Online bankieren vaak onvoldoende beveiligd

Websites die over de zogenoemde SSL-beveiliging beschikken, zijn herkenbaar aan het gesloten slotje en de https:// in de adresbalk. "Onze banken implementeren SSL op een slechte manier en talmen te lang met het doorvoeren van belangrijke bugfixes en updates, waardoor ze een vals gevoel van veiligheid creëren", zegt blogger Yeri Tiete tegen Data News. "Als je https://-verbindingen kwetsbaar zijn, kunnen hackers probleemloos communicatiesessies tussen bank en klant meelezen, kunnen ze sessies kapen en kunnen ze naar hartenlust data aanpassen."

Concreet kan een hacker door deze lekken de gegevens die een klant naar de server van zijn bank stuurt onderscheppen en aanpassen. "Zo kan bijvoorbeeld het rekeningnummer dat je ingaf aanpassen. En hij kan ook meekijken hoeveel geld je hebt en naar wie je geld overmaakt", legt Tiete uit in De Morgen.

Zelf een overschrijven aanmaken, kan een hacker niet, omdat de klant daarvoor een 'bakje' (digipass of kaartlezer) moet gebruiken. Maar een overschrijving omleiden naar een andere rekening kan een hacker dus wel.

Intussen hebben een aantal banken al ingegrepen, merkte Tiete: "Bpost en BNP Paribas Fortis hebben de voorbije twee weken hun SSL-configuratie in orde gebracht, allicht omdat ze op mijn blog gelezen hadden wat er aan de hand was, en ook Argenta is in actie geschoten, maar bij ING, Record Bank, Hello bank! en bij Bank Van Breda is het nog steeds huilen met de pet op."

Naast de banken is ook Ogone kwetsbaar, ontdekte Tiete. "Dat is misschien geen bank, maar wel een belangrijke speler in het betalingsverkeer."

Volgens de securityblogger aarzelen Belgische banken vaak bij het updaten van hun SSL-beveiligingsprotocol omdat ze er willen voor zorgen dat ook computers die nog draaien op het stokoude Windows XP of gebruikmaken van Internet Explorer 6 hun toepassingen nog kunnen draaien.

Een van de banken die door Data News bij naam wordt genoemd is ING. Volgens ING België is er echter geen probleem met de veiligheid van online betaaltransacties.

"De veiligheid van die transacties is niet in het gedrang gekomen. Bovendien worden vier van de vijf veiligheidsgevoeligheden waarnaar verwezen wordt in recente persartikels (ten laatste) in de loop van deze voormiddag versterkt."

De bank benadrukt in haar reactie op de artikels ook dat veiligheid en privacy een absolute topprioriteit zijn én blijven.

"ING is zich ten volle bewust van het belang van de veiligheid rond bankieren en het vertrouwelijk behandelen van de gegevens van haar cliënten. We benadrukken dat dit voor ons een absolute permanente topprioriteit is en dat wij dit constant monitoren en verbeteren. In dit geval waren wij op de hoogte van de gevoeligheden en waren wij dit a aan het opvolgen om de nodige stappen tot verbetering en verstrenging van onze veiligheidsmaatregelen te garanderen", klinkt het nog.

Febelfin, de Belgische federatie van de financiële sector, benadrukt dat Belgische banken wel degelijk hoog inzetten op veiligheid.

"Mobiel internetbankieren is steeds populairder geworden. We hebben al sinds 2005 een overlegplatform voor Belgische banken, waar tips en advies worden uitgewisseld om de beveiliging nog te versterken, in samenspraak met de Nationale Bank", aldus Febelfinwoordvoerster Isabelle Marchand.

Febelfin wijst er ook op dat de sector geen weet van reële schadegevallen van banken door hackings. De sectorfederatie wijst er ook op dat Belgische banken regelmatig campagnes voeren om hun cliënten te wijzen op de gevaren van fraude bij internetbankieren.

"Onder meer dankzij deze campagnes en de verhoogde sensibiliteit van de cliënten voor internetfraude, zoals via phishing, is het aantal fraudegevallen tussen 2013 en 2014 met 85 procent afgenomen", aldus nog Marchand.

Een volledig overzicht van het onderzoek dat Yeri Tiete uitvoerde is te vinden op zijn blog: Yeri.be