Onveilig bankieren

Een nog onbekende hacker is er vorige week in geslaagd om miljoenen creditcardnummers te stelen. Acht miljoen klanten van Visa, MasterCard en American Express lopen het risico dat er met hun creditcard gefraudeerd wordt. Dat klinkt angstaanjagender dan het is. De hacker lijkt het niet om geldelijk gewin te gaan. Tot nu toe is er volgens de creditcardmaatschappijen, die de FBI hebben ingeschakeld, geen misbruik gemaakt van de gestolen nummers.

De getroffen creditcardmaatschappijen hebben zich meteen bereid verklaard alle schade die klanten oplopen door deze hack te vergoeden. Dat lijkt een gul gebaar maar is het niet. Ongeautoriseerde creditcardtransacties zijn nooit voor rekening van de klant, maar altijd voor rekening van het bedrijf dat zo onverstandig was om een betaling zonder (geldige) handtekening te accepteren of voor het creditcardbedrijf.

De creditcardkraak heeft veel media-aandacht gekregen. E-commerce heeft al de naam erg onveilig te zijn en doemdenkers zien weer eens bevestigd dat online winkelen onverstandig is. Natuurlijk is er heel wat mis bij de creditcardbedrijven en de verwerker van online transacties uit wiens database de nummers werden gestolen – anders zouden nooit in één computerkraak 8 miljoen creditcardnummers gestolen kunnen worden.

Maar om nu te zeggen dat e-commerce onveilig is, is een te simpele conclusie. Het probleem is ingewikkelder. Het is juister om te stellen dat bankieren in het algemeen is erg onveilig. Online of offline maakt niet zoveel verschil eigenlijk.

De Postbank bijvoorbeeld wordt al jaren op een low-tech manier gekraakt. Criminelen vragen op naam van onschuldige Postbankklanten extra pasjes en diensten (bijvoorbeeld Girotel) aan. Uit de brievenbussen van de rekeninghouders stelen ze vervolgens de formulieren en brieven van de Postbank. Met de op deze wijze verkregen bankpassen en inloggegevens plunderen ze vervolgens de rekeningen van de nietsvermoedende Postbankklanten.

Het heeft lang geduurd voor de Postbank wilde toegeven dat deze vorm van fraude mogelijk is. De bank blijkt de klantgegevens nauwelijks te controleren waardoor fraude heel gemakkelijk is.

Slordigheid, desinteresse voor de belangen van klanten en geheimzinnigdoenerij over de beveiligingsprocedures zijn gevaarlijker dan een hacker die er lol in heeft creditcardmaatschappijen te slim af te zijn.

Een ander vorm van steeds vaker voorkomende oplichting is pinfraude. In 2002 werden, volgens het jaarverslag van de Nederlandse Vereniging van Banken (NVB), 200 rekeninghouders de dupe van pinfraude. Hun pinpas werd gekopieerd bij benzinestations of hun pincode werd gefilmd door kleine camera's die stiekem bij geldautomaten waren geïnstalleerd. De totale schade bedroeg een paar honderdduizend euro, die door de banken vergoed is. Een klein bedrag op het totaal van ruim 56 miljard euro dat vorig jaar gepind werd, vindt de NVB. Vergeten wordt te vermelden dat de banken jaren hebben volgehouden dat pinfraude onmogelijk was. Het was altijd de schuld van de klant die slordig met zijn pincode omgesprongen was, was tot vorig jaar de boodschap van de banken. Klanten die klaagden werden genegeerd en nooit gecompenseerd.

In Groot-Brittannië dreigt nu wetenschappelijk onderzoek naar de onveiligheid van pintransacties gecensureerd te worden. De onderzoekers Mike Bond en Piotr Zielinski van Cambridge University hebben ontdekt dat bankmedewerkers betrekkelijk eenvoudig achter de pincodes van klanten kunnen komen omdat de hardware die wordt gebruikt om de persoonlijke identificatienummers te beveiligen lek is. Een criminele bankemployee kan snel rijk worden als hij de paper over pinfraude leest die Bond en Zielinski deze maand hebben gepubliceerd.

De Citibank in Zuid-Afrika vermoedt dat er al misdadigers zijn die de methode van Bond en Zielinski gebruiken. De bank wil dat informatie die de integriteit van het pinsysteem in gevaar kan brengen niet openbaar wordt. Ross Anderson, de promotor van Mike Bond, hoopt dat zijn promovendus zijn werk in vrijheid kan blijven uitvoeren. Banken moeten niet steeds dezelfde beveiligingsfouten maken en klanten de dupe laten worden door intern bekende lekken geheim te houden, zei hij in een reactie op de rechtszaak van Citibank. Geheimhouding van lekken is ernstiger dan een enkel fraudegeval omdat het niet leidt tot oplossingen maar tot de ondermijning van de veiligheid van bankieren in het algemeen.

Websites: www.faughnan.com/ccfraud.html; www.cardcops.com; www.nvb.nl/files/jaarverslag.pdf; www.cl.cam.ac.uk/TechReports/ UCAM-CL-TR-560.pdf; www.cl.cam.ac.uk/users/rja14/

[klaver@nrc.nl]