Spaarinformatie, de site voor informatie over sparen



Veilig internetbankieren (deel 3)

wo 24 maa 2010 door: SpaarInformatie

In het eerste deel zagen we welke drie stappen er nodig zijn om internetbankieren veilig te maken. Deel twee ging helemaal over de manier waarop banken de verbinding beveiligen. In dit laatste deel heeft SpaarInformatie de sites alle banken onder de loep genomen. Er zijn een aantal opmerkelijke zaken gevonden.

Nog niet alle banken gebruiken Extended Validation

Helaas maken nog veel banken geen gebruik van Extended Validation waardoor gebruikers via een groene adresbalk een extra bevestiging krijgen dat ze echt met de bank verbonden zijn. Zie ook deel 2 van deze serie. Fortis Bank springt in het oog als enige grootbank die deze nieuwe techniek nog niet gebruikt. De meeste banken die nog op de oude manier hun website beveiligen, zullen in de loop van 2010 en 2011 hun beveiligingscertificaten moeten vernieuwen omdat die dan aflopen. De verwachting is dat banken dan over zullen gaan naar de nieuwe Extended Validation.

Verborgen beveiliging

The Economy Bank (TEB) heeft zijn website zo opgezet dat het lijkt dat er geen beveiliging is. Het internet adres http://protected.ebanking.tebnv.nl/TEBonlinemain_0.htm begint met http:// (dus niet met https://). Er staat wel een plaatje van VeriSign Secure, maar dat wil natuurlijk nog niets zeggen. Bij nader onderzoek blijkt dat TEB gebruik maakt van frames, waarbij in de pagina weer een andere pagina geladen wordt. Deze pagina is wel degelijk beveiligd, alleen zal de gemiddelde internetgebruiker dit niet zien. TEB houd zich dus niet aan de 3x kloppen regels. De eerste vraag bij onder kopje "klopt de website van uw bank" is: "Begint de webpagina waarbinnen u internetbankiert altijd met https". Bij TEB is het antwoord dus: nee terwijl de website wel degelijk beveiligd is. TEB zou dit met een kleine aanpassing kunnen oplossen.

Ander internet domein

Bij het starten van internetbankieren is het altijd aan te raden om het internet adres te controleren. Is het echt de website van de bank? Dit om Phishing te voorkomen (zie deel 1). Slechts een handvol banken maakt dit voor klanten echt eenvoudig. Deze banken maken gebruik van één adres voor zowel het openbare gedeelte van hun site als voor het internetbankieren. Een voorbeeld is ASN Bank. ASN Bank heeft één adres voor alle diensten: https://www.asnbank.nl

Dan is er een grote groep banken die gebruik maken van een zogenaamd subdomein. Een voorbeeld hiervan is de Rabobank. De algemene site van de Rabobank is: http://www.rabobank.nl. Voor internetbankieren is dit https://bankieren.rabobank.nl. Hier zal niet zo snel verwarring ontstaan omdat nog steeds duidelijk is dat de site onderdeel is van rabobank.nl.

Een ander verhaal wordt het als banken een compleet andere website gaan gebruiken voor internet bankieren. Zo is de algemene site van Reaal: www.reaal.nl terwijl het adres voor internetbankieren www.reaal.bancairediensten.nl is. Vraag voor de klanten is dus: is reaal.nl gelijk aan bancairediensten.nl? Andere voorbeelden zijn:

www.fortisbank.nl www.fortisbanking.com
www.kasbank.nl www.kasweb.com
www.triodos.nl www.triodos-onlinebanking.nl
www.tebbank.nl protected.ebanking.tebnv.nl
www.westlandutrecht.nl mijnwestlandutrecht.nl

Doordat de adressen van de het internetbankieren zo anders zijn, zal een klant daar niet zo goed op letten. Zou een klant het opmerken als er www.kasnet.com of www.triodosonlinebanking.nl (zonder streepje) zou staan? Waarschijnlijk niet.

Een sokken webshop?

Tenslotte zijn we nog een heel bijzonder geval tegengekomen, namelijk Yapi Kredibank. Wat beveiliging betreft kan hier weinig misgaan, aangezien Yapi Kredi geen internetbankieren heeft. Toch is er een probleem. SpaarInformatie is er achter gekomen dat de provider van Yapi Kredi de server fout ingesteld heeft. Op dezelfde server als Yapi Kredibank draait ook de webshop http://www.mensocks.nl/ die een beveiligde omgeving heeft (dus met https). Yapi Kredi heeft zelf geen beveiligde omgeving. Als er dus niet http://www.yapikredi.nl maar https://www.yapikredi.nl wordt ingetypt, verschijnt er na een waarschuwing dat het beveiligingscertificaat niet klopt plotseling de site voor de verkoop van sokken!

[update] Het hierboven genoemde probleem is inmiddels opgelost.

Yapi Kredi Bank website

Conclusie

Zoals te verwachten hebben alle banken hun beveiliging op orde. Wel kunnen een aantal banken met wat kleine aanpassingen het gemakkelijker maken voor de klant om zelf een aantal checks te doen. Op die manier wordt de beveiliging een gemeenschappelijke zaak van bank én klant.

Discussieer mee

Nog vragen of opmerkingen over deze blog? Ga dan naar het SpaarInformatie forum

Advertenties