2. AGENDA
I. Statistieken
II.‘Multikanale’ fraude vindt ingang
III.
Veiligheid is een zaak van iedereen
IV.Internetbankieren maakt in België voorwerp uit van:
• Website www.safeinternetbanking.be
• Samenwerking
V. Besluit
Febelfin | 13 juni 2012 2
7. Fraude via malware
Malware
= verzamelnaam voor kwaadaardige software die het normale gebruik van
computerprocessen beïnvloedt zodat tijdens een sessie internetbankieren
bijvoorbeeld:
• Er een pop-up verschijnt (cfr. persberichten Febelfin zomer 2011)
• Er een namaakscherm verschijnt
• Voorbeeld op www.safeinternetbanking.be
• Goede beveiliging van computer zoals up-to-date virusscanner
• Niet ingaan op „abnormale‟ scenario‟s
Febelfin | 13 juni 2012 7
• Bij twijfel transactie stopzetten & bank contacteren
8. Evolutie naar „multikanale‟ fraude
Telefonisch
Malware in combinatie met contact
(vorm van social
engineering)
= kwaadaardige software in combinatie met techniek waarbij fraudeur zich
voordoet als iemand anders, mensen probeert te misleiden & zo aan informatie
komt die hij anders niet in zijn bezit zou krijgen
• Voorbeeld:
Door een onvoldoende bescherming wordt de computer van Jan geïnfecteerd door
kwaadaardige ‘malware’-virussen, waardoor de fraudeur weet wanneer Jan een sessie
internetbankieren opstart. Zodra Jan een sessie begint, krijgt hij telefoon van iemand die zich
uitgeeft voor een medewerker van de bank. De boodschap luidt : ‘U bent aan het internetbankieren
en om veiligheidsredenen moet u mij uw elektronische handtekening doorgeven’. Jan doet dit
nietsvermoedend en zo kan de fraudeur een valse overschrijving uitvoeren.
• Bank zal klant nooit opbellen om persoonlijke gegevens en/of elektronische
Febelfin | 13 juni 2012 8
handtekening door te geven!
9. Evolutie naar „multikanale‟ fraude
Phishing in combinatie met Telefonisch contact
(vorm van social (vorm van social
engineering) engineering)
3.Telefonisch
contact van
fraudeurs met klant
om manipulaties uit
2.Valse website te voeren met
„bank‟ met kaart en
opvraging volgende kaartlezer
gegevens:
kaartnummer, geboo
rtedatum, postcode
en
1.E-mail van „bank‟ telefoonnummer
met boodschap dat
bank nieuwe
beveiligingssoftware
installeert & er wordt
gevraagd op link te
klikken.
• Zie ook recent phishing bij FOD Financiën
• Bank zal nooit emailen of opbellen om persoonlijke gegevens en/of elektronische 2012
Febelfin | 13 juni 9
handtekening te verkrijgen !
10. Stijgend gebruik van geldezels (money mules)
• Geldezels (of money mules)
= personen die dienst doen als tussenpersonen voor criminele organisaties
en personen. (On)bewust sluizen zij frauduleus verkregen geld door naar
fraudeurs. Door gebruik te maken van tussenpersonen is de identiteit van de
fraudeur moeilijker te achterhalen.
• Berichten vaak vermomd als jobadvertentie:
Febelfin | 13 juni 2012 10
12. 6 op 10 Belgen maakt zich weinig zorgen over
computerbeveiliging
• Dat blijkt uit de Unisys Security Index, een halfjaarlijks onderzoek dat wordt
gevoerd op internationaal niveau en peilt naar verschillende aspecten van
veiligheid, waaronder e-security.
Febelfin | 13 juni 2012 12
Bron: Unisys Security Index
13. Beveiliging online verkeer? Dit is volgens ruim 6 op
10 Belgen een zaak van de bank of overheid
• 67% van de Belgen kijkt voor de bescherming van hun persoonlijke gegevens
en de beveiliging van hun online verkeer naar hun bank of de overheid
(Unisys Security Index).
Bron: Unisys Security Index
Febelfin | 13 juni 2012 13
14. „Veiligheid is een zaak van iedereen‟
En van
de bank
En van
de klant
Febelfin | 13 juni 2012 14
15. Veiligheid, een zaak van de bank
• Belgische banken nemen voortdurend maatregelen om ervoor te zorgen dat
veiligheid centraal staat bij het online bankieren:
• Beveiligde website
• Adres begint met https
• Gesloten hangslot onderaan
• Persoonlijke toegang bancaire gegevens
• Unieke sleutel – „two factor authentification‟ (something you have & something you know)
• Elektronisch handtekening
• Gecodeerde informatie
• De informatie tussen pc van klant & bank wordt gecodeerd verzonden
• Automatische onderbreking van internetsessie na enkele minuten van inactiviteit
• Continue monitoring & updating van systemen
Febelfin | 13 juni 2012 15
16. Veiligheid, ook een zaak van de consument
• Beveiliging van de computer
• Installeer nodige beveiligingssoftware zoals
antivirusprogramma‟s, firewalls, spamfilters &
programma‟s tegen malware
• Waakzaamheid van de klant tijdens het uitvoeren van sessie internetbankieren
• Enkel elektronische handtekening plaatsen voor verwachte of gevraagde opdracht
• Voor elke opdracht juiste handtekening plaatsen
Bij twijfel onmiddellijk de transactie stopzetten & bank contacteren, zeker in geval het
scenario om te ondertekenen afwijkt van het normale scenario. Op website van de bank
vindt de klant gegevens contactpunt & veiligheidsrichtlijnen.
• NIET ingaan op mails of telefonische contacten waarbij persoonlijke gegevens en/of
elektronische handtekening worden opgevraagd!
Bank zal niet telefonisch/elektronisch om persoonlijke gegevens en/of elektronische
handtekening vragen
• Zorgen voor veilige sessies internetbankieren
• Vb. Niet naar andere websites surfen tijdens sessie internetbankieren, gebruik van publieke
computers vermijden, kijken of het adres begint met https://, …
• Codes & paswoorden vertrouwelijk behandelen
• Rekeninguittreksels regelmatig controleren
Febelfin | 13 juni 2012 16
17. Veiligheid, ook een zaak van de professionele
gebruiker
• Persbericht Febelfin & Isabel medio mei 2012
• Aandachtspunten voor ondernemingen die gebruik maken van een professionele
oplossing voor hun betaalverkeer (zoals Isabel of oplossing van bank):
• Zorg voor een goede beveiliging van de pc zoals een up-to-date
virusscanner;
• Haal de kaart steeds uit de kaartlezer na het plaatsen van een
handtekening en sluit na gebruik de Isabel-toepassing correct af
door middel van de “Logout-knop”;
• Neem onmiddellijk contact op met Isabel of uw bank indien u een
verdachte transactie vaststelt.
Febelfin | 13 juni 2012 17
18. IV. Veilig internetbankieren maakt in België
voorwerp uit van
- website
- samenwerking
Febelfin | 13 juni 2012 18
22. Besluit
• Internetbankieren is een veilige, snelle & eenvoudige manier van bankieren
• Veiligheid is een zaak van iedereen
• En van de bank
• En van de klant
• Goede beveiliging van computer zoals up-to-date virusscanner
• Voldoende waakzaamheid tijdens sessie internetbankieren en niet ingaan op
„abnormale‟ scenario‟s
• Niet ingaan op telefonische contacten en emails waarbij persoonlijke gegevens
en/of elektronische handtekening worden gevraagd
• Bij twijfel onmiddellijk transactie stopzetten & bank contacteren
Febelfin | 13 juni 2012 22
Internetbankierenwordt steeds populairder.Datheeftallestemaken met de velevoordelen die dezevorm van bankierenbiedt: het is eenvoudig, snel en veilig.Watbetreft het aantalabonnementen, zien we de laatstevijfjaar quasi eenverdubbeling. In 2007 telden we immers 4,6 miljoenabonnementen; eind 2011 tellen we reeds meerdan 8 miljoenabonnementen.De 8 miljoenabonneeszijnsamengoedvoor 460 miljoengeregistreerdesessies.
Gezien de populariteit en het succes van internetbankieren, is het danooknietverwonderlijkdat het aantalfraudegevallentoeneemt.In de eerste 5 maanden van 2012 werden 261 fraudegevallen vastgesteld. Het aantal fraudegevallen blijft een zeer beperkt percentage (0,00006%) van het aantal sessies maar het geeft wel aan dat zowel bank als klant de nodige waakzaamheid aan de dag moeten leggen om fraude te vermijden.De totale fraude liep in de eerste 5 maanden van 2012 op tot 715.081 EUR netto. Je zal zien dat voor de jaren 2006 tot en met 2011 we spreken over bruto-bedragen. Sinds begin van dit jaar zijn we overgeschakeld naar netto-bedragen(d.w.z. de fraude na recuperatie). Verschillende redenen liggen aan de grondslag van deze omschakeling: Netto fraude kan beter worden gedefinieerd dan bruto fraude;Het is gebruikelijk voor rapportering over fraude;Het beter kan worden vergeleken met de (weinige) beschikbare cijfers van andere landen die ook in netto rapporteren.Als we deze cijfers uitzetten tegen dat van onze Noorderburen dan zien we dat fraude met internetbankieren in België nog bescheiden is t.a.v. Nederland: daar werden er 7.500 gevallen geteld voor een totaalbedrag van 35 mio EUR netto. (ps ter informatie: fraude internetbankieren in NL is vooral te wijten aan malware en phising in combinatie met telefonisch contact).
‘Klassieke’ malwareVerzamelnaamvoorkwaadaardige software (malicious software)die het normalegebruik van computerprocessenbeïnvloedtzodattijdenseensessieinternetbankierenerbijvoorbeeldeenpop-upverschijnt (cfr. persberichten Febelfin hierover in augustus & september 2011). Via een pop-up (eenvenstertjedatzichopent op het scherm) wordt de consumenttijdens het internetbankierenonverwachtgevraagdombeppalde codes in tevoeren, teherhalen en/of elektronischteondertekenen. Vaakonder het mom van een extra beveiligingscontrole of eenspecialeverrichting met dringendkarakter. Hiermeetekent de consumentechternietsvermoedendeenfraudeuleuzeoverschrijving. Het is dus van belangdat de consumentenkelelektronischeenhandtekeningplaatstbijeenopdracht of verrichting die jijverwacht of zelfheeftgevraagd.Nu is eerdereenverschuivingnaar het verschijnen van eennamaakscherm(dusnietmeerzozeereen pop-up dat op eenongebruikelijk of onverwacht moment verschijnt).Werken met metafoor:Voorcomputerbeveiliging het beeldoproepen van je huis. Niemandlaatzijnvoordeuropenstaanzodatdievenongehinderdbinnenkunnen. Hetzelfdemoetdoorgetrokkenwordennaar de pc (cfr. Degelijkbeschermenzodat ‘virussen’ nietbinnenkunnen)
II. De klassieke malware in combinatie met eenvorm van ‘social engineering’ zoalstelefonisch contact a/Malware: kwaadaardige software die zichnestelt op de computer van de klantwegenseenonvoldoendebescherming van de pc.b/ soms is de malware nietvoldoende en doet men beroep op ‘social engineering’ : eentechniekwaarbij de fraudeurzichvoordoetalsiemandanders – in casu de bank – en zoprobeertmensentemisleiden - vaakonder het mom van eenbeveiligingscontrole. Social engineering kanverschillendevormenaannemen: de meestvoorkomendeis het telefonisch contact.
III. Eencombinatie van twee vormen van ‘social engineering’, zijndeeenphisingmail & telefonisch contactAangehaaldvoorbeeld van Belfius (zijhebbenditookbekendgemaakt met persbericht in maart 2012)Het gaathier over eenfraude in driestappen:1/ Klantenkrijgeneen mail met de boodschapdat de bank nieuwebeveiligingssoftwarezalinstalleren en erwordt hen gevraagdom op een link teklikkenomaldaareenaantalgegevenstebevestigen;2/ Alszedoorklikkenkomenze op eenvalse website en wordt hen gevraagdomkaartnummer van hundebetkaart, geboortedatum, postcode & telefoonnummer in tegeven;3/ De fraudeurswaren op zoeknaar het telefoonnummer. Duseenszedathebben, bellenze de klant op omsamenmanipulatiesuittevoeren met kaart en kaartlezer.----Nietalleenbancairewereldheefttekampen met phisingmails. Ziehierover recent nog de phishing FOD financiën in apriljongstleden (in dezezaakeen mail waarbijkredietkaartgegevenswerdengevraagd) Luc Beierenszalditverdertoelichten.
(deze slide betreftniet de hoofdboodschap; erwordtslechtskortbijstilgestaanomtewijzen op het feitdatmensenworden ‘gerecruteerd’ omalsgeldezel op tetreden, vaakvermomd in de vorm van eenjobadvertentie)
(ter info: twee slides van dezestudiezijn in de presentatiegestokenomaantetonendatveelBelgennietwakkerliggen van computerbeveiliging, en meernogdatzijvindendat het de taak is van de overheid en de bankenomhiervoortezorgen)
De vorige slides tonenaandatveelBelgen (maar liefst 6 op 10) nietwakkerliggen van computerbeveiliging. Bovendienvindenzij het de taak van de overheid en de bankenomtezorgenvoorveiligheid.NOCHTANS : Veiligheid is eenzaak van iedereenén van de bankén van de klant De banken treffen gedurende het hele jaar maatregelen om de veiligheid van het internetbankingsystemen te garanderen. De veiligheid van dit systeem kan echter alleen gegarandeerd worden in samenwerking met de klant.
Veiligheidkan maar gegarandeerdworden in samenwerking met de consument. Hierbijeenaantal tips die de consument in achtmoetnemenbij het internetbankieren.
Veiligheid is nietalleeneenzaak van de ‘particuliere’ consument, maar ook van de ondernemingen/professionelegebruikers.Febelfin en Isabel hebbenhier recent over bericht (cfr. Gezamelijkpersberichtvan 23 meijongstleden) n.a.v. de fraudegevallen die werdenwaargenomenbijondernemingen die gebruikmaken van de Isabel-oplossingomhunbetaalverkeerteverzorgen.Het ging in dezeconcreet over 8 gevallen van fraudevooreenbedrag van om en bij de 200.000 EUR.Onderzoekweesuitdat de fraudemogelijkwordtgemaaktenerzijds, doordat de computers van de bedrijvenonvoldoendebeschermdwaren en besmetzijngeraakt met malware en anderzijdsdoordat de Isabel-kaartonbeheerdwerdachtergelaten in de Isabel-kaartlezer. Vandaardat het nuttig is teonderlijnendatook de ondernemingen de nodigewaakzaamheidaan de dag moetenleggen en dat we de tips nogmaalsonder de aandachtbrengen.
Veiliginternetbankieren is eenaandachtspuntvoor de Belgischefinanciële sector:Wijhebbentijd & energiegestoken in de ontwikkeling van een website www.safeinternetbanking.be En internetbankierenmaaktook het voorwerpuit van uniekoverleg.
Sinds 1 december 2011 (ongeveereen half jaar) bestaat de website www.safeinternetbanking.be Op deze site kan je ondermeer het volgendelezen/terugvinden: de laatstbeschikbarestatistieken over internetbankieren, recentepersartikelen die over internetcriminaliteitverschenenzijn,Eenaantalpraktischezaken met ookeen lexicon waareenaantalbegrippenverduidelijktworden. (enz)Naast al dezeelementenzijnerdrierubriekendie bijzonderinteressantzijn:I.“Decrimineelaan het werk”: in dezerubriekworden de techniekengeïllustreerd die fraudeursaan de dag kunnenleggenom geld van uwrekeningteontfutselen, of noguwidenteit. De volgendefraudetechniekenwordenertoegelicht: 1/ social engineering; 2/ malware; 3/ muilezels; 4/ Phishing ; 5/ Identiteitsfraude. - Drie van de vijffraudetechniekenwordenookgeïllustreerd met eenfilmpje. Naast het filmpje over ‘malware’ dat we daarstraksgezienhebben, zal je erookeenkortfilmpjekunnenbekijken over ‘social engineering’ en ‘phising’.II.“Veiligheid, eenzaak van mijn bank?” eenoverzicht van de maatregelen die de bank neemtom het internetbankierenveiligtelatenverlopen.III.“Veiligheid, ookmijnzaak?” eenaantaltips voor de consument. Cfr. Veiligheid is eenzaak van IEDEREEN, én van de bank, én van de klant. De banken treffen gedurende het hele jaar maatregelen om de veiligheid van het internetbankingsystemen te garanderen. De veiligheid van dit systeem kan echter alleen gegarandeerd worden in samenwerking met de klant.
Internetbankierenmaakt in België het voorwerpuit van uniekoverlegtussen de Federal Computer Crime Unit van de gerechtelijkepolitie, de Nationale Bank in België en de banken en Febelfin. Luc Beirenszaltijdenszijnpresentatiemeer op dezesamenwerkinginzoemen en de vruchtenervantoelichten.