Bankieren en betalen via de smartphone is dat eigenlijk nog wel veilig?

Gepubliceerd op 11 februari 2022 om 15:00

Mobiel bankieren is inmiddels bij alle banken mogelijk. Handig en snel, want card-readers en TAN-codes zijn dan overbodig. U kunt internetbankieren en zelfs contactloos afrekenen met uw smartphone. Maar is het ook veilig? En hoe zit het met contactloos betalen met de pinpas?

Inloggen en geld overmaken met de mobiele app

Mobiel bankieren is geldzaken regelen via een app op uw tablet of smartphone. Anders dan bij internetbankieren doorloopt u geen 2-stapsverficatie: inloggen op de website en een unieke code invoeren die via SMS of cardreader beschikbaar is. Nee, de mobiele app werkt met maar 1 stap: met een een 4-, 5- of 6-cijferige mobiele pincode invoeren. De beveiliging is dus lager, en mede daardoor zijn de mogelijkheden ook beperkter. De meeste mobiele apps hanteren een lagere grens van wat u maximaal mag overmaken, dit verschilt per bank.

Ook zijn er een aantal banken waar u standaard alleen geld kunt overmaken naar bekende rekeningnummers, dus mensen die in uw adresboek staan, en nummers waar in de afgelopen periode al geld naar is overgemaakt via internetbankieren. Deze beperkingen worden wel langzaamaan minder naarmate de tijd vordert.

Andere mogelijkheden

Naast het controleren van uw saldo en het overmaken van geldbedragen bieden de apps van banken vaak andere mogelijkheden, zoals het inzien van creditcards en spaarrekeningen. Bij een groot aantal banken kunt u een incasso terugboeken, of uw giropas blokkeren in geval van diefstal. Ook kunt u uw pas aanzetten voor betalen buiten Europa, contactloos betalen aan- en uitzetten en de limieten verhogen en verlagen.

En dan nu de hamvraag: is het veilig?

Smartphones zijn zelden voorzien van een virusscanner en een TAN-code of cardreader is niet nodig. Is het dan wel veilig? Kunnen mensen de gegevens niet van uw telefoon stelen?

Het korte antwoord: ja, het is in principe net zo veilig als bankieren via de PC. Sterker nog, apps hebben op vlak van veiligheid een streepje voor omdat ze volledig door de bank zelf zijn geschreven. De code die achter apps zit, is veel diverser en specialistischer dan bij de websites die u via een browser laadt. Ze zijn dus juist moeilijker te hacken. Die variatie maakt de vertaalslag voor de cybercrimineel moeilijker en zorgt ervoor dat deze het vaak niet waard acht om voor één bepaalde applicatie een virus (malware) te gaan schrijven. Het is minder inspannend en winstgevender voor een crimineel om te proberen computers te hacken dan een telefoon.

Maar het hangt in hoge mate af van hoe u er zelf mee omgaat. Houd altijd het volgende in gedachten:

  • Controleer uw bankrekening regelmatig. Eventuele vreemde of onterechte afschrijvingen heeft u dan snel in de gaten.
  • Download altijd de nieuwste en officiële versie van de app via de App Store of Google Play Store
  • Kies een pincode die niet makkelijk te raden is. Gebruik bijvoorbeeld niet uw geboortedatum
  • Beveilig ook de smartphone zelf met een pincode
  • Gebruik geen openbaar wifi-netwerk. Ook geen beveiligd netwerk. Doe het liever via 4/5G of uw wifi thuis
  • Sluit de sessie altijd af na gebruik
  • Installeer geen illegale apps op uw telefoon
  • Verlaag het maximaal overboekbare bedrag. Gaat er iets mis, dan blijft de schade beperkt
  • Trap niet in phishing-mails. In zo'n mail wordt u gevraagd op een link te klikken, zodat u op een nepwebsite komt die erg lijkt op de site van de bank. Op die website wordt u meestal gevraagd om uw gegevens en uw beveiligingscodes in te vullen

Contactloos betalen met een app op de smartphone

U kunt tegenwoordig ook betalen door uw smartphone tegen de betaalautomaat aan te houden. Banken bieden ook apps aan waarmee dit mogelijk is.

Betalen met de smartphone is relatief veilig. Het is dan wel belangrijk om de telefoon te beveiligen met bijvoorbeeld een pincode, wachtwoord of patroon. Voordat u de betaling uitvoert, moet u op uw mobiel een pincode invoeren. Zodra u dit heeft gedaan, gaat de klok tikken: u heeft 30 seconden om de betaling te voltooien. Houd uw telefoon even bij de betaalmachine en klaar is Kees. U kunt trouwens die pincode vaak ook uitzetten (voor transacties tot 50 euro) maar dat brengt natuurlijk risico's met zich mee. Maar zoals gezegd, als u uw telefoon toch beveiligt is er alsnog weinig aan de hand bij diefstal.

Dit kan met vrijwel iedere moderne telefoon, vanaf grofweg de generatie Samsung Galaxy S4 of Galaxy Note 3 en Apple iPhone 6 of nieuwer. De telefoon heeft een Near Field Communication (NFC) chip nodig. Check bij de fabrikant of uw telefoon aan deze eisen voldoet. Maar ook in een nieuwe SIMkaart wordt tegenwoordig standaard een NFC geplaatst, dus u hoeft niet eens een nieuw toestel te kopen. Vervolgens kunt u bij uw bank de app downloaden.

Het 'gevaar' van betalen met je smartphone zit hem in de kwetsbaarheid van software, zowel Android als de app. In onveilige apps, kon een aanvaller bijvoorbeeld het rekeningnummer van de ontvanger wijzigen. Tegenwoordig zou het echter een stuk veiliger zijn geworden.

Contactloos betalen met de pinpas

Bij contactloos betalen rekent u af door de betaalpas tegen de betaalautomaat te houden, zonder op een toets te drukken. Bedragen lager dan 25 euro rekent u af zonder pincode. Betalingen worden direct van de betaalrekening afgeschreven. Bedragen hoger dan 25 euro rekent u af met pincode.

U kunt niet meer dan 25 euro per keer afrekenen zonder pincode, en een limiet van 50 euro in korte termijn zonder pincode. Koopt u een worstenbroodje op het station van 1 euro, dan kan dit 50 keer. Bij de 51e poging moet u een pincode invoeren, tot de volgende 50 euro.

Hoe veilig is het?

Veilig, zo blijkt in de praktijk. Theoretisch bestaat de mogelijkheid om 25 tot 50 euro verliezen als u in fysiek contact komt met vreemden die kwaad in de zin hebben. Iemand met de juiste apparatuur die 'per ongeluk' tegen u opbotst. Dit alles bleek uit een test van de Consumentenbond.

Maar in de praktijk is dit tot op heden nooit gebeurd, stelt Betaalvereniging Nederland. Sterker nog: volgens de betaalvereniging draagt contactloos betalen juist bij aan de veiligheid. Want veruit de meeste schade door fraude met betaalpassen ontstaat door ouderwets shoulderen: eerst de pincode afkijken en daarna de betaalpas stelen. Met pincode en betaalpas kan de dief zijn gang gaan tot de betaalpas wordt geblokkeerd. Contactloos betalen helpt om juist die dominante vorm van fraude terug te dringen.

Sommige banken (zoals ABN Amro) verstrekken wel een speciaal hoesje om passen te beschermen tegen contactloos zakkenrollen. Bij bijna alle banken kunt u bovendien de functie van contactloos betalen met de pinpas aan- en uitzetten. Dat kan telefonisch en via internetbankieren.

Bron: youtube.com, consumentenbond.nl, plusonline.nl

Bekijk alle vormen en begrippen

Inschrijven voor wekelijkse nieuwsbrief

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.

Meer actueel cybercrime nieuws

2020 Data Breach Investigations Report

Ieder jaar kijk ik uit naar het databreach rapport van Verizon, wat mij betreft een van de betere cyber security rapporten in de industrie. Sinds dit jaar heeft het team de CIS and MITRE ATT&CK controls gebruikt voor de mapping en ook dit jaar is het weer een waar feest om te lezen. Is het een book full of FUD? Wél als je maling hebt aan fatsoenlijke omgang met persoonsgegevens of als je niet van plan bent een euro uit te geven aan het voorkomen van cyber attacks. Níet als je al jarenlang met je poten in de klei loopt en op dagdagelijkse basis ziet wat er mis blijft gaan. Daar gaan we..

Lees meer »

Cybercriminelen stelen ruim 4 miljoen euro van ouderen

In een omvangrijk onderzoek naar cybercriminaliteit met meer dan 200 aangiften door – veelal oudere – slachtoffers en diefstal van ruim vier miljoen euro, zijn de afgelopen weken vijf personen aangehouden. Zij worden verdacht van oplichting, computervredebreuk en witwassen. De verdachten zitten in voorarrest en zullen zich naar verwachting eind van dit jaar voor de rechter moeten verantwoorden.

Lees meer »

Datalek nieuws en overzicht week 23-2020

Bij een 'datalek' gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie. Of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van (toegang tot) persoonsgegevens.

Lees meer »

Het Darkweb is 20 jaar

Het Darkweb is 20 jaar en is de ideale schuilplaats voor wapen- en drugshandel, kinderporno, bitcoin loterijen en levenslange Netflix-abonnementen, maar ook een vrijhaven voor klokkenluiders, journalisten en revolutionaire bewegingen die de censuur willen ontlopen. Het Darkweb bestaat op de kop af twintig jaar. Nu vooral nog een digitaal rovershol, maar ook de BBC, The Guardian en Facebook zien er het nut van in.

Lees meer »

Inval en aanhouding voor diefstal cryptogeld

De politie heeft twee mannen opgepakt op verdenking van diefstal van grote sommen cryptogeld. Het duo zou in totaal meer voor meer dan 60.000 euro hebben gestolen van een bedrijf uit China. De hoofdverdachte is een 33-jarige man uit Amsterdam, zijn handlanger is een 28-jarige man uit Enkhuizen. Beiden zijn woensdagochtend 3 juni bij invallen in hun woningen gearresteerd.

Lees meer »

6 miljoen dollar nog niet voldoende voor cybercriminelen achter REvil ransomware

De bende achter de beruchte REvil-ransomware, ook bekend als Sodinokibi, is begonnen met het veilen van de data die bij een slachtoffer is gestolen. Volgens de FBI hebben slachtoffers van deze ransomware al meer dan 6 miljoen dollar betaald voor het ontsleutelen van hun bestanden. Net als verschillende andere ransomwaregroepen besloot de REvil-bende om data van slachtoffers niet alleen te versleutelen, maar ook te stelen.

Lees meer »

Aanhouding cybercrimineel voor DDoS afpersing

Ten minste negen MKB-bedrijven zijn slachtoffer geworden van een 24-jarige man die deze bedrijven de afgelopen weken afperste en hun websites platlegde met DDoS-aanvallen. Op 2 juni 2020 heeft de politie de man in zijn woonplaats Veenendaal aangehouden. Bij de aanhouding zijn onder andere een automatisch vuurwapen aangetroffen en is de auto van de verdachte in beslag genomen voor nader onderzoek. De recherche onderzoekt nog of verdachte mogelijk in verband kan worden gebracht met meer aangiften.

Lees meer »