Internetbankieren is nog altijd niet veilig genoeg, zo blijkt uit een internationaal onderzoek Comsec Security Consulting. Aangezien het gebruik van deze vorm van bankieren enorm is gestegen, zijn ook de risico’s van identiteitsfraude door onder andere phishing enorm toegenomen.

Het onderzoek heeft zich gericht op de vraag of er een correlatie bestaat tussen iets oudere beveiligingsconcepten en de hedendaagse risico’s. Daarvoor heeft men gekeken welke eisen banken wereldwijd stellen aan de identificatie van hun klanten bij het internet bankieren en hoe makkelijk het voor buitenstaanders is om deze beveiliging te omzeilen. Onder de ruim dertig banken die zijn onderzocht waren onder andere de Nederlandse Rabobank, ABN Amro, SNS Bank, ING, de Postbank en de Belgische Dexia Bank. Daarnaast zijn diverse andere Europese, Amerikaanse en Aziatische banken bekeken.

Allereerst stelt het onderzoek dat bankcliënten de e-Banking service van hun bank vertrouwen. Dat terwijl het rapport concludeert dat het makkelijker is geworden om identiteitsfraude te plegen. Banken zouden hiertegen maatregelen moeten nemen. Niet alleen om geen geld te verliezen, maar ook ter voorkoming van reputatieschade. Er is wel verbetering in de beveiliging waargenomen, want banken gebruiken steeds vaker meer geavanceerde identificatiemethoden.

Maar het verbeteren van de beveiligingsinfrastructuur is niet genoeg. Uit het onderzoek blijkt namelijk ook dat 53 procent van de banken de identificatie informatie, die de klant nodig heeft om in te loggen, maar over één kanaal verstuurt in één pakketje. 42 procent van de aan het onderzoek deelnemende banken gebruikt voor het versturen meerdere kanalen (waaronder telefoon, e-mail, post etc.). De overgebleven 8 procent verstuurt de informatie wel over één kanaal, maar doet dit in verschillende pakketjes. “Banken die hun online beveiliging goed voor elkaar hebben maar niet dezelfde investering doen in de logistieke procedures brengen hun hele beveiligingsinfrastructuur in gevaar”, aldus Henk van der Heijden van Comsec.

Het gebruik van identificatiemethoden voor de e-Banking dienst verschilt verder per bank. Het meest populair als identificatiemethode is de TAN-procedure. De cliënt voert zijn bankpas in in een kaartlezer en moet vervolgens zijn pincode of bankrekeningnummer intoetsen. Met een code kan hij dan gebruik maken van de dienst. Maar niet alle banken stellen even hoge eisen aan de identificatie. Bij eenderde van de onderzochte banken zijn alleen een gebruikersnaam en wachtwoord voldoende om toegang tot het systeem te krijgen. Deze banken stellen hun klanten daardoor bloot aan de gevaren van diefstal van hun identiteit. Uit een onderzoek van Gartner van vorig jaar bleek dat al meer dan 1,4 miljoen mensen hier slachtoffer van geworden zijn. Bovendien groeien ook phishing-aanvallen met 50% per maand.

Banken zouden daarom volgens de onderzoekers meer tijd moeten investeren in de technische mogelijkheden om te kunnen verifiëren of degene die inlogt ook werkelijk de rekeninghouder is. Hierbij valt te denken aan een digitale handtekening of biometrische informatie. Als een klant namelijk eenmaal ingelogd is op zijn account hoeft hij zich bij 67 procent van de onderzochte banken niet opnieuw te identificeren zolang hij gebruik maakt van de dienst. Bij 33 procent moet een cliënt zich wel heridentificeren bij het doen van transacties.

Bij drie van de tien banken, die geen gebruik maken van de TAN-procedure of smartcards, hoeven gebruikers bovendien niet eens hun initiële password te wijzigen. Daardoor zijn deze gebruikers een nog makkelijkere prooi voor phishing. Voor het gebruik en het tijdig veranderen zouden banken duidelijke procedures op moeten stellen.