19.12.2022
Cybercrime

Webbrowsers: permanent kwetsbaar voor malafide betaalverzoeken

By: Art Huiskes

BlogCybercrime

Stel jij krijgt een digitaal betaalverzoek toegezonden van een particulier of een ondernemer voor een op zichzelf legitiem openstaand bedrag. Jij reageert natuurlijk niet op de eerste de beste phishingmail, dus je hebt de legitimiteit van dit betaalverzoek vooraf goed gecontroleerd.

Jij kent deze particulier of ondernemer echter niet zo heel goed. Met name als jou geen fysiek adres van deze particulier of ondernemer bekend is, blijft het oppassen. Of er sprake is van een bonafide of een malafide betaalverzoek valt namelijk niet te zien aan het digitale betaalverzoek zelf. Ook uit het daarop volgende keuzemenu valt niets af te leiden. In zoverre is er sprake van een zgn. ‘black box’ die nog elke gewenste vorm aan kan nemen.

Betalen via malafide webadres betekent gegarandeerd verlies van banktegoeden

Indien jij per ongeluk toestaat dat er een malafide webadres wordt geladen voor een digitale betaling, dan zal er zich een vrijwel exacte phishing-kopie van jouw bankwebsite tussen jouw browser en de legitieme bankwebsite nestelen. Jouw betaalcode komt hiermee rechtstreeks bij de phishing-kopie terecht. Gevolg is dat jouw betaal- en spaarrekening volledig worden leeg getrokken. Meer dan het aftappen van één betaalcode is daar over het algemeen niet voor nodig.

Oplichting door phishing met gelijkende webadressen

Met het klikken op het betaalverzoek opent er zich ongetwijfeld een vertrouwd uitziend keuzemenu waarbinnen moet worden gekozen voor een bank. Vervolgens kan zich potentieel één van de onderstaande linkjes in jouw webbrowser laden….

betalen
betalen

Alleen de vetgedrukte webadressen betreffen legitieme bankdomeinen

Binnen alle tweede rijen webadressen is .nl vervangen door .ni en binnen alle derde rijen is er een letter vervangen door een of twee gelijkende letters of cijfers. Binnen alle volgende rijen is er eveneens geen sprake van legitieme bankdomeinen, maar van de domeinen Tikkie.nl, Betaallink.nl, Betalen.nl, Betaalverzoek.nl, Afhandeling.nl, Overschrijving.nl, Boeking.nl en Acceptgiro.nl. Stuk voor stuk domeinen die helemaal niets met jouw bank te maken hebben en naar verwachting daarom volstrekt malafide inhoud zullen herbergen.

Controleer jij consequent en minutieus het webadres binnen de adresbalk?

Herken jij in één oogopslag elke spelfout binnen de adresbalk van jouw browser? Besef jij dat adressen die niet in eerste aanleg eindigen op de twee unieke fragmenten van de legitieme domeinnaam van de bank (bijv. abnamro.nl of ing.nl) een volstrekt ander domein vertegenwoordigen? Controleer jij consequent en minutieus het webadres binnen de adresbalk?

Als het antwoord op de bovenstaande vragen ‘nee’, ‘soms’ of ‘niet altijd’ is, dan loop je het reële risico dat jouw betaal- en spaarrekening op enig moment volledig worden leeg getrokken.

Phishing veel lastiger door met een mobiele bankapp te betalen

Er bestaat echter een adequate oplossing om phishing naar jouw bankgegevens een heel stuk lastiger te maken. Namelijk door consequent gebruik te maken van een mobiele bankapp op tablet of mobiel voor betalingen. Een mobiele bankapp verbindt altijd exclusief met jouw bank. Het is daardoor onmogelijk dat er zich tussen de mobiele bankapp en jouw bank een derde partij nestelt. Hetgeen de achilleshiel van elke webbrowser is.

Webbrowsers zijn namelijk ontworpen als omnipotente interface voor alle webpagina’s. Dit maakt dat er zich eenvoudig webpagina’s tussen de browser en de eigenlijke bron van informatie kunnen voegen. De meeste apps daarentegen zijn ‘dedicated’ en verbinden alleen met vooraf geprogrammeerde servers. Daarin kenmerkt zich over het algemeen de inherente veiligheid van een app boven een webbrowser. Voor mobiele bankapps geldt dit uiteraard per definitie.

Gebruik browsers alleen voor browsing….nooit om mee te betalen!

Als je tijdens het webwinkelen artikelen hebt uitgezocht vanaf het comfortabele scherm van jouw computer, dan hoef je deze artikelen slechts nog even op te zoeken via jouw mobiele browser om ze vervolgens af te rekenen via jouw mobiele bankapp. Als jij daarentegen via de computer al bent ingelogd op een webwinkel-account dan verschijnt jouw gevulde winkelwagen na simultaan en mobiel inloggen op dit account eveneens binnen jouw mobiele browser.

Indien de webwinkel als keuzemogelijkheid een QR-code op de computer genereert voor afhandeling van de betaling via een mobiele bankapp, dan is omschakelen naar jouw mobiele browser natuurlijk niet meer nodig. Let er daarbij wel goed op dat je binnen jouw mobiele bankapp slechts toestemming geeft voor de afhandeling van een mobiele betaling en niet voor toegang tot internetbankieren. Zie de paragraaf ‘Nota bene’ voor potentiële criminele sluiproutes met betrekking tot het gebruik van mobiele bankapps.

Een betaalverzoek alleen ontvangen op de computer? Even doormailen naar jouw mailaccount op tablet of mobiel. Het is echt zo simpel als het lijkt. Voorkom dat je jouw webbrowser gebruikt als eenvoudig te misleiden betaalmiddel. Mobiele bankapps zijn gewoon een stuk veiliger!

Nota bene

Neem bij het gebruik van mobiele bankapps overigens notie van de onderstaande sluiproutes die internetcriminelen inzetten om je alsnog te proberen te besodemieteren:

– betalingsomleidingen via de mobiele webbrowser zijn potentieel malafide

Opent een betaalverzoek op jouw tablet of mobiel na de ingegeven keuze voor jouw bank toch consequent binnen jouw mobiele webbrowser in plaats van binnen jouw mobiele bankapp, dan kan dat een indicatie zijn dat er iets niet in de haak is met het desbetreffende betaalverzoek. Misbruik van bankgegevens is namelijk alleen mogelijk binnen de webbrowser. Probeer het dan later nogmaals om er zeker van te zijn dat het niet de app van jouw bank is die tijdelijk offline is. Blijft het betaalverzoek na de keuze voor jouw bank steevast openen binnen jouw mobiele webbrowser ga er dan maar gevoegelijk vanuit dat dit betaalverzoek malafide is!

– QR-codes op malafide websites kunnen account voor internetbankieren kapen

QR-codes op malafide websites/webwinkels kunnen onder het mom van een mobiele betaling proberen toegang te krijgen tot jouw account voor internetbankieren. Met het accepteren van zo’n legitieme – maar voor een mobiele betaling ongeschikte – QR-code geef je de internetcrimineel vrijelijk toegang tot jouw account voor internetbankieren. Dit kan zonder dat jij überhaupt een valse bankwebsite onder ogen krijgt. Daarom moet je bij het gebruik van QR-codes altijd heel goed opletten waarvoor jij binnen jouw mobiele bankapp precies toestemming verleent: een mobiele betaling of internetbankieren! Dit betreft vooralsnog de enige phishing-methode die rechtstreeks mogelijk is via een mobiele bankapp.

– zorg er wel voor dat je geen valse bankapp installeert

Belangrijk is wel dat je de bonafide mobiele bankapp van jouw bank uit de Apple App Store of de Google Play Store installeert. Dit spreekt voor zich, maar gaat soms toch nog mis. Er worden namelijk regelmatig valse bankapps in de beide appstores aangetroffen. Naast de juiste ontwikkelaar van de app spreekt een hoog aantal downloads eveneens voor de authenticiteit van de bankapp. Vanwege het feit dat malafide bankapps meestal maar kort in de appstores blijven staan, is het aantal downloads doorgaans niet wat je er van mag verwachten. Honderden of duizenden downloads in plaats van de honderdduizenden tot ettelijke miljoenen voor de bonafide mobiele bankapps van de meeste Nederlandse banken.

Dit artikel is met de grootst mogelijke zorgvuldigheid tot stand gekomen. De auteur aanvaardt niettemin geen enkele aansprakelijkheid in relatie tot de onderwerpen die binnen dit artikel worden beschreven.

[Fotocredits – concept w © Adobe Stock]

Share this post