Bijdrage geschreven door Art Huiskes, onderzoeksjournalist
Moeten banken of de overheid een sturende rol op zich nemen tegen toenemend berichtenmisbruik?Het is een direct gevolg van het toenemend inzetten van bedrijven op digitale facturering. Nationale toepassing van de 'Mijn Omgeving' vormt de enige mogelijkheid om het tij te keren. Banken en de overheid moeten zich in alle ernst afvragen of zij hier niet een méér sturende en voortrekkende rol in kunnen vervullen!? In één en dezelfde inspanning biedt dit mogelijkheden om ransomware van zijn belangrijkste medium te beroven. Waarschijnlijker is echter dat er pas serieus actie zal worden ondernomen wanneer phishing en ransomware volstrekt onbeheersbaar dreigen te worden. Dit maakt de recente casuïstiek van plofkraken helaas maar al te goed duidelijk. Art Huiskes heeft eerder onderzoek gedaan naar de veiligheid van elektronisch bankieren bij grote Nederlandse banken. Ook beschreef hij een tweetal life-hacks om elektronisch bankieren veiliger te maken.
Tot enkele jaren geleden leek het er serieus van te komen. Een gezamenlijke maatschappelijke inspanning om phishing-scams een halt toe te roepen. Overheidsinstanties, banken en verzekeraars gingen samen de strijd aan tegen phishing. Ze vormden als het ware een 'cordon sanitaire' gericht op het ontmoedigen van het versturen van linkjes via email. Zodat u er als consument op kon vertrouwen dat noch de overheid, noch banken of verzekeraars u inlog- of betaallinks via email zouden toesturen. Daardoor kon u zowel phishing-mails als malafide links naar ransomware (gijzelsoftware) direkt als vals herkennen en meteen weggooien. Probleem opgelost, toch?
Helaas heeft de verregaande adaptatie van sociale media in combinatie met het toenemend inzetten van bedrijven op digitale facturering dit aanvankelijke 'cordon sanitaire' definitief om zeep geholpen. Want wat is er aan de hand? Steeds meer bedrijven ontdekken de voordelen van facturering via sociale media. Laagdrempelig, betrouwbaar en vlot factureren via mail, sms of app. Met de opkomst van digitale betaaldiensten zoals o.a. AcceptEasy (voorheen AcceptEmail), Mail to Pay en Tikkie lijkt de strijd tegen phishing en ransomware weer vol in de achteruit te zijn geschakeld. Het wordt namelijk steeds normaler om een betaallink toegestuurd te krijgen via email, sms of app. Een bonafide Tikkie dat u toegestuurd krijgt van een vriend of bekende is over het algemeen nog prima te onderscheiden van een malafide betaallink. Maar met het versturen van acceptemails of mails to pay wordt die scheidslijn al een stuk vager. Gelijkende mails met malafide betaallinks zijn namelijk uiterst eenvoudig te falsifiëren door de gemiddelde internetcrimineel.
Zie het onderscheid maar eens te maken tussen een echte en een valse acceptemail of mail to pay. Dat vergt een zorgvuldig nagaan of uw aanbieder dergelijke mails überhaupt verstuurt, of u een dergelijk betaalverzoek verwacht en uiteindelijk het checken welke URL er precies achter de link of button schuil gaat. Misschien toch nog even bellen met de klantenservice om na te gaan of er daadwerkelijk een dergelijke email naar u is verzonden? Het zal u dus niet verwonderen dat dit voor veel mensen vanwege hun drukke bestaan te veel gevraagd is. Dit betekent dus winst voor de internetcrimineel die zijn hand er niet voor omdraait om duizenden of tienduizenden van dit soort mailtjes te versturen. Kansberekening garandeert zo als het ware zijn criminele inkomsten. De conclusie is vervolgens eenvoudig te trekken. Zolang het doen van betaalverzoeken via sociale media blijft toenemen, zullen phishing-scams en ransom-pogingen daarvan dankbaar profiteren en eveneens in omvang toenemen.
Je kunt vooruitgang nu éénmaal moeilijk tegenhouden, zult u waarschijnlijk zeggen? Klopt, maar het wrange is dat er al die tijd een uitstekend alternatief bestaat voor dergelijke digitale betaalverzoeken. U kent allemaal de 'Mijn Omgeving' van uw zorgverzekeraar, energiemaatschappij of particulier verzekeraar. Deze 'Mijn Omgeving' vormt een uitstekend alternatief om betaalverzoeken, zoals bijv. iDEAL-betalingen, klaar te zetten. Een aankondigingsmailtje (zonder link uiteraard) en klaar! In deze persoonlijke omgeving op de website van uw aanbieder kunt u met uw eigen gebruikersnaam en wachtwoord inloggen. Een korte bekende URL gecombineerd met uw eigen inloggegevens, eventueel met tweestaps-verificatie, garandeert de authenticiteit van de gereed staande betaalverzoeken. Bedrijven die deze persoonlijke omgeving gebruiken om u betaalverzoeken toe te sturen, bewijzen hun klanten daarmee bovendien een extra dienst. Immers elke schijnbare email, sms of app van dit bedrijf met een concrete betaallink kunt u direkt naar de prullenbak verwijzen als zijnde een phishing-scam of ransom-poging.
Helaas lijkt deze meest logische en veilige oplossing om digitale betaalverzoeken klaar te zetten steeds minder toegepast te worden. Waarom, want technisch gezien is het toch niet ingewikkelder dan om een betaalverzoek via email, sms of app te versturen? Wat waarschijnlijk een rol speelt is dat het logistiek gezien iets complexer is om verschillende betaalverzoeken in verschillende 'Mijn Omgeving'-domeinen klaar te zetten. Een berichtje sturen met een betaallink is dus eenvoudiger. En wellicht vinden bedrijven het eveneens niet onprettig dat hen hiermee de juridische verantwoordelijkheid voor potentieel betalingsmisbruik of ransom-pogingen uit handen wordt genomen. Enerzijds door het digitaal factureren volledig over te laten aan derden, anderzijds door elk risico op betalingsmisbruik of ransom-pogingen op deze manier volledig bij de consument neer te leggen. Het is dus sneller, goedkoper én juridisch slimmer om betaalverzoeken via de email, sms of app te versturen. Echter verre van veiliger en vanwege de toename van phishing-scams en ransom-pogingen wordt hiervoor naar verwachting uiteindelijk een hoge prijs betaald!
Momenteel is de nationale inspanning vooral gericht op voorlichting en op het melden van valse berichten bij uw aanbieder of bank. Blijkens de gestaag oplopende schadepost van phishing - 3,1 miljoen in de eerste helft van 2019, terwijl van ransom-schade weinig betrouwbare gegevens voorhanden zijn - lijkt deze strategie inmiddels achterhaald. Met een dergelijke 'ouderwetse' strategie valt namelijk geen winst meer te behalen nu veel phishing- en ransom-berichten nauwelijks meer van 'echt' zijn te onderscheiden en internetcriminelen bovendien pijlsnel van de ene naar de andere succesvolle phishing-scam of ransom-poging omschakelen.
Ik zou bedrijven daarom met klem willen oproepen nog eens serieus te kijken naar het benutten van hun 'Mijn Omgeving' voor het klaarzetten van hun betaalverzoeken. Banken en de overheid moeten zich bovendien in alle ernst afvragen of zij hier niet een méér sturende en voortrekkende rol in kunnen vervullen!? Nationale toepassing van de 'Mijn Omgeving' vormt de enige mogelijkheid om dit tij te keren. Een nationaal 'cordon sanitaire' tegen phishing- en ransom-praktijken is inmiddels hoogst noodzakelijk geworden!
In de tussentijd, handelt u betaalverzoeken bij voorkeur af via uw mobiele bankapp. Malafide phishing- of ransom-pogingen benutten namelijk bij uitstek de inherente onveiligheid van uw webbrowser op computer of mobiel. Vooralsnog is geen enkele phishing-crimineel er echter in geslaagd om zgn. niet-toegestane betalingen (lees: plundering van uw rekening) via de mobiele bankapp gedaan te krijgen. Opent de betaallink toch consequent in uw mobiele browser, ga er dan maar gevoegelijk van uit dat er iets niet klopt en sluit alle betalingshandelingen direct af!
Oplichting middels spookfacturen die u verleiden tot betalingen van diensten die u niet geleverd heeft gekregen, blijft natuurlijk wel mogelijk via de mobiele bankapp. Plundering van uw volledige rekening door zgn. niet-toegestane betalingen kunt u via uw mobiele bankapp echter succesvol voorkomen!