De digitale bankroof blijft geheim

Nederland loopt voorop met internetbankieren, maar over de risico’s op computercriminaliteit zwijgen de banken liever. Dat is slecht voor het vertrouwen van de klant.

Als de legendarische bankrovers Bonnie en Clyde in deze eeuw geboren waren hadden ze zich niet bewapend met machinegeweren maar met een computer. Een digitale beroving is veel lucratiever dan een ouderwetse bankoverval, becijferde de Amerikaanse veiligheidsexpert Brian Krebs onlangs. Alleen al in het derde kwartaal van 2009 verloren kleine Amerikaanse bedrijven 25 miljoen dollar door fraude met internetbankieren. De schade is op jaarbasis twee keer zo hoog als die van traditionele overvallen.

Fraude met internetbankieren neemt toe. Uit cijfers van Microsoft blijkt dat het aantal infecties van computers met de beruchte Trojan Zeus – kwaadaardige software die het op bankgegevens heeft voorzien – de afgelopen maanden explosief is toegenomen. Zeus is een van de vele zogeheten bancaire virussen die telkens veranderd worden om veiligheidssoftware te omzeilen. Wie op een besmette computer inlogt om te internetbankieren, geeft in werkelijkheid een hacker de mogelijkheid om geld ongezien weg te sluizen naar een andere rekening. Van die rekening brengt een katvanger of money mule de buit naar de crimineel.

De middelen om via internet bankfraude te plegen zijn voor iedereen beschikbaar. „Het is zeker niet voorbehouden aan wizzkids met specialistische kennis”, zegt Wouter Stol, hoogleraar webcriminaliteit aan de Hogeschool Leeuwarden. De risico’s zijn bij internetfraude klein omdat de overvallers zich vaak over de grens bevinden, in Oost-Europa of in Rusland. „De pakkans is vele malen lager dan bij een fysieke misdaad, door gebrek aan kennis bij de opsporingsinstanties en doordat het moeilijk is iemand over de grens te pakken.”

Nederland loopt voorop met internetbankieren. Naar schatting driekwart van de 10 tot 12 miljoen Nederlandse bankklanten doet zaken via het web, zegt de Nederlandse Vereniging van Banken (NVB). Internetbankieren wordt volgens de NVB zwaar gepromoot, maar cijfers over fraude zijn er niet. Ook individuele banken, zoals ING en Rabobank (elk vier miljoen internetbankierende klanten) doen geen uitspraken. Het gaat volgens betrokkenen om „zeer beperkte” en „te verwaarlozen” verliezen.

Banken zijn terughoudend uit angst dat klanten vertrouwen verliezen. En dat kan ervoor zorgen dat consumenten huiverig worden nieuwe – goedkopere –, geautomatiseerde diensten te gebruiken. Michel van Eeten, hoogleraar bestuurskunde aan de TU Delft, hekelt het gebrek aan transparantie.„Je wordt als klant gedwongen om dit systeem te gebruiken. Aan de ene kant willen banken het vertrouwen in internetbankieren bewaken, aan de andere kant wil men dat klanten zelf verantwoordelijkheid zijn.”

Van Eeten schat, op basis van buitenlandse cijfers, dat de fraudeschade bij Nederlandse internetbankklanten 59 miljoen euro per jaar bedraagt. De banken zeggen schade te vergoeden bij onterechte transacties, maar er is volgens Van Eeten geen extern toezicht op die claim. „Er zijn aanwijzingen dat de schade wel degelijk deels terechtkomt bij klanten.” Hij verwijst naar een zaak van gedupeerde Postbankklanten, die eind 2008 voor ruim 200.000 euro waren opgelicht via internetbankieren. Pas na druk van tv-programma Kassa werd de schade vergoed. Postbank, nu opgegaan in ING, heeft het beleid met betrekking tot internetfraude sindsdien niet veranderd.

De hoogleraar zegt dat banken miljarden bespaard hebben door de overgang van papieren transacties naar internet. „Daardoor zijn er minder kantoren nodig en is er minder personeel in dienst. Elke vertraging bij die migratie kost geld. Als banken zouden aanbieden elke schade hoe dan ook te vergoeden, dan zou de bereidheid van consumenten om meer diensten via internet af te nemen alleen maar groeien.”

Een Nederlandse bankklant die het slachtoffer wordt van een hacker, moet kunnen aantonen dat hij of zij niet nalatig of onzorgvuldig is geweest. Volgens Van Eeten moeten de Nederlandse banken, net als de creditcardmaatschappijen, zelf garant staan voor de risico’s van het internetbankieren. „Daar is één telefoontje voldoende om je geld terug te krijgen.”

Wim Hafkamp, veiligheidsexpert van Rabobank Nederland, verweert zich tegen de kritiek van de Delftse hoogleraar. „Er ligt wel degelijk verantwoordelijkheid bij de klant. Een fraudeklacht kan ook worden veroorzaakt doordat je zoontje stiekem met de pinpas van papa aankopen heeft gedaan. Daarom wordt elke melding apart onderzocht.”

Maar het is moeilijk te bepalen of de klant nalatig is geweest. Besturingssystemen en browsers worden continu geteisterd door lekken en exploits die tot ernstige problemen kunnen leiden. Toen in 2007 ABN Amro-klanten het slachtoffer waren van fraude met internetbankieren stelde de bank software ter beschikking om het virus van geïnfecteerde pc’s te verwijderen. Nu ligt de nadruk op preventie, door middel van de campagne ‘3 x kloppen’, die echter geen garantie biedt tegen een moderne aanval door hackers.

Rabobank waarschuwt cliënten wiens rekeningnummer is opgedoken in ‘dropzones’, plekken op internet waar computers te vinden zijn die besmet zijn met een bancair virus. Het gaat om enkele tientallen klanten per keer – of ze geld kwijt zijn is niet duidelijk.

Volgens Hafkamp slaagt zijn bank er dankzij die proactieve houding in de cybercriminelen voor te blijven. „Het scheelt daarbij dat Nederland een klein taalgebied is en dat de banken in Angelsaksische landen vaak slechter beveiligd zijn.”

Volgens Van Eeten zijn de Nederlandse banksystemen juist een aantrekkelijke prooi omdat overboekingen vrijwel direct plaatsvinden. Daardoor zijn transacties moeilijk terug te boeken. Het is naïef te denken dat je in Nederland veiliger bent voor cybercriminelen: internet kent geen grenzen, internetcriminaliteit ook niet.

Nederlandse banken zeggen dat hun beveiligingsmaatregelen beter zijn omdat bij het inloggen in het bankiersysteem meerdere drempels zijn opgeworpen, in tegenstelling tot in de Angelsaksische systemen. Controle achteraf – na het verzenden van de betaalopdracht – vindt ook plaats. De rule settings, de algoritmes waarmee frauduleuze transacties worden herkend, zijn beroepsgeheim. Maar volgens ingewijden worden fraudeurs vooral herkend doordat de money mules, die het geld naar criminelen doorsluizen, geld uit opvallend veel verschillende rekeningen binnenkrijgen. Een gemiddelde betaalrekening ontvangt geld van maar een paar tegenrekeningen.

Onlinebetaalsysteem PayPal (3 miljoen Nederlandse klanten) kiest voor een andere balans tussen gemak en veiligheid. Sinds kort hebben kopers recht op bescherming en binnenkort wil PayPal ook verkopers garanderen dat ze hun geld krijgen als blijkt dat klanten geen geld op hun rekening hebben of met de noorderzon vertrokken zijn. Dennis van Allemeersch, directeur van PayPal Nederland: „Dat kan omdat de schade door fraude minder dan 0,3 procent bedraagt van ons totale betaalvolume. Van de 8.000 medewerkers van PayPal zitten er 2.000 de hele dag te werken aan het terugdringen van fraude.” Van Allermeersch werkte vroeger bij SNS Reaal. Dat was een compleet andere wereld, zegt hij. „PayPal is open over de veiligheid en risico’s.”

PayPal is een intermediair. De risico’s die de klanten lopen zijn dezelfde als die van hun onderliggende creditcard of bankrekening. Bij creditcards geldt een terugboekingsrecht. Bij banken werkt PayPal met automatische incasso’s. Die kan de klant terugdraaien. Dat biedt volgens Van Allemeersch een extra zekerheid voor de consument.

De Nederlandse banken moeten onder druk van nieuwe concurrenten transparanter worden. De Nederlandse Vereniging van Banken maakte bekend dat de schade door het stelen van pin- en pasgegevens via betaalautomaten 31 miljoen euro bedroeg. Na de zomer publiceert de NVB cijfers van internetfraude.

Hoe meer betaalopties, hoe groter de kans op veiligheidsproblemen. Na internetbankieren en onlinebetalingen (er zijn nu 100 miljoen iDeal-betalingen verricht) is betalen via de mobiele telefoon in opkomst. Rabobank heeft een mobiele applicatie voor de iPhone, ING volgt deze maand. Bij een mobiel heeft de gebruiker geen aparte calculator meer nodig om een unieke code te berekenen. Dat gemak zorgt wel voor meer frauderisico, vandaar dat dat Rabobankklanten met hun iPhone maximaal 300 euro per keer kunnen overmaken en alleen naar bekende rekeningen. „Een bewuste beperking die op advies van mijn afdeling is doorgevoerd”, zegt beveiligingsexpert Wim Hafkamp van Rabobank Nederland.

Volgens de banken vragen de Nederlandse klanten om de extra betaalmogelijkheden. Maar volgens Van Eeten is de consument maar bij één ding gebaat: een wettelijke garantie dat de bank bij internetfraude zelf het risico draagt.