AMSTERDAM/DEN HAAG - De wachtwoordbeveiliging voor online bankieren bij de Postbank is "gedateerd" en "antiek", zeggen deskundigen. De bank is daarom deels verantwoordelijk voor de eventuele gevolgen van een poging tot oplichting van klanten afgelopen weekeinde.

"Het enige geluk voor de Postbank was het gebrek aan kennis van de daders over de Nederlandse taal", verklaarde P. Vissers van computerrecherchebureau Fox-IT dinsdag over de Engelstalige nepmail.

Met een gebruikersnaam en zelfgekozen wachtwoord zijn saldogegevens op te vragen. Een statische code (TAN) is vervolgens genoeg om transacties uit te voeren. Klanten van de Postbank krijgen een lijst waarop de codes vermeld staan.

Doelwit

De bank gebruikt dit systeem al jaren. De meeste andere Nederlandse banken gebruiken inmiddels een kaartlezer die tijdelijk bruikbare codes uitspuugt. "Stukken veiliger", oordeelt Fox-IT. Vissers sluit niet uit dat de daders de Postbank daarom als doelwit hebben uitgekozen.

Duizenden klanten van de Postbank ontvingen zaterdag een Engelstalig mailtje met een link. Na doorklikken komen ze op een internetpagina die vraagt om hun gebruikersnaam, wachtwoord en TAN-code. Hoewel de truc nog steeds werkt, hebben zich nog geen gedupeerden gemeld bij de Postbank meldde een woordvoerder dinsdag.

Veilig

De bank gaat er van uit dat de verdachten zich in Rusland bevinden, maar het is nog niet gelukt om de nepsite uit de lucht te krijgen. De Postbank is ervan overtuigd dat het systeem met de statische TAN-codes veilig is. In een reactie laat de bank verder weten dat het ook de verantwoordlijkheid van de klant is om geen vertrouwelijke informatie af te staan.

Het bedrijf laat bovendien weten dat De Nederlandsche Bank (DNB) de methode erkend. Een woordvoerder benadrukt dat steeds meer mensen (inmiddels 60 procent van de internetklanten) de unieke TAN-codes op hun mobiele telefoon ontvangen.

Analyse

Uit een gedegen analyse op internet blijkt dat de nepmail is verstuurd vanuit de Amerikaanse staat Florida, de namen van de afzenders zijn zonder uitzondering Italiaans en in de programmeertaal duiken Spaanse termen op. Ontvangers die doorklikken komen uit op een Russisch internetdomein.

De Waarschuwingsdienst van de overheid die deelneemt aan het onderzoek naar de herkomst van de nepmail, laat de beschuldigingen over de beveiliging van de Postbank voor rekening van anderen. "Het zit best slim in elkaar", aldus een woordvoerder.

Aanvallen

Uit maandelijks onderzoek van de Anti Phishing Working Group (APWG) blijkt dinsdag verder dat het aantal aanvallen zoals deze geleidelijk toeneemt. In april werden meer dan 14.000 pogingen gesignaleerd. Het aantal nepsites dat 'hengelt' naar vertrouwelijke gegevens daalde. Gemiddels zijn deze pagina's maar enkele dagen online. Het aantal merken dat werd misbruikt beperkt zich tot 79, en banken zijn niet meer het belangrijkste doelwit.