Hardnekkige mythe rondom populaire tweestapsverificatie

Rondom populaire tweestapsverificatie – een vorm van multi-factor authentication (MFA) – bestaat een hardnekkige mythe. Veel mensen denken namelijk dat deze extra codes via sms, verificatieapp of bankpas + cardreader vaak voorkomende phishing-scams kunnen verhinderen. Niets is echter minder waar!

Tweestapsverificatie, zoals o.a. wordt gebruikt door overheidsidentificatiedienst DigiD, alle banken, meerdere verzekeraars en sommige webwinkels, biedt slechts bescherming tegen onbevoegd inloggen. Tweestapsverificatie in de meest voorkomende vorm biedt daarentegen geen enkele bescherming tegen phishing-scams door valse websites of valse URL’s.

Onbevoegd inloggen
Onbevoegd inloggen is het inloggen op andermans account door gebruik te maken van iemands gebruikersnaam en wachtwoord of pincode. Dit kan het gevolg zijn van het laten slingeren van met name wachtwoord of pincode, een eenvoudig te raden wachtwoord of pincode, of van het stiekem meekijken over iemands schouder tijdens inloggen of pinnen. Met een extra verificatiemethode door middel van sms, verificatieapp of cardreader en iets dat de eigenaar van het account bij zich draagt (telefoon of bankpas + cardreader) wordt in beginsel zeker gesteld dat het de eigenaar van het account zelf is die inlogt.

Het principe van MFA is dus gebaseerd op iets dat je weet (gebruikersnaam, wachtwoord of pincode) en iets dat je hebt (telefoon of bankpas + cardreader). Het voorkomt onbevoegd inloggen, zelfs als jouw wachtwoord of pincode onverhoopt op straat ligt.

Phishing-scams door valse websites
Vervolgens begint de uiterst hardnekkige mythevorming. Tweestapsverificatie voelt veilig en vertrouwd aan doordat je twee beveiligingsstappen gebruikt om in jouw account te komen. Hierdoor gaan sommige gebruikers er ten onrechte van uit dat het ook helpt tegen phishing-scams door valse websites of valse URL’s. Je bewijst toch immers tot tweemaal toe dat jij het bent?

Phishing-scams door valse websites of valse URL’s worden echter georganiseerd via een ‘man-in-the-middle-attack’. Er bevindt zich hierbij een valse website en criminele computer tussen jouw browser en de legitieme account-server waarop jij probeert in te loggen. Het is alsof jij jouw gebruikersnaam, wachtwoord en het resultaat van de tweestapsverificatie doorgeeft aan een collega die op een computer tegenover jou zit. Die collega kan daarmee vervolgens doodleuk op jouw account inloggen. Klinkt logisch, toch?

In werkelijkheid geef jij jouw gebruikersnaam, wachtwoord en het resultaat van de tweestapsverificatie via de eenvoudig te misleiden browser door aan een valse website op een criminele computer. De crimineel logt vervolgens real-time met jouw gegevens in op de legitieme account-server en heeft vanaf dat moment de volledige controle over jouw account.

Internetbankieren: inloggen met cardreaders of met de mobiele bankapp
Zowel de gelikte cardreaders die banken uitdelen als het inloggen op internetbankieren via de mobiele bankapp zijn volstrekt nutteloos als het aankomt op bescherming tegen phishing-scams door valse bankwebsites. Toegegeven, ze werken prima tegen onbevoegd inloggen. Daarentegen absoluut niet tegen het rechtstreeks doorgeven van accountgegevens en het resultaat van de tweestapsverificatie via jouw browser aan derde partijen (man-in-the-middle-attack).

Daarom is het dus zo belangrijk om de URL van alle websites waarop je inlogt steevast goed te controleren. Dubbel en dwars als je de website bezoekt door middel van een link in een email, een social media app, op een website of na het scannen van een QR-code. Het webadres in de adresbalk van jouw browser is namelijk eenvoudig te manipuleren en qua eerste oogopslag min of meer gelijkend te maken. Terwijl het dat bij nadere inspectie absoluut niet blijkt te zijn!

De opbouw van een domeinnaam
Bij domeinnamen zijn er om precies te zijn 4 onderdelen of extensies waarop je altijd expliciet moet letten om valse websites te kunnen herkennen. Het webadres in de adresbalk van de browser begint altijd met (1) https:// eventueel gevolgd door meerdere onbeduidende extensies, gevolgd door (2) één belangrijke hoofdextensie (>> .voorbeeld-domeinnaam >> .frankwatching >> .definitelybritish), DIREKT gevolgd door (3) een officiële landcode (>> .nl >> .com >> .co.uk), DIREKT gevolg door (4) een afsluitende / (forward slash). Spaties zijn niet toegestaan binnen domeinnamen.

https://www.xxxxx.yyyyy.voorbeeld-domeinnaam.nl/qqqqq/rrrrr
https://www.xxxxx.yyyyy.frankwatching.com/qqqqq/rrrrr
https://www.xxxxx.yyyyy.definitelybritish.co.uk/qqqqq/rrrrr

Bovenstaande 4 concreet verschillende extensies vormen gezamenlijk de essentie van elke domeinnaam. Datgene wat er tussen of er achter staat is niet van belang. Maar staat er bijvoorbeeld https://www.frankwatching.artikelen.com/ dan bevind je je echter op de (potentieel valse) website artikelen.com/ en geenszins op de website van Frankwatching.

Tweestapsverificatie AAN
Indien het beschikbaar is of komt binnen een account, gebruik dan altijd tweestapsverificatie om in te loggen. Dit verhindert in beginsel onbevoegd inloggen. Maak daarbij dan echter geen gebruik van de optie om permanent zonder tweestapsverificatie in te kunnen loggen op zgn. vertrouwde apparaten. De hiermee geïnstalleerde permanente cookies zijn namelijk potentieel te misbruiken op (te klonen naar) apparaten c.q. browsers van derden.

Phishing-resistente MFA
Er bestaat niettemin een vorm van MFA die wel degelijk beschermt tegen zowel onbevoegd inloggen als tegen phishing-scams door valse websites of valse URL’s. Zo’n methode komt in de vorm van elektronische beveiligingssleutels of tokens met een USB-poort of Bluetooth-verbinding. Na de installatie van een dergelijke vorm van tweestapsverificatie binnen jouw account controleert de account-server voortaan behalve gebruikersnaam en wachtwoord tevens of er wordt ingelogd vanaf een computer met de goedgekeurde elektronische beveiligingssleutel of token aangesloten op de USB-poort of via de Bluetooth-verbinding.

Een ‘man-in-the-middle-attack’ is nu niet langer mogelijk. Immers, wanneer de crimineel probeert in te loggen met gestolen accountgegevens constateert de account-server dat de elektronische beveiligingssleutel of token niet aanwezig is in de USB-poort of via de Bluetooth-verbinding van de computer waarop de inloggende browser draait.

Beschikbaarheid phishing-resistente MFA
Helaas zijn er maar betrekkelijk weinig populaire accounts die een dergelijke technisch iets complexere inlogmethode aanbieden. Google en Microsoft zijn bij mijn weten enkele van de weinigen die een dergelijke methode wel aanbieden. Daarbij moet je nog wel zelf een voor het account geschikte fysieke beveiligingssleutel aanschaffen (i.c. Security Key vanaf omstreeks € 40) die je doorgaans voor meerdere accounts kunt gebruiken.

Bedrijfsmatig wordt er daarentegen al jaren massaal gebruik gemaakt van dergelijke elektronische beveiligingssleutels of tokens om op afstand veilig in te kunnen loggen op bedrijfsnetwerken.

Mobiele bankapp fungeert als zijn eigen beveiligingssleutel
Als je inlogt vanuit de mobiele bankapp dan ben je bij voorbaat beschermd tegen valse websites of valse URL’s. De mobiele bankapp verbindt namelijk gegarandeerd alleen met jouw bank. Phishing-scams door valse websites zijn dus niet mogelijk vanuit een mobiele bankapp. Een mobiele bankapp fungeert namelijk als zijn eigen elektronische beveiligingssleutel.

Als gevolg van de architectuur van besturingssystemen is de ‘app als beveiligingssleutel’ echter alleen toepasbaar binnen Android en iOS. Helaas dus niet binnen relatief open of onbeveiligde besturingssystemen, zoals Windows of macOS. Daarvoor zijn er minimaal fysieke beveiligingssleutels met USB of Bluetooth noodzakelijk.

PAS OP!
Opent een betaalverzoek op jouw tablet of mobiel na de ingegeven keuze voor jouw bank toch consequent binnen jouw mobiele webbrowser in plaats van binnen jouw mobiele bankapp, dan kan dat een indicatie zijn dat er iets niet in de haak is met het desbetreffende betaalverzoek. Misbruik van bankgegevens is namelijk alleen mogelijk binnen de webbrowser. Probeer het dan later nogmaals om er zeker van te zijn dat het niet de app van jouw bank is die tijdelijk offline is. Blijft het betaalverzoek na de keuze voor jouw bank steevast openen binnen jouw mobiele webbrowser ga er dan maar gevoegelijk vanuit dat dit betaalverzoek malafide is!

Internetbankieren: tweestapsverificatie via de mobiele bankapp beschermt NIET!
De populaire mobiel-inloggen-methode voor internetbankieren betreft daarentegen niets anders dan een ordinaire tweestapsverificatie via een app die geen enkele bescherming biedt tegen phishing-scams. Je doet jouw online transacties uiteindelijk namelijk niet vanuit de app maar vanuit een in essentie eenvoudig te misleiden browser.

Banken opteren voor zwak beveiligingsniveau internetbankieren
Uiteraard is het een schande dat banken hun klanten blijven afschepen met cardreaders en de mobiel-inloggen-methode voor internetbankieren. Deze methoden bieden slechts beveiliging tegen onbevoegd inloggen, maar niet tegen phishing-scams door valse bankwebsites. Dit terwijl bovengenoemde elektronische beveiligingssleutels internetbankieren zouden kunnen beschermen tegen zowel onbevoegd inloggen als tegen phishing-scams door valse bankwebsites.

Doormiddel van een efficiënte investering zouden banken een volledige extra beveiligingslaag aan internetbankieren kunnen toevoegen die phishing-scams via valse bankwebsites volledig verhinderen. Internetbankieren zou daarmee dan feitelijk net zo veilig worden als mobiel bankieren via een bankapp.

Dit artikel is met de grootst mogelijke zorgvuldigheid tot stand gekomen. De auteur aanvaardt niettemin geen enkele aansprakelijkheid in relatie tot de onderwerpen die binnen dit artikel worden beschreven.