Veilig internetbankieren doe je zo
Het is zo handig om je bankzaken vanaf je pc of smartphone te doen, dat je al snel niet meer zonder kunt. Er kleven echter risico's aan internetbankieren die je bovendien geld kunnen kosten. Waar moet je op letten bij internetbankieren en hoe wapen je je tegen de gevaren?
01 Bankieren via internet
Niet zo heel lang geleden was in elk dorp minstens één bank gevestigd en regelde je de bankzaken daar aan de balie. Die situatie is echter radicaal veranderd. De banken hebben hun dienstverlening verregaand gedigitaliseerd en de klant verwacht inmiddels ook gewoon altijd en overal zijn bankzaken te kunnen regelen. Deze nieuwe manier van bankieren heeft echter een prijs, want als internetklant ben je ineens mede verantwoordelijk voor het beveiligen van j eigen bankzaken.
Altijd en overal de bankzaken regelen is het motto van het moderne bankieren.
02 Phishing
Phishing is een van drie belangrijkste bedreigingen bij internetbankieren. Bij phishing probeert de crimineel je inloggegevens voor internetbankieren te bemachtigen. Je ontvangt bijvoorbeeld een e-mail waarin de bank je vraagt om in te loggen op de website omdat er iets mis dreigt te gaan. De link naar de site van de bank staat er al bij, even klikken en opgelost.
Niet doen! Die mail komt niet van je bank. En de website waar de link naartoe leidt, is ook niet de site van de bank, maar een gehaaide kopie. Let je niet op en log je in, dan vangt de crimineel je inloggegevens af en gebruikt die om je rekening te plunderen.
Phishing bestrijd je met antimalware-software, een spamfilter en door zelf goed op te letten. Neem bij twijfel zelf contact op met de bank. Een eenvoudige methode is ook nooit de link naar de bank uit een mailbericht te gebruiken, maar het goede adres te gebruiken dat je bij de bladwijzers van je browser hebt gezet.
Plaats de muis stil boven een link in een mogelijke phishing-mail om de onderliggende url zichtbaar te maken.
Phishing-mails herkennen en afhandelen
Een phishing-mail kan er heel echt uitzien, net als de bijbehorende website. Toch zijn phishing-mails door goed op te letten prima van echte berichten te ondersteunden. Een phishing-bericht is zelden aan jou persoonlijk gericht, maar heeft een algemene aanhef ('Geachte klant' of zelfs 'Lieve klant').
De tekst bevat vaak taal- en schrijffouten en in het bericht wordt je gevraagd een handeling uit te voeren waarvoor je moet inloggen op de website van de bank, terwijl banken een dergelijke actie nooit per e-mail aan je vragen.
En weliswaar wijst de snelkoppeling in het bericht ogenschijnlijk naar de website van je bank, de onderliggende url doet dat niet. Zet de muis stil boven de koppeling in het mailbericht om de url te controleren.
03 Financiële malware
Criminelen gebruiken steeds vaker malware voor fraude met internetbankieren. Het bekendste voorbeeld is Zeus. Staat Zeus op je computer dan wacht het tot je gaat internetbankieren en kaapt dan je sessie met de bank.
Er bestaan meerdere varianten van Zeus, sommige die je inloggegevens kopiëren en meer geavanceerde die in de browser de webpagina van je bank aanpassen ('man-in-the-browser') om de gegevens te bemachtigen.
04 Social engineering
Bij social engineering probeert de crimineel informatie van je los te krijgen door het je gewoon te vragen. Een voorbeeld dat de laatste tijd vaak voorkomt, is dat je gebeld wordt door 'Microsoft' met de melding dat je computer niet veilig is. Maar hulp is onderweg, er staat een 'update' voor je klaar. Die update is geen update maar malware.
Het belangrijkste wapen tegen social engineering is achterdocht, wees je bewust dat het altijd kan gebeuren. Daarnaast is het verstandig wanneer je gebeld wordt door iemand die claimt van de bank of van 'Microsoft' te zijn, om het nummer te vragen waarop je hen kunt terugbellen en daarna de verbinding te verbreken. Vaak zal men dat nummer niet willen geven of wanneer je het belt, klopt het niet. Je kunt natuurlijk ook altijd zelf contact opnemen met je bank en daarvoor zelf het juiste telefoonnummer opzoeken.
Minder schade door fraude internetbankieren?
Terwijl iedereen zich zorgen maakt over fraude met internetbankieren rapporteert de Nederlandse Vereniging van Banken ineens een 'scherpe daling'. Volgens de Nederlandse Vereniging van Banken is de fraude met internetbankieren in de tweede helft van 2012 met 60% gedaald ten opzichte van het eerste halfjaar van 2012. Het schadebedrag daalde van 24,8 miljoen naar 10 miljoen euro. Het is voor het eerst sinds de NVB fraudecijfers bekend maakt dat er sprake is van een daling, aldus de Nederlandse Vereniging van Banken.
Beveiligingsexpert Eddie Willems van G Data zet zijn vraagtekens bij de gerapporteerde daling. "De banken hebben hun rekenmethode aangepast. Men rapporteert nu alleen de schade na recuperatie, maar wordt dus gestolen geld gelokaliseerd en teruggehaald, dan telt die niet meer mee. Ook worden gevallen waarin de bank de klant nalatigheid verwijt en dus de schade niet vergoed, niet meer meegerekend. Omdat dit laatste steeds meer gebeurt, valt dus ook een steeds groter bedrag buiten de officieel gerapporteerde fraude. Terwijl voor consumenten juist de schade die men niet vergoed krijgt, de echte schade is!"
05 Software updaten
Een bijgewerkte pc is een belangrijk wapen in de strijd tegen fraude met internetbankieren. Start Windows Update via het Startmenu of via Start / Configuratiescherm / Systeem en beveiliging / Windows Update. Gebruik je Windows 8 dan vind je Windows Update als onderdeel van de PC-instellingen in het Charms-menu dat je opent via Windows-toets+C.
Klik op Kies belangrijk updates om te installeren of installeer optionele updates om het echte Windows Update-scherm te krijgen. Installeer alle updates. Herhaal het updaten tot er geen updates meer beschikbaar zijn. Controleer ook of updates automatisch worden geïnstalleerd. Klik op Instellingen wijzigen en controleer dat Updates automatisch installeren is ingeschakeld, evenals de optie Aanbevolen updates op dezelfde manier ontvangen als belangrijk updates.
Installeer alle beschikbare Windows Updates voor je pc en laat ze ook automatisch installeren.
Nieuwere versies van Windows hebben de meest geavanceerde beveiligingstechnieken aan boord. Met Windows XP (en eigenlijk ook wel Vista) is internetbankieren onverantwoord, zelfs al zijn alle updates geïnstalleerd. Upgraden naar Windows 7 (of liever nog 8) is aan te bevelen wanneer je met die pc wilt internetbankieren.
Nieuwere versies van Windows bevatten belangrijke beveiligingstechnieken die in oudere versies van het besturingssysteem ontbreken.
Windows is echter niet de meest misbruikte software, dat zijn applicaties zoals de browser en Adobe Reader. Ook die moet je dus up-to-date houden. Installeer de nieuwste versie en schakel automatisch updaten in als die mogelijkheid er is. Eventueel check je met een programma als FileHippo Update Checker (http://ct.link.ctw.nl/fhc) welke programma's nog een update nodig hebben.
Nalatig? Dan is de schade voor jou!
Wat gebeurt er als je slachtoffer wordt van fraude bij internetbankieren? Wij vroegen het de persvoorlichter Kees Nanninga van de Rabobank. Volgens hem wordt schade door fraude bij internetbankieren vergoed wanneer de klant zorgvuldig handelde. "Doet de klant dat echter niet, bijvoorbeeld doordat toegangs- of signeercodes zijn gedeeld, dan kan de bank ook besluiten de schade niet te vergoeden."
Belangrijk is dat de klant schade zo snel mogelijk meldt. Reageert de bank vervolgens niet adequaat dan kan bijvoorbeeld alsnog besloten worden tot geheel of gedeeltelijke vergoeding van de schade. Schade die klanten lijden als gevolg van malware wordt vergoed. "Deze regels heeft de Rabobank in 2010 opgesteld, maar de uiteindelijke afweging gebeurt door de lokale Rabobank. Zij kunnen het beste beoordelen of er sprake is van bijvoorbeeld een schrijnend geval of onzorgvuldig handelen door medewerkers van die bank. Ook is er een commissie waar de lokale Rabobank advies kan vragen."
Ben je geen klant van de Rabobank? Vraag dan jouw bank naar hun beleid inzake aansprakelijkheid voor schade door fraude bij internetbankieren.
06 De bezem door je systeem
Software die niet op de pc staat, kan niet misbruikt worden en dus is het aan te raden software die je niet of weinig gebruikt te verwijderen. Klik op Start / Configuratiescherm / Programma's / Een programma verwijderen. Selecteer in het overzicht van geïnstalleerde programma's de software die je niet meer gebruikt. Klik bij elk op Verwijderen.
Gebruik je Java: let er dan op dat er van Java meerdere versies tegelijk geïnstalleerd kunnen zijn. Laat alleen de nieuwste versie staan. Informatie en de nieuwste Java-versie vind je op www.java.com. Weet je helemaal niet waarom Java eventueel op de pc staat, verwijder het dan helemaal.
Verwijder in elk geval de programma's waarvan je je niet meer kunt herinneren dat je die voor het laatst gebruikt hebt.
07 Gebruik antivirus
Malware wordt vooral via geïnfecteerde websites verspreid zonder dat je daar iets van merkt. Opletten en alleen vertrouwde sites bezoeken is niet voldoende, ook die laatste kunnen misbruikt worden voor het verspreiden van malware.
Je hebt software nodig die continu de pc controleert op en met je meekijkt naar inkomende en uitgaande berichten. Antivirussoftware doet dat. Installeer daarom een antiviruspakket en laat deze zich automatisch updaten met de nieuwste antivirushandtekeningen zodat het malware zo snel mogelijk herkent en kan bestrijden.
Alleen goede antivirussoftware is niet voldoende, de software moet volledig bijgewerkt zijn om je pc echt te beveiligen.
08 Dubbelcheck met extra opruimers
Een extra controle kan bij malware nooit kwaad. Scan de pc regelmatig met een los opschoonprogramma zoals Hitman Pro, Malwarebytes, McAfee Stinger of Kaspersky Security Scan. Met Google zijn deze snel gevonden, maar let er bij het downloaden op dat je de originele site van het product gebruikt.
Start de scanner en laat deze de pc zo volledig mogelijk scannen. De meeste van deze tools hoef je niet te installeren. Je kunt ze dus ook op usb-geheugenstick zetten om een verdachte pc te controleren. Omdat veel gehackte sites malware verspreiden via het advertentienetwerk is het tevens aan te raden een ad-blocker in je browser te installeren.
Met een stand-alone-scanner als McAfee Stinger controleer je de pc op malware.
Antivirus met extraatje
Een toenemend aantal antivirusproducten biedt extra voorzieningen om internetbankieren veilig te maken. F-Secure Internet Security heeft extra beveiliging in de vorm van 'Banking Protection': dit sluit wanneer je begint met internetbankieren alle andere netwerkverbindingen. G Data biedt BankGuard, wat actief het Windows Register controleert, specifiek de delen die de versleuteling van het verkeer tussen pc en bank regelen. McAfee biedt bij al zijn producten SiteAdvisor, dat phishing-sites blokkeert. Tot slot biedt Kaspersky in alle producten Veilig Bankieren, dat start een extra veilige browsersessie zodra een site voor internetbankieren wordt geopend. Dit voorkomt misbruik door malware. Keyloggers kunnen worden omzeild door bij het inloggen het virtuele toetsenbord van Kaspersky te gebruiken in plaats van het echte.
Kaspersky biedt een aparte module voor veilig bankieren.
09 Meerdere gebruikersaccounts
Maak tenminste twee gebruikersaccounts aan op je pc, één met alle rechten en één met weinig. De laatste gebruik je zoveel mogelijk, de eerste juist zo min mogelijk. Omdat je vermoedelijk al een account met je eigen naam hebt dat dus ook alle rechten heeft, maak je eerst een extra beheerderaccount.
Open het Configuratiescherm en klik op Gebruikersaccounts toevoegen of verwijderen / Een nieuwe account maken. Geef het account een naam en selecteer Administrator. Klik op Account maken. Klik nu op het nieuwe account in het overzicht en kies Een wachtwoord instellen. Typ tweemaal het wachtwoord en klik op Wachtwoord instellen.
Klik nu op Start / Afmelden en log in met het nieuwe account. Open weer het Configuratiescherm en klik op Gebruikersaccounts en Ouderlijk toezicht, Gebruikersaccounts. Klik op Een ander account beheren en selecteer je oorspronkelijke account. Kies de optie Het accounttype wijzigen en verander het in Standaardgebruiker. Log nu weer uit en daarna in met het oorspronkelijke account.
Gebruik de computer altijd met een account zonder de rechten van een administrator.
10 Gebruik UAC
Gebruikersaccountbeheer (UAC) maakt het computeren met meerdere accounts gemakkelijker. Bovendien maakt het de pc veiliger doordat het een waarschuwing toont wanneer een wijziging op de pc wordt doorgevoerd. Dat venster vertelt je over de wijziging en vraagt of je daarmee akkoord gaat.
Doordat je nu de pc gebruikt zonder de rechten van een administrator moet je elke wijziging bewust toestaan, en vallen wijzigingen of acties van malware direct op. Controleer de instelling ervan via Start / Configuratiescherm / Systeem en beveiliging / Onderhoudscentrum / Instellingen voor Gebruikersaccountbeheer wijzigen. Kies voor Standaard en liefst voor het Altijd weergeven van meldingen.
Gebruikersaccountbeheer is een handig extra hulpmiddel dat de mogelijkheid van malware op het infecteren van de pc verkleint.
11 Vertrouwde wifi-netwerken
Wil je internetbankieren via een draadloos netwerk, zorg dan dat dit netwerk maximaal beveiligd is. Maak je eigen wifi-netwerk veilig door WPA- of WPA2-versleuteling in te schakelen en een lastige sleutel te gebruiken.
Log in op de router en kijk bij Draadloos / Beveiliging. Daar moet de Beveiligingsmodus of Versleuteling op WPA/WPA2 staan met een wachtwoord van liefst minimaal 15 tekens. Verander dit wachtwoord ook zeker eens per jaar om ongenode gasten weer buiten te sluiten.
Ben je buitenshuis of op vakantie, dan is het aanlokkelijk het dure en soms trage mobiele internet te wisselen voor een open wifi-verbinding. Beter doe je dat niet, want het netwerk kan er juist voor zijn opgezet om je inloggegevens af te vangen. Gebruik dus onderweg alleen 3G en wifi-netwerken waarvan je de eigenaar kent en die beveiligd zijn met WPA of WPA2.
Zowel uit als thuis alleen internetbankieren via goed beveiligde en bekende wifi-netwerken.
12 Controleer site en verbinding
Bij het internetbankieren is het belangrijk de verbinding en de website te controleren. Dat doe je in de adresbalk van de browser. De verbinding moet beginnen met 'https' en niet 'http', en daarbij moet een slotje staan. Klik op het slot om extra informatie over de website.
Belangrijk is dat het certificaat is geverifieerd. Klik in Chrome op het slot en dan op het tabblad Verbinding om informatie over het certificaat te zien. In Internet Explorer staat het slot achteraan de adresbalk. Ook daar kan je erop klikken om het te controleren, klik dan op Certificaten weergeven.
Controleer de verbinding en de website voordat je inlogt bij de bank.
13 Een mobiele veilige omgeving
Zonder eigen pc is het lastig veilig internetbankieren. Als oplossing kan je een onbekende pc booten met een zelfgemaakte en dus veilige opstartbare Linux usb-stick. Om Ubuntu op een usb-geheugenstick te zetten, download je eerst de usb-installer via http://ct.link.ctw.nl/pus. Download dan het iso-bestand van de Ubuntu-versie via www.ubuntu.com.
Start dan de Universal USB Installer en selecteer het iso-bestand en de usb-geheugenstick. Klik op Create en even later heb je een opstartbare usb-stick waarmee je een vreemde pc kunt opstarten voor internetbankieren.
Door een onbekende pc te booten met Linux vanaf een eigen opstartstick, omzeil je veel van de gevaren voor internetbankieren.
Bankieren vanaf de smartphone
De smartphone is de nieuwe pc en dus handig voor internetbankieren. Banken introduceren in hoog tempo apps waarmee je dat kunt. Maar is de smartphone wel veilig genoeg voor internetbankieren? De meningen daarover zijn verdeeld. Vooral Android wordt als onbetrouwbaar beschouwd: het is het mobiele platform waar verreweg de meeste malware voor verschijnt, terwijl beveiligingsmogelijkheden beperkt zijn.
Wat je wel kunt doen, is voor internetbankieren liever 3G dan onbekende wifi-netwerken gebruiken. En een antivirus-app of ander een beveiligingsprogramma installeren dat phishing-websites blokkeert. Installeer apps voor internetbankieren alleen uit de officiële app-store en laat de app je inloggegevens niet onthouden, maar voer ze telkens nieuw in.
Gebruikt je bank twee-factor-authenticatie door een sms met een code te sturen, gebruik dan niet dezelfde telefoon voor de authenticatie als voor internetbankieren. Zorg bovendien voor een app waarmee je je smartphone op afstand kunt wissen (bijvoorbeeld Cerberus) in geval van verlies of diefstal.
Phishing is ook op je mobiele apparaat een bedreiging. Gebruik zeker geen open wifi-netwerk.