5 minuten

Veiligheid en fraude

Banken werken intensief samen op het gebied van veiligheid; met elkaar en met andere instanties. Dit werpt zijn vruchten af. Het aantal incidenten en de schade als gevolg van verschillende criminaliteitsvormen, zoals skimming van betaalpassen, neemt af. Omdat criminelen altijd op zoek zijn naar nieuwe manieren om aan geld te komen blijven de banken alert.

Cijfers maart 2017 (cijfers worden z.s.m. bijgewerkt) - Voor meer recente cijfers, zie o.m. nieuwsbericht d.d. 18 april 2018

Fraude in het betalingsverkeer: phishing, malware en debit card fraude

Fraude in het betalingsverkeer kent verschillende verschijningsvormen. Fraude met internetbankieren kan plaatsvinden wanneer criminelen de benodigde gegevens zoals gebruikersnaam en wachtwoord in handen krijgen, door bijvoorbeeld phishing. Phishing is een vorm van social engineering waarin criminelen zich voor doen als bank door middel van een email. Criminelen kunnen ook de benodigde gegevens, zoals inlogcodes, bemachtigen door computers van eindgebruikers te infecteren middels kwaadaardige software (malware), zoals virussen, wormen, trojan horses en spyware. Malware beïnvloedt normale online betalingsprocessen waardoor de betrouwbaarheid wordt aangetast. Overige schade kan ontstaan door bijvoorbeeld valse machtigingen voor internetbankieren.

Veiligheid en fraude figuur 1

In de eerste helft van 2016 bedroeg de schade als gevolg van fraude met internetbankieren nog maar € 148.000. In het gehele jaar 2011 was dat nog ruim € 35,1 miljoen. Door het succes van technische maatregelen tegen malware richten criminelen zich vanaf het tweede halfjaar van 2013 meer op phishing en weten zij continu op nieuwe manieren klanten te misleiden.

Criminelen zijn hierin nog steeds succesvol. Ongeveer 92% van de overboekingen gaat tegenwoordig via internetbankieren. Per jaar vinden ongeveer 1,5 miljard transacties plaats, met een totale waarde van zo’n € 4.800 miljard. De schade van € 3,7 miljoen betreft slechts 0,0001% van de totale halfjaarlijkse transactieomzet. Naast fraude met internetbankieren kunnen criminelen ook fraude plegen met betaalpassen van klanten. Een voorbeeld hiervan is betaalpas opstuur fraude. Criminelen krijgen ook door social engineering technieken de pas van de klant in handen om deze  vervolgens te misbruiken. Criminelen benaderen de klanten alsof zij bankmedewerkers zijn via een email of een telefoontje met het verzoek om hun betaalpas op te sturen zodat deze recycled kan worden. De schade door gestolen en verloren betaalpassen was in de eerste helft van 2016 circa € 1,6 miljoen.

Niet-bancaire fraude

Naast fraude waarbij criminelen misbruik maken van bancaire producten proberen criminelen ook klanten te verleiden tot het uitvoeren van transacties. Deze vormen van niet­-bancaire fraude zorgen ervoor dat klanten onbewust zijn van het feit dat ze geld overmaken naar een crimineel. Een van de voorbeelden hiervan is factuurfraude. Bij factuurfraude sturen (cyber)criminelen valse facturen in de hoop dat de ontvanger deze gaat betalen. Zij sturen massaal nepfacturen naar willekeurige e­mailadressen. Het lijkt alsof dit facturen zijn van bekende en vertrouwde partijen. Het slachtoffer gaat er dan ook van uit dat de factuur correct is.

Digitale factuurfraude bestaat in verschillende vormen:

  • nepfacturen naar willekeurige e-mailadressen;
  • gepersonaliseerde nepfacturen;
  • CEO-fraude.

Daarnaast kunnen criminelen tevens echte facturen aanpassen door het rekeningnummer van de begunstigde te wijzigen.

Maatregelen tegen fraude in het betalingsverkeer

Maatregelen tegen fraude in het betalingsverkeer kunnen ondergebracht worden in verschillende categorieën. Ten eerste bestaan preventieve maatregelen om het plaatsvinden van de fraude geheel te voorkomen. Voorbeelden van preventieve maatregelen zijn voorlichtingscampagnes waardoor klanten geïnformeerd worden en daardoor potentiële fraudepogingen kunnen herkennen. De campagne van de Betaalvereniging Nederland “Hang op! Klik weg! Bel uw bank!” – en uitgebreid met “Stuur nooit uw pas op!” – geeft klanten praktische tips over welke stappen zij kunnen nemen bij geval van twijfel over mogelijke fraude pogingen.

In het geval van skimming hebben banken het initiatief genomen om door geoblocking standaard het gebruik van de betaalpas buiten Europa uit te schakelen.

Naast preventie hebben banken geïnvesteerd in effectieve monitoring en detectiesystemen. De kennis die zij opdoen op basis van de systemen wordt gedeeld zodat vanuit de samenwerking fraude en vooral de daaraan gekoppelde schade beperkt kan worden. De nadruk ligt daarom vooral op samenwerking en informatie uitwisseling.

Daarnaast heeft De Nederlandsche Bank (DNB) een initiatief genomen om financiële instellingen binnen de financiële kern infrastructuur (FKI) te testen. Op deze manier kan gekeken worden hoe weerbaar financiële instellingen, waaronder banken, zijn tegen digitale aanvallen. Naast de FKI partijen werken politie, het NCSC, de inlichtingendiensten, commerciële security partijen, de Nederlandse Vereniging van Banken en de Betaalvereniging Nederland hier aan mee.

Banken participeren ook in een aantal publiek-­private samenwerkingsverbanden:

  • Electronic Crimes Task Force (ECTF): een samenwerkingsverband tussen de banken, politie en Openbaar Ministerie (OM). Het ECTF versterkt de informatiepositie van alle partijen en verhoogt de kwaliteit van opsporing, vervolging en interventie.
  • Kennisprogramma Veiligheid Digitaal Betalingsverkeer (KVDB): een samenwerkingsverband tussen de bancaire sector, de Politie(academie) en de wetenschap. Sinds 2011 wordt hier gewerkt met ervaren wetenschappers uit de criminologie/politiekunde, psychologie, informatica en rechtswetenschap aan een integrale aanpak van cybercrime.
  • Financial Institutions – Information Sharing and Analysis Center (FIISAC): het overleg waarin banken met elkaar en met de overheid kennis delen over incidenten en kwetsbaarheden.
  • Werkgroep Veiligheid van het Maatschappelijk Overleg Betalingsverkeer (MOB): voert periodiek overleg over borging van de veiligheid in ons betalingsverkeer waarbij het gaat om zowel de persoonlijke veiligheid als die van betaalproducten. Het MOB staat onder voorzitterschap van De Nederlandsche Bank (DNB). Deelnemers zijn vertegenwoordigers van aanbieders en gebruikers in het betalingsverkeer (Deelnemers zijn o.a.: Nederlandse Vereniging van Banken, Betaalvereniging Nederland, Consumentenbond, ouderenorganisaties, thuiswinkel.org, Detailhandel Nederland en MKB­Nederland.)

Fysieke incidenten

De belangrijkste fysieke dreigingen waarmee banken worden geconfronteerd zijn bankovervallen en aanvallen op geldautomaten. Criminelen richten hun aanvallen de laatste jaren meer op geldautomaten door middel van plofkraken. In het overgrote deel van deze plofraken wordt geen buit gemaakt. Als de plofkraak lukt, wordt vaak grote schade aan omliggende gebouwen aangericht. Banken maken zich zorgen om de risico’s voor omwonenden.

Maatregelen tegen fysieke incidenten

Banken treffen maatregelen die zijn gericht op het laten mislukken van de plofkraak en het onbruikbaar maken van geld. Er is sprake van een intensieve samenwerking tussen politie en banken. De samenwerking is in maart 2014 geformaliseerd met de ondertekening van een samenwerkingsconvenant

Witwassen en terrorismefnanciering

Witwassen en terrorismefnanciering

In het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) zijn banken verplicht om ongebruikelijke transacties te melden bij de Financial Intelligence Unit (FIU). FIU­ Nederland analyseert de meldingen en bepaalt welke meldingen verdacht zijn. Deze worden doorgegeven aan opsporingsdiensten. Jaarlijks publiceert de FIU een jaarrapport waarin onder meer het aantal meldingen is opgenomen. Zie: fu­nederland.nl/nl/over­fu/jaaroverzicht.

Incidentenwaarschuwingssysteem

Bij het bestrijden van criminaliteit is het cruciaal dat financiële instellingen informatie uitwisselen. Het incidentenwaarschuwingssysteem Financiële Instellingen is een belangrijk preventiemiddel tegen fraude. In het systeem staan gegevens van rechts(personen) die hebben gefraudeerd of op een andere manier een risico vormen. Banken toetsen of toekomstige klanten of personeelsleden in het  systeem voorkomen. In 2015 is het systeem bijna 13 miljoen keer geraadpleegd. In ruim 35.000 gevallen was aanvullend onderzoek wenselijk.

Veiligheid en fraude figuur 2

Conclusie

Criminelen zoeken steeds naar nieuwe wegen om aan geld te komen. Ook na een sterke daling in het vóórkomen van een bepaalde criminaliteitsvorm kunnen de cijfers weer oplopen. Daarom is voortdurende aandacht van en samenwerking tussen alle betrokkenen noodzakelijk. Dit betreft zowel de banken zelf als het gaat om veilige systemen, de klanten door bewust met internet om te gaan en politie en justitie voor adequate opsporing en vervolging.