De moderne methode om banktransacties uit te voeren vanaf een pc of mobiel apparaat wordt steeds populairder. Ongeveer de helft van alle internetgebruikers in de EU (48%) maakt gebruik van internetbankieren. Financiële transacties behoren tot de gevoeligste online procedures en veiligheid heeft hierbij natuurlijk de hoogste prioriteit. Beveiliging (96%) en gegevensbescherming (94%) zijn voor gebruikers de belangrijkste factoren op het gebied van internetbankieren.*
In tijden van onophoudelijke nieuwberichten over veiligheidslekken zoals “Spectre”, “Panama Papers” en soortgelijke kwesties, zijn financiële dienstverleners, hosts, beheerders en gebruikers allen vitale schakels in de keten om een proces soepel en veilig te maken. G DATA deskundigen hebben de volgende tips en aanbevelingen opgesteld om ervoor te zorgen dat digitale banktransacties soepel verlopen. Veiligheid en gemak hoeven elkaar in dit geval niet uit te sluiten.
87% vindt het gebruiken van een openbaar toegankelijke pc risicovol.*
Computers in een internetcafé vallen niet onder de categorie “veilige apparaten”. Internetbankieren via een openbaar wifi-netwerk is alsof je door een digitaal mijnenveld wandelt. Gebruikers hebben geen controle over de beveiliging van computers van derden en (in het bijzonder) openbare computers. Het is daarom verstandig om uit te gaan van het slechtste scenario: dat de computer geïnfecteerd is met malware die bijvoorbeeld toegangsgegevens kan stelen.
Openbare wifi-netwerken zijn niet veilig omdat het dataverkeer zeer eenvoudig onderschept en gelezen kan worden. Dit betekent dat de ingevoerde gegevens niet veilig zijn voor aanvallers. Het gebruik van een met een wachtwoord beveiligd netwerk en met versleutelde overdrachtsprotocollen (bijv. universele HTTPS) is een eerste stap in de goede richting naar betere beveiliging. Maar het gebruik van een VPN-verbinding is de enige manier om al het dataverkeer te beschermen tegen afluisteren.
Voor 59% van de deelnemers aan ons onderzoek is het gebruik van hun eigen apparaat een belangrijke stap in het verhogen van de veiligheid bij het gebruik van internetbankieren.*
Aanvallers maken gebruik van de onoplettendheid van potentiële slachtoffers en verleiden hen websites te bezoeken die lijken op de oorspronkelijke website, zodat ze phishing- of malware-aanvallen kunnen uitvoeren. Stel dat er een bank is met de domeinnaam "MyPersonalBank.com": Aanvallers zouden bijvoorbeeld een domein registreren met de naam "MyPersonaIBank.com". Het is in het geheel niet visueel duidelijk dat de klein geschreven letter "l" in "Personal" is vervangen door een hoofdletter "i". Onoplettende gebruikers kunnen in deze val worden gelokt wanneer een dergelijke truc wordt gebruikt in spam e-mails of op websites. Ook het gebruik van HTTPS in plaats van HTTP is belangrijk.
Moderne browsers gebruiken kleuren en pictogrammen om aan te geven of een verbinding tussen de browser en de webserver veilig is en of het geleverde certificaat geldig is.
Op dit punt is het kiezen van een geschikt autorisatieproces voor betalingen, zoals een transactienummer (TAN) belangrijk. Het HBCI/FinTS-proces is ook een optie. Er zijn verschillende processen die elk hun voor- en nadelen hebben - verschillende banken hebben hun eigen favorieten en kunnen hun klanten over de voor hen passende opties adviseren.
Als vuistregel geldt dat conventionele TAN-lijsten en iTAN's om veiligheidsredenen niet meer mogen worden gebruikt. De SMS-TAN- en mTAN-processen zijn in orde, maar niet geschikt als de TAN op hetzelfde apparaat wordt ontvangen als het apparaat waarop de banktransactie wordt uitgevoerd. Het gebruik van TAN-generatoren met hun vele mogelijkheden is nu bij veel banken geïmplementeerd voor hun particuliere klanten. Deze aanpak is momenteel de meest haalbare oplossing op het gebied van gebruikersvriendelijkheid, veiligheid en kosten.
Sommige banktrojanen zijn gespecialiseerd in het uitvoeren van technologische aanvallen en in oplichtingstrucs. Ze gebruiken zogenaamde webinjecties om extra content op een website aan het slachtoffer weer te geven, bijvoorbeeld over een zogenaamd uitgevoerde testtransactie of een verkeerde storting op zijn rekening.
De daders beweren dat het slachtoffer een overboeking moet uitvoeren om het ontvangen geld terug te betalen, aangezien het niet aan hem toebehoort. In werkelijkheid is er echter nooit geld op zijn rekening bijgeschreven - het is gewoon een technische truc. De "terugboeking" is voor de bank echter een volkomen legitieme verrichting en leidt tot een afschrijving van de rekening.
Veel bankwebsites hebben nu een automatische uitlogfunctie die de gebruiker na enkele minuten van inactiviteit automatisch uitlogt. Uitloggen is belangrijk, omdat een gesloten sessie niet kan worden overgenomen door derden.
Ongewone transacties vallen op zodra u een rekeningoverzicht bekijkt. Het eerste dat u in geval van twijfel over een transactie kunt doen, is contact opnemen met uw bank. In de algemene voorwaarden van de financiële dienstverlener staat vermeld welke stappen binnen welke termijn genomen moeten worden om een geldige claim in te dienen.
34% van de respondenten zegt voor de veiligheid een dagelijkse limiet voor online overboekingen te hebben ingesteld.*
Banken bieden over het algemeen de mogelijkheid om een limiet in te stellen voor alle transacties die offline en online worden uitgevoerd. Hiermee kunt u bepalen welk bedrag maximaal binnen een bepaalde periode overgemaakt kan worden. Hoewel dit in sommige gevallen - wanneer u een keer een utizonderlijk hoog bedrag moet betalen - onhandig kan zijn voor uzelf, verkleint het instellen van een limiet het verlies dat u kunt lijden in het geval van fraude.
Ook al is het lezen van dergelijke contracten niet uw favoriete tijdverdrijf, het bestuderen van de voorwaarden en bepalingen is heel nuttig. Banken stellen verschillende eisen aan hun cliënten met betrekking tot veiligheidsmaatregelen. Het gebruik van een up-to-date beveiligingsoplossing wordt door de meeste banken aanbevolen of zelfs verplicht gesteld. Daarnaast kennen veel financiële instellingen een eigen risico voor klanten bij schadeclaims. Indien grove nalatigheid of bedrieglijk opzet van een gebruiker wordt aangetoond, kan deze verplicht worden alle schade volledig te vergoeden.
75% ziet het gebruik van beveiligingssoftware als een persoonlijke maatregel om de veiligheid bij het gebruik van internetbankieren te verhogen.*
Antivirussoftware beschermt tegen malware voordat deze op een apparaat terechtkomt. Innovatieve producten met proactieve technologieën, Cloud-verbindingen en spambeveiliging etc. bieden optimale bescherming. Alle G DATA pc-beveiligingsoplossingen bevatten ook G DATA BankGuard voor specifieke bescherming tegen banktrojanen.
Veiligheidslekken moeten zo snel mogelijk worden gedicht, zodat cybercriminelen er geen misbruik van kunnen maken. G DATA beveiligingsoplossingen met hun innovatieve Exploit Protection voorkomen het misbruik van beveiligingslekken.
Meer dan de helft van de gebruikers (54%) geeft aan dat het installeren van updates een manier is om veilig te blijven bij het gebruik van internetbankieren.*
Inloggegevens voor een account zijn heel waardevol en moeten dan ook goed worden gekozen en beschermd. Elk account vereist een eigen, sterk wachtwoord. Een veel gemaakte fout is dat gebruikers hun verjaardag als pincode gebruiken, omdat die gemakkelijk te onthouden is. Het is verstandiger om lange, complexe wachtwoorden te kiezen en een beveiligde password manager te gebruiken die al uw wachtwoorden voor u onthoudt.
De combinatie van een inlognaam en een wachtwoord is een minimale eis voor veilige toegang. Het is beter om daarbij nog een extra inlogfactor te gebruiken, zoals een biometrisch gegeven.
Gebruikersrecensies, benodigde rechten en de reputatie van de app-leverancier en de app store zijn allemaal elementen die voorafgaand aan een download zouden moeten worden gecotroleerd. G DATA Mobile Internet Security voor Android controleert de rechten van al geïnstalleerde apps.
Het aantal gebruikers dat ook mobiele apparaten gebruikt voor internetbankieren groeit. 21% van de respondenten gebruiken een smartphone en 13% geeft aan een tablet te gebruiken voor online transacties.*
Veel aanvallers proberen potentiële slachtoffers te maken via e-mail. Om dit te doen, sturen ze massaal e-mails die vaak visuele kopieën van originele e-mails zijn. Het uiterlijk moet het vertrouwen van de ontvanger vergroten dat de opgenomen links niet gevaarlijk zijn (maar die vaak worden gebruikt voor phishing) en dat bijgevoegde documenten dringend moeten worden gelezen (in bijna alle gevallen bevatten deze documenten malware). Helaas werken dergelijke social engineeringaanvallen maar al te vaak. Daarom moeten gebruikers op hun hoede zijn om ook voorbereid te zijn op niet-technische aanvallen. Financiële dienstverleners sturen geen belangrijke, persoonlijke berichten via e-mail.
* Alle statistieken: Online Banking 2014 - Security counts! Preferences and requirements of banking transactions on the Internet – a D21 Initiative survey conducted by TNS Infratest (2014)