InterNLnet Nieuwsbrief 11 / 2007

[ Volgende bericht: Herken het gezicht! ]

3 keer kloppen

Checklist internetbankieren

U heeft vast al het TV spotje gezien van de Nederlands Vereniging van Banken (NVB). Iedereen die aan internetbankieren doet wordt daarin opgeroepen om drie controles uit te voeren om het internet bankieren zo veilig mogelijk te maken. Eigenlijk zijn het drie lijstjes van controles.

Op http://www.3keerkloppen.nl kunt u een checklist gebruiken en daarna een advies krijgen over wat er nog te verbeteren valt aan uw PC en uw manier van internetten en internetbankieren.

De adviezen zijn tamelijk voorspelbaar, als u bijvoorbeeld de vraag "Gebruikt u altijd het nieuwste anti-spyware programma?" met "Nee" of "Weet niet" beantwoordt dan staat er in de uiteindelijke beoordeling dat u nog niet helemaal veilig bezig bent en dat anti-spyware een aandachtspunt is.

Toch is de NVB goed bezig, en verdient de website en de checklist een bezoekje. Al was het alleen maar om te kijken welke zaken er allemaal komen kijken bij veilig internetten en veilig internetbankieren. Het gaat bij de checklist met name om bewustwording en educatie. Door het stellen van de vraag is het doel waarschijnlijk al bereikt, want u heeft een kennelijk verband te zien gekregen tussen bijvoorbeeld anti-spyware software en veilig internetbankieren.

De drie categorieŽn om te controleren zijn: uw PC, de bankwebsite en de betaling. De eerste en derde categorie spreken denk ik voor zich. De eerste categorie zegt: "Zorg dat u PC beschermd is tegen virussen en houdt uw besturingssysteem en software up-to-date". De derde zegt: "Voer de betalingshandeling uit volgens de aanwijzingen van uw bank en controleer regelmatig of er geen geld van uw rekening verdwijnt naar onbekende bestemmingen".

Controle bank website

De tweede categorie, die van de controle van de bankwebsite, verdient misschien wat extra uitleg vanwege het technische karakter.

Een van de vragen/aanwijzingen luidt of de naam van de bank correct in de adresbalk van uw browser staat. Dit heeft te maken met een veel voorkomende vorm van fraude, waarbij u een mail ontvangt met daarin een link naar uw/een bank website. De link ziet er goed uit maar als u er op klikt komt u op een nagebouwde bank website met een url met "rab0bank.com" of "p0stbank.com" (de o is dan vervangen is door een nul).

Dit type fraude heeft al een vrij geavanceerd niveau bereikt. Er zijn verscheidene wormen (een soort virus) die volledig geautomatiseerd bij PC's op het internet inbreken en daar dan volautomatisch een namaak bankwebsite neerzetten. Daarna gaat de worm massaal e-mail versturen om mensen naar zich toe te lokken.

Het enige dat niet na te maken is door de worm is de url in de adresbalk van uw browser, vandaar dat dit een goede methode is voor u om een nep website te ontmaskeren, en de NVB u graag wil leren om altijd de url in de adresbalk te controleren. Het doel van de fraudeurs is trouwens om wachtwoorden te oogsten van mensen die op de nepwebsite in proberen te loggen. Doelwit zijn meestal banken die met een vast wachtwoord werken of die met een lijstje met eenmalig bruikbare wachtwoorden werken. Als uw bank zo niet werkt, en in plaats daarvan bijvoorbeeld een apparaatje gebruikt waarmee op basis van het tijdstip, begunstigde en het bedrag een code wordt gegenereerd, dan zult u niet snel het slachtoffer worden van dit type fraude. Eenvoudigweg omdat de code alleen op een specifieke transactie van toepassing is. Een andere begunstigde of een ander tijdstip of een ander bedrag maken de code onbruikbaar.

Het tweede punt waar de NVB u op attent wil maken is het hangslotje in uw browser in combinatie met een https:// url in plaats van een http:// url. De extra 's' staat voor 'secure'. Als beide zaken kloppen, is de gegevensuitwisseling tussen uw PC en de website versleuteld, niemand kan meekijken als uw data onderweg is van uw PC naar de website en andersom. Voor de duidelijkheid: alle data van en naar een gewone http:// website gaat dus leesbaar over het internet, bij een bank website of een andere website waarbij privacy vereist is, is dit absoluut ongewenst.

Het laatste punt in deze categorie is het verifiŽren van een certificaat. Dat zit zo: gekoppeld aan het versleutelingsysteem zit ook een soort van digitale handtekening van de website. Die moet ten eerste kloppen, en mag niet verlopen zijn, maar daarnaast moet de handtekening ook controleerbaar zijn voor uw browser.

Die controleerbaarheid verloopt via een 'web of trust', een netwerk van vertrouwen. De bank heeft hiervoor het certificaat (de digitale handtekening van de website) laten signeren door een 'trusted third party' (TTP), een betrouwbare controle instantie. Deze wordt ook wel CA (Certificate Authority) genoemd.

Een CA is een bedrijf dat de echtheid en de betrouwbaarheid van een bank of ander bedrijf controleert. Bijvoorbeeld door de KvK gegevens op te vragen en bij een branche organisatie te informeren en de jaarcijfers op te vragen. De exacte procedure verschilt per CA en is meestal geheim.

Als de CA concludeert dat het certificaat aan een bonafide bedrijf is verbonden zet deze op het certificaat zijn eigen digitale handtekening. Om een kip-ei situatie te voorkomen worden er met uw browser een aantal CA digitale handtekeningen meegeleverd zodat de browser een startpunt heeft voor het 'web of trust'.

Als er iets niet klopt aan het certificaat, de datum is verlopen, het certificaat hoort bij een andere website of het certificaat is niet door een CA gesigneerd, dan zal uw browser gaan protesteren. Gebruikers van de Internet Explorer zien bovendien dat de adresbalk rood gekleurd wordt.

Voor de overduidelijkheid: het is *uiterst onverstandig* om door te gaan met internetbankieren op een website waarvan het certificaat niet klopt.

Zo, nu weet u hoe het zit met 3xkloppen, veel plezier met internetten en internetbankieren en hou het veilig.

Niek Willems
Systeembeheer InterNLnet BV


[ Volgende bericht: Herken het gezicht! ]