Internetbankieren ING niet waterdicht
De beveiliging van het internetbankieren bij ING is niet waterdicht. Fraudeurs die beschikken over de gebruikersnaam en het wachtwoord van een rekening kunnen daarmee een account bij PayPal of Click and Buy openen en geld van de rekening halen. Volgens de website Crimesite is dat al bij ING-rekeninghouders voorgekomen.
Via phisingmailtjes, waarin de afzender zich voordoet als de ING en het wachtwoord en de gebruikersnaam vraagt om zogenaamd het account te activeren of verifiëren, kunnen de gegevens van de klant achterhaald worden.
Een andere manier die fraudeurs gebruiken is een botnet. Dat is een serie aan elkaar gekoppelde computers die software gebruiken die meestal is geïnstalleerd door een computerworm of virus. Als een computer geïnfecteerd is met een botnet kan uit de toetsaanslagen van de gebruiker de inlognaam en wachtwoord worden gefilterd.
Zonder pasjes
Deze vorm van fraude is alleen mogelijk bij banken die toegang bieden tot internetbankieren zonder het gebruik van pasjes. Dat is bij ING het geval. De bank maakt gebruik van TAN-codes, maar deze hoeven niet te worden ingegeven bij PayPal en Click and Buy.
Beide bedrijven sturen een klein bedrag naar de ING-rekening met een code die moet worden ingevuld om het account op PayPal of Click and Buy te activeren. Omdat de fraudeur met de gebruikersnaam en het wachtwoord de ING-rekening op internet kan inzien, is dit een koud kunstje. Daarna kan de fraudeur dingen gaan kopen op sites waar je met de accounts kan betalen.
Gebruikersgemak
ING zegt bekend te zijn met deze vorm van fraude en zegt dat het nooit tot zeer zelden voorkomt. De fout ligt bij Paypal, vinden ze. Bovendien kunnen gedupeerden klanten het afgeschreven bedrag laten terugboeken. Ze zien geen directe aanleiding om het systeem te veranderen. "Als maatregelen nodig zijn, grijpen we zeker in", zegt een woordvoerder.
Volgens beveiligingsexpert Bart Jacobs, hoogleraar computerbeveiling van de Radboud Universiteit, toont dit aan dat ING een "zwakke toegangsbeveiliging" heeft. "Voor een overboeking is het beter een code te gebruiken die voor iedere transactie anders is. Alleen login en wachtwoord is daarvoor niet genoeg. ING moet een afweging maken tussen beveiliging en gebruikersgemak. En ING heeft vaak de neiging om voor gemak te kiezen", zegt hij.
Negatieve publiciteit
Volgens Jacobs lopen we over het algemeen in Nederland voorop op het gebied van veilig internetbankieren. Hij verwacht dat ING het gat wel zal dichten als ze er veel last van krijgen door klagende klanten of negatieve publiciteit.
De Consumentenbond vindt al langer dat het systeem met de TAN-codes op de schop moet. "Gelukkig is ING deels al afgestapt van het papieren TAN-code systeem."