AMSTERDAM - De Postbank heeft maatregelen getroffen om te voorkomen dat criminelen de rekeningen van Postbankklanten kunnen plunderen door misbruik te maken van een zwakte in de internetbankomgeving.

Het lek zat in een relatief weinig gebruikt onderdeel van de online betaaldienst van de bank, zo meldt Webwereld. Om een overboeking te doen, hebben rekeninghouders van de Postbank een zogenoemde TAN-code nodig, bestaande uit zes cijfers. Die codes worden normaliter verstrekt op een papieren lijst, of verzonden per sms. De bank kende tot vrijdag echter ook een telefoonnummer waar klanten de code zelf konden opvragen.

Dat telefoonsysteem controleerde de identiteit van de klant alleen door nummerherkenning. Kwam het telefoonnummer waarmee werd gebeld overeen met dat van de rekeninghouder, dan kreeg die een TAN-code. 

Vervalsen
Het is voor kwaadwillenden echter een koud kunstje om het telefoonnummer met behulp van eenvoudige software te vervalsen - het zogenoemde 'Caller ID Spoofing'. Zo kunnen ze de TAN-codes van Postbankklanten opvragen.

De Postbank had het lek al enige tijd geleden opgemerkt, en informatie over de telefoonlijn van zijn website verwijderd. Naar aanleiding van publicaties in Webwereld besloot de bank de dienst vrijdag versneld af te sluiten.

Phishing
Om van het lek misbruik te maken, moeten cybercriminelen ook de gebruikersnaam en het wachtwoord van hun slachtoffer onderscheppen. Pogingen daartoe vinden vaak plaats via 'phishing'-mailtjes, vervalste e-mails die afkomstig lijken van de bank en waarin de ontvanger wordt opgeroepen zijn persoonlijke gegevens aan de afzender te verstrekken. Ook sommige virussen kunnen wachtwoorden voor bankdiensten onderscheppen.

De Postbank heeft de telefoonlijn vrijdag naar aanleiding van de ontdekking buiten bedrijf gesteld. De bank zegt tegenover Webwereld niet te weten of er misbruik van het lek is gemaakt, maar acht die kans klein.