Echt zo slecht beveiligd?

15 november 2013

Gehoord

Toevallig hoorde ik in de auto een nieuwsbericht van Radio 1, 13 november net na 2 uur ’s middags. Dit is dat terugluisterblok en het bericht begint daarin op het tijdstip 2m38s. De nieuwslezer was Mark Visser. Ik citeer hem letterlijk:

De rekening van de voedselbank in Almere is vorige week door een onbekende in een paar uur tijd helemaal leeggehaald. Een dief had een pinpas uit het kantoor van de voedselbank gestolen, en kon daarmee via iDeal de rekening plunderen. De Stichting Voedsel Loket Almere [sic] is 14.000 euro kwijt en daardoor wordt het moeilijk om de 470 gezinnen in Almere die bij ons komen helpen [sic], zegt de directeur. [...]

Toelichting bij de sic-aanduidingen:

  1. De spelfout zit echt zo in de naam, gecheckt in het Handelsregister van de Kamers van Koophandel. Het woord ‘voedselloket’ is in de naam gespeld als “Voedsel Loket”.

  2. De voorgelezen tekst bevat een vreemde perspectiefwissel (opeens “ons”) en de zin loopt niet. Maar dat geeft verder niet.

Gedacht

Ik vind dit een vreemd bericht, om verschillende redenen. Ik heb expres nog niet gezocht naar meer info over het gebeurde, maar kijk even sec naar dit ene bericht.

Beveiliging

Als ik iDeal gebruik om iets te betalen, moet ik via iDeal inloggen bij mijn bank, namelijk de Postbank nu die ING heet, met een gebruikersnaam en een wachtwoord. Die staan allebei niet op de pinpas of pinpassen die bij die rekening horen. Dus hoe het beschikken over een pinpas, al dan niet gestolen, het iemand mogelijk maakt via iDeal een rekening te plunderen, is mij een raadsel.

Misschien werkt het bij andere banken dan ING anders? Rabobank, ABN-Amro of SNS? (Veel meer banken dan die vier zijn er nauwelijks meer in Nederland.) Ik heb wel eens gehoord dat die als beveiliging bij het internetbankieren aan hun klanten een kastje verschaffen, waar ze hun pinpas in moeten schuiven. Zouden ze daarmee ook kunnen iDeal’en?

Maar dan zal er toch wel een pincode gevraagd worden? Een pinpas heet niet voor niks zo, pin- komt van PIN = Persoonlijk IdentificatieNummer.

Bij de ING zit er op iDeal (en überhaupt op betalingen via internetbankieren) nog een extra beveilingsslag: de rekeninghouder krijgt een TAN (Transactie AutorisatieNummer) toegezonden in een sms, en moet die op de met SSL beveiligde site intikken ter bevestiging van de betaalopdracht. De TAN bestaat uit 6 willekeurige cijfers en is voor eenmalig gebruik.

Hebben andere banken dan ING zo’n extra stap niet? Hangt alles daar op het bezit van een pinpas?

Webwinkel

En dan nog iets: als ik wel eens iDeal gebruik, is dat om op/in een webwinkel iets te betalen, bijvoorbeeld een artikel bij Bol.com, een vliegticket of een vakantieboeking. Dan gaat het om enkele tientjes of honderden euro’s.

Kennelijk kan iemand met iDeal ook maar liefst 14.000 euro betalen? En voor wat dan? Dan moet iemand een nepwinkel hebben opgezet waar dat bedrag naar toe is gesluisd, of gemene zaak hebben gemaakt met een medeplichtige bestaande webwinkel. Of is de rekening van de voedselbank in meerdere stappen geplunderd?

De bank en de politie zouden dat moeten kunnen natrekken. Er zal toch wel aangifte zijn gedaan?

Kort! Snel!

Er zijn dus vele vragen, veel vreemde dingen, en dat doet mij vermoeden dat het radiobericht misschien wel op detailpunten onjuist is.

Het Radio 1-journaal duurt maar een paar minuten, dus ruimte voor uitgebreide analyses is er niet. Maar toch, Radio 1 is een nieuws-, actualiteiten- en sportzender. In al die uren zendtijd per dag zouden onderwerpen meer uitgediept kunnen worden, met meer kloppende details, in plaats van een kort onwaarschijnlijk bericht dat haast niet juist kan zijn.

Voorzichtig

Aan de andere kant: het is lastig voor de media om hier meer over te weten te komen: de politie zal zeggen ‘het onderzoek loopt, wij brengen er op dit moment niets over naar buiten’. De bank zal reageren met ‘over individuele klanten doen wij nooit mededelingen’ en ‘op details van de beveiliging gaan wij om veiligheidsredenen nooit in.’

Begrijpelijk en terecht.

Links

Nu mijn verbazingsartikeltje af is, ga ik toch even googelen, wat de volgende links oplevert.

De dief wist kennelijk ook de pincode. Verder geen duidelijkheid, overal vrijwel letterlijk dezelfde tekst.


Naschrift 19 november 2013, 21:00A

Zojuist was er in het programma Tros Opgelicht een item dat sterk deed denken aan het hierboven behandelde probleem. Ook in dit geval bleek iemand met een gestolen pinpas (eigenlijk verwisseld, hier) en kennis van de pincode, een hele bankrekening inclusief achterliggende spaarrekening leeg te kunnen trekken.

Kennelijk is er inderdaad minstens één Nederlandse bank (ik weet niet welke), waarbij de hele beveiliging van het internetbankieren opgehangen is aan alleen bankpas en pincode. Geen gebruikersnaam, geen wachtwoord, geen transactiecodes.

Mensen moeten voorzichtig zijn met hun pasje, maar ik vind dat die bank of banken ook wel wat te verwijten valt. Een pinpas voor duizenden euro’s per transactie en tienduizenden in enkele dagen, dat is toch veel te riskant? (Retorische vraag.)

Is de ING (althans voor vroegere Postbank-klanten) de enige Nederlandse bank die wel een fatsoenlijke beveiliging op internetbankieren heeft, die onafhankelijk werkt van de pinpas?


Copyright © 2013 R. Harmsen. Alle rechten voorbehouden, all rights reserved.

Kleuren: Neutraal Raar Geen voorkeur Pagina opnieuw laden