Het tv-programma Kassa en Nu.nl besteedden zaterdag 24 mei aandacht aan een denkbeeldige aanval op internetbankieren, de zogeheten Pineapple-aanval. Verschillende banken en Betaalvereniging Nederland meldden dat er geen geslaagde Pineapple-aanval op internetbankieren bekend is.
Pineapple-aanval
Adviesbedrijf in informatiebeveiliging SecureLabs en onderzoeksjournalist Brenno de Winter hebben een denkbeeldige aanval op internetbankieren gedemonstreerd met een programmeerbare mobiele WiFi-router.
Een handige cybercrimineel kan een WiFi-hotspot zelf programmeren om het internetverkeer tussen een willekeurige website en de browser van een nietsvermoedende gebruiker te onderscheppen, om te leiden en te manipuleren. Zo kan de cybercrimineel ongemerkt toegang krijgen tot ‘accounts’ en vertrouwelijke gegevens van gebruikers op beveiligde websites, bijvoorbeeld bij Facebook, Amazon of PayPal. De reconstructie laat zien hoe dit ook bij internetbankieren mogelijk is.
Volgens de Betaalvereniging Nederland zijn in Nederland geen geslaagde aanvallen volgens deze methode op internetbankieren bekend. De aanval probeert onoplettende gebruikers te misleiden en kan goed worden voorkomen als banken én gebruikers er alert op zijn.
Voldoende maatregelen genomen
Banken investeren voortdurend in nieuwe maatregelen om bankieren veilig te houden. Een zogeheten SSL-beveiligingscertificaat op een website voor internetbankieren biedt bijvoorbeeld al een goede basisbescherming als gebruikers daar scherp op letten. Wanneer gebruikers een groen slotje in de adresbalk van hun webbrowser zien, kunnen ze controleren dat ze een veilige verbinding met hun bank hebben. Door op het slotje te klikken kunnen ze vaststellen dat ze inderdaad met hun eigen bank verbinding hebben en dat alle gegevens (zoals toegangscodes) worden versleuteld voordat ze met de website worden uitgewisseld.
De getoonde aanval heeft betrekking op internetbankieren via een normale webbrowser. Veel banken bieden voor smartphones en tablets een zogenoemde app aan waarmee men mobiel kan bankieren. Bankieren via zo’n app biedt bij de gedemonstreerde aanval meer veiligheid dan via een standaard webbrowser.
Verder kunnen banken verdachte transacties herkennen en voorkomen. Overboekingen naar ‘bekende’ rekeningen, bijvoorbeeld van de huisbaas, de sportvereniging of de gemeente worden normaal afgehandeld. Bij een transactie die afwijkt van het gebruikelijke betalingspatroon van de rekeninghouder, bijvoorbeeld naar een rekening die nooit eerder werd gebruikt, kunnen door de bank aanvullende controles worden uitgevoerd.
Wat kunnen gebruikers doen?
Gebruikers kunnen ook veel zelf doen. Ze kunnen om te beginnen vermijden om te internetbankieren via een onbekende en onbeveiligde WiFi-hotspot. Dat zijn hotspots waarvan niet bekend is wie de eigenaar is en die niet om een veilig wachtwoord vragen. Vooral bij hotspots in openbare ruimten die voor iedereen toegankelijk zijn, moeten gebruikers op hun hoede zijn.
Bij het gebruik van een gewone webbrowser om te internetbankieren, is het raadzaam om alleen verbinding te maken met een vertrouwde en beveiligde WiFi-hotspot. Mobiel bankieren via een app van de bank biedt een betere beveiliging bij genoemde aanval.
Verder kunnen gebruikers het groene slotje van de website van hun bank controleren. Bij een aanval staat het slotje soms niet in de adresbalk van de webbrowser maar op de webpagina zelf. Afhankelijk van het merk van de webbrowser kan ook een nep-slotje getoond worden op de plek bovenin de webbrowser waar de bank doorgaans haar logo toont. Dat is een teken dat er iets niet klopt; het echte slotje moet op de adresbalk van de webbrowser staan, in het groen, samen met de volledige naam van de bank. Als men op het slotje klikt, moet er en pop-up venster verschijnen met de naam van de bank, zonder waarschuwingen.