Een veel gebruikte manier van frauderen is het gewillige slachtoffer, vertelde het hoofd beveiliging van een grote bank op het symposium van instituut CTIT. Het slachtoffer weet niet dat zijn browser is geïnfecteerd. Als je ingelogd bent bij je bank kan het voorkomen dat je extra pixels op je scherm ziet. Voor jou oogt dit normaal, maar eigenlijk zijn er door een ‘trojan’ op het scherm extra regels toegevoegd die in feite niet bestaan.
Deze regels zijn vaak een bijschrijving op je account. Dit geld is echter nooit daadwerkelijk bijgeschreven. De fraudeur belt je vervolgens op en vertelt dat er per ongeluk geld naar jou is overgemaakt. Als eerlijk mens boek je het geld natuurlijk terug naar de fraudeur. Omdat je die transactie helemaal zelf doet is ie door de bank niet tegen te houden.
Money mules
Banken kunnen deze vorm van fraude herkennen door grafische fouten. Er worden bijvoorbeeld punten in plaats van komma’s gebruikt en vice versa. Fraudeurs zijn daarom overgestapt op andere vormen van frauderen, met behulp van zogenaamde money mules, bleek tijdens de lezing.
Money mules zijn tussenpersonen naar wie het geld in eerste instantie wordt overgeboekt. Het probleem is volgens de bankbeveiliger niet de fraude zelf, maar de money mules. Daarom laten banken, terwijl ze weten dat een bepaald account geïnfecteerd is, de klant toch transacties maken. Het liefst zelfs zo veel mogelijk transacties, want elke transactie kan naar een money mule leiden.
Geen fraude met app
Mobiele applicaties daarentegen zijn juist ontzettend veilig. Er is geen authenticatie, enkel een simpele pincode van 5 cijfers en toch is er helemaal geen fraude te zien bij het gebruik van de applicatie, hoorde het CTIT-publiek.
Dat heeft volgens de beveiliger een heel simpele reden. Het is voor fraudeurs te duur om een trojan te schrijven voor de mobiele applicatie, terwijl het heel goedkoop is om een trojan te schrijven voor het web.
Webbrowser krijgt zelden updates
Hiervoor zijn twee redenen. Ten eerste kan de trojan voor de mobiele applicatie maar voor één bank gebruikt worden, aangezien apps veel verschillen per bank. Daarnaast zijn er zo vaak updates voor de apps dat een trojan nooit lang meegaat. Een webbrowser krijgt zelden updates waardoor een trojan daar een veel langer leven leidt.
Het CTIT-symposium vond dinsdag plaats in de Waaier. Er waren ook lezingen van het hoofd inspectie van de politie Elle de Jonge en wetenschappers Thorsten Holz (Bochum) en Andreas Peter (UT).