Internetbankieren en betalen via iDeal zijn de laatste jaren een gigantisch succes geworden. Maar criminelen azen op de vette buit via hacking, skimming en phishing. Deze criminaliteit is bijna altijd grensoverschrijdend, maar het schort aan een internationale aanpak, stelt Frank Engelsman, privédetective gespecialiseerd in digitale fraude. Engelsman pleit voor coördinatie op VN-niveau.

Online bankieren megasucces

Uit de De Digitale Economie 2009: in 2009 maakte 78 procent van de internettende huishouden gebruik van online bankieren. In 2005 was dat overigens nog (of beter: 'al') 58 procent. Negen van de tien internetters van 25 tot 45 jaar doen aan telebankieren; bij 65-plussers is dit aandeel ruim 64 procent.

"Ruim drie kwart van de e-shoppers betaalt de op internet bestelde goederen via internetbankieren. De creditcard of betaalkaart wordt hiervoor door een derde van de online consumenten gebruikt. Ruim een kwart betaalt zonder internet; dit doen relatief veel 65-plussers", aldus het CBS.

En dit: "De jaarlijkse online B2C-omzet (business to consumer) wordt geschat op ongeveer 6 miljard euro in 2009. Internetbankieren, inclusief iDeal, is verreweg de meest gebruikte vorm van betalen bij online aankopen." Omgerekend betekent dit dat van de e-commerce zo'n 3 miljard euro wordt betaald via internetbankieren (iDeal) en 1,5 miljard euro met de creditcard.

Er voltrok zich dus in ruim een jaar of tien een kleine revolutie in het bankieren, terwijl ook iDeal na de nodige geboortepijnen een groot succes is. De banken hebben een knap staaltje werk geleverd: consumenten zijn blij met online bankieren en eenvoudig afrekenen. Ze kunnen het niet meer missen, ondanks dat ze vrijwillig veel bankwerk hebben overgenomen.

Nog geen fraudecijfers

Internetbankieren is een enorm succes. Dat de banken daartoe ook tien jaar lang de lippen op elkaar hielden over fraudebedragen geeft te denken. Maar de tactiek heeft gewerkt: het vertrouwen is groot, en volgens beveiligers volkomen terecht. Maar nu de groei eruit is moeten banken transparanter worden en de Nederlandse Vereniging van banken (NVB) belooft binnen een paar maanden met cijfers te zullen komen. Die cijfers zijn niet te controleren, maar de openheid kan geen kwaad.

De NVB heeft al gezegd dat het om geringe aantallen gaat, maar de definitieve cijfers laten lang op zich wachten.

"Banken lopen er niet mee te koop, maar proberen het ook voortdurend te downplayen. Als ze al aangifte doen dan liever met enkele gevallen tegelijk. In de politiestatistiek vind je het niet terug en dat is ook de bedoeling", Frank Engelsman, privédetective in Amsterdam die zich vooral bezig houdt met internetcriminaliteit en skimming.

Aangiften hebben ook geen enkele zin, vindt Engelsman: "De politie werkt naar een meldpunt waar de kennis gecentraliseerd is. Dat moet samenwerken met de banken. Benadeelde klanten zoals in het door jullie beschreven geval horen nooit meer wat van de opsporing."

Meer focus op security

Daar mag wat tegenover staan: gebruiksvriendelijkheid is een hoog goed. Maar meer en meer staat dat op gespannen voet met de veiligheid. Het gedetailleerde relaas van een geslaagde phisingpoging op Webwereld is er aardig ingehakt. Een verzoek aan de banken om een nadere toelichting en interviews stuit op allerhande smoezen en de bekende stoplappen dat banken beveiliging erg belangrijk vinden.

ING had in april al in stilte de zwakste schakel aangepakt door het afschaffen van de mogelijkheid om met één TAN-code over te gaan op mobiele verificatie. "Een heel verstandig besluit van ING. Voor de overgang naar mobiel moeten klanten het dan maar een paar dagen zonder internetbankieren doen", zegt Engelsman.

Als het aan Engelsman ligt gaan de banken het accent op beveiliging verzwaren, indien nodig ten koste van de gebruiksvriendelijkheid: "De marketing en verkoop van banken heeft de overhand gehad in het eerste decennium van massaal internetbankieren. Ik vind dat niet goed. Banken moeten de veiligheid meer voorop gaan stellen ook al kost dit klanten dan meer tijd en gemak."

TAN-codesysteem onveiliger?

Postbank, nu ING, heeft al jaren de twijfelachtige eer om koploper te zijn met berichten over fraude met internetbankieren. Is bankieren met TAN-codes inherent onveiliger dan met een paslezer zoals bij Rabo en ABN Amro? Engelsman: "Daar leek het wel op, maar ING heeft dat gat gedicht. Nu heeft juist Rabobank weer meer van doen van aanvallen met malware en phishing."

Het gaat om verschillende vormen: "Bij Rabo internetbankieren plaatst de criminele misbruiker malware op de PC op het moment dat de klant een malafide link aanklikt. Daarna kan alles automatisch verkeerd gaan als de klant geld gaat overboeken en autoriseert, of wordt er phishing toegepast om real-time codes te ontfutselen.

Grensoverschrijdend

Om Postbank te manipuleren kopen criminelen ondergronds logins die met duizenden van in de aanbieding zijn en vervolgens moeten ze telefonisch klanten overtuigen om TAN-codes te geven.

Engelsman benadrukt dat deze criminaliteit een internationale markt is: "Dan weer is Rabobank relatief aantrekkelijker in Nederland om aan te vallen dan weer ING, maar voor criminelen zijn aanvallen op de Postbank in Duitsland of grote Britse banken lucratiever gezien de omvang van hun markten. Ik denk dat de banken gezamenlijk meer moeten doen want het aantal aanvallen neemt toe."

En de politie moet meer doen om de bronnen aan te pakken maar ook de katvangers hier die tijdelijke rekeningen openen, vindt Engelsman: "Katvangers worden niet alleen met e-mails geworven met maar soms zelfs op straat aangesproken om hun rekening even ter beschikking te stellen, om bijvoorbeeld zogenaamd 'geld voor de betaling van een auto te ontvangen' in ruil voor een klein percentage."

VN

Engelsman vindt dat internetcriminaliteit als geheel een zaak van de Verenigde Naties. Raoul Chiesa doet voor de VN wel onderzoek dat meer gericht is op de crimineel achter cybercrime, dus een poging tot profiling. Engelsman: "Heel interessant, alleen nog niet klaar en bruikbaar voor opsporing en/of disruptie. Nu blijkt dat compliance c.q. regelgeving en preventie zeker nationaal niet werken, maar juist tot grensoverschrijdende criminele netwerken heeft geleid, moet je het anders aanpakken. Het probleem is nu zo groot dat er een supranationale inspanning nodig is om tot adequate bestrijding over te gaan."

Dit is het laatste deel in de serie over de (on)veiligheid van internetbankieren. Recent publiceerde Webwereld over waarschuwingen door Rabobank, een geslaagde inbraak bij ING en geavanceerde phishing mail, de adequate aanpassing door ING en de opkomst van social engineering bij online bankfraude.