Internetbankieren: veilig of verraderlijk?

Samenvatting:

In de eenentwintigste eeuw rolt geld steeds minder. In plaats daarvan bliept het van het ene account naar het andere via het internet. Moet je daarbij wakker liggen van bankovervallers met een ICT-diploma?

DoorNina van Hoof

15 April 2016

http://www.zdnet.be/achtergrond/179515/internetbankieren-gek-of-gevaarlijk/?spMailingID=8794621&spUserID=NTU2NDY1NTYzNTIS1&spJobID=901704034&spReportId=OTAxNzA0MDM0S0

Online bankieren is een stille insluiper van het internettijdperk. Na het overwinnen van de initile argwaan tegenover het beheren van geld via het riskante wereldwijde web, hebben we de mogelijkheid collectief en vrij geruisloos omarmd. Zozeer zelfs dat sommige analisten nu het einde van het cash geld al inluiden. Ik ga hier geen in memoriam schrijven, maar vast staat dat je tegenwoordig heel wat mogelijkheden hebt om rechtstreeks je rekening aan te spreken, zonder een stop bij het plaatselijke bankkantoor en ook zonder je portefeuille boven te halen.

Moeten we speciale beschermingsmaatregelen nemen voor het internetbankieren? Is er een veiligheidsverschil tussen het gebruik van een browser of een app? Ik sprak met een paar experts om dat uit te spitten. Tussendoor laat ik ook nog wat streepjes toekomstmuziek horen.

Vaarwel loket

Ook de bankautomaat wordt bedreigd door het salvo aan nieuwe mogelijkheden via het internet.

Loop het voor jezelf maar eens na: hoe vaak ga je nog langs bij een bankkantoor om met iemand te spreken? Die uitstapjes waren sowieso al sterk achteruit gegaan sinds de invoer van de geldautomaat, maar zelfs de noodzaak om je fysiek te verplaatsen voor je financile beslommeringen is het laatste decennium flink verminderd. Vanuit je woonkamer kan je heel wat geldzaken regelen.

Digitaal bankieren kende in Belgi zijn koudwatervreesjaren tussen 2000 en 2005. In die periode startten de meeste banken met het aanbieden van de mogelijkheid om via het internet informatie op te vragen over bankrekeningen en ook acties uit te voeren als overschrijvingen. Vanaf de tweede helft van het decennium neemt het gebruik een hoge vlucht. Tegenwoordig heeft het leeuwendeel van de Belgen al wel eens online zijn geldsituatie gecontroleerd: 91 procent doet aan thuisbankieren, volgens een recent onderzoek van GfK Belgium. Let wel: het gaat voornamelijk over internetgebruik via de computer.

Een bank-app vinden we momenteel vaak nog een stapje te ver: 17 procent regelt al eens bankzaken via de tablet, 13 procent op de smartphone. Daar zal de gekende Belgische traagheid wel voor iets tussenzitten: in Nederland zijn ze er al lang mee weg, bij ons moet er wat tijd overgaan voor we ons iets nieuws eigen maken en vertrouwen. Het is dezelfde aftastingsfase zoals bij het internetbankieren tien jaar geleden.

Aan een beperkt aanbod ligt onze tegenzin alvast niet: zo goed als elke Belgische bank pronkt met een eigen app en vaak zelfs met meerdere applicaties om geldzaken te regelen of andere financile services te voorzien.

Easy Banking, ING Smart Banking, Belfius Mobile Direct en KBC Mobile Banking: de apps van de vier grootste banken in Belgi.

App is veiliger

Is de afwachtende houding van de Belg gerechtvaardigd? Is een app gebruiken minder veilig dan via een browser naar een website te surfen bij het internetbankieren? Ik ging te rade bij twee veiligheidsexperts: Eddy Willems van G Data en Geoffrey Van Beylen van Fortinet. Zij gaven een gelijkaardig en verrassend antwoord. Eerlijk gezegd: voorlopig valt het verschrikkelijk goed mee met die onveiligheid op mobiele toestellen, zegt Willems. Ik durf zelfs te stellen dat het bijna veiliger is om een app te gebruiken dan om via een browser je geld te hanteren.

Van Beylen beaamt die analyse: Angst is onnodig, zowel bij mobiel bankieren als via de browser. Apps hebben op vlak van veiligheid een voetje voor omdat ze volledig door de bank zelf zijn geschreven. De code die achter apps zit, is veel diverser dan bij de websites die je via een browser laadt. Willems: Die variatie maakt de vertaalslag voor de cybercrimineel moeilijker en zorgt ervoor dat deze het vaak niet waard acht om voor n bepaalde applicatie malware te gaan schrijven. Het hacken van een browser is voor hen relatief gezien veel eenvoudiger en dus winstgevender. Ook de browserversie van online banking kan op een stevige veiligheidsgordel rekenen, in de vorm van een https-encryptie. Je merkt deze meteen op door het slotje dat verschijnt in de webadresbalk van je browser.

Je moet bij de veiligheid van apps wel een kanttekening maken, stelt Van Beylen. Het risico is voor elk mobiel besturingsysteem anders. Android is wereldwijd het populairste systeem en trekt momenteel de meeste cyberaanvallen aan, ook al is dat nog lang niet zoveel als op computers. Bovendien is er veel minder controle op de apps die in de Google Play store verschijnen, in vergelijking met de appwinkel van concurrent Apple.

Websitebezoeken aan je online rekening zijn afgeschermd door https-encryptie.

Gouden knipoog

Een van de hoekstenen van de beveiliging van internetbankieren, en data in het algemeen, is het authenticatieproces. De manier waarop een programma vaststelt dat je wel degelijk de persoon bent aan wie een bepaalde rekening is gekoppeld, is de afgelopen jaren sterk verbeterd. Dat is voor een groot deel aan de digipass te danken, de kaartlezer die voor jou unieke wachtwoorden genereert.

Een buzzwoord dat je in dat verband regelmatig hoort vallen, is biometrie: het gebruik van lichaamskenmerken om personen te identificeren. Vingerafdruksensoren zijn tegenwoordig op vele premiumsmartphones te vinden, maar ook irisscanners en gezichtsherkenning zijn technologien die men nu op punt brengt en integreert in toestellen. Ook voor internetbankieren zou biometrische identificatie wel eens een volgende stap kunnen zijn geen digipass, maar een scan van je vinger, je oog of je gezicht om je rekening tevoorschijn te halen.

Zowel Willems als Van Beylen kunnen zich een dergelijke evolutie voorstellen. Een van de eerste toepassingen daarvan is Apple Pay dat vingerafdrukken gebruikt en er zullen in de toekomst zonder twijfel meer alternatieven komen die gebruik maken van biometrie. Op dit moment is het voornamelijk de hardware die vaak nog niet geoptimaliseerd is voor dergelijke functies, aldus Van Beylen.

Het gebruik van vingerafdrukken als sleutel tot je geld zal de komende jaren zonder twijfel toenemen.

Bank rond je pols

Terwijl we nog weifelend bank-apps gadeslaan, marcheert de technologie verder. Ondertussen zijn er al weer nieuwe mogelijkheden waar we ons aan moeten aanpassen. Mobiel betalen, bijvoorbeeld, waarbij je je smartphone gebruikt om aan een rekening te voldoen. Dat doe je onder andere door een QR-code te scannen of de NFC-functie van je mobiel toestel te gebruiken.

Technologiereuzen als Apple en Samsung zijn al op de kar gesprongen en ook de Belgische banken hebben proefprojecten lopen rond diverse betaalmogelijkheden voor smartphones. Daarnaast heeft een speler als Bancontact ook zijn eigen app klaar om je geld mobiel te spenderen.

Misschien hoort daar binnenkort ook je smartwatch bij. Bank-apps voor slimme horloges bestaan, maar zijn doorgaans vrij basic en hebben niet veel functies. In Belgi is er n bank die momenteel iets dergelijks aanbiedt, namelijk Belfius. Heb je als klant de Belfius Direct Mobile app op je smartphone met Android 4.3 of hoger, dan kan je op een Android Wear horloge je rekening bekijken via een gesynchroniseerde app. Je krijgt geen getallen te zien, wel een balkje dat aangeeft of je onder of boven een zelfingevoerde limiet zit. Eerder een gimmick dan echt handig, maar het is niet ondenkbaar dat je op termijn ook met je smartwatch zou kunnen betalen. Die hoef je alvast niet eerst uit je broekzak of handtas op te duikelen.

Via NFC kan je contactloos betalen met je smartphone.

Gezond verstand

Eigenlijk kan je met een gerust hart online je geld beheren, zo benadrukken beide veiligheidsexperts. Zowel bankwebsites als apps zijn zeer robuust gebouwd. Gevaar voor dieven via hacking of malware is bijna onbestaande, alhoewel niet onmogelijk. Zolang je je houdt aan de basisregels om je computer of mobiel toestel te beschermen, kan er je op dat vlak weinig overkomen. Maar hier komt er wel een aap uit de mouw: Blijkbaar hebben we niet dezelfde houding tegenover veiligheid als het op onze smartphones aankomt, zegt Willems.

Veel mensen hebben bijvoorbeeld geen enkel securitypakket op hun telefoon staan zoals een virusscanner. Terwijl dat toch maar een minimale impact op de snelheid van je toestel heeft en er genoeg aanbod op dat vlak is, zowel betalend als gratis. Ook een gesloten platform als iOS profiteert van een dergelijke bescherming. Veel iPhone-eigenaars hebben een vals gevoel van veiligheid. De eerste barstjes zijn echter al verschenen: de app store is niet vrij van malware. Je kan beter voorbereid zijn, dan nadat het kwaad geschied is, te moeten opkuisen.

Van Beylen is het eens met Willems: Te weinig mensen hebben een antivirus op hun smartphone staan, dat kan beter. Een persoonlijke stelregel die ik ook altijd volg als het over dergelijke gevoelige gegevens gaat: voer deze nooit in op een toestel van iemand anders. Je weet nooit wat voor programmas daar opstaan. Dat is veel onveiliger dan pakweg je bank-app te gebruiken via een openbaar wifinetwerk.

Mailvissers

De kans dat je rekening door een hacker wordt leeggeplunderd via een virus of malware is dus klein. Waar je wel uit je doppen voor moet blijven kijken, is phishing.

Phishing is het fenomeen waarbij criminelen via e-mails of telefoontjes je bankgegevens proberen te ontfutselen om met je geld aan de haal te gaan. Tegenw