De uitzending van Nieuwsuur donderdagavond over het onveilige internetbankiersysteem van ABN Amro rammelt aan alle kanten.

Opgeblazen bangmakerij

Verschillende security-experts hekelen het item, waarin onterecht werd gesteld dat internetbankieren met de e.dentifier2 met USB niet veilig is, maar met andere tokens wel.

Ook ABN Amro is erg ongelukkig. “Het is opgeblazen bangmakerij, Nieuwsuur creëert ten onrechte een gevoel van onveiligheid rondom de e.dentifier2 met USB", reageert woordvoerder Jeroen van Maarschalkerweerd. “Hier heeft de maatschappij niet veel aan." Een rectificatie zal de bank niet eisen, maar ze willen wel graag zelf wat misverstanden rechtzetten.

OK-knop token gepwnd

Uit het item van Nieuwsuur werd niet duidelijk hoe de hack in zijn werk gaat. Onderzoekers van de Radboud Universiteit schreven er een uitgebreide paper over, getiteld “Designed to Fail". Ze ontdekten een zwakte in het systeem, waardoor cybercriminelen via bijvoorbeeld geavanceerde malware zelf een transactie kunnen opzetten. Kortgezegd zouden hackers vanuit de pc via de usb-kabel de e.dentifier2 kunnen dwingen om een transactie te autoriseren, zonder dat de gebruiker zelf fysiek op de OK-knop van de token drukt.

Onderzoeker Erik Poll legt aan Webwereld uit dat deze transactie alleen wordt voltooid als het slachtoffer een eigen transactie goedkeurt, want daarvoor is alsnog het intoetsen van de PIN-code nodig. Hierna wordt dan de transactie van de hacker uitgevoerd in plaats van de gebruiker.

ABN Amro erkent schoorvoetend de bevindingen van de Radboud-onderzoekers, al kan het zich in de kwalificaties zoals “designed to fail" niet vinden. “Niets is 100 procent veilig, maar er worden constant verbeteringen doorgevoerd," aldus Maarschalkerweerd.

Geen criminele business case

Maar belangrijker in dit geval, de onveiligheid is vooral theoretisch, want er is geen criminele business case om dit specifieke systeem te misbruiken. Andere fraudemethoden, zoals man-in-the-browser aanval zijn eenvoudiger en hebben hun succes voor cybercriminelen reeds bewezen.

Dit onderschrijven de onderzoekers zelf. “Het bestaan van deze beveiligingszwakheid betekent nog niet dat het interessant is voor criminelen om er misbruik van te maken. Voor een praktische aanval die de zwakheid benut heeft een crimineel een hoge mate van controle nodig over de PC van het slachtoffer. Zolang er eenvoudigere methoden zijn zullen criminelen die verkiezen boven deze complexere aanval."

Dat laat onverlet dat fabrikant Gemalto én ABN Amro, met al hun security-experts, zo'n zwakte nooit over het hoofd had mogen zien. “Dat is echt onbegrijpelijk," aldus Erik Poll tegenover Webwereld.

Niet minder veilig, wel gebruiksvriendelijker

Maar in de praktijk is het securityrisico van de de e.dentifier2 met usb-functie dus niet groter, eerder kleiner, want het systeem is vooralsnog onaantrekkelijk voor hackers. En sinds Gemalto en ABN Amro op de hoogte zijn is er al een variant in omloop waar de zwakte niet meer inzit, bezweert Maarschalkerweerd.

De bottom line: de e.dentifier2 is gekoppeld via usb of los even veilig. “Het risico is niet groter, en gekoppeld is het gebruiksvriendelijker", benadrukt ABN Amro.