprogramma Kassa besteedde 15 september bijna een hele uitzending aan dit fenomeen.
Fraude met internetbankieren stijgt
De fraude met internetbankieren neemt nog steeds toe. In de eerste helft van dit jaar liep de totale schade op tot 27,3 miljoen euro, blijkt uit cijfers van de Nederlandse Vereniging van Banken (NVB). Dat is een stijging van 14 procent ten opzichte van de zes maanden daarvoor.
In heel 2011 bedroeg de schade 35 miljoen euro, een schijntje vergeleken met de totale omzet van internetbankieren: 3,2 biljoen euro. Maar het zal je maar overkomen, zoals Dirk Massink.
Twee soorten phishing
Massink werd slachtoffer van telefonische 'phishing', waarbij criminelen via de telefoon 'vissen' naar vertrouwelijke gegevens van klanten. De Rabobank vergoedt de schade in deze gevallen doorgaans niet. De bank vindt dat mensen beter moeten weten dan hun codes af te geven en heeft daar naar eigen zeggen herhaaldelijk voor gewaarschuwd. Wel beoordeelt de bank elk geval apart.
De andere vorm van fraude is digitale phishing via de computer. Oplichters lokken mensen naar een kopie van de bankwebsite, bijvoorbeeld via een link in een e-mail. Bij het inloggen gaan de gegevens rechtstreeks naar de fraudeurs. Ook kan het zijn dat een computer besmet raakt met kwaadaardige software (ofwel malware) die op de achtergrond meekijkt met wat jij doet. Zo'n programma registreert bijvoorbeeld wat jij typt, het zogeheten keylogging, en stuurt dat door naar criminelen.
Open source malware
“Je zou verwachten dat mensen steeds wijzer worden en dat daardoor het aantal fraudegevallen afneemt”, zegt Pepijn Janssen, oud-cybercop bij de KLPD en tegenwoordig cybercrime-expert. “Maar dat is niet zo, want de malware wordt steeds geavanceerder.”
Een reden daarvoor is open source malware, waarvan de broncode vrij beschikbaar is. Daardoor hoeven criminelen niet steeds opnieuw te beginnen met bouwen, maar kunnen ze de code van een succesvol virus downloaden en verder uitbreiden. Antivirusprogramma's hebben steeds weer even moeite met zo'n nieuwe versie.
Netwerk van besmette computers
Digitale boeven maken daarnaast steeds meer gebruik van botnets: netwerken van besmette computers. De grootste botnets bestaan uit een paar miljoen computers. Via zo'n botnet kan snel malware verspreid worden. Niet één keer, maar meerdere malen, telkens als er weer een verbeterde versie van de malware is gemaakt. Criminelen kunnen zo nog jarenlang plezier hebben van een besmette computer.
Op het moment dat iemand aan het internetbankieren is op een geïnfecteerde pc, hebben ze beet. De kwaadaardige software op de computer komt in actie en neemt de bankiersessie over.
De consument ziet bij het inloggen bij internetbankieren een zandloper in beeld. Of de site meldt dat het inloggen is mislukt en dat je het nog een keer moet proberen. In die korte tijd is het programma van de criminelen tussen de klant en de bank gaan zitten. Je denkt dat je gegevens doorstuurt naar de bank, maar ondertussen gaan ze naar kwaadwillenden. De software kan zelfs het bankrekeningnummer en het bedrag aanpassen aan de achterkant zonder dat jij het ziet. In plaats van dat het geld gaat naar de vriend die jouw rekening van 18 euro vorige week heeft betaald, wordt er ineens 3800 euro overgemaakt naar een rekening in Rusland.
Waarom is het geld niet terug te halen?
En dat geld is weg, zegt ex-cybercop Janssen. Het wordt snel omgezet in virtuele valuta zoals Bitcoin. En dan nog een keer in ander elektronisch geld zoals Ukash. “Het is onmogelijk om het spoor na te gaan en het geld terug te vorderen.”
Het geld kan daarna van een rekening worden gehaald door het op een betaalkaart van bijvoorbeeld DB Card of Medius te zetten. Dan kan een crimineel bij een gewone bank jouw gestolen geld pinnen zonder dat iemand het eenvoudig kan traceren.
Dat omzetten van virtueel geld op een plastic kaart gebeurt doorgaans bij belwinkeltjes waar je goedkoop kunt bellen en internetten. “Dat zijn niet zulke goede verdienmodellen”, zegt Janssen met enig sarcasme. Die winkeltjes verdienen vooral aan het uitvoeren van transacties. Waarom valt de politie daar niet massaal binnen? “Het heeft geen prioriteit”, zegt Janssen. “Bovendien moet je aan kunnen tonen dat ze bewust geld naar een crimineel hebben overgemaakt.”
Internetbankieren veiliger maken
Janssen meent dat het simpel is om internetbankieren veiliger te maken, maar dat dat ten koste gaat van de gebruiksvriendelijkheid. “Iets is of heel werkbaar, of heel veilig.” Je kunt klanten bijvoorbeeld een live-cd of
live-usb-stick geven waarmee ze de computer opstarten. Dan komen ze in een volledig afgeschermde omgeving terecht. Maar dan kunnen ze alleen naar de site van de bank.
Martijn van Lom van antivirusbedrijf Kasperky denkt dat in de komende jaren het internetbankieren niet meer via de browser verloopt, maar via een apart programma van de bank dat je moet downloaden. Maar Janssen ziet dat alleen gebeuren als de schade van de fraude te groot wordt. Anders is het de investering niet waard.
Mobiel bankieren geen grote bedreiging
Hoe veilig zijn de apps van banken op mobieltjes? Geldzaken doen via de smartphone is sterk in opmars: 18 procent van de Nederlanders bankierde in het tweede kwartaal met een app via hun mobiel.
Met de criminaliteit valt het tot nu toe mee. Volgens Yvonne Willemsen, fraude-expert bij de NVB, zijn er nog geen gevallen bekend van fraude met bankieren op smartphones. "Dat zien we nog niet. Consumenten moeten wel uitkijken met bankieren op een open wifi, dat is een extra risico", aldus Willemsen tegen persbureau ANP.
Ook Janssen meent dat de fraude met mobiele apps voorlopig beperkt blijft. Veel banken leggen beperkingen op in het bedrag dat je per dag mobiel kunt overmaken. “Het verdienmodel van de desktop is daarnaast niet zomaar te kopiëren naar mobiel.”