Wie betaalt de schade?

In Engeland lopen de schadevergoedingen terug
omdat het nieuwe pinnen veiliger zou zijn.
Naar nu blijkt kun je met simpele middelen via
een gestolen pas `nieuw pinnen' via een random
pincode.  Omdat de banken dit niet zagen maar
wel een uitdraai konden overleggen dat succesvol
een pin was gebruikt, keren die niet zomaar
meer uit.  Dus de schade is voor de consument.
Gelukkig legden wetenschappers dit bloot, anders
stonden beroofde consumenten hierdoor in de kou.

Ook als wel bekend is dat er gehackt is, is het
maar de vraag of er uitgekeerd wordt.  Vooral als
er sprake is van grote bedragen.  Bij een pinpas
gaat het al om fikse bedragen maar hoe zou het
zijn als hackers je banksaldo kunnen leeghalen?

Wat hackers doen is via keyloggers aan alle
informatie komen om daarmee geld over te maken.
Dit komt omdat allerlei banken niet goed
genoeg nadenken over security.  Om iemand te
identificeren kun je naar 3 zaken kijken: wat
de gebruiker weet, watie heeft en wie die is.
Denk hierbij aan een login en wachtwoord (weten),
een mobieltje (hebben), en gezichtsherkenning
(zijn).  Als je alleen vertrouwt op wat een
gebruiker weet, en daarmee dek je je beveiliging
af, dan ben je niet goed bezig.  Daarom zie je
ook vaker dan eens dat gebruikers zowel iets
moeten weten als iets moeten hebben.  Dan wordt
ongeoorloofd geld overmaken al lastiger.

Via keyloggers die gek genoeg niet altijd met
anti-virus software worden herkend, oogst
men alle keystrokes van gebruikers, zoals
bankmedewerkers of van de afdeling betalingen van
een bedrijf.  Men kiest die partijen zorgvuldig
uit en probeert dan de sysemen te besmetten
(spear phishing attacks).  Daar kunnen online
transacties met alle security credentials
van dien bij zitten.

Er is in de Verenigde Staten nogal wat ophef
ontstaan over precies dit soort fraudes.
Binnen een maand waren er twee uitspraken in
gelijk aandoende gevallen las ik in Information
Week.  In de ene uitspraak ging de bank vrijuit
en kon het bedrijf naar zijn geld fluiten,
en omgekeerd: de bank moest vergoeden aan het
gedupeerde bedrijf.  Voor de klanten van banken
is dit heel vervelend nieuws, omdat je kennelijk
je geld niet altijd terugkrijgt.

Wat is er aan de hand?  We citeren uit
de juridische documenten: "As a result of
the actions of Experi-Metal's Controller, a
third-party obtained Experi-Metal's confidential
information to access its account with Comerica
and used that confidential information to
initiate fraudulent online wire transfers from
Experi-Metal's account to accounts in Russia,
Estonia, Scotland, Finland, and China, as
well as domestic accounts. These fraudulent
wire transfers occurred over an approximately
four and a half hour period on January 22,
2009, and caused $1,901,269 to be transferred
out of Experi-Metal's account."  Dus door een
beveiligingslek bij het bedrijf wordt de boel
leegehaald.

Toch moet de bank betalen want het online
betaalgedrag was dusdanig vreemd dat men dat
had moeten zien.  Jaren ervoor had het bedrijf
twee dergelijke transfers gedaan, en daarna
nooit meer (zet het dan tijdelijk uit!).
Ineens worden er in korte tijd 97 online
transacties gedaan om miljoenen op een zero
balance account te zetten en het daarna over te
maken naar banken in Rusland, Estland, en China met
vele Russisch klinkende rekeninghouders.  Had de
bank in goed vertrouwen gehandeld?  Dat is niet alleen
goed bedoelen maar ook verstandig zijn.
In de VS stelt men dat: pure heart and empty
head niet genoeg is voor goed vertrouwen.

In het andere geval werd aannemer Patco gehackt
en werd meer dan 588000 dollar van rekeningen
gehaald voordat dit ontdekt werd.  De bank haalde
daarvan nog 243000 terug maar de rest van het
geld kan Patco volgens de rechter naar fluiten.
Dit komt omdat de rechter meent dat deze bank
al het mogelijke heeft gedaan om zich aan de
beveiligingsrichtlijnen van de Federal Financial
Institutions Examinations Council te conformeren.

Men had software die verdachte transacties
kan traceren, en inderdaad werden er tijdens
de hack hogelijk verdachte transacties gespot
door de het transactie monitoring systeem.
Echter de bank deed er niets mee.  Dat is voor
mij hetzelfde als die systemen niet hebben: geeft
hetzelfde resultaat.  Toch oordeelt de rechter
hier heel anders.  Namelijk dat de bank geen
blaam treft en dat betekent dat het Amerikaanse
MKB het nakijken heeft als hun bank hard kan
maken zich aan richtlijnen te houden waarvan de
opstellers zelf al zeggen dat die achterhaald
zijn en ook al komen ze niet in actie!

Heel vervelend allemaal, maar hoe voorkom
je dit?  Een mogelijke aanpak naast het beter
herkennen van keyloggers is om aan keystroke
encryptie te gaan doen.  Dus als je dan een
accountnaam, wachtwoord of challenge question
intikt is die communicatie versleuteld zodat
een meeluisterend programmaatje niet mee kan
lezen en door kan sturen maar zodat er alleen
ruis op de lijn zit.  Daarnaast is uiteraard
echte two-factor authentication een  must.
Veel Internetbankier plezier!

X

Meer weten over de wondere wereld van ICT
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Prof. dr Chris Verhoef is hoogleraar informatica
aan de Vrije Universiteit in Amsterdam en
wetenschappelijk adviseur voor overheid en
bedrijfsleven.  Hij schrijft regelmatig een
column in AG II.  Hij is te bereiken via email:
x@cs.vu.nl.  Deze tekst is copyright SDU.  Niets
van deze uitgave mag zonder schriftelijke
toestemming van de uitgever worden overgenomen of
worden gepubliceerd.