Veilig bankieren

"Als u zich aan de basisregels houdt, kunt u veilig online bankieren. Ken de vijf uniforme veiligheidsregels en handel ernaar."

Marco Doeland - Betaalvereniging Nederland

Hoe veilig is online bankieren?

Even de energierekening betalen of je rekeningoverzicht bekijken om te zien hoeveel geld je deze maand over hebt. Dankzij internetbankieren hoef je nooit meer naar de bank en heb je altijd toegang tot je rekeningen. Het laatste wat je wil is dat internetcriminelen toegang krijgen tot je bankrekening en je rekening leegplunderen. Maar hoe veilig is online bankieren eigenlijk en wat kun je zelf doen? En wat is CEO-fraude?

Marco Doeland - Manager Risk Management Betaalvereniging Nederland - legt uit.

Cybersecurity is het streven om schade door een verstoring, uitval of misbruik van ICT te voorkomen. En, indien het toch gebeurt, dit zo snel mogelijk te herstellen. Doelstelling van de Betaalvereniging en haar leden is om het gebruik van het elektronische betalingsverkeer veilig en betrouwbaar te houden voor de klanten van betaaldienstverleners en de betaaldienstverleners zelf. Het grote aantal betrokken partijen, de toenemende internationalisering, de hoge eisen aan de kwaliteit en beschikbaarheid en de vele transactievormen maken het betalingsverkeer complex. Daarbij geldt dat elke betaalketen zo sterk is als de zwakste schakel. Samenwerking tussen de schakels is noodzakelijk om de veiligheid en betrouwbaarheid van de hele betaalketen adequaat te waarborgen en waar nodig te verhogen.

Hoe veilig is online bankieren?
Online bankieren is veilig. Net zo goed als autorijden veilig is. Als u zich aan de basisregels houdt, kunt u veilig online bankieren. Ken de vijf uniforme veiligheidsregels en handel ernaar.
1. Houd uw beveiligingscodes geheim.
2. Zorg ervoor dat uw betaalpas nooit door een ander gebruikt wordt.
3. Zorg voor een goede beveiliging van de apparatuur die u gebruikt wordt voor uw bankzaken.
4. Controleer uw bankrekening.
5. Meld incidenten direct aan de bank en volg aanwijzingen van de bank op.

Wat doen de banken om online bankieren te beveiligen?
Banken nemen constant nieuwe maatregelen om het bankieren veilig te houden. Ze volgen de markt en de incidenten die in de markt plaatsvinden. De banken nemen preventieve maatregelen om de kans op een herhaling van fraude te verkleinen. Als er potentiële frauduleuze transacties toch succesvol lijken, proberen banken die te detecteren voordat ze worden uitgevoerd. In Nederland concurreren de banken niet op veiligheid. De kennis over incidenten en kwetsbaarheden wordt dan ook binnen de sector gedeeld, zowel binnen Nederland als in Europa. Daarnaast wordt de kennis gedeeld met o.a. de overheid en de politie. Met name door die kennisdeling en samenwerking worden banken steeds succesvoller in het bestrijden van fraude. Deze nationale samenwerking is uniek in Europa.

Voorlichting draagt zeker ook bij aan de lagere fraudecijfers van de afgelopen jaren. Banken informeren zelf hun eigen klanten. De Betaalvereniging verzorgt de overkoepelende voorlichtingscampagnes over veilig bankieren. Zo waarschuwen we bijvoorbeeld voor phishing via de campagne “Hang op! Klik weg! Bel uw bank!” en “Verstuur nooit uw betaalpas!”. Om jongeren bewuster te maken van het veilig online omgaan met hun financiën hebben we vorig jaar de campagne “Gebruik een bank app!” gelanceerd. Via http://www.veiligbankieren.nl/ communiceren we namens alle banken over onderwerpen die gerelateerd zijn aan veilig bankieren. Daar staat ook informatie voor de ondernemer, zoals informatie over RAT-malware in het MKB. Door mee te werken aan Alert Online proberen we nog meer bewustzijn te kweken.

Wat kun je zelf doen?
Ken de vijf uniforme veiligheidsregels en handel ernaar. Ze staan op www.veiligbankieren.nl. Maar ze staan ook vaak op de website van uw eigen bank. Ook kunt u bij uw bank vinden hoe de vijf uniforme veiligheidsregels concreet zijn ingevuld bij uw bank.

Welke praktisch tips(s)/tricks heb je zelf nog voor Nederlandse internetgebruikers die hen helpen alert online te zijn?

-Vaak is een bankactie het sluitstuk van een fraude zoals voorschotfraude of marktplaatsfraude. De fraude vindt dan niet plaats tijdens het bankieren maar tijdens het (online) proces ervoor. Hoe u online fraudepogingen kunt herkennen vindt u op www.fraudehelpdesk.nl.
- De bank vraagt u nooit om uw beveiligingscodes te geven of om uw betaalpas of inlogapparaat voor internetbankieren op te sturen, uw gegevens telefonisch af te geven of om op een website uw gegevens te controleren. U gebruikt de verificatiecodes alleen bij het inloggen op uw mobiel- of internetbankieren.
- Download de mobiel bankieren app via de officiële app store van uw smartphone of tablet.
- Log alleen in op internetbankieren door zelf de URL in te typen van uw bank; gebruik hiervoor nooit een link in een e-mail of een link op een andere webpagina dan uw bank. Geef uw inloggegevens dus nooit door in een telefoongesprek of als u via een e-mail wordt doorgestuurd naar een webpagina die op de inlogpagina van uw bank lijkt.
- Als je een aanbieding krijgt die te mooi is om waar te zijn, dan is die ook te mooi om waar te zijn. Trap er niet in. Twijfelt u over uw betaaltransactie: bel uw bank.
- Voor ondernemers in het algemeen: Gebruik ook bij vertrouwelijke (spoed)betalingen minimaal het vier-ogen-principe. Krijgt u onverwacht een dergelijk bericht van een hoger geplaatst persoon binnen uw bedrijf, verifieer dit dan altijd. Ook als specifiek in het bericht staat dat dit niet mag. Wees u ervan bewust dat fraudeurs ver gaan om u om de tuin te leiden. Gebruik daarom voor de verificatie van een betaalopdracht altijd de bij u bekende contacten. Een in Nederland nog relatief nieuw fenomeen is CEO-fraude: oplichters doen zich voor als CEO van internationale ondernemingen, om zo bedrijven te verleiden geld over te maken op hun rekening.Onderaan vindt u ook het verhaal van Johan Fransen, slachtoffer van CEO fraude.
- En voor de MKB-er: houdt contact met VNO-NCW/MKB. Zij werken samen met andere organisaties zoals politie en de Betaalvereniging om u te informeren waar u in uw bedrijf op moet letten.

Waar zou je lezers naar toe sturen voor meer informatie?

www.veiligbankieren.nl
www.mkb.nl/publicaties
www.fraudehelpdesk.nl

CEO-fraude. Het verhaal van Johan Fransen.
Dit is in Nederland een relatief nieuw fenomeen. In het buitenland bestaat het al langer. Oplichters doen zich voor als CEO van internationale ondernemingen, slim gebruikmakend van digitale speur- en fakemogelijkheden, om zo bedrijven te verleiden grote sommen geld over te boeken op hun rekening. Zorg dat u weet hoe fraudeurs te werk kunnen gaan, informeer uw medewerkers en voorkom dat in uw bedrijf CEO-fraude plaatsvindt.

Johan Fransen is algemeen directeur van Taaltrainingen BV. Aan het einde van de werkdag komt Adrie naar hem toe met een betaalverzoek. Johan werkt al twintig jaar met hem samen en hij kent Adrie als een uiterst betrouwbare werknemer op de afdeling Finance. Alle informatie die Johan nodig had om de boeking te kunnen beoordelen, leek er te zijn. Steve Jefferson, sinds vier maanden directeur van het Amerikaanse moederbedrijf, had Adrie telefonisch dringend verzocht om snel vier ton over te maken voor de overname van een Chinees bedrijf. Drie dagen later zouden ze dat geld weer terug krijgen.

“Dat Steve nieuw was, heeft een rol gespeeld: nieuwe bezems vegen schoon, je wilt graag meewerken.”

Er speelde in die tijd ook een andere overname in Zweden, dus waarom niet ook eentje in China? Want daar had Steve het over gehad tijdens zijn bezoek aan de vestiging in Nederland. Dat was plausibel. En snelheid en geheimhouding, waar de pseudo-Steve, want dat was hij, op aandrong bij Adrie, horen niet zelden bij overnameprocessen. In perfect Amerikaans legde ‘Steve’ Adrie uit dat hij ook hun financieel directeur, Karin de Jong, al over de zaak had gesproken. Slim van hem. ‘Steve’ wist dat zij de deur uit was. Hij had haar nét daarvoor mobiel proberen te bellen. Van de receptie hoorde hij dat ze weg was. Hij had zich daarom laten doorverbinden met Adrie. In anderhalf uur hebben ze zeven keer telefonisch contact.

‘Steve’ leverde de naam en het e-mailadres van een advocaat, die per e-mail een mandaat afgaf voor de betaling, plus de betaalgegevens. Adrie had het advocatenkantoor, die de overname van het Chinese bedrijf begeleidde, op internet gevonden maar er helaas geen contact mee opgenomen.

Toen Adrie om 17.10 uur naar Johan toe kwam, was hij ervan overtuigd dat het geld zo snel mogelijk overgemaakt moest worden. Hoewel Johan al op het punt stond om naar huis te gaan heeft hij die boekingen van twee keer € 200.000 die Adrie al had klaar gezet, nog even snel opgevoerd. Als hij tien minuten gewacht had, was Johan zeker gaan twijfelen en éérst gaan verifiëren. Nu kwam dat gevoel te laat.

Direct na de boeking begint Johan te twijfelen. Hij heeft contact met Karin, de financieel directeur, en belt om 19.10 uur met de topman van de Engelse vestiging. Zij weten beiden niets over een overname van een Chinees bedrijf. Johan weet nu 100 procent zeker dat het foute boel is. Hij doet vervolgens al het mogelijke om het geld weer terug te krijgen.

Om 19.45 krijgt Johan de eerste medewerker van de fraudedesk van de bank aan de lijn. Er wordt speciaal iemand op de zaak gezet: Michiel. Van hem krijgt Johan het gevoel dat hij alles doet wat mogelijk is. Ook als er geen ontwikkelingen waren, nam Michiel contact op. Michiel kon zich verplaatsen in de precaire situatie waarin Johan terecht was gekomen en handelde daar ook naar.  

Johan heeft geluk gehad: op 5 april werd het geld overgeboekt, en op 11 april was het weer terug. Het had ook héél anders kunnen lopen.

Johan verwijt zichzelf dat hij onvoorzichtig is geweest. De fraudeurs zijn echter zéér geraffineerd bezig geweest. Zij hebben zich grondig voorbereid en psychologisch doortrapt gebruik gemaakt van hiërarchische verhoudingen binnen het bedrijf.

Johans belangrijkste tips voor iedereen waar CEO-fraudeurs hun pijlen op zouden kunnen richten: “Laat je niet imponeren door de status van hoge functies, blijf nuchter nadenken en check elementaire dingen: heb ik écht gesproken met de hoogste directeur? Doelwit zijn vaak internationale bedrijven, waar nét een nieuwe CEO is aangetreden. Dat checken van een identiteit kan in een korte tijdspanne: want dat is óók een vast ingrediënt van CEO-fraude, een zeer hoge tijdsdruk genereren. En hou je aan het vier-ogen-principe: laat altijd twee mensen van het management een betaling fiatteren.”

(Alleen de namen en de bedrijfsnaam in dit interview zijn gefingeerd, de feiten kloppen allemaal).Tekst gebaseerd op een artikel van ABN AMRO: Joep Auwerda. Dit ervaringsverhaal is gedeeld door Betaalvereniging Nederland.