image

"Banken moeten gebruik van links in e-mails beperken"

woensdag 7 oktober 2015, 11:05 door Redactie, 17 reacties

Banken moeten het gebruik van links in e-mails beperken, zodat consumenten aanleren om zelf het adres van de banksite in de browser te typen, zo laat de Belgische federatie van banken Febelfin tegenover Security.NL weten. Een dergelijk specifiek advies zien de Nederlandse banken vooralsnog niet zitten.

Onlangs presenteerde Febelfin de cijfers van fraude met internetbankieren in België. Daaruit bleek dat de schade door deze vorm van cybercrime aan het toenemen was. Werd er in heel 2014 zo’n 653.000 euro gestolen, in de eerste helft van 2015 staat de teller al op zo’n 710.000 euro. Ook in Nederland is er sprake van een stijging van de schade door fraude met internetbankieren. Ging het in de eerste helft van 2014 om 2,1 miljoen euro, in de eerste zes maanden van dit jaar werd er 3,1 miljoen euro gestolen.

Om fraude te voorkomen adviseerde Febelfin dat internetgebruikers nooit via links in e-mails hun banksite moeten bezoeken. “Surf niet naar internetbankingwebsites via een hyperlink in een e-mail”, aldus de organisatie. Veel banken blijven echter e-mails met linkjes versturen, wat consumenten kan verleiden om hier toch op te klikken.

Beperken

Aangezien een link vaak ook de eerste stap in een phishingaanval is heeft Febelfin de Belgische banken gevraagd om het gebruik van hyperlinks in e-mails zoveel als mogelijk te beperken. "De Belgische banken maken bijgevolg slechts in uiterst beperkte gevallen gebruik van deze communicatievorm, om hun klanten te bereiken. Een voorbeeld hiervan zou het invullen van een tevredenheidsenquête kunnen zijn. Dergelijke bank webpages zijn niet beveiligd met codes zodat er niet direct een risico is", zegt woordvoerster Isabelle Marchand.

Ze merkt op dat banken die er toch voor kiezen om e-mails met linkjes te versturen niet automatisch de deur naar fraude openzetten. "Als sectorfederatie, willen wij het grootste comfort bieden aan de particulieren en bedrijven om fraude met internetbankieren te vermijden, en het is in die context dat onze tip gelezen dient te worden. Wij willen daarbij in de eerste plaats wijzen op hyperlinks naar bankwebsites die internetbankieren voorzien, en waarbij dus een persoonlijke code dient ingegeven te worden."

Consequente boodschap

Volgens Berend-Jan Beugel, woordvoerder van Betaalvereniging Nederland, hebben de uniforme veiligheidsregels voor internetbankieren en campagnes van de banken de afgelopen jaren voor een daling van de fraude gezorgd. Het afraden van hyperlinks in bankmails zoals Febelfin doet staat dan ook niet op de agenda. "Het is belangrijk om een consequente en heldere boodschap over het voetlicht te brengen waarin we niet voortdurende wijzigingen in aanbrengen." Wel stelt Beugel dat de banken op een gegeven moment kunnen besluiten om het advies aan te passen, afhankelijk van ontwikkelingen die plaatsvinden.

Eventuele beveiligingsadviezen moeten wel eerst met de banken worden afgestemd, aldus de woordvoerder. "Banken gebruiken e-mail als een marketingtool en we zouden heldere afspraken met de banken moeten maken voordat we zo’n advies naar buiten kunnen brengen." Beugel merkt op dat internetgebruikers phishing vooral kunnen herkennen omdat er naar persoonlijke codes wordt gevraagd. "Daarin onderscheiden phishingmails zich toch van de bonafide mails van banken aan een rekeninghouder."

Garantie

Zelfs als er een dergelijk specifiek advies vanuit de Nederlandse banken komt om nooit op een link te klikken wil dat nog niet zeggen dat het phishingprobleem voorbij is, zo benadrukt Beugel. "We zijn ook heel duidelijk over wat je wel en niet met je pincode moet doen en toch zijn er mensen die hun pincode aan anderen verstrekken en hun pinpassen opsturen. Zo’n boodschap op zich geeft geen garantie dat mensen niet meer op linkjes in e-mails klikken."

Reacties (17)
07-10-2015, 11:10 door Anoniem
Vanaf het prille begin stuurt mijn.overheid.nl alleen een e-mailtje dat er een bericht voor je klaarstaat op de site (waar je met DigID moet inloggen). Je weet niet beter dan zelf naar die site te gaan en daar in te loggen. Banken moeten dat inderdaad ook zo aanpakken.
07-10-2015, 11:19 door Anoniem
Lijkt mij dat links in mails van een bank er nooit zouden mogen zijn.
Alleen platte tekst met een certificaat van de bank eraan zou wel zo mooi zijn.

Tja, marketing (denk management aka de lui aan de op die vooral geld tekens kennen en de rest volledig niet interessant vinden) van een bank zou dit niks vinden.

Door de klant direct op de website te verwijzen is de kans stukken kleiner op pishing etc.
Goed idee van de Belgische bank. Jammer dat Nederland qua banken schijnbaar achter blijft in logisch denken.

Aan de andere kant: we hebben wel toekomst gerichte Nederlandse banken...... (n o t).
07-10-2015, 11:44 door Anoniem
Door redactie, 11:05 uur:
...Beugel merkt op dat internetgebruikers phishing vooral kunnen herkennen omdat er naar persoonlijke codes wordt gevraagd. "Daarin onderscheiden phishingmails zich toch van de bonafide mails van banken aan een rekeninghouder."

Dat mag wel waar zijn maar dit kwartje valt hardnekkig niet als zo'n post via email wordt verstuurd.

Hoe komt dat toch?

Stel je het volgende voor:
Vanochtend vond ik een brief op de deurmat met de volgende mededeling:
..................................................................................................................................................................................
Geachte heer, mevrouw,
Wij hebben constateerd dat het aboneebedrag voor de rent van uw brievenbus niet is betaald. Om voor te zijn dat wij uw brievenbus komen verzegelen dient u binnen 36 uur het bedrag van 107.80 euro te voldaan.
Hoogachtende, uw PTT.
..................................................................................................................................................................................
Iedereen gooit zo'n brief bij het oud papier, al of niet uitgebarsten in schaterlachen, maar als een mededeling van gelijke strekking komt via email wordt het wèl door een behoorlijk aantal mensen serieus genomen.
Het zoeken naar een antwoord is voer voor psychologen dus op korte termijn/pragmatisch nutteloos. Feit is dat keer op keer blijkt dat het zin heeft voor geboefte dergelijke emails te versturen anders stierf deze wijze van oplichterij wel uit.
Wat dan wel te doen? Het enige wat netwerkbeheerders, politie en instellingen waar je een zakelijke relatie mee onderhoudt, kunnen blijven doen, ja moeten doen, is erop blijven hameren dat je op een - gelukkig nog - beperkt aantal zaken in email alert moet blijven:

Is de mail gepersonaliseerd? Ofwel: wordt in de aanhef je naam genoemd? Zo niet:
In de prullenmand die mail!

Wordt er gevraagd om wachtwoorden, inlognamen, toegangs/PIN-codes te bevestigen door op een link te klikken?
In de prullenmand die mail!

Staan er ernstige stijlfouten, grove werkwoordvervoegingsfouten of fout geschreven zelfstandige naamwoorden in de tekst: Zo ja:
In de prullenmand die mail!

Wijs in de mail, NIET KLIKKEN!, een link aan. Zie je dan URL's zoals: http://www.jgcvjllbla bla909.zx/?
In de prullenmand die mail!

Spijtig genoeg moeten we het nagenoeg doen met bijvoorbeeld deze raadgevingen.
Er ìs wel een uitgebreidere mogelijkheid maar ik zou ervan beschuldigd kunnen worden reclame te maken voor Google.... Enfin:
Ga voor je zakelijke accounts Gmail gebruiken. In Gmail kun je kiezen voor eenvoudige weergave. Da's een heel gezoek; zit ergens diep verborgen bij de account instellingen en ze (Google) veranderen de locatie ervan om de haverklap.
De eerste keer dat je in Gmail na instelling op eenvoudige weergave bijvoorbeeld een mail van je bank ontvangt en je weet zeker dat deze mail van hen afkomstig is, kies je eenmalig 'altijd afbeeldingen downloaden van deze afzender'. Vanaf dat moment herken je elke mail waarvan de afzender (dus niet je bank) tracht je bank na te apen. Waarom? Simpel èn doeltreffend... omdat de afbeeldingen ontbreken.
Ik pas deze mogelijkheid van Gmail al zo'n 3 jaar toe en heb daarmee, bij wijze van spreken met mijn ogen dicht, tot tweemaal toe 'ING-bank' dreigmail met zwamkoek over PIN codes bevestigen onderschept. Daarnaast meerdere 'Afrikaanse zwetsmails' zogenaamd van ICS/VISA (...'anders zal u credit blokkeerd zijn'...) en van PayPal. Al deze mails konden zonder er ook maar èèn seconde teveel aandacht aan te hoeven besteden, linea recta de vuilnisbak in.
07-10-2015, 11:48 door Anoniem
Banken (en anderen) zouden om een goed voorbeeld te geven er goed aan doen hun e-mails eens serieus digitaal te ondertekenen met OpenPGP/GPG, zodat je kunt verifieren of de e-mail echt van de bank afkomstig is. Jammer dat e-mail clients na zoveel jaren het digitaal tekenen nog steeds niet afdwingen, dus dan blijft e-mail gelijk aan 'ansicht' kaarten correspondentie,..
07-10-2015, 11:50 door Anoniem
"Dergelijke bank webpages zijn niet beveiligd met codes zodat er niet direct een risico is", zegt woordvoerster Isabelle Marchand.

Madame Isabelle heeft het dus duidelijk niet begrepen; 'niet beveiligd met codes' --> 'dan hoeven we ook geen https toch ?' --> eindgebruiker kwetsbaar voor MiTM. Een bank hoort ten alle tijden haar beveiliging zo sterk mogelijk te hebben, het gaat immers om de zwakste schakel in een keten (nog even los van potentiele reputatieschade) ...
07-10-2015, 12:03 door Anoniem
Mijn bank stuurt mij nooit mail. Kan ook niet, want ze weten mijn mail adres niet.
Dan kan ik ook niet in de war komen, en mijn bank kan nooit claimen dat ze mij iets per mail medegedeeld hebben
wat ergens door wat voor technische oorzaak dan ook (spamfiltering, computer kapot, whatever) hier niet is aangekomen.
Als ze mij willen bereiken kunnen ze de berichten faciliteit in hun telebankieren site gebruiken, ze kunnen me een brief
sturen, of ze kunnen bellen als het heel urgent is.

Dat lijkt mij een betere oplossing dan "banken moeten geen links in mail zetten".
07-10-2015, 12:43 door Anoniem
Door Anoniem: Banken (en anderen) zouden om een goed voorbeeld te geven er goed aan doen hun e-mails eens serieus digitaal te ondertekenen met OpenPGP/GPG, zodat je kunt verifieren of de e-mail echt van de bank afkomstig is. Jammer dat e-mail clients na zoveel jaren het digitaal tekenen nog steeds niet afdwingen, dus dan blijft e-mail gelijk aan 'ansicht' kaarten correspondentie,..

Lijkt me niet handig. Levert voor veruit de meeste gebruikers gewoon een vreemde tekst of attachment op wat alleen maar vragen zal oproepen.
07-10-2015, 13:20 door Anoniem
Wijs in de mail, NIET KLIKKEN!, een link aan. Zie je dan URL's zoals: http://www.jgcvjllbla bla909.zx/?
In de prullenmand die mail!
Dat werkt, totdat je linkjes als
<a href="URL" onmouseover="window.status='what you want the status bar to say'; return true" onmouseout="window.status=''; return true">Log hier in</a>
gaat tegenkomen.
07-10-2015, 13:42 door Anoniem
Nog veel beter is HTML uitroeien in mail.
07-10-2015, 13:49 door Erik van Straten
07-10-2015, 11:14 door Anoniem: Ga voor je zakelijke accounts Gmail gebruiken. In Gmail kun je kiezen voor eenvoudige weergave. Da's een heel gezoek; zit ergens diep verborgen bij de account instellingen en ze (Google) veranderen de locatie ervan om de haverklap.
De eerste keer dat je in Gmail na instelling op eenvoudige weergave bijvoorbeeld een mail van je bank ontvangt en je weet zeker dat deze mail van hen afkomstig is, kies je eenmalig 'altijd afbeeldingen downloaden van deze afzender'.
Wat is "deze afzender"?

ALLES in een e-mail kan gespoofd worden, behalve het IP-adres van de mailserver of (zombie-) PC waar "jouw" mail server (Gmail in dit geval) de mail van ontvangt.

Digitale handtekeningen buiten beschouwing latend (wegens niet gangbaar zijn) kan Gmail hooguit via SPF, DKIM en/of DMARC proberen vast te stellen of genoemd IP-adres is geautoriseerd om namens "de afzender" e-mail te verzenden. En dat werkt natuurlijk alleen als de echte afzender dergelijke informatie (via DNS) publiceert en goed+veilig heeft geconfigureerd. In de praktijk valt dat nog tegen en kun je, zonder kennis van protocollen zoals DMARC en zonder te weten wat Gmail precies checkt, er niet van opaan dat een e-mail daadwerkelijk afkomstig is van de in het From: veld genoemde afzender.

Ik vind dit dan ook een gevaarlijk advies.
07-10-2015, 13:55 door Erik van Straten
07-10-2015, 12:03 Door Anoniem: Als ze mij willen bereiken kunnen ze de berichten faciliteit in hun telebankieren site gebruiken, ze kunnen me een brief sturen, of ze kunnen bellen als het heel urgent is.
Waarbij die laatste twee, net als bij e-mail, ook zeer eenvoudig gespoofd kunnen worden. En in de praktijk gebeurt dit ook.

Ik ben benieuwd of er een stijgende lijn zit in papieren-post-spoofing en telefoonspoofing, aangezien -vermoedelijk- steeds meer mensen e-mails als verdacht aanmerken en ongelezen weggooien.
07-10-2015, 14:39 door Anoniem
"Het zoeken naar een antwoord is voer voor psychologen"

Nee hoor, boeren-verstand statistiek heeft het antwoord; het succespercentage is gewoon zo laag dat het niet rendabel is om per post uit te voeren, maar de exteem lage kosten van e-mail maken het wel rendabel.

Overigens, 10-15 jaat geleden werden zulke stunts nog wel uitgehaald via de post, iedereen kent nog wel die internet registratie dienst die bedrijven een paar tientjes liet betalen voor een niet-bestaande registratie. Blijkbaar is (was) het succespercentage bij bedrijven wel voldoende hoog.
07-10-2015, 19:08 door [Account Verwijderd]
[Verwijderd]
08-10-2015, 01:59 door CrioWria - Bijgewerkt: 08-10-2015, 02:00
Door Muria: Bij telkens het web-adres van je bank in de adresbalk intikken (en https slotje controleren) is er wat spoofing betreft niets aan de hand.
Een tikfoutje daarentegen kan dan weer wel desastreuze gevolgen hebben.
08-10-2015, 02:36 door Anoniem
Na het bericht gelezen te hebben is mijn mening:
Berend-Jan Beugel, woordvoerder van Betaalvereniging Nederland = een 0
08-10-2015, 09:41 door Anoniem
Het is ook gewoon triest. Ik krijg regelmatig mailtjes van mijn bank (ik zal deze bank maar niet benoemen, maar het heeft een oranje leeuw als logo) met daarin allemaal leuke acties waarbij ik vanalles kan winnen. Hierbij dien ik op een grote oranje knop te klikken, waarna ik moet inloggen bij mijn bank.

Zó dom, want mensen blijven hierdoor in phising intrappen. Ze begrijpen gewoon niet hoe ze een link moeten verifiëren op legitimiteit. En ik begrijp het heel goed.

De bank moet gewoon géén mails versturen en daar keihard over adverteren op TV. "Wij sturen jou NOOIT mail. Krijg je een mail, dan is deze NIET van ons.". En als ALLE Nederlandse banken dit nou zouden doen; dan is het in één keer klaar met phising in Nederland.
08-10-2015, 10:12 door Anoniem
Door CrioWria:
Door Muria: Bij telkens het web-adres van je bank in de adresbalk intikken (en https slotje controleren) is er wat spoofing betreft niets aan de hand.
Een tikfoutje daarentegen kan dan weer wel desastreuze gevolgen hebben.

Daar heb je ook alweer een keihard punt! Je moet er bijv. niet aan denken per ongeluk inb.nl te typen en dan zonder te hebben gecontroleerd te enteren. Veel jongeren - mij lukt dat niet - typen zo razendsnel dat het enteren in èèn rap tempo doorgaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.