Betaalvereniging: gebruik geen Explorer
Betaalvereniging Nederland waarschuwt bankklanten om geen Internet Explorer meer te gebruiken bij het internetbankieren. Dat zei adjunct-directeur Gijs Boudewijn zaterdag in Kassa. Eerder op de dag bleek uit onderzoek van NU.nl en beveiligingsbedrijf SecureLabs dat transacties van consumenten in verschillende browsers te zien en te manipuleren zijn door de versleuteling van internetverbindingen uit te schakelen.
De banken hebben al maatregelen genomen om het beveiligingslek te dichten, zo liet het Nationaal Cyber Security Centrum al weten. Maar de nieuwe techniek die fraude met de transacties moet voorkomen, het zogeheten HTTP Strict Transport Security (HSTS), wordt volgens NU.nl nog niet door elke bank en browser ondersteund. Zo zou Microsoft de ondersteuning pas in de volgende versie van Internet Explorer voor elkaar hebben. Google Chrome, Safari en Mozilla Firefox ondersteunen het nieuwe protocol wel.
Voor zover bekend is er nog nooit geld gestolen dankzij een uitgeschakelde versleuteling, maar Betaalvereniging Nederland vreest dat dat nog steeds kan gebeuren. "De eerlijkheid gebiedt me te zeggen, dat je als je het zeker wilt weten, je een andere browser moet gebruiken tot Internet Explorer is aangepast", aldus Boudewijn.
Om banktransacties te manipuleren is een wifi-hotspot nodig waarop speciale software kan worden geïnstalleerd. Terwijl de verbinding naar de bank gewoon versleuteld is, kan de hotspot de beveiligde verbinding naar de gebruiker dan uitschakelen. Omdat er wel een 'slotje' in de url-balk zichtbaar is, valt dat haast niet op.
Na een transactie kan de software automatisch het bankrekeningnummer van de begunstigde aanpassen, zodat het geld naar kwaadwillenden wordt overgemaakt. Uit testen van SecureLabs blijkt dat de truc ook via boekingssites en webwinkels werkt.
