AMSTERDAM - Klanten van ING kunnen het slachtoffer worden van een kwetsbaarheid in het systeem van de bank. Fraudeurs kunnen de zogeheten TAN-codes omzeilen. Met die codes moet een legitieme gebruiker betaaltransacties normaliter autoriseren.

Het lek is wereldkundig gemaakt door de website crimesite.nl. ING bevestigt dat de fraude mogelijk is.

De kern van het beveiligingsprobleem is dat klanten van ING met steeds dezelfde inloggegevens bij hun rekeningoverzicht kunnen.

Fraudeurs kunnen zich in een e-mail voordoen als de bank om zo die inloggegevens afhandig te maken. Ook kan de computer van een gebruiker besmet zijn met een virus dat deze gegevens aftapt.

Toegang

Met de inloggegevens krijgen fraudeurs inzage in de bij- en afschrijvingen van een rekening. Zelf transacties verrichten kan in principe niet. Maar sommige internetbetaalsystemen werken op basis van automatische incasso.

Die kan worden vrijgegeven doordat het systeem een proeftransactie doet, die de gebruiker moet bevestigen. Maar in het systeem van ING kan ook een fraudeur bij deze gegevens.

Fraude

Als een account bij een dergelijk betaalsysteem eenmaal aan de betaalrekening is gekoppeld, kunnen bedragen via het systeem van de rekening worden afgeschreven. De gebruiker kan dat alleen zien door zijn transactieoverzicht in de gaten te houden en te controleren op verdachte afschrijvingen. Internetbetaalsystemen waarmee deze vorm van fraude mogelijk is, zijn Paypal en Click and Buy.

De ING laat in een reactie weten dat deze vorm van fraude inderdaad mogelijk is. De fraude zou echter slechts 'heel incidenteel' voorkomen. Een woordvoerder van de bank benadrukt dat klanten zelf verantwoordelijk zijn voor de geheimhouding van hun gegevens.

"We houden de aanpak van cybercriminelen in de gaten. Het gebruiksgemak is echter ook belangrijk. Ons systeem voldoet aan de eisen van de toezichthouder, De Nederlandsche Bank."

Overige banken

De internetbankiersystemen van andere Nederlandse banken zouden volgens crimesite.nl niet gevoelig zijn voor dit beveiligingslek, omdat daar ingelogd moet worden met veranderlijke codes. Die codes worden toegestuurd per sms of aangemaakt door een speciaal apparaatje waar de pinpas in gestoken moet worden.

Crimesite.nl werd getipt over deze methode en kreeg ook lijsten te zien met inlognamen en wachtwoorden van gedupeerde ING-rekeninghouders. Dat zou betekenen dat het niet gaat om een theoretische fraudeermethode.