FACTCHECKER

‘Veel bedrijven beschermen hun apps nog altijd niet genoeg. Dat geldt zelfs voor de betaalapps van banken’, zei ex-judoka Heidi Rakels, ceo van appbeveiliger Guardsquare, onlangs in De Standaard. Die kopte: ‘Betaalapps banken zijn onvoldoende beveiligd’. Roel Caers, de commercieel directeur van Guardsquare, noemde in het artikel ook cijfers. ‘Bij 300 geanalyseerde banking apps bleek 90 procent van de Europese apps niet beveiligd tegen een Trojaanse aanval (waarbij schadelijke software derden toegang verschaft tot digitale gegevens, nvdr), bij de Amerikaanse zelfs 99 procent.’ Namen wilde hij niet noemen. Wel zei hij: ‘Ik laat je zelf raden, maar er is zelfs één Belgische grootbank die zijn betaalapp niet heeft beveiligd.’

Klopt dat?

Ja, zegt Caers aan de telefoon. ‘Maar ik zeg niet welke bank. We hebben ze in stilte al op de hoogte gebracht.’

Onder betaalapps verstaan we hier apps voor mobiel bankieren, waarmee je via smartphone of tablet online je rekening kunt raadplegen en overschrijvingen kunt doen. Die zitten in de lift. Volgens Febelfin, de Belgische federatie van de financiële sector, is het aantal abonnementen in twee jaar tijd verdrievoudigd – van 1 miljoen in 2013 tot ruim 3 miljoen in 2015.

In een rapport van Guardsquare lezen we dat ‘slechts 10 procent van de grote Europese en 1 procent van de Amerikaanse apps voor mobiel bankieren voldoende beschermd’ is. Het bedrijf onderzocht de twee meest voorkomende risico’s, legt Roel Caers uit. ‘Statische bedreiging betekent dat cybercriminelen in staat zijn de app te hacken en er malware op te zetten, waarna ze hem weer uploaden op sites waarvan nietsvermoedende gebruikers dan niet de originele, maar de gehackte versie downloaden. Vervolgens kunnen ze uw login en wachtwoord zien.’ Dynamische aanvallen, zegt Caers, gebeuren wanneer de app in gebruik is. ‘In principe maakt die verbinding met een veilige server van de bank. Maar als de app dat niet controleert en u logt in via een onbeveiligd wifi-netwerk, kan een hacker opnieuw uw gegevens zien.’

Wie de mobiele app van een Belgische bank gebruikt – ‘banken die hun roots hier hebben’ – hoeft evenwel niet ongerust te zijn, tempert Caers. ‘De Belgische banken zijn in Europa, op een uitzondering na, bij de beste leerlingen van de klas.’

IT-security consultant Jan Guldentops ergert zich. ‘Ofwel noem je de bank, ofwel zwijg je’, zegt hij. ‘Absolute veiligheid bestaat niet. Wie goed zoekt, vindt wellicht problemen. Maar zelfs als die er zijn, denk ik niet dat je je centen kwijt bent.’

Dat bevestigt Isabelle Marchand van Febelfin. ‘Klanten zijn wettelijk beschermd. Als iemand geld kwijtraakt door fraude die te wijten is aan een veiligheidsprobleem bij de app, dan is voorzien dat de bank de klant terugbetaalt.’

Ook volgens IT-beveiligingsspecialist Marc Vael, voorzitter van beroepsvereniging ISACA Belgium, kunnen gebruikers op hun twee oren slapen. ‘Onze banken lopen qua veiligheid en technologie internationaal voorop, vooral omdat ze informatie uitwisselen over IT-zwakheden. De zwakke schakel is niet de app, maar de persoon die hem gebruikt.’

Meld je af na gebruik. Neem voor verschillende apps andere paswoorden en logins. Beantwoord geen telefoons, sms’en of e-mails die om gegevens vragen, en gebruik geen betaalapps via openbare wifi. En 3 of 4G? Maakt niet uit, zeggen Jan Guldentops en Marc Vael.

Conclusie

Knack beoordeelt de stelling als grotendeels waar. Uit een analyse van app beveiliger Guardsquare blijkt dat volgens het bedrijf maar een kleine minderheid van onderzochte apps voor mobiel bankieren ‘voldoende beveiligd’ zijn.

Wie zijn gezond verstand gebruikt, kan evenwel zorgeloos mobiel bankieren.

GROTENDEELS WAAR

Jan Jagers

‘Betaalapps banken zijn onvoldoende beveiligd’ Heidi Rakels, ceo van appbeveiliger Guardsquare, in De Standaard

Reageren op dit artikel kan u door een e-mail te sturen naar lezersbrieven@knack.be. Uw reactie wordt dan mogelijk meegenomen in het volgende nummer.

Partner Content