‘De moderne overvaller overvalt je zonder geweer of bivakmuts’

Professor Christophe Scholliers staat voor de Universiteit van Vlaanderen stil bij de digitalisering van de banken, en hoe overvallers daar gebruik van kunnen maken.

Iedereen kan zich wel iets voorstellen bij een bankoverval, een bivakmuts geweren, een snelle vluchtwagen enzoverder. Zulke bankovervallen zijn in het verleden bijzonder succesvol geweest. Een van de meest succesvolle bankovervallen werd gepleegd door een zoon van dictator Saddam Hussein. Hij slaagde hierin door simpelweg aan de bankbedienden wijs te maken dat zijn vader 930 miljoen dollar wou afhalen. De bankbedienden geloofden hem en sleurden maar liefst 4 uur lang al het geld over in zijn vrachtwagen. Gelukkig zijn vandaag de dag zo een fysieke bankovervallen helmaal niet meer zo interessant als vroeger. Banken hebben relatief weinig geld in de kantoren en mede door betere camera’s is de kans om gepakt te worden bijzonder groot.

De hoofdreden waarom banken zo weinig geld in huis hebben, is te wijten aan de digitalisering van de banken. We leven als maatschappij als maar meer in de digitale wereld. Niet alleen delen we massaal leuke foto’s en filmpjes met vrienden en familie op sociale media, we vertrouwen ook met zen alle onze geldzaken aan de digitale wereld toe. Dit heeft een hele hoop voordelen, we hoeven niet meer te wachten in het bankkantoor om een overschrijving te maken en we kunnen zelfs met onze smart-phone direct geld storten op iemands rekening.

Dit nieuwe digitale tijdperk is echter ook een utopia voor moderne bankovervallers. Het is niet langer nodig voor een bankovervaller om wapens te kopen en fysiek naar de bank te gaan. Bovendien moet de digitale bankovervaller de bank zelf niet overvallen, iedereen die aan een vorm van internetbankieren doet is een potentieel slachtoffer. Dit maakt dat de moderne bankovervallers genoeg hebben met een laptop en een internet verbinding om aan de slag te gaan.

Hoewel er enorm veel verschillende manieren zijn waarop digitale bankovervallers te werk kunnen gaan, zijn er toch drie grote trends te onderscheiden waarop de moderne bankovervaller het geld op je bank kan stelen: social engineering, phishing en exploits.

Social Engineering

De eerste vorm van digitale fraude bestaat erin om gevoelige informatie te ontfutselen door het vertellen van verhaaltjes om zo toegang tot het informatica systeem te krijgen. Dit houdt in om simpelweg op een sluwe manier de paswoorden te vragen of andere informatie die kan leiden tot toegang tot het systeem. Op het eerste zicht lijkt dit misschien erg doorzichtig maar de praktijk leert ons toch dit bijzonder efficient kan zijn. Deze vorm van hacking werd geïntroduceerd door Kevin David Mitnick. Een digitale overvaller uit Amerika die erin geslaagd is om toegang te krijgen tot het hele Amerikaanse telefoonnetwerk. Hij kon op een bepaald moment de telefoongesprekken van iedereen in Amerika afluisteren, zelfs die van de FBI. Toen de FBI hem wou arresteren was Kevin hiervan al lang op de hoogte, kon ruim op tijd vluchten, en liet zelfs een doos donuts achter voor de FBI.

Phishing

Phishing bestaat erin om een website te maken die erg lijkt op een website die het slachtoffer vertrouwt. Dit kan de website van een bank zijn maar kan ook bijvoorbeeld de website zijn waar je normaal je email leest. Phishing websites kunnen soms erg hard lijken op de echte websites en het is vaak bijzonder moeilijk om te weten of je toch toegang hebt tot de echte website. Een kleine tip om een frauduleuze website te detecteren kan je hierbij al helpen.

Kijk altijd goed of je een beveiligde verbinding maakt met banking websites. Dit kan je nagaan door in je adresbalk te kijken of er een slotje aanwezig is. Is dit slotje er niet dan kan je in geen geval deze website vertrouwen. Als het slotje wel aanwezig is, wilt dit spijtig genoeg niet zeggen dat de website veilig is. Het slotje duidt enkel aan dat alle informatie op een beveiligde manier naar de website verstuurd wordt. Het is voor een digitale overvaller bijzonder makkelijk om een phishing website op te zetten die zo een slotje toont.

Exploits

De laatste vorm van digitale overvallen bestaat erin om fouten in software uit te buiten om op deze manier toegang tot je computer te krijgen. Deze software fouten zijn erg subtiel en treden in vele gevallen niet op bij normaal gebruik van de software. Neem als voorbeeld het ingeven van je paswoord op een website. Heel vaak is de lengte van je paswoord beperkt, bijvoorbeeld 16 karakters. Het is mogelijk om deze beperking te omzeilen en toch langere paswoorden door te sturen naar de website.

Als de website die het paswoord inleest niet kan omspringen met zulke lange paswoorden dan is het in sommige gevallen mogelijk om op deze manier toegang tot de website te krijgen. De gevaarlijkste soort software-fouten zijn fouten die gevonden worden in het besturingssysteem. Het is dus cruciaal voor de beveiliging van je computer dat je software updates zo snel mogelijk installeert.

Informatica is enorm goed geslaagd in het maken van abstracties. Een eindgebruiker van een computer hoeft zich helemaal niet bezig te houden met de interne werking van de computer. Het is perfect mogelijk om goed met een computer te kunnen werken zonder te weten wat een CPU is, wat geheugen is of hoe de de computer exact pixels op het scherm weet te toveren. Deze sterkte is echter ook een zwakte voor vele gebruikers.

Doordat vele gebruikers niet goed weten wat kan en niet kan op hun computer zien we dat sommige gebruikers niet al te doordacht handelen. Het is niet ongebruikelijk dat gebruikers paswoorden laten rondslingeren of ze simpelweg vertellen aan hun collega’s in de veronderstelling dat het allemaal geen kwaad kan. Vele gebruikers zien software updates van het besturingssysteem ook als bijzonder hinderlijk en doen er alles aan om deze zolang mogelijk uit te stellen. Het niet updaten van het besturingssysteem maakt het de digitale overvaller echter bijzonder makkelijk.

Als we het de digitale overvaller moeilijker willen maken is het nodig om de eindgebruiker beter te informeren over wat potentieel gevaarlijk is en wat niet. Om beveiliging echt goed te kunnen verstaan is het echter nodig om te weten hoe software gemaakt wordt.

Het is dan ook hoog tijd dat we onze jeugd beter opleiden en programmeren (opnieuw) een prominente plaats laten innemen in het middelbaar onderwijs. Als we dit niet doen zal onze jeugd in de komende decennia grote achterstand oplopen in vergelijking met bijvoorbeeld Frankrijk en Engeland waar programmeren sinds kort wel opgenomen is in de eindtermen.