Digi-Terras.
Beste lezers, vandaag gaan we in onze wekelijkse Digi-Terras blog weer verder met de nieuwe ontwikkelingen in de ICT na een ontspannen weekje krokus vakantie. Uiteraard zijn er weer zaken waarvan wij van Digi-Terras ons afvragen of de digitalisering nog wel de juiste kant op gaat in Nederland. Maar goed, er moeten waarschijnlijk eerst weer schrijnende gevallen voorkomen voordat er actie wordt ondernomen.
We zullen ook gelijk maar met de deur in huis vallen, want deze afgelopen week las ik weer dat er een oude man van 89 was opgelicht en van al zijn spaargeld werd beroofd door valse bankmedewerkers (weer een gedupeerde bank klant). Gelukkig was er nog wel een positief lichtpuntje te bekennen in het land, en dat was dat een wethouder speciaal voor de ouderen in zijn woonplaats apart een geldmaat liet installeren zodat ouderen makkelijker bij hun geld konden komen (Alle lof by the way voor de desbetreffende wethouder die om zijn inwoners geeft).
Nu zijn er mensen die dit lezen en denken, het zal toch wel veilig zijn, of denken dat het hun niet zou overkomen. De banken zijn diegene die mensen pushen om zoveel mogelijk hun financiële zaken via hun telefoon te doen want het is veilig, het is niet waterdicht dus het is een vals voorwendsel ten gunste van hunzelf en hun bank want hoe efficiënter de bank wordt gerund des te meer voor de managers bovenin. Bij deze kan ik de mensen mededelen dat alle financiële zaken via de telefoon een valse illusie van veiligheid is want de ICT is constant in ontwikkeling en er zijn ook hackers die constant andere manieren weten te vinden om ergens binnen te komen om zo hun doel te bereiken. (Helft webshops in Nederland zijn niet goed beveiligd en zijn zo lek als een mandje). We zullen even een voorbeeld geven omtrent het gebruik van telebankieren via de telefoon en dat het een valse illusie is van schijnveiligheid.
Waar het fout gaat is dat er vanuit de Google play store geïnfecteerde apps binnen kunnen komen op je telefoon, en als dat lang onopgemerkt blijft kunnen de financiële zaken die je via de bankapp doet nadelig uitpakken voor de desbetreffende persoon. De banken geven niet thuis, want die hebben zich wettelijk al ingedekt met het verhaal dat je zelf verantwoordelijk bent voor je handelen; met andere woorden wel zaken doen via de bank, maar geen verantwoordelijkheid dragen voor zijn klanten wat natuurlijk niks meer te maken heeft met degelijk handelen, maar meer heeft te maken met éénzijdig handelen in eigen belang van de bank.
Deze week had een security-bedrijf malware gevonden in een android-app in de Google Play Store. Deze malware is in staat om via mobielbankierenapps zonder tussenkomst van de mens geld van bankrekeningen te stelen.(Geïnfecteerde apps). De app waar het om gaat heet coincalc en zodra deze op een telefoon is geïnstalleerd vraagt ze gebruikers om een update of plug-in te installeren die zich voordoet als Google Play Protect. Google Play Protect checkt apps als je deze installeert.
Play Protect staat dus op de meeste smartphones, en als een app vraagt om het te downloaden, dan is er iets niet in de haak. Volgens Digi-Terras is dat ook het geval voor coincalc. De xenomorph-malware in de app maakt gebruik van het ATS (Automated Transfer Systems) framework om via bank apps geld te stelen van bankrekeningen. ATS maakt het namelijk mogelijk om inloggegevens en saldogegevens op te vragen. Daarnaast kunnen multifactorauthenticatie-tokens wordt gestolen en transacties volledig geautomatiseerd worden. Zonder dat er een mens aan te pas komt. (Mocht je er zelf snel achter komen dat je een geïnfecteerde app hebt staan op je telefoon dan zo snel mogelijk de app verwijderen).
Hoe zit het dan met de tweestapsauthenticatie?
De banken geven aan dat ze tweestapsauthenticatie via sms geleidelijk inwisselen voor multifactorauthenticatie. Die beveiligingslaag is niet altijd veilig gebleken zo blijkt uit een onderzoek waarbij oplichters makkelijk je account kunnen hacken als de schermvergrendeling met een pincode is beveiligd. Bij tweestapsauthenticatie wordt er vaak gebruik gemaakt van authenticator-apps die op dezelfde telefoon staan als de banken-app. Op deze manier kan de malware frauduleuze transacties uitvoeren op de telefoon. (Volgens de analyse kan de xenomorph-malware in coincalc deze gevoelige informatie uit 400 bank-apps stelen), kortom alle mobielbankierenapps van de banken zijn dus niet waterdicht.
Ok mensen, dit was weer de wekelijkse Digi-Terras blog met daarin de gewekte illusie van banken dat het mobiel bankieren allemaal veilig is, en dat is dus naar onze mening dus niet waterdicht en onacceptabel voor klanten van een desbetreffende bank.
Mvg,
Marcello. Android & Windows.
John. Linux & Windows.
Walther. Public Relations.
Kevin. Hub Base Web Design.
(Voor vaste klanten bereikbaar op Whatsapp en Telegram).