Phishers breken in omdat klanten codes delen

De systemen die banken bouwen om de websites en de app te beveiligen, voldoen aan alle veiligheidscriteria. Maar een systeem mag nog zo veilig zijn als maar kan, de zwakste schakel blijft de gebruiker. Als die "slordig" is en in een moment van onoplettendheid codes doorgeeft, dan kan een crimineel inloggen op jouw account en op die manier geld stelen.

Sommige phishers kunnen zelfs inloggen op jouw bankaccount via de app die ze op hún smartphone installeren. Ze loggen dus in op jouw bankaccount vanop een ander toestel zonder dat jij dat in de gaten hebt. Jans legt uit hoe dat werkt:

Stap 1: De phisher maakt een valse website aan die als doel heeft slachtoffers aan te zetten tot een betaling.

Als slachtoffer kom je op de website terecht doordat je op een link klikt die je toegestuurd krijgt per mail, sms, WhatsApp of Messenger. Op zich maakt het niet uit op wat voor platform je terecht komt. Het kan een nagemaakte website van een bank zijn waarbij je een klein verrichting moet doen om een kaartlezer te bestellen. Evengoed leidt de link naar een valse betaalpagina van een koerier bedrijf zoals Bpost, DPD of DHL. De bedoeling is dat jij als klant gelooft dat je op dat platform een betaling moet doen.

Stap 2: De dader installeert de app van de bank van het slachtoffer op zijn telefoon.

Phishers weten veel over hun slachtoffer. De dader weet bij welke bank jij klant bent en installeert alvast de app op zijn smartphone. Om effectief te kunnen inloggen, heeft hij betaalcodes nodig.

Stap 3: Het slachtoffer denkt een betaling te doen maar genereert in werkelijkheid codes waarmee de phisher kan inloggen.

Als ontwetend slachtoffer voer jij een betaling uit op een valse website. Je denkt een klein bedrag over te schrijven. Maar de phisher kijkt mee aan de andere kant. De codes die jij invoert om 'de betaling uit te voeren', zijn in werkelijkheid de codes die de phisher nodig heeft om in te loggen op de bankapp.

Stap 4: De phisher is ingelogd en kan nu in jouw naam bankverrichtingen uitvoeren en limieten aanpassen.

Maximumbedrag dient om je te beschermen

Bij veel banken staan er limieten op de som die je kan overschrijven in de app. Volgens Jans is dat een goede maatregel. "Veel gebruikers ervaren het als een last dat je maar een beperkt bedrag kan overschrijven via de app. Weet dat het gebeurt voor je eigen veiligheid." Al waarschuwt Jans ook dat die bescherming niet waterdicht is. Phishers kunnen die omzeilen. "Ook in de app kan je limieten aanpassen. Om dat te doen, is er vaak een tweede stap nodig. Je moet dan iets bevestigen of een extra code intikken. Het kan best zijn dat de phisher je zover krijgt dat je ook die extra code doorgeeft."

Eén gouden raad: wees altijd voorzichtig. En neem ook deze 5 regels in acht: