06 aug

Security tip 2: veiliger internetbankieren / telebankieren

Tip 2 uit de serie security tips, dit keer met het onderwerp veiliger telebankieren.

Dit artikel is deze keer iets meer gericht op persoonlijk en particulier gebruik, maar ook goed toepasbaar binnen bedrijven.

Naast dat criminelen regelmatig proberen uw pin pas te skimmen, zijn deze ook erg actief op het internet om te proberen op een makkelijke manier veel geld te verdienen. En tot op heden zijn ze hier erg succesvol in, alleen in Nederland hebben ze afgelopen jaar minimaal € 35 miljoen buit gemaakt. Deze goede verdiensten zorgen er voor dat ze meer middelen hebben om te investeren in nog geavanceerdere software om u om de tuin te leiden.

De banken zelf hebben hun systemen goed beveiligd, dus daar breek je zo maar niet in. Daarom richten criminelen zich op de zwakste schakel, namelijk de consument. Een bank kan haar eigen systemen fantastisch beveiligen, echter dit heeft weinig zin als de pc van de consument voorzien is van kwaadaardige software.

Phishing:
(zie voor toelichting op Phishing: http://nl.wikipedia.org/wiki/Phishing )
Criminelen sturen (zich voordoend als zijnde je eigen bank) je een e-mail waar in ze vragen om op een link te klikken, gegevens te verifiëren, een transactie te annuleren, of juist gegevens aan te vullen. Onderstaande een paar voorbeeldden welke mij recentelijk hebben bereikt:

Screenshot-from-2012-08-04-133859

Screenshot-from-2012-08-04-133509

Je wordt mogelijk naar een internet pagina gelokt die sterk lijkt op die van de bank, waar je gevraagd wordt om in te loggen. Als je daadwerkelijk inlogt, gaan criminelen er met je inlog gegevens vandoor. De gevolgen laten zich raden.

Steeds vaker komt het voor dat er in het e-mail bericht een link staat naar een pagina waar je direct besmet wordt met (banking) malware. (openen van de pagina / 1 klik op de link is voldoende)

Tot op heden was het zo, dat dit soort mails in slecht Nederlands waren opgezet. Dit was een makkelijke manier om phising mails te herkennen. Echter komende tijd zullen de criminelen ook inzien dat ze meer succes hebben als ze wat moeite doen om de mails in correct Nederlands op te stellen, dus dat kun je wat mij betreft niet meer zien als de manier om dit soort mails te herkennen.

Mijn advies: Wantrouw alle e-mail waarin gesteld wordt dat deze van een bank afkomstig is. Beter nog verwijder de mail gewoon gelijk. Een bank zal je nooit mailen om je account te verifiëren, of een transactie goed te keuren. Als deze echt iets van je willen weten, dan bellen ze wel, of je krijgt post via je traditionele brievenbus!

Ps: Als iemand namens de bank belt, en je kent deze persoon niet, of deze persoon weet geen details over jou afgenomen producten te noemen, dan vraag je de naam van deze persoon. En bel je hem terug via het algemene nummer van de bank. Zo weet je zeker dat deze persoon daadwerkelijk bij de bank werkt!

Man-in-the-browser/Banking Malware:
(zie volgende Wikipedia artikel voor toelichting in het Engels: http://en.wikipedia.org/wiki/Man-in-the-browser) Steeds vaker worden pc’s besmet met banking malware, dit is kwaadaardige software die speciaal ontworpen is om u via telebankieren geld afhandig te maken. Je kan besmet raken door op z’n link van een phising mail te klikken, echter dit soort software is in het verleden ook geplaatst op gerenommeerde sites als NU.nl en weeronline.nl (alleen het bezoeken van deze sites was al voldoende voor een infectie)
Deze software is zeer geraffineerd! Zie de BBC click voor een toelichting (in het engels) : http://www.youtube.com/watch?v=DUnZMwXCkyw

Deze software, die in de meeste gevallen niet herkent wordt door uw antivirus software, laat u extra velden zien op de legitieme telebankieren site van uw eigen bank, om daar te vragen naar uw pincode of andere gegevens waarmee zij u geld afhandig kunnen maken. (tan codes enz) Daarnaast kan deze software ook zonder dat u het ziet, het bedrag en het rekening nummer van de begunstigde aanpassen. Dus u denkt € 200, – over te maken aan tante Truus, maar in de werkelijkheid maakt u € 2000,-  euro over naar een crimineel. Deze software is zo geraffineerd dat het later in de overzichten ook gewoon laat zien dat u € 200,- overgeboekt hebt naar tante Truus. Dus u komt er pas achter als u een maand later het afschrift krijgt. Oja, deze banking malware is inmiddels ook beschikbaar voor u mobiele telefoon, u bent dus gewaarschuwd.

Tips om veiliger te kunnen internet / telebankieren:
100% veiligheid bestaat niet, dus onderstaande tips zijn alleen om de risico’s te verkleinen.

  1. Installeer updates!
    Kwaadaardige software (dus ook banking malware) komt vaak binnen door fouten in de gebruikte software. Zorg er dus voor dat je pc altijd volledig up to date is. (zie security tip 1)
  2. Update Virusscanner!
    Al hoewel moderne banking malware vaak niet herkent wordt door de meeste virusscanners, is het wel noodzakelijk dat u een bijgewerkte virusscanner actief heeft.
  3. Gebruik een aparte pc voor telebankieren! *
    De meeste mensen hebben meer dan 1 pc in huis, gebruik dan 1 pc voor het lezen uw e-mail en fun internetten, gebruik de andere voor telebankieren.
  4. Het gebruik van een tablet (Ipad ed) is in de meeste gevallen veiliger als het gebruik van een pc.
  5. Gebruik een  Live CD / Usb stick voor het telebankieren!
    Mijn inziens is dit de meest veilige oplossing. Als u wilt gaan telebankieren start u de pc opnieuw op van CD of USB stick. Alle software wordt in het werk geheugen van u pc geladen, mocht u besmet raken met kwaadaardige software dan is deze weer verdwenen als u de pc opnieuw opstart. Het is misschien wat extra werk, maar zeker de moeite waard!

*) Als u een aparte pc gaat gebruiken voor het telebankieren, zorg er voor dat deze schoon is, bijvoorkeur installeert u deze pc opnieuw, zodat u zich er zeker van bent dat deze vrij is van kwaadaardige software. Installeer alleen de software welke u echt nodig hebt, en zorg er voor dat alle updates geïnstalleerd zijn. Gebruik bij voorkeur Linux op deze PC (download distributie naar keuze) Het is niet zo, dat u niet besmet kunt raken met een Linux pc, maar omdat Linux minder gebruikt wordt, vinden criminelen het minder interessant om hier software voor te maken.

Wilt u weten hoe de beveiliging van uw bedrijfsnetwerk er voor staat ? of heeft u interesse in een security awareness training voor beheerders / gebruikers of management ?

Neem dan contact op met Nova-Lan voor een vrijblijvende kennismaking.

Delen