13.04.2022
Cybercrime

​Tweestapsverificatie van banken gemakkelijk verschalkt door phishing-scams

By: Art Huiskes

BlogCybercrime

Bijna iedereen kent het wel, tweestapsverificatie of two factor authentication (2FA), bedoeld om onbevoegd inloggen op digitale accounts tegen te gaan. Tweestapsverificatie maakt gebruik van iets wat jij weet, zoals een wachtwoord, en iets wat jij hebt, zoals een mobiele telefoon waarnaar een éénmalige code wordt gestuurd per sms of via een speciale app. Daarnaast kan zo’n éénmalige code ook worden gegenereerd door een elektronisch apparaatje dat een token wordt genoemd.

Banken maken gebruik van tweestapsverificatie via een mobiele bankapp (i.c. smartphone), een cardreader of een digipas (i.c. token) teneinde onbevoegd inloggen te voorkomen. Uit het vervolg van dit artikel komt naar voren dat dit niet in alle gevallen succesvol is.

Wat houdt onbevoegd inloggen precies in?

Onbevoegd inloggen is het gebruik maken van iemands digitale account na het onrechtmatig verkrijgen van iemands wachtwoord. Dit kan bijvoorbeeld gebeuren door op het account in te loggen op een (openbare) computer waarop verdekte software draait die de toetsenbordaanslagen actief monitoort. Ook kan het het gevolg zijn van een serverhack waarbij niet-versleutelde wachtwoorden van gebruikers zijn opgeslagen en worden buitgemaakt. Tenslotte kan het het banale gevolg zijn van het laten rondslingeren van een briefje waarop een wachtwoord staat vermeld.

Door gebruik te maken van tweestapsverificatie voeg je feitelijk een extra beveiligingslaag toe aan jouw account. Want zelfs als iemand de beschikking heeft over jouw wachtwoord (wat jij weet), dan heeft diegene ter verificatie nog een éénmalige code nodig die wordt verstuurd per sms, via een speciale app of gegenereerd via een token. Deze éénmalige code is gekoppeld aan iets wat jij hebt, te weten jouw mobiele telefoon of een token. De combinatie van iets wat jij weet en iets wat jij hebt, maakt dat onbevoegd inloggen op grond van het onrechtmatig verkrijgen van jouw wachtwoord in sommige gevallen kan worden verhinderd.

De meeste banken slaan overigens het separate gebruik van een wachtwoord over en gebruiken één enkele geïntegreerde vorm van tweestapsverificatie, waar wat jij weet en wat jij hebt binnen één gezamenlijke inlogprocedure worden gecombineerd.

Waar wordt tweestapsverificatie tegenwoordig zoal toegepast?

Banken gebruiken tweestapsverificatie standaard voor zowel mobiel bankieren als voor internetbankieren door jou bijvoorbeeld in te laten loggen met jouw identificatiecode (wat jij weet) via jouw gevalideerde bankapp op jouw smartphone (wat jij hebt). Daarnaast bestaat er de mogelijkheid om in te loggen met jouw bankpas (wat jij hebt) en pincode (wat jij weet) door middel van een cardreader of de mogelijkheid om in te loggen met jouw digipas (wat jij hebt) en digicode (wat jij weet). De laatste twee inlogmogelijkheden zijn specifiek bankgebonden.

Daarnaast wordt tweestapsverificatie tegenwoordig toegepast door DigiD voor het inloggen op bepaalde (semi)overheidsdiensten. Verder maken veel emaildiensten zoals o.a. Gmail en Microsoft Live gebruik van tweestapsverificatie, net zoals sommige verzekeraars dat doen.

Tweestapsverificatie blijkt echter geenszins opgewassen tegen phishing-scams

Voor de niet-technisch onderlegde gebruiker straalt tweestapsverificatie wellicht veiligheid en robuustheid uit, maar het blijkt geenszins opgewassen tegen phishing-scams via webbrowser-toepassingen. Slechts het gebruik van mobiele apps voorzien van tweestapsverificatie blijkt afdoende beveiligd tegen onbevoegd inloggen op grond van phishing-scams. Dit komt omdat er zich geen derde partij tussen de mobiele app en de legitieme server van de app-aanbieder kan nestelen. De mobiele app kan namelijk slechts verbinden met de binnen de mobiele app vastgelegde legitieme servers.

Webbrowser-toepassingen daarentegen zijn een relatief gemakkelijke prooi voor onbevoegd inloggen op grond van phishing-scams, ondanks het gebruik van geavanceerde tweestapsverificaties zoals bijv. mobiele bankapps. Dit komt omdat het technisch vrij eenvoudig is voor een valse website/oplichter om zich tussen de legitieme website van een aanbieder en de door jou gebruikte webbrowser te nestelen (i.c. man-in-the-middle attack).

Hoe dat precies werkt? Jij als gebruiker wordt via een valse link verleid om op een valse website in te loggen. De output van de legitieme website wordt daarbij één op één doorgespeeld naar de valse website/oplichter en jouw webbrowser. Jij hoeft dus in principe niets door te hebben, want wat jij op jouw beeldscherm ziet, komt min of meer volledig overeen met de legitieme website. Jouw inloggegevens inclusief de vereiste tweestapsverificatie worden vervolgens via de valse website/oplichter doorgespeeld naar de legitieme website, waarbij de oplichter vanaf dat moment jouw digitale account al grotendeels in handen heeft.

Phishing-scams verschalken eenvoudig de tweestapsverificatie van elke bank

Als jij je bevindt op een valse bankwebsite dan wordt de resultaatcode van jouw cardreader of digipas via de valse website/oplichter rechtstreeks doorgespeeld naar de legitieme bankwebsite. De oplichter krijgt vanaf dat moment jouw legitieme bankomgeving op zijn beeldscherm voor zijn neus. Indien je gebruik maakt van jouw mobiele bankapp om in te loggen op internetbankieren dan verschijnt met het rechtstreeks via de bankserver geaccordeerde resultaat van jouw ‘QR-code-scan’ of ‘Pushmelding in de bankapp’ jouw legitieme bankomgeving eveneens op het beeldscherm van de oplichter.

Het gebruik van een cardreader, digipas of mobiele bankapp maakt internetbankieren in dat opzicht dus geenszins veiliger. Dit zal voor veel gebruikers tegenintuïtief klinken, maar heeft er simpelweg mee te maken dat tweestapsverificatie geen enkele bescherming biedt tegen onbevoegd inloggen op grond van phishing-scams binnen webbrowser-toepassingen.

Belangrijk om de URL in de adresbalk van jouw webbrowser altijd goed te checken

Voor het definitief overmaken van geld van jouw rekening of voor het veranderen van jouw mobiele nummer zijn er vaak nog wel extra tweestapsverificaties noodzakelijk. Door de input van jouw webbrowser (i.c. de output van de legitieme website) vanaf dat moment gericht te manipuleren via de valse website, slaagt de valse website/oplichter er doorgaans in om geen argwaan bij jou te wekken als het gaat om het doorgeven van extra tweestapsverificaties. Hiermee slaagt de oplichter er uiteindelijk in om jouw volledige betaal- en spaarrekeningen leeg te plunderen of om jouw volledige account (incl. een gewijzigd telefoonnummer voor tweestapsverificatie) over te nemen.

Om voor de hand liggende redenen richten phishing-scams zich voornamelijk op bank- of creditcardaccounts die worden benaderd via een gemakkelijk te manipuleren webbrowser. Echter elk digitaal account dat via een webbrowser wordt benaderd, is potentieel gevoelig voor onbevoegd inloggen op grond van phishing-scams. Daarom is het zo ontzettend belangrijk om voorafgaand aan het inloggen altijd de URL in de adresbalk van jouw webbrowser goed te checken of – nog veel beter – consequent te betalen via jouw mobiele bankapp!

<i>Check altijd de adresbalk. Of nog beter betaal via de mobiel bankieren app.</i>
Check altijd de adresbalk. Of nog beter betaal via de mobiel bankieren app.

Hoe bij voorkeur te handelen als het je inmiddels enigszins duizelt?

Als jij consequent mobiel bankiert via een mobiele bankapp, dan ben je inderdaad prima beschermd tegen potentiële phishing-scams. Als je echter regelmatig internetbankiert via een webbrowser en de mobiele bankapp daarbij slechts gebruikt als tweestapsverificatie dan ben je op dat moment geenszins beschermd tegen onbevoegd inloggen op grond van phishing-scams. Omdat er binnen mobiele bankapps tegenwoordig o.a. ‘Rekeninggegevens’, ‘Overschrijvingen’, ‘Betaalverzoeken’, ‘QR-betaalcodes’, ‘QR-inlogcodes voor internetbankieren’ en ‘Pushmeldingen inloggen internetbankieren’ kunnen worden onderscheiden, valt een eenduidig onderscheid niet voor iedereen meer te maken. Toch valt zo’n onderscheid prima te maken op grond van onderstaande richtlijnen en adviezen:

A. Vanaf het moment dat er binnen jouw mobiele bankapp concrete bedragen van af-, bijschrijvingen of betaalverzoeken worden getoond, dan weet je zeker dat je veilig bankiert binnen jouw mobiele bankapp. In alle overige gevallen vormt jouw mobiele bankapp slechts een gemakkelijk door phishing-scams te verschalken wijze van tweestapsverificatie voor internetbankieren via een webbrowser.

B. Overigens proberen valse webshops of valse betaallinks gebruikers die consequent gebruik maken van hun mobiele bankapp steevast te verleiden om alsnog in te loggen op een valse bankwebsite via hun mobiele browser. Dit trachten ze voor elkaar te krijgen door valselijk aan te geven dat jouw mobiele bankapp tijdelijk offline is en door jou vervolgens via jouw mobiele browser naar een valse bankwebsite te dirigeren. Daar sowieso nooit intrappen dus! Jouw betaalopdrachten altijd consequent blijven afhandelen via de mobiele bankapp. Blijft het betaalverzoek na de keuze voor jouw bank steevast openen via internetbankieren in jouw mobiele webbrowser ga er dan maar vanuit dat het betaalverzoek malafide is.

Banken zijn verwijtbaar als het op de gevolgen van phishing-scams aankomt

Banken zouden op basis van gebruikerskeuzevrijheid (i.c. optioneel) alle betaalopdrachten die worden aangemaakt via internetbankieren gemakkelijk ter verificatie via jouw mobiele bankapp kunnen laten afhandelen. De mobiele bankapp is immers ongevoelig voor onbevoegd inloggen op grond van phishing-scams. Het zal gebruikers binnen de mobiele bankapp vervolgens direkt opvallen als betaalopdrachten het gevolg zijn van een eerdere phishing-scam via internetbankieren. Daarop kunnen ze dergelijke valse betaalopdrachten alsnog verwijderen. Phishing-scams zouden op deze manier ook binnen internetbankieren grotendeels onmogelijk gemaakt kunnen worden. Binnen dit artikel, leg ik uit hoe dit precies zou kunnen worden ingestoken door de banken.

Dit artikel is met de grootst mogelijke zorgvuldigheid tot stand gekomen. De auteur aanvaardt niettemin geen enkele aansprakelijkheid in relatie tot de onderwerpen die binnen dit artikel worden beschreven.

[Fotocredits –
Chris & Bits and Splits © Adobe Stock]

Share this post