oktober 12, 2016

Cyberroof verschuift naar banken (en datingsites)

Beveiliging Dreigingen

“Beste bankklant, vanwege toenemende beveiligingsinvesteringen verhogen we uw tarieven.” Een onwelkome mededeling, die een logisch gevolg kan zijn van verbeterde beveiliging bij particulieren. Pardon, veiligere klanten leiden tot hogere tarieven? Ja, want cyberrovers zijn ook niet gek.

Boeven worden maar al te vaak gezien als domme figuren, die niet slim genoeg zijn voor eerlijk werk. De realiteit is niet zo zwart/wit. Sommige criminelen gaan wel heel sluw te werk. Zij gaan daarbij forse uitdagingen niet uit de weg en weten soms verrassend complex werk uit te voeren om hun illegale doelen te behalen. Gek genoeg worden veel criminelen toch ook gedreven door gemak; zij kiezen de weg van de minste weerstand.

Steeds minder schade

‘De minste weerstand’ wil niet zeggen dat het makkelijk is. Maar als de mogelijke buit groot genoeg is, slinken de te nemen hordes. Na jaren van inspanning lijkt het tij nu te keren voor digitale beroving van bankrekeningen bij particulieren. “Internetfraude bijna uitgeroeid”, “Bankfraude naar nul“, luiden klinkende koppen van Nederlandse media eerder deze maand. Hoopvolle berichten. Het blijkt namelijk dat er steeds minder schade is uit bankroof bij particulieren. Dit komt uit nieuwe cijfers van Betaalvereniging Nederland en de Nederlandse Vereniging van Banken (NVB).

Sinds we en masse aan internetbankieren doen, is het fraudecijfer nog nooit zo laag geweest. Hoe laag? Nou, erg laag: in de eerste helft van dit jaar is er een ‘schamele’ 148.000 euro gestolen van Nederlandse bankrekeningen. Vergelijk dat maar met de 814.000 euro die in de tweede helft van vorig jaar is geroofd. Om nog maar te zwijgen van de 24,7 miljoen euro die in de eerste zes maanden van 2012 werd buitgemaakt.

Steeds meer doelwitten

Goed nieuws dus! Maar daar hoort ook slecht nieuws bij. Een keerzijde, zeg maar. Zonder vermanend vingertje op te heffen, moet ik bekennen dat het niet altijd fijn is om gelijk te krijgen. Kaspersky Lab heeft eind 2014 al voorspeld dat digitaal actieve geldrovers zich meer gaan richten op de banken zelf. Waar cybercriminelen voorheen de gebruikers van bankdiensten algemeen aanvielen, daar gaan ze meer de ‘bankkluizen’ op de korrel nemen.

Deze alarmerende voorspelling wisten we mede te baseren op toen nog lopend onderzoek naar een verbijsterende bankroof. Verbijsterend in complexiteit, omvang en buit. Enkele maanden later hebben we het malafide werk van de Carbanak-bende wereldkundig gemaakt. “De grootste bankroof ooit“, waarbij van 100 financiële instellingen verspreid over de hele wereld maar liefst 1 miljard dollar is geroofd. En toen moest Carbanak 2.0 nog aan bod komen en waren de Swift-bankovervallen nog niet gepleegd.

Steeds groter werkterrein

Cyberrovers verleggen dus hun werkterrein. Zo mikken ze meer op banken, accountants en andere financiële instellingen. En die bedrijven zullen hun toenemende risico’s en hun oplopende beveiligingsinvesteringen vast zakelijk aanpakken: door dat door te berekenen aan de klant. Wat dan – net als de eventuele roofopbrengsten – een andere kostenpost is dan de schade door plundering van particuliere bankrekeningen.

Overigens lijkt Nederland een uitzondering te zijn. In buurland België loopt het aantal fraudegevallen namelijk níet achteruit. Sterker nog: dat neemt nog steeds toe, meldt Febelfin, de Belgische federatie van financiële instellingen. De uitzonderingssituatie is echter een kwestie van meetcriteria, want ook in België is er sprake van een daling wat betreft de schade uit die toenemende fraudegevallen.

Steeds andere ingangen

Toch blijken cybercriminelen meer geld te verdienen dan ooit tevoren. Zij weten namelijk ook nieuwe soorten doelwitten te ontginnen. Zoals online-casino’s, webwinkels, gamingplatformen en datingwebsites. Want ook dáár valt geld te halen. Consumenten zijn weliswaar alerter geworden met internetbankieren, maar blijken toch vatbaar voor andere vormen van internetoplichting. Zo is er in de eerste helft van dit jaar 1,6 miljoen euro gestolen via nepprofielen op datingsites.

Geëxtrapoleerd zou dat van 2016 een ‘goed’ jaar maken voor cyberrovers die te maken hebben met dalende inkomsten uit diefstallen uit internetbankieren. In 2015 is in totaal 3,7 miljoen euro buitgemaakt terwijl dat in 2014 nog 4,7 miljoen euro was, wist de NVB begin dit jaar te melden. In 2014 is echter via datingsites al 2,7 miljoen euro gestolen van eenzame Nederlanders.

Steeds grotere optelsom

Natuurlijk is financiële fraude via online-casino’s, webwinkels, gamingplatformen en datingsites een andere schadepost dan wat er is geroofd van bankrekeningen. Niettemin is de schade reëel, fors en oplopend. Ik voorzie dus dat bankfraude – in de bredere zin – niet naar nul gaat. Het verschuift en komt indirect wel weer bij de klant uit. Maar we moeten ons daar niet door laten ontmoedigen.

We moeten er naar blijven streven om digitale bankfraude richting de nul te dwingen. Dat kunnen we, door alert te zijn. Zoals de banken – in Nederland, België en andere landen – al telkens waarschuwen: zij zullen nooit om je inloggegevens vragen. Wees ook bedacht op onverwachte, vreemde of ronduit gekke berichten. Zeker als daarin – al dan niet indirect – om inloggegevens of regelrecht om geld wordt gevraagd. Wees waakzaam.