Het blijkt triviaal om het veilig geachte TAN-systeem van de Postbank om de tuin te leiden door middel van Caller ID spoofing. Met deze truc kan een telefoonnummer worden gekaapt zodat criminelen zich kunnen identificeren als de rekeninghouder.

TAN-code op een presenteerblaadje

Wie via de Postbank online geld wil overboeken heeft daarvoor een Transactie Autorisatie Nummer, oftewel TAN-code nodig. Klanten hebben de keuze uit een papieren lijst met codes of kunnen voor elke transactie een code per SMS ontvangen. Daarnaast bood de Postbank tot afgelopen vrijdag een TAN-codelijn (0800-TANINFO) waarbij klanten voor een overboeking telefonisch de benodigde TAN-code te horen kregen.

De TAN-codelijn controleert echter uitsluitend de zogenaamde Caller ID, via nummerherkenning. Criminelen kunnen met belsoftware eenvoudig een eerder buitgemaakt telefoonnummer opgeven, een techniek die bekend staat als Caller ID spoofing. Het opgeven van een willekeurige 'nummeridentiteit' kan met verschillende Voip-applicaties, waaronder Voipbuster.

Randvoorwaarden

Wie succesvol een girorekening wil leegplunderen dient wel eerst de gebruikersnaam, wachtwoord én 06-nummer van een slachtoffer te achterhalen. Dit is weliswaar beduidend minder eenvoudig dan Caller ID spoofing, maar zeker niet onmogelijk.

Cybercriminelen hebben verschillende wapens in hun arsenaal om inloggegevens te achterhalen. Zo kunnen zij hengelen met phishingmails, die Postbank-klanten met enige regelmaat ontvangen. Daarnaast bestaat het risico van stiekem op de pc gesplaatste keyloggers en kunnen kwaadwillenden met social engineering op profielsites veel informatie achterhalen, zoals 06-nummers.

De onveilige TAN-codelijn haalt dus één schakel - het sluitstuk - uit de beveiligingsketen van het internetbankieren van de Postbank. Vergelijk het met een kasteel: de ophaalbrug is weliswaar omhoog en de poort gesloten, maar eenmaal binnen staat de schatkist wagenwijd open.

Het beveiligingslek in het online bankiersysteem van de Postbank werd 'ontdekt' door de 19-jarige Stan uit Eindhoven, die de redactie van Webwereld ervan op de hoogte stelde. Webwereld heeft naar aanleiding hiervan de TAN-kaapmethode getest en succesvol uitgevoerd.

TAN-codelijn meteen gedeactiveerd

Een woordvoerster van de Postbank stelt dat het bedrijf 'al enige tijd op de hoogte was van de methodiek', en daarom de TAN-codelijn al recentelijk 'van de website was gehaald'. Omdat de onveilige telefoondienst echter nog wel operationeel was, heeft de bank de TAN-codelijn, nadat Webwereld op de risico's wees, met spoed definitief uit de lucht gehaald. De TAN-codelijn was de afgelopen vier jaar in gebruik.

De bank biedt een nieuw alternatief: wie de TAN-code niet per SMS ontvangt, kan op zijn geregisteerde nummer worden teruggebeld waarna een computerstem de code opleest. Deze methode is wél immuun voor Caller ID spoofing.

De Postbank kan niet zeggen of het verdachte transacties heeft geconstateerd die via het lek zijn uitgevoerd, maar de woordvoerster gaat er vanuit 'dat er niet veelvuldig misbruik van is gemaakt'. "Het is een vrij ingenieuze methode."

Het bedrijf benadrukt dat internetbankieren bij de Postbank 'absoluut veilig is' en het systeem 'is beproefd en goedgekeurd door de toezichthouder', De Nederlandsche Bank. "In totaal maken 3,5 miljoen Postbankklanten succesvol en naar tevredenheid gebruik van het internetbankieren."

Niet solide

"Het maakt op mij geen solide indruk", aldus Bart Jacobs, hoogleraar Digital Security aan de Radboud Universiteit Nijmegen, in een reactie tegenover Webwereld. "Bij veel systemen wordt een afweging tussen veiligheid en gemak gemaakt. Banken gaan daar in de regel heel rationeel mee om. Dit is een typisch geval van extra service naar klanten toe die de beveiliging in gevaar brengt."

Een ander risico van dit pragmatische beleid is dat er te weinig getest wordt zodat de put pas wordt gedempt als de eerste kalveren verdronken zijn. "Je ziet vaak dat er pas wat aan gedaan wordt als ze zien dat er daadwerkelijk misbruik van wordt gemaakt."

Jacobs wijst op de onderschatte gevaren van social engineering, waarbij het oogsten van persoonlijke informatie op websites als Hyves wordt gecombineerd met gerichte phishing aanvallen om bijvoorbeeld inloggegevens te ontfutselen.

Twee-factor authenticatie onder vuur

Overigens is de security-professor van mening dat het internetbankiersysteem van de Postbank niet inherent onveiliger is dan dat van andere banken. Bij de meeste banken is een speciaal apparaatje, bankpas én pincode vereist om zowel in te loggen als een transactie te voltooien. Maar deze twee-factor authenticatie kan ook worden gekaapt met een 'man-in-the browser' aanval, zo bleek vorig jaar.