Drie keer kloppen?

Floor Terra - 2012-03-21 00:00:00
Wie kent het nog: De "Drie keer kloppen"-campagne van Nederlandse Vereniging van Banken (NVB) om klanten bewust te maken van beveiliging bij internetbankieren? In tv-spotjes, websites en tijdschriften werden mensen bewust gemaakt van het feit dat ze zelf deels verantwoordelijk zijn voor de veiligheid van hun online bankverkeer. Daarbij werden drie punten gegeven die je als gebruiker moest controleren of ze wel kloppen. Als eerste moet je de beveiliging van je computer nalopen: heb je alle updates geïnstalleerd, heb je antivirus, etc.? Als tweede moet de website kloppen. Wat hiermee bedoeld werd was dat je moest kijken of je op de juiste website zit (kijk naar de url) en of je het slotje in je url balk ziet (als je HTTPS gebruikt). Dit is om phishing en man in the middle (mitm) aanvallen tegen te gaan. Als derde moet je regelmatig je rekeningafschriften controleren zodat je, als het dan toch misgaat, zo snel mogelijk fraude opmerkt en maatregels kan nemen.

Natuurlijk zijn deze drie punten niet genoeg om alle vormen van fraude tegen te gaan, maar de campagne was effectief. Mensen zijn bewuster geworden van de risico's en ik twijfel er niet aan dat het criminelen een stuk moeilijker gemaakt is om fraude te plegen. We zijn nu een paar jaar verder en bijna iedereen gebruikt nu het internet voor bankzaken. Maar er is nog meer veranderd: smartphones. Bijna iedereen heeft tegenwoordig wel een iPhone, Android-telefoon, tablet of een ander mobiel apparaat. De meeste mensen willen hier ook op kunnen bankieren en ik maak me daar zorgen over.

Veel mensen hebben veel meer vertrouwen in hun telefoon dan in hun Windows PC. Op je Windows PC kan je harde schijf crashen, je hebt last van virussen, rare foutmeldingen die niemand begrijpt en bovendien verschuilen zich allerlei hackers op het internet die niets dan nare bedoelingen hebben. Telefoons zijn anders. Die draag je altijd bij je, ze werken bijna altijd en bijna al je persoonlijke communicatie verloopt via je telefoon in de vorm van Twitter, Facebook, WhatsApp of gewoon ouderwetse telefoongesprekken. Telefoons zijn persoonlijk en vertrouwd.

Ook de ING lijkt telefoons als vertrouwde apparaten te behandelen zoals ik in een vorige blogpost uitgelegd heb. Na die blogpost ben ik gebeld door iemand van de ING met de uitnodiging om zo snel mogelijk langs te komen om te praten over wat ik gevonden had. Naar mijn mening is de ING zelf twee punten van de "drie keer kloppen"-campagne vergeten.

Als eerste de beveiliging van mobiele telefoons. De meeste telefoons krijgen al lange tijd geen beveiligingsupdates meer. Dat betekent dat er veel mensen rondlopen met smartphones die vatbaar zijn voor allerlei aanvallen zonder dat de eindgebruiker hier iets aan kan doen behalve met enige regelmaat een nieuwe telefoon kopen die wel redelijk recente software heeft. En mobiele antivirus kan je in de praktijk al helemaal niet op vertrouwen. Toch hebben veel banken besloten om actief mobiel bankieren te promoten.

Het tweede punt is misschien nog wel ernstiger. Klanten werden bedolven onder campagnes om "het slotje" te controleren. Als je dat slotje in je browser ziet weet je dat een bedrijf (zoals Diginotar) een digitale handtekening heeft gezet onder een certificaat van de website die je bezoek. Als ik bijvoorbeeld het slotje zie op de site https://mijn.ing.nl/ dan weet ik twee dingen:
  1. Een bedrijf (Verisign in dit geval) beweert dat het echt de ING is waarmee ik praat.
  2. Zolang beide bedrijven zelf hun beveiliging goed op orde hebben kan niemand afluisteren wat ik op die website doe en kan niemand stiekem tussen mij en de ING gaan zitten om data ongemerkt aan te passen (een mitm-aanval)
In mijn onderzoek naar de ING-applicatie voor Android heb ik ontdekt dat het niet alleen mogelijk is, maar zelfs makkelijk om toch een mitm-aanval te doen. Dat komt omdat de applicatie zelf niet goed de controle uitvoert die de klanten wel zouden moeten doen. Nadat ik de ING dit verteld heb hebben ze een nieuwe versie van de applicatie uitgebracht die hier wel tegen bestand is. Bovendien heeft de ING nu oude versies van de applicatie geblokkeerd zodat die ook niet meer misbruikt kunnen worden.

Wat ik ook kwalijk vind is dat de ING hier niet eerlijk over is naar haar klanten. Ik vind dat klanten het recht hebben om te weten wat voor risico ze lopen, maar in de release notes vermeldt de ING niet dat er beveiligingslekken zijn gevonden in oudere versies. Ook krijg ik geen credits voor het vinden en verantwoordelijk melden van de lekken. Ondanks dat de gesprekken met de ING vriendelijk zijn verlopen heb ik toch het idee dat ik de volgende keer meer terughoudend moet zijn met het delen van informatie. Dat vind ik jammer, want volgens mij is het in het voordeel van de ING om te bevorderen dat mensen dit soort informatie makkelijk met ze delen.

Het actualiteitenprogramma EenVandaag heeft over mijn onderzoek een uitzending gemaakt.
P.S.
Bij mijn onderzoek hoort ook een paper in het Engels die niet meer helemaal up-to-date is en vooral nog veel taalfouten bevat. Ik zal deze ook zo spoedig mogelijk online zetten.