Internetbankieren bij de ING is niet volgens een waterdichtsysteem. De beveiliging is deels te omzeilen door gebruik te maken van een PayPal of Click and Buy rekening. Volgens de website Crimesite zijn er al ING-rekeninghouders die hier een minder leuke ervaring mee hebben.
De manier waarop een fraudeur anoniem geld van de rekening van het slachtoffer kan halen is eigenlijk vrij eenvoudig. Via de zogenaamde phisingmailtjes worden de gebruikersnaam en het wachtwoord van het slachtoffer achterhaald. Zo´n phisingmailtje ziet er vaak uit alsof die van de ING af komt, daarin wordt dan gevraagd om je account te activeren of te verifiëren. Deze mailtjes komen uiteraard niet van de ING maar worden gebruikt om gebruikersnaam en wachtwoord te achterhalen.
Zodra de fraudeurs beschikken een gebruikersnaam en wachtwoord van een ING-rekeninghouder gaan zij over tot de volgende stap. Dat is het aanmaken van een Paypal of Click and Buy account. Deze bedrijven werken namelijk met een systeem waarbij er een bankrekening gekoppeld kan worden aan de Paypal of Click and Buy account. Ze doen dit door een klein bedrag te storten op de opgegeven rekening met als omschrijving een code. Met deze code kan vervolgens bij Paypal of Click and Buy de bankrekening worden geverifieerd want in theorie kan alleen de eigenaar van de bankrekening die code inzien.
Nadat de bankrekening en Paypal of Click and Buy account zijn gekoppeld kunnen de fraudeurs gaan shoppen op internet. Alle aankopen die ze doen worden vervolgens automatisch geïncasseerd van de bankrekening van het slachtoffer. Uiteraard is het voor het slachtoffer wel mogelijk om binnen 30 dagen het bedrag terug te laten storten op de rekening maar vaak is het leed dan al geschied.
Het mag duidelijk zijn dat deze vorm van fraude alleen mogelijk is bij banken die toegang bieden tot internetbankieren zonder het gebruik van een fysiek pasjessysteem. Dat is in Nederland alleen bij ING het geval, deze bank maakt gebruik van de zogenaamde TAN-codes die via SMS worden verstuurd. Deze TAN-codes hoeven echter niet te worden opgegeven bij PayPal en Click and Buy.
ING heeft laten weten inmiddels bekend te zijn met deze vorm van fraude maar geeft ook aan dat het zelden tot nooit voorkomt. De fout ligt bij Paypal, vinden zij. Daarnaast kunnen gedupeerden klanten het afgeschreven bedrag laten terugboeken. De ING ziet daarom op dit moment nog geen aanleiding om het systeem aan te passen. "Als maatregelen nodig zijn, grijpen we zeker in", aldus een woordvoerder van de ING.
Een voor de hand liggende oplossing zou zijn als de gebruiker na het inloggen met de gebruikersnaam en wachtwoord, ook nog een SMS-code moet opgeven om toegang te krijgen tot zijn of haar rekening.
17 uur geleden
