Dat blijkt uit onderzoek van nieuwssite Webwereld.
Gebruikers van mijnpostbank.nl moeten voor het autoriseren van
overschrijvingen zogeheten TAN-codes opgeven. Die zijn via papieren lijsten
of de mobiele telefoon van klanten opvraagbaar. Cybercriminelen die via een
truuk telefoonmummers kapen, kunnen zich echter ook indentificeren als
rekeninghouder en zo TAN-codes bemachtigen, aldus Webwereld.
Het lek in het TAN-systeem haalt niet het hele veiligheidssysteem onderuit.
Internetklanten van de Postbank moeten ook inloggen met een eigen
gebruikersnaam en een wachtwoord.
Het beveiligingslek in het TAN-systeem van de Postbank werd ‘ontdekt’
door de 19-jarige Stan uit Eindhoven, die de redactie van Webwereld ervan op
de hoogte stelde. Webwereld heeft de TAN-kaapmethode getest en succesvol
uitgevoerd.
Een woordvoerster van de Postbank stelde tegenover Webwereld dat het bedrijf "al
enige tijd op de hoogte is van de methodiek", en daarom de TAN-codelijn
al recentelijk "van de website had gehaald". Omdat de lijn echter
nog wel operationeel was, heeft de Postbank naar aanleiding van de kwestie
de TAN-codelijn met spoed alsnog definitief uit de lucht gehaald.
De bank biedt ook een alternatief: wie de TAN-code niet per SMS
ontvangt, wordt op zijn geregisteerde nummer gebeld waarna een computerstem
het nummer opleest. Deze methode is wel immuun voor kapers. Het bedrijf
benadrukt dat internetbankieren bij de Postbank "absoluut veilig is"
en het systeem is beproefd en goedgekeurd door de toezichthouder, De
Nederlandse Bank.
Dit artikel is oorspronkelijk verschenen op z24.nl