Reclamefolder
Verleden week ontving ik een reclamefolder, verzonden als e-mail, van de Rabobank. Wij zijn klant van die bank. Het duurde toch wel een paar minuten voordat ik overtuigd was dat het bericht van de Rabo afkomstig was en niet van een crimineel. Banken moeten onmiddellijk ophouden met het versturen van deze verwarrende berichten per email. Banken moeten überhaupt ophouden om e-mail te gebruiken als een marketinginstrument.
Cybercriminaliteit
Cybercriminaliteit gericht op banken neemt schrikbarend toe. Waarschijnlijk zien we slechts het topje van de ijsberg, want banken zijn aanhangers van de filosofie van de “gesloten veiligheid”. Die geheimzinnige houding houdt in dat de banken geen informatie verstrekken over hoe hun computersystemen beveiligd zijn en dat ze ook slechts summier meldingen doen over hoeveel schade ze lijden door cybercriminaliteit. ICT- vakmensen beschouwen gesloten veiligheid als onveilig. Voor de banken is het gesloten model, dat de vuile was binnenhoudt, vooral bedoeld om te voorkomen dat de buitenwereld ziet wat voor een puinhoop hun digitale verdediging is. Helaas voor banken houdt je hackers niet buiten door ze niks te vertellen. Die hackers vinden de gaten toch wel.
Keer op keer zie je dat banken van veiligheid weinig snappen. Een paar dagen geleden heeft Bruce Schneier, een wereldberoemde veiligheidsexpert, op zijn blog gewezen op een recent artikel van wetenschappers van het Computer Laboratory, University of Cambridge, UK met een populaire beschrijving. In dat wetenschappelijke artikel wordt uitgebreid gerapporteerd over de onveiligheid van betaalautomaten. Wat mij nog het meest schokte in dat artikel is dat daarin staat dat banken expres bestanden wissen om hun schuld aan hack-incidenten van de pinautomaten te verbergen.
Phishing
Een vorm van fraude, waarschijnlijk de grootste, zijn de phishing e-mails. Dat zijn e-mailberichten die lijken afkomstig te zijn van vertrouwde financiële instellingen, maar die in werkelijk afkomstig zijn van criminelen. In die phishing berichten wordt de ontvanger onder valse voorwendsels gevraagd om gevoelige informatie, zoals inlogcodes, op een webformulier in te vullen. Als de gebruiker deze informatie ingetypt en verzonden heeft, wordt er binnen de kortste keren geld van zijn rekening gestolen. Het probleem met deze phishing e-mails is dat de banken schade geleden door klanten niet zullen vergoeden, tenzij gedupeerden er een grote heisa over te maken. Want dan dreigt de imagoschade.
Hoe spot je phishing?
Als klanten naar de site van hun bank navigeren, worden ze meteen gewaarschuwd om niet op phishing e-mailberichten in te gaan. Die waarschuwingen worden herhaald als klanten overschrijvingsopdrachten digitaal willen versturen.
Een complicatie voor de consument is dat de criminele phishing e-mails er heel professioneel uitzien. Niet van echt te onderscheiden. Als de zender van het bericht een notoire crimineel is, zal als de bankklant op een link klikt in de e-mail de browser (Chrome, Firefox, Safari …) de klant waarschuwen voor deze criminele poging. Maar de browsers vinden zeker niet alle phishing websites.
De opmaak van de phishing berichten is zo mooi omdat de berichten zijn opgemaakt als webpagina’s (geschreven in html). Ik heb mijn e-mailprogramma zo ingesteld dat het programma ontvangen berichten kaal laat zien, dus zonder webpagina-opmaak. Op die manier zijn phishing berichten voor mij veel sneller te spotten, o.a. omdat ze van hele vreemde namen van websites gebruik maken en het formulier niet zenden naar adressen zoals www.rabo.nl. Als uw e-mailprogramma wel e-mail als opgemaakte webpagina laat zien (meestal de standaardinstelling) dan ziet u die vreemde namen van websites niet.
Het hierboven genoemde e-mailbericht van Rabo bracht me aan het twijfelen. Was dit nu wel of geen echt Rabo bericht? Het zag er prachtig uit. Duidelijk bedacht door marketeers die van plaatjes houden. Maar de inhoud bleek van veel verschillende domeinen te komen. Dat is verdacht en een aanwijzing voor phishing. Ik noem ze: “www.valleyvisuals.nl” en “vedm.net”. Ik vind zelfs dat het gebruikte “mail2.rabobank.nl” niet kan. Uiteindelijk bleek het wel een betrouwbare e-mail.
Oplossing
De oplossing is eenvoudig: banken houden op met e-mail te gebruiken om hun klanten te bestoken met reclame. E-mail dient alleen te worden gebruikt alleen als het om persoonlijke correspondentie gaat. En dan ook alleen platte tekst, zonder opmaak en zonder plaatjes. De klant heeft net een bankfiliaal bezocht, of heeft gebeld met een bankmedewerker. Als de klant dan een persoonlijke e-mailbericht krijgt van die medewerker begrijpt de klant dat het OK zal zijn. Fraude door phishing via e-mail wordt dan veel moeilijker, want de klant zal het raar vinden dat hij zomaar een onverwachte e-mail ontvangt van “zijn bank”.
De e-mail’s van b.v. “mijn nuon” Waternet,en woningnet niet te vergeten.