Over de geslaagde phishingpoging bij een ING-klant wil de bank aanvankelijk niets zeggen: "Wij communiceren niet via de media over individuele klantdossiers en kunnen dus niet ingaan op de specifieke casus."

Vertrouwenskwestie

Na aandringen door Webwereld heeft ING even tijd gevraagd voor overleg over de kwestie. 'Damage control' is van het allergrootste belang. Een bank handelt immers in vertrouwen, waarbij beveiliging - zoals ING's systeem met TAN-codes - cruciaal is.

Het vertrouwen in internetbankieren is in Nederland groot vanwege het hoge beveiligingsniveau. Het beperken van de schade voor het imago is niet zozeer ingegeven door angst dat geschonden vertrouwen een bank zal doen klappen. De angst is dat mensen op grote schaal hun overschrijvingen in een envelopje zullen stoppen. Dat brengt hoge kosten met zich mee.

Schadeloos, tenzij

ING komt na het interne overleg met een algemeen antwoord: "Ondanks waarschuwingen en alertheid van klanten komt het helaas incidenteel voor dat een klant zijn gegevens afgeeft en komt het incidenteel voor dat een klant schade ondervindt. Dat is in het door u geschetste geval gebeurd."

"In geval van schade stellen wij deze klanten schadeloos, tenzij er sprake is van verwijtbaar gedrag. Wanneer een klant ons hierover belt, wordt er in eerste instantie nooit een uitspraak gedaan over het wel of niet vergoeden. De reden hiervoor is omdat wij altijd eerst zo zorgvuldig mogelijk de zaak willen onderzoeken. In het door u geschetste geval hebben wij binnen een week gereageerd en het bedrag vergoed. Dat lijkt ons een redelijke termijn."

Distantiëren

In het nu bekend geworden praktijkgeval moest het betrokken gezin nog een kleine week aan een touwtje bengelen tot het verlossende woord kwam van de schadevergoeding: "Wij vinden het vervelend voor onze klanten wanneer zij slachtoffer worden van fraude."

"Echter, de onheuse manier waarop de familie in uw verhaal is behandeld, strookt niet met ons beleid en onze ervaringen. Wij hebben in dit geval snel vergoed en distantiëren ons dus van de uitspraak in uw artikel. Wij zijn er om onze klanten te helpen."

Net als in de recent beschreven waarschuwingen van Rabo vanwege een een nieuwe aanvalsgolf van phishers was er in het concrete geval van ING sprake van ‘social engineering’: de vlotte babbel waarbij een klant met lijmen en onder toenemende druk handelingen gaat verrichten die hij/zij normaliter niet zou doen. De ING-woordvoerder verklaart: "Dat komt helaas vaker voor, niet alleen bij ING."

"We informeren klanten continu en zo helder mogelijk hoe ze kunnen voorkomen dat ze slachtoffer worden van internetcriminaliteit. Daarmee kunnen ze een hoop gedoe en onzekerheid voorkomen. Wij adviseren klanten om vertrouwelijk om te gaan met persoonlijke gegevens zoals inlogcodes en TAN-codes, net zoals je dat doet met je pincode."

Één TAN-code was genoeg

In het geval van de geslaagde phishingactie bij het Nederlandse gezin konden de boeven met één TAN-code de ontvangst van die codes voor het online-bankieren wijzigen. In plaats van invoering op basis van TAN-lijsten werden de codes doorgestuurd naar een mobiel nummer van de phishers. Met de nieuwe TAN-codes kon vervolgens de rekening van de familie worden leeggetrokken.

ING: "Het artikel gaat over [de situatie van] eind 2009. In die tijd was het inderdaad nog mogelijk om met behulp van één TAN-code over te stappen van een TAN-lijst naar SMS TAN. Sinds begin april 2010 is dat alleen mogelijk door middel van een eenmalig geldende code (activeringscode) die naar het woonadres wordt gestuurd."

De huidige procedure is geheel anders. De klant moet de overstap naar het versturen van codes naar zijn mobiele telefoon aangeven in Mijn ING. Vervolgens krijgt die klant binnen vijf werkdagen een eenmalig geldende code (activeringscode). In de tussentijd is het niet mogelijk nog betalingen te verrichten.

Twijfel aan TAN

Er zijn aanmerkelijk meer verhalen over geslaagde phishingpogingen bij ING dan bij ABN Amro en Rabo. Die banken gebruiken kaartlezers voor online-bankieren. ING spreekt tegen dat dit met zijn gebruik van TAN-codes te maken heeft. "Dat beeld herkennen wij niet. Geslaagde pogingen van phishing komen slechts op zeer beperkte schaal voor. Internetcriminaliteit komt in veel sectoren voor en phishing is helaas een interbancair probleem."

Wordt het geen tijd voor ING om af te stappen van die TAN-codes? De bank lijkt zich erop te bezinnen want wil geen helder 'ja' of 'nee' laten horen: "ING heeft een team van veiligheidsexperts in huis dat zich dagelijks bezig houdt met de veiligheid van internetbankieren en voortdurend aanpassingen doet aan onze systemen. Natuurlijk volgen we alle ontwikkelingen met betrekking tot de veiligheid van internet en mobiele telefonie nauwlettend en blijven we continue investeren in de veiligheid."