Internetbankieren

Computers in een internetcafé vallen niet onder de categorie “veilige apparaten”. Internetbankieren via een openbaar wifi-netwerk is alsof je door een digitaal mijnenveld wandelt. Gebruikers hebben geen controle over de beveiliging van computers van derden en (in het bijzonder) openbare computers. Het is daarom verstandig om uit te gaan van het slechtste scenario: dat de computer geïnfecteerd is met malware die bijvoorbeeld toegangsgegevens kan stelen.

Openbare wifi-netwerken zijn niet veilig omdat het dataverkeer zeer eenvoudig onderschept en gelezen kan worden. Dit betekent dat de ingevoerde gegevens niet veilig zijn voor aanvallers. Het gebruik van een met een wachtwoord beveiligd netwerk en met versleutelde overdrachtsprotocollen (bijv. universele HTTPS) is een eerste stap in de goede richting naar betere beveiliging. Maar het gebruik van een VPN-verbinding is de enige manier om al het dataverkeer te beschermen tegen afluisteren.

Aanvallers maken gebruik van de onoplettendheid van potentiële slachtoffers en verleiden hen websites te bezoeken die lijken op de oorspronkelijke website, zodat ze phishing- of malware-aanvallen kunnen uitvoeren. Stel dat er een bank is met de domeinnaam "MyPersonalBank.com": Aanvallers zouden bijvoorbeeld een domein registreren met de naam "MyPersonaIBank.com". Het is in het geheel niet visueel duidelijk dat de klein geschreven letter "l" in "Personal" is vervangen door een hoofdletter "i". Onoplettende gebruikers kunnen in deze val worden gelokt wanneer een dergelijke truc wordt gebruikt in spam e-mails of op websites. Ook het gebruik van HTTPS in plaats van HTTP is belangrijk.

Moderne browsers gebruiken kleuren en pictogrammen om aan te geven of een verbinding tussen de browser en de webserver veilig is en of het geleverde certificaat geldig is.

Op dit punt is het kiezen van een geschikt autorisatieproces voor betalingen, zoals een transactienummer (TAN) belangrijk. Het HBCI/FinTS-proces is ook een optie. Er zijn verschillende processen die elk hun voor- en nadelen hebben - verschillende banken hebben hun eigen favorieten en kunnen hun klanten over de voor hen passende opties adviseren.

Als vuistregel geldt dat conventionele TAN-lijsten en iTAN's om veiligheidsredenen niet meer mogen worden gebruikt. De SMS-TAN- en mTAN-processen zijn in orde, maar niet geschikt als de TAN op hetzelfde apparaat wordt ontvangen als het apparaat waarop de banktransactie wordt uitgevoerd. Het gebruik van TAN-generatoren met hun vele mogelijkheden is nu bij veel banken geïmplementeerd voor hun particuliere klanten. Deze aanpak is momenteel de meest haalbare oplossing op het gebied van gebruikersvriendelijkheid, veiligheid en kosten.

Sommige banktrojanen zijn gespecialiseerd in het uitvoeren van technologische aanvallen en in oplichtingstrucs. Ze gebruiken zogenaamde webinjecties om extra content op een website aan het slachtoffer weer te geven, bijvoorbeeld over een zogenaamd uitgevoerde testtransactie of een verkeerde storting op zijn rekening.

De daders beweren dat het slachtoffer een overboeking moet uitvoeren om het ontvangen geld terug te betalen, aangezien het niet aan hem toebehoort. In werkelijkheid is er echter nooit geld op zijn rekening bijgeschreven - het is gewoon een technische truc. De "terugboeking" is voor de bank echter een volkomen legitieme verrichting en leidt tot een afschrijving van de rekening.

Veel bankwebsites hebben nu een automatische uitlogfunctie die de gebruiker na enkele minuten van inactiviteit automatisch uitlogt. Uitloggen is belangrijk, omdat een gesloten sessie niet kan worden overgenomen door derden.

Banken bieden over het algemeen de mogelijkheid om een limiet in te stellen voor alle transacties die offline en online worden uitgevoerd. Hiermee kunt u bepalen welk bedrag maximaal binnen een bepaalde periode overgemaakt kan worden. Hoewel dit in sommige gevallen - wanneer u een keer een utizonderlijk hoog bedrag moet betalen - onhandig kan zijn voor uzelf, verkleint het instellen van een limiet het verlies dat u kunt lijden in het geval van fraude.

Ook al is het lezen van dergelijke contracten niet uw favoriete tijdverdrijf, het bestuderen van de voorwaarden en bepalingen is heel nuttig. Banken stellen verschillende eisen aan hun cliënten met betrekking tot veiligheidsmaatregelen. Het gebruik van een up-to-date beveiligingsoplossing wordt door de meeste banken aanbevolen of zelfs verplicht gesteld. Daarnaast kennen veel financiële instellingen een eigen risico voor klanten bij schadeclaims. Indien grove nalatigheid of bedrieglijk opzet van een gebruiker wordt aangetoond, kan deze verplicht worden alle schade volledig te vergoeden.

Antivirussoftware beschermt tegen malware voordat deze op een apparaat terechtkomt. Innovatieve producten met proactieve technologieën, Cloud-verbindingen en spambeveiliging etc. bieden optimale bescherming. Alle G DATA pc-beveiligingsoplossingen bevatten ook G DATA BankGuard voor specifieke bescherming tegen banktrojanen.

Veiligheidslekken moeten zo snel mogelijk worden gedicht, zodat cybercriminelen er geen misbruik van kunnen maken. G DATA beveiligingsoplossingen met hun innovatieve Exploit Protection voorkomen het misbruik van beveiligingslekken.

Inloggegevens voor een account zijn heel waardevol en moeten dan ook goed worden gekozen en beschermd. Elk account vereist een eigen, sterk wachtwoord. Een veel gemaakte fout is dat gebruikers hun verjaardag als pincode gebruiken, omdat die gemakkelijk te onthouden is. Het is verstandiger om lange, complexe wachtwoorden te kiezen en een beveiligde password manager te gebruiken die al uw wachtwoorden voor u onthoudt.

De combinatie van een inlognaam en een wachtwoord is een minimale eis voor veilige toegang. Het is beter om daarbij nog een extra inlogfactor te gebruiken, zoals een biometrisch gegeven.

Veel aanvallers proberen potentiële slachtoffers te maken via e-mail. Om dit te doen, sturen ze massaal e-mails die vaak visuele kopieën van originele e-mails zijn. Het uiterlijk moet het vertrouwen van de ontvanger vergroten dat de opgenomen links niet gevaarlijk zijn (maar die vaak worden gebruikt voor phishing) en dat bijgevoegde documenten dringend moeten worden gelezen (in bijna alle gevallen bevatten deze documenten malware). Helaas werken dergelijke social engineeringaanvallen maar al te vaak. Daarom moeten gebruikers op hun hoede zijn om ook voorbereid te zijn op niet-technische aanvallen. Financiële dienstverleners sturen geen belangrijke, persoonlijke berichten via e-mail.