Internetbankieren valt nauwelijks meer uit het dagelijks leven weg te denken. Helaas spelen cybercriminelen en oplichters daar al jaren handig op in, en nog altijd met veel slachtoffers van oplichting tot gevolg. Het is dan ook aan te raden om altijd goed te controleren of je je wel op de juiste website bevindt als je van plan bent om online te bankieren. Maar hoe weet je nou of je op de beveiligde website van jouw bank zit? In dit artikel zetten we alles op een rij.

Phishing is al jaren een hardnekkig probleem, en ook de mailbox van Opgelicht?! puilt dagelijks uit van talloze voorbeelden van verdachte e-mails en sms'jes uit naam van zo'n beetje alle grote banken. Daar kunnen wij maar één conclusie aan verbinden: kennelijk is dit nog altijd een lucratieve vorm van oplichting en trappen mensen er nog steeds in, anders zou deze vorm van oplichting niet meer op deze enorme schaal plaatsvinden.

Cijfers van de Nederlandse Vereniging van Banken en de Betaalvereniging Nederland lijken dat beeld te bevestigen: uit cijfers over het jaar 2019 die afgelopen voorjaar werden vrijgegeven, bleek dat de schade door phishing en bankpasfraude meer dan verdubbeld was ten opzichte van het jaar ervoor. Veel schade kan echter voorkomen worden door gewoon goed op te letten, al helemaal als je merkwaardige e-mails of sms-berichten uit naam van jouw bank krijgt.

In deze berichten lokken oplichters je doorgaans immers naar (nagenoeg) identieke kopieën van jouw échte online bankomgeving. Het is eigenlijk altijd de bedoeling dat je inlogt om een bepaalde handeling te verrichten: log je in met jouw inloggegevens, dan gaan oplichters er direct mee aan de haal en wordt je rekening in een mum van tijd geplunderd. 

De excuses die oplichters daarvoor aanwenden, zijn talrijk. Jouw bankpas komt zogenaamd te vervallen, er is verdachte activiteit waargenomen, er staat een bericht klaar, er zijn vreemde inlogpogingen geconstateerd, de bank moet voldoen aan nieuwe (Europese) richtlijnen, er heeft een ongebruikelijke transactie plaatsgevonden of in verband met het coronavirus moet je zelfs een antibacteriële bankpas aanvragen.

Duidelijke zaak: aan verhalen, smoezen en excuses geen gebrek. Tijd om eens op een rij te zetten hoe je kunt zien of een link veilig en betrouwbaar is.

Let goed op het volledige webadres in de adresbalk

Dit is enigszins afhankelijk van welke browser je gebruikt: niet alle browsers tonen het volledige adres inclusief 'https://www.' standaard in de adresbalk. Om te bepalen welke browsers we behandelen, is het relevant om het meest recente marktaandeel van de grootste browsers op een rij te zetten. Volgens StatCounter gebruikten Nederlanders met een internetverbinding in september 2020 de volgende browsers:

  • Google Chrome: 55,84%
  • Safari: 23,63%
  • Samsung Internet: 5,36%
  • Mozilla FireFox: 4,96%
  • Microsoft Edge: 4,4%
  • Internet Explorer: 1,49%
  • Opera: 1%
  • Overig (o.a. Edge Legacy, UC Browser et cetera): 3,32%

We beperken ons even tot de vijf grootste. Google Chrome, Safari, Samsung Internet en in ieder geval de meest recente versie van Microsoft Edge (Canary) tonen niet standaard of er 'https://' of 'http://' in de adresbalk staat.

Chrome, Safari en Edge tonen daarnaast ook niet of er 'https://www.' in de adresbalk staat. Alleen Mozilla Firefox toont nog altijd standaard 'https://' of 'http://' én 'www.' in de adresbalk. Gebruik je een browser die deze gegevens niet standaard toont? Dan kun je dat zelf oplossen door in de adresbalk te klikken tot het volledige adres wel tevoorschijn komt.

Waarom is dat belangrijk? Dat is omdat de beveiligde website van jouw bank altijd met 'https://' moet beginnen. Ook hoort de adresbalk een groen of grijs slotje te tonen. Via dat slotje kun je zien of er sprake is van een geldig beveiligingscertificaat en aan welke partij dat certificaat verstrekt is. Sommige browsers tonen overigens ook links van de adresbalk aan welke partij een certificaat is verstrekt, maar dat is niet altijd het geval.

De staat voor secure (veilig), en een goede vuistregel om in acht te nemen is dat websites die slechts met 'http://' beginnen per definitie niet over een beveiligde internetverbinding beschikken. Aangezien betalingsverkeer om voor de hand liggende redenen wel degelijk via een beveiligde verbinding plaats hoort te vinden, is het zaak om te weten dat een website van 'de bank' vals als er slechts sprake is van 'http://' in de adresbalk, ook al ziet de site er voor de rest levensecht en betrouwbaar uit.

Wat is het juiste webadres van mijn bank als ik wil internetbankieren?

Betekent bovenstaande toelichting dat een website per definitie betrouwbaar is als er 'https://' in de adresbalk staat en je een groen of grijs slotje ziet? We zouden willen dat het zo simpel was, maar helaas, dat is niet het geval.

Om te laten zien hoe verraderlijk het allemaal kan zijn, demonstreren we dit aan de hand van vier afbeeldingen. De keuze voor ING berust op toeval: de voornaamste reden is dat we eerder vandaag op een nagemaakte website zijn gestuit die momenteel nog actief is, wat het voor ons eenvoudig maakt om de nagemaakte website en de echte website aan de hand van screenshots te vergelijken.

De vallse én de echte website van ING: let op de url en de certificaten

De eerste twee zijn van de valse website van ING inclusief informatie over de beveiliging en het beveiligingscertificaat, de laatste twee zijn van de echte website van ING, inclusief informatie over de beveiligde verbinding en het beveiligingscertificaat. Let goed op de links in de adresbalk én op de informatie die getoond wordt in beide certificaatschermen.

Bij de valse website zie je slechts dat de verbinding is beveiligd, bij de echte website zie je daarentegen dat het beveiligingscertificaat ook écht aan ING Groep N.V. is verstrekt. Om die reden is het zaak om niet alleen het volledige webadres, maar ook informatie over de beveiliging en het beveiligingscertificaat grondig te controleren.

De officiële, juiste webadressen van de grote Nederlandse banken staan hieronder:

  • ABN AMRO: https://www.abnamro.nl/portal/mijn-abnamro/authenticatie/inloggen/index.html
  • ASN Bank: https://www.asnbank.nl/online/web/onlinebankieren/inloggen/#/ 
  • Bunq: Klanten van bunq kunnen slechts via de mobiele app bankieren  
  • Handelsbanken: https://secure.handelsbanken.com/logon/nl/priv/nl 
  • ING: https://mijn.ing.nl/login 
  • Knab: https://persoonlijk.knab.nl/inloggen 
  • Rabobank: https://bankieren.rabobank.nl/klanten 
  • RegioBank: https://www.regiobank.nl/online/web/mijnregiobank/inloggen/#/ 
  • SNS: https://www.snsbank.nl/online/web/mijnsns/inloggen/#/ 
  • Triodos Bank: https://bankieren.triodos.nl/ib-seam/login.seam 
  • Van Lanschot: https://login.vanlanschot.com/login 

Alles tot en met de dikgedrukte extensie, dus inclusief de tekst 'https://' van bovenstaande links is relevant wat betreft het veiligheidsvraagstuk, alles daarna is voor de veiligheid niet van belang. Slechts als je je op deze specifieke domeinen bevindt, weet je dat je op een échte website van jouw bank zit.

Wijken deze domeinnamen af? Dan gaat het met aan zekerheid grenzende waarschijnlijkheid om vervalsingen die je moet vermijden. En twijfel je, of ben je er om wat voor reden dan ook niet helemaal gerust op? Neem dan gewoon even contact op met je bank voordat je inlogt, zeker als je op een verdacht domein belandt naar aanleiding van een vreemde mail of een sms.

Overigens kun je in het geval van valse e-mailberichten ook informatie opvragen over het domein zonder het domein daadwerkelijk te hoeven bezoeken. Je kunt met je muis boven een linkje zweven, en in de kleine pop-up die verschijnt, staat exact naar welk domein een link écht verwijst. Ook kun je bij twijfel altijd even de domeinnamen natrekken bij SIDN (voor domeinnamen eindigend op .nl) of via de Whois-tool van DomainTools.

Hoe weet ik of de iDEAL-omgeving van mijn bank wel veilig is?

Even betalen via iDEAL? Dat is voor menigeen onderhand gesneden koek, bijvoorbeeld als je online iets bestelt en je de factuur wenst te voldoen. Door een iDEAL-betaling uit te voeren, geef je je bank toestemming om deze betaling te verwerken via internetbankieren of mobiel bankieren.

Kies je ervoor om dat via internetbankieren in je webbrowser te doen in plaats van jouw bank-app te gebruiken? Dan is onderstaande relevant: de veilige, officiële iDEAL-links van de grote Nederlandse banken wijken namelijk iets af van bovenstaande lijstje. Dit zijn de juiste links:

  • ABN AMRO: https://www.abnamro.nl/portalserver/nl/prive/bankieren/ideal.html?… 
  • ASN Bank: https://diensten.asnbank.nl/online/ideal/#/sign?… 
  • Bunq: https://ideal.bunq.com/?… 
  • Handelsbanken: https://ideal.handelsbanken.nl/logon/nl/privideal/nl/cap?… 
  • ING: https://ideal.ing.nl/ideal/static/inloggen/index.shtml?… 
  • Knab: https://ideal.knab.nl/inloggen?… 
  • Rabobank: https://betalen.rabobank.nl/ideal-betaling/qslo.htm?… 
  • RegioBank: https://diensten.regiobank.nl/online/ideal/#/sign?… 
  • SNS: https://diensten.snsbank.nl/online/ideal/#/sign?… 
  • Triodos Bank: https://ideal.triodos.nl/ideal-online/pages/transaction.action?… 
  • Van Lanschot: https://login.ideal.vanlanschot.com/ideal 

Ook nu geldt dat alles tot en met de dikgedrukte extensie, dus inclusief de tekst 'https://' relevant is wat betreft de vraag of je je op het échte, veilige iDEAL-domein van jouw bank bevindt. Alles daarna doet voor de veiligheid niet ter zake.

Waar moet je verder nog op letten?

Met bovenstaande toelichting en de opsommingen van de echte, veilige links van jouw bank kom je vermoedelijk al een heel eind en laat je je niet snel meer beetnemen door oplichters.

Er is echter wel een geniepige truc waar oplichters zich regelmatig van bedienen die de moeite waard is om apart te benoemen, en dat is het aanmaken van domeinnamen die zó erg op de échte domeinnaam lijken dat je er gewoon overheen leest als je niet scherp bent. Dit wordt ook wel 'typosquatting' genoemd.

Trucs zijn bijvoorbeeld om de hoofdlettervariant van de letter i om te wisselen met de kleine variant van de letter (en omgekeerd, zodat er bijvoorbeeld lng.nI in de adresbalk staat). Maar ook de letter o inwisselen voor het getal nul (0) zodat er in een adresbalk 'rab0bank.nI' staat, komt ook voor. Internetproviders hebben de techniek in huis om dit soort pogingen tot het 'kapen' van een naam te weren, maar het is nooit 100% waterdicht. Blijf dus altijd zeer goed opletten.

Bron: Veiligbankieren.nl