In mijn vorige blogartikel beschreef ik hoe de politie onnodig angst zaait voor inbraak via social media. De manier waarop het actualiteitenprogramma Nieuwsuur waarschuwt voor problemen met de e.dentifier2 van ABN AMRO vertoont veel overeenkomsten.
Plunderen
‘Internetbankieren met de e.dentifier2 van ABN AMRO is onveilig bij gebruik met een usb-kabel. Kwaadwilligen kunnen uw rekening plunderen’. Zo opent Nieuwsuur presentator Joost Karhof op donderdag 16 augustus 2012 het item. Het programma laat onder andere Erik Akerboom aan het woord. Hij is Nationaal Coördinator Terrorismebestrijding en Veiligheid. Wacht even, terrorismebestrijding en veiligheid? Dan is er vast iets serieus aan de hand.
Reputatieschade
Volgens de Stichting Kijkonderzoek was ik op deze zomerse dag een van de 862.000 kijkers naar Nieuwsuur. De aankondiging vooraf en de uitzending zelf zijn gretig overgenomen door andere media waaronder de voornaamste nieuwswebsites. De reputatie van ABN AMRO heeft in sneltreinvaart een deuk opgelopen.
Token
Internetbankieren werkt met een token om online betalingshandelingen uit te kunnen voeren. Het oogt als een eenvoudige rekenmachine en bestaat uit knoppen voor corrigeren, bevestigen en de getallen 0 tot en met 9. Het leest je bankpas en werkt niet voor je de juiste pincode hebt ingevoerd als eerste controle. Op de website voor internetbankieren verschijnt bij elke transactie een andere reeks cijfers. Deze voer je in op de token. Op het afleesscherm wordt daarna een andere unieke reeks cijfers getoond. Deze voer je in op de website voor internetbankieren. Dit is de tweede controle. Er is tijdens het proces geen sprake van een netwerkverbinding die afgetapt kan worden.
Handjeklap
In zijn vermakelijke boek ‘Why software sucks’ beschrijft ‘the mad professor’ David S. Platt dit proces als handshaking. Er wordt via handjeklap onderhandeld tussen website en klant van de bank. Pas als ze het eens zijn, zowel pincode als ingevoerde reeks cijfers zijn correct, komt kortstondig een verbinding tot stand en wordt de transactie uitgevoerd.
Veilig
De combinatie pincode en reeks cijfers geeft aan dat je gerechtigd bent transacties te verrichten. Een internetcrimineel zou achteraf de ingevoerde getallen op zich wel kunnen achterhalen. Doordat de getallen elke keer weer anders zijn kan er niet opnieuw gebruik van worden gemaakt. Zo lang er geen kwaadaardige software op de computer staat, wordt dit over het algemeen beschouwd als een veilige methode.
De zwakke schakel
Ten opzichte van de voorloper heeft de e.dentifier2 de mogelijkheid om ook via een usb-kabel verbinding met de computer te maken. In de uitzending van Nieuwsuur wordt gesteld dat deze verbinding de zwakke schakel is. Cybercriminelen zouden met kwaadaardige software via de usb-verbinding betalingsopdrachten kunnen autoriseren.
Wetenschappelijk onderzoek
Op webwereld.nl stelt onderzoeker Erik Poll van de Digital Security Group van de Radboud Universiteit dat de betalingsopdracht alleen wordt voltooid als het slachtoffer een eigen transactie goedkeurt en de pincode invoert. Alleen daarna wordt de transactie van the bad guys uitgevoerd in plaats van die van het slachtoffer. In een toelichting stelt Erik Poll: ‘Het bestaan van deze beveiligingszwakheid betekent nog niet dat het interessant is voor criminelen om er misbruik van te maken’ en ‘Zolang er eenvoudigere methoden zijn zullen criminelen die verkiezen boven deze complexere aanval’.
Angstzaaielarij
Als ik dat lees zie ik een duidelijk verband met mijn blogartikel over hoe de politie onnodig angst zaait voor inbraak via social media. Wanneer je vakantiefoto’s op Facebook en Twitter plaatst, is er theoretisch sprake van een grotere kans op een inbraak. En toch gebeurt dat niet in de praktijk.
Inbrekers
Inbrekers gebruiken eenvoudigere methoden zoals het doornemen van rouwadvertenties in de krant. Of door te kijken op een warme dag in de zomervakantie bij welke woningen alle ramen dicht zijn. Zo zijn er ook eenvoudiger manieren om digitaal diefstal te plegen. Bijvoorbeeld via nepwebsites van webwinkels of banken.
Angst voor ICT
Een nadelig gevolg is dat mensen onnodig angst houden voor de omgang met digitale technologie. Dit zorgt er mede voor dat mensen bij nieuwe ICT ontwikkelingen in bijvoorbeeld de zorg als de dood zijn dat hun privacy in het geding komt. Het gevaar voor misbruik en schending vormt het uitgangspunt. De voordelen van de vernieuwing dankzij informatietechnologie blijven daarmee op de achtergrond. Jammer en onnodig.
Waar rook is…
Mijn advies aan de makers van Nieuwsuur is om ook in de komkommertijd niet onnodig te willen scoren met angstzaaierij. De toelichting van onderzoeker Poll maakte voldoende duidelijk dat het hier geen groot probleem betreft. De reputatie van de bank is door de uitzending wel beschadigd. En klanten die internetbankieren zullen zich afvragen of het systeem nog wel betrouwbaar is. Waar rook is…
Kabel
Volgens ABN AMRO is het risico op het gebruik van de usb-kabel bij de e.dentifier2 niet groter dan zonder kabel. Ik moet bekennen dat ik niet eens wist dat je het apparaatje ook zonder kabel kunt gebruiken. Tja, ik ben niet zo’n liefhebber van handleidingen lezen. Omdat mijn oude kabelloze e.dentifier het nog doet, gebruik ik die regelmatig.
Usability
Volgens webwereld.nl benadrukt ABN AMRO dat het internetbankieren met usb-kabel gebruiksvriendelijker is. Dat ben ik niet met de bank eens. Ik wil namelijk helemaal geen kabels meer op mijn bureau. Niets hoeven inpluggen is een stuk gebruiksvriendelijker. En geen cijferreeksen hoeven invoeren helemaal. Daarom betaal ik steeds vaker via de wel gebruiksvriendelijke iPhone app van de bank waar ik alleen nog voor betalingen van hele hoge bedragen een e.dentifier nodig heb. Keep IT simple!
1 comment
Helemaal eens!
Comments are closed.