Mobiele bankapps moeten adequater beveiligd worden tegen slimme babbeltrucs
Banken zijn inmiddels veel te ver doorgeschoten in de bedieningseenvoud van hun QR-code scanners binnen mobiele bankapps. Hiermee neemt de gebruikersveiligheid van de betroffen bankapps af en de kans op misbruik juist toe. Door overmatig te vertrouwen op impliciete of passieve gebruikerskeuzes binnen hun QR-code scanners laten banken de deur op een flinke kier staan voor geavanceerde babbeltrucs.
Door een slimme babbeltruc in combinatie met het scannen van een QR-code via de mobiele bankapp kunnen oplichters er vervolgens met de volledige inhoud van jouw bankrekening vandoor gaan. Het is onduidelijk hoe vaak dit misbruik precies wordt toegepast. Duidelijk is inmiddels wel dat er sprake is van een ernstige beveiligingsomissie binnen mobiele bankapps.
Gebruikersveiligheid bestaat naast de technische veiligheid
Mobiele bankapps zijn vanwege hun toegesneden ontwerp in technisch opzicht pertinent veiliger dan internetbankieren via een webbrowser. Bankapps blijken in de praktijk nauwelijks te hacken en vallen voor waakzame consumenten daarom duidelijk te verkiezen boven internetbankieren.
Naast een dergelijke hoog aangeschreven technische veiligheid bestaat er echter ook nog zoiets cruciaals als gebruikersveiligheid. Gebruikersveiligheid is vanzelfsprekend een factor van betekenis, omdat een keten nu eenmaal zo sterk is als zijn zwakste schakel. Gebruikersveiligheid heeft o.a. betrekking op de interne toegankelijkheid van een apparaat in combinatie met het (on)voorspelbare gedrag van gebruikers. Een te ver doorgevoerde interne toegankelijkheid leidt vaak tot een afname van de gebruikersveiligheid.
Een concrete afname van de gebruikersveiligheid kan bijvoorbeeld het gevolg zijn van een doorgeschoten bedieningseenvoud van een apparaat. Als er onvoldoende sprake is van ‘actieve terugkoppeling’ of ‘checks and balances’ tijdens de bediening van willekeurig welk apparaat, dan liggen ongelukken, misverstanden of in dit geval misleiding op de loer. Denk bijvoorbeeld maar eens aan een potentieel gevaarlijk apparaat zonder simultane bedieningsknoppen, handgrepen, beschermkappen en overige veiligheidsvoorzieningen. Uiterst toegankelijk, maar juist daardoor behoorlijk gebruikersonveilig!
Gebruikersveiligheid van QR-codes binnen mobiele bankapps vormt een issue
Door met de komst van de QR-code scanner binnen mobiele bankapps enkele jaren geleden de bedieningseenvoud nadrukkelijk voorop te stellen, is er wat mij betreft door banken te veel ingeleverd op de gebruikersveiligheid. Door overmatig te vertrouwen op impliciete of passieve gebruikerskeuzes binnen hun QR-code scanners laten banken de deur op een flinke kier staan voor geavanceerde babbeltrucs. Door een slimme babbeltruc in combinatie met het scannen van een QR-code via de mobiele bankapp kunnen oplichters er vervolgens met de volledige inhoud van jouw bankrekening vandoor gaan.
Enerzijds kun je door het scannen van een QR-code met jouw mobiele bankapp een externe webbrowser op een willekeurige PC, tablet of mobiel toegang geven tot jouw gepersonaliseerde omgeving voor internetbankieren. Deze mogelijkheid bestaat bij de meeste banken. Anderzijds kun je door het scannen van een QR-code met jouw mobiele bankapp het betalen van een rekening of een overschrijving goedkeuren. Deze mogelijkheid bestaat bij alle banken.
De uiteindelijk uit te voeren actie wordt duidelijk op jouw mobiele scherm getoond, voordat jij jouw verplichte identificatiecode kunt intoetsen. Niettemin blijft het bij een impliciete of passieve melding die in de praktijk gemakkelijk over het hoofd kan worden gezien. De enige keuze die de gebruiker na het scannen van een QR-code heeft, is om door te gaan met de bewerking of om deze bewerking af te breken. Het vóórafgaand aan het scannen ontbreken van een expliciete of actieve gebruikerskeuze met betrekking tot het inloggen op internetbankieren enerzijds of het betalen van een rekening anderzijds is het direkte gevolg van de doorgeschoten bedieningseenvoud.
Gevaar van impliciete of passieve gebruikerskeuzes in stresssituaties
Met het inzetten van slimme babbeltrucs kan vrij eenvoudig misbruik worden gemaakt van het ontbreken van een dergelijke expliciete of actieve gebruikerskeuze vóórafgaand aan het scannen van een QR-code. Het reële gevaar van een impliciete of passieve keuze is dat onervaren gebruikers, gestreste gebruikers of gebruikers onder druk mogelijk het inloggen op internetbankieren via een externe webbrowser goedkeuren, terwijl ze daarentegen in de veronderstelling verkeren dat ze een reguliere betaling goedkeuren.
Dit is het mogelijke gevolg van het feit dat gebruikers slechts met een impliciete of passieve melding worden geconfronteerd in plaats van dat ze vóórafgaand aan het scannen van een QR-code worden verzocht om een expliciete of actieve keuze te maken. Anders geformuleerd, het potentiële gevolg van eerder benoemde bedieningseenvoud.
Oplichters maken hier heel handig misbruik van door gebruikers van de mobiele bankapp via een babbeltruc over te halen zogenaamd een betaling goed te keuren, terwijl gebruikers na het scannen van een misleidende QR-code feitelijk volledige toegang verlenen tot internetbankieren via een externe webbrowser. Een handlanger op afstand – die de dynamische QR-code voor toegang tot internetbankieren doorzet naar de tablet of de mobiel van de oplichter – krijgt op deze manier volledige toegang tot iemands gepersonaliseerde omgeving voor internetbankieren.
Om een concrete overschrijving goed te keuren, moeten gebruikers weliswaar nogmaals een QR-code scannen en goedkeuren. Onder het mom van ‘de verbinding viel even weg’ laat de oplichter de nietsvermoedende slachtoffers vervolgens nogmaals een QR-code scannen. Eindresultaat is dat de rekening van de nietsvermoedende slachtoffers volledig wordt leeggeplunderd. Het is onduidelijk hoe vaak dit misbruik precies wordt toegepast. Duidelijk is inmiddels wel dat er sprake is van een ernstige beveiligingsomissie binnen mobiele bankapps.
Hoe babbeltrucs jouw rationele bewustzijn overladen met informatie
Het onderscheid tussen het scannen van een QR-code voor een betaling of een QR-code voor toegang tot internetbankieren wordt vanuit het oogpunt van de bedieningseenvoud slechts impliciet of passief binnen de mobiele bankapp getoond. Nogmaals, dit betekent dat er – voorafgaand aan het intoetsen van jouw verplichte identificatiecode – een duidelijke melding op jouw mobiele scherm wordt getoond met betrekking tot aan welke actie jij aanstonds jouw goedkeuring verleent. De enige keuze die jij op dat moment kunt maken is doorgaan of afbreken.
De belangrijkste karakteristiek van een babbeltruc is echter om jou op het juiste moment te overladen met informatie (zgn. ‘informatie-overload’). In dit specifieke geval wordt hiermee voorkomen dat de impliciete of passieve informatie over het inloggen op internetbankieren jouw rationele bewustzijn bereikt. Onder zulke omstandigheden kunnen gebruikers er onbedoeld voor kiezen om toch door te gaan met het inloggen op internetbankieren via een externe webbrowser. In welk geval de oplichter is geslaagd in zijn opzet.
Een berucht voorbeeld van zo’n mankerende impliciet of passief getoonde melding betreft de ING en de voorheen bestaande mogelijkheid om middels het scannen van een QR-code een tweede mobiele apparaat aan jouw bankrekening te koppelen. Een duidelijk getoonde melding hierover werd – geheel overeenkomstig de huidige getoonde meldingen na het scannen van een QR-code – impliciet of passief op het mobiele scherm van de gebruiker weergegeven.
Uiteindelijk heeft de ING deze mogelijkheid definitief uitgeschakeld vanwege doorlopend misbruik door oplichters met hun slimme babbeltrucs. Een dergelijke casus toont als geen ander aan dat impliciete of passieve meldingen binnen mobiele bankapps hun doel gemakkelijk voorbij kunnen schieten.
Expliciete of actieve gebruikerskeuzes maken babbeltrucs lastiger
Indien de keuze voor het scannen van een QR-code voor een betaling of een QR-code voor toegang tot internetbankieren expliciet of actief wordt gemaakt, dan is het voor oplichters een stuk lastiger om gebruikers heimelijk een code voor toegang tot internetbankieren voor te schotelen.
Als gebruikers vóórafgaand aan het scannen van een QR-code een duidelijke expliciete of actieve keuze moeten maken, dan wordt voorkomen dat ze onder invloed van een zgn. ‘informatie-overload’ cruciale impliciete of passieve informatie op hun mobiele scherm kunnen negeren. Een en ander valt – zonder de bedieningseenvoud substantieel te schaden – als volgt te implementeren. Telkens na het aanraken van het symbool voor het scannen van een QR-code in de mobiele bankapp wordt de gebruiker een scherm getoond met twee overduidelijk te onderscheiden mogelijkheden:
A. Toegang verlenen tot internetbankieren via een externe webbrowser
B. Betaling of overschrijving goedkeuren
Na het maken van de gewenste keuze accepteert de mobiele bankapp voor dat moment alleen nog maar QR-codes overeenkomend met deze keuze. In technisch opzicht bestaat deze onderscheidende keuze reeds binnen de bankapp teneinde de juiste melding aan een QR-code te kunnen koppelen. Echter door deze keuze vóórafgaand aan het scannen van een QR-code op een expliciete of actieve manier via het mobiele scherm te laten bevestigen door gebruikers, kan deze keuze niet meer met slimme babbeltrucs worden omzeild.
Het betekent tenslotte een substantiële verbetering van de gebruikersveiligheid als banken hun mobiele bankapps aanpassen naar aanleiding van bovenstaande bevindingen en aanbevelingen.
Dit artikel is met de grootst mogelijke zorgvuldigheid tot stand gekomen. De auteur aanvaardt niettemin geen enkele aansprakelijkheid in relatie tot de onderwerpen die binnen dit artikel worden beschreven.
Art Huiskes (onderzoeksjournalist)
Dit bericht is geplaatst op ons open Business channel en valt buiten de verantwoordelijkheid van de redactie.
Lees de Frankwatching-artikelen over Alle artikelen of Digital business.