Vanaf mei kan iedereen in België met een Bancontact/MisterCash kaart en een smartphone met zijn mobiele telefoon gaan betalen. Vanaf dan is de app van Bancontact/Mister Cash beschikbaar voor het grote publiek (zowel voor Android als IOS). Ik kan mij voorstellen dat mensen ergens een onbehaaglijk gevoel hebben over deze ontwikkeling. Hoe veilig is dit systeem? Hoe gemakkelijk is het voor cybercriminelen om code te schrijven die misbruik maakt van dit systeem?
In Azië wordt al veel langer gewerkt met betalen met de GSM. Vaak wordt er gekozen voor een systeem waarbij het sturen van een SMS aan de ontvangende partij volstaat om een betaling te doen. Dit systeem is al meerdere keren kwetsbaar gebleken voor malware. In 2012 werd er bijvoorbeeld door het beveiligingsbedrijf TrustGo melding gemaakt van de malware Trojan!SMSZombie. Deze code werd toegevoegd aan op zichzelf onschuldige apps, in de meeste gevallen wallpaper-apps. Pas na de installatie van de app werden de schadelijke componenten gedownload. Deze namen de controle over van de SMS-functionaliteit van de telefoon, waardoor ongeautoriseerde betalingen konden worden verricht.
Het is duidelijk dat deze truc niet zal werken voor gebruikers van de Bancontact/Mister Cash app, omdat deze niet met SMS werkt, maar met het scannen van een QR-code. Maar dat geeft geen garanties over waterdichtheid. QR-codes zijn niet veel anders dan een grafische weergave van een URL. En dat URL’s kunnen worden geïnfecteerd met malware, is geen nieuws. Het zal dan ook van extra belang zijn om je smartphone goed te beveiligen wanneer je gebruik gaat maken van de nieuwe betaalapp. En wees extra voorzichtig met het downloaden en installeren van apps.
Er is nog een ander gevaar, en dat ligt wat mij betreft veel eerder voor de hand: betalingen worden met deze app uiteindelijk maar met 1 enkel apparaat uitgevoerd en daarmee is er geen sprake van een degelijke tweefactor-autenticatie (het aanmelden gebeurt met 2 verschillende apparaten). En we waren het er intussen wel over eens dat tweefactor-autenticatie toch een minimale voorwaarde was voor het digitaal afhandelen van geldzaken. Uiteraard zou een eventuele dief of vinder van een smartphone moeten weten wat de pincode is waarmee betalingen bevestigd moeten worden. Maar helaas weten we uit de korte digitale geschiedenis maar al te goed dat mensen gemak boven veiligheid stellen. Waar zij voor verschillende online accounts al sterke wachtwoorden moeten verzinnen en onthouden, kunnen zij hun smartphone en SIM-kaart beveiligen met een pincode. ‘Ah, pincode, daar heb ik er al één van’, zal menig Belg hebben gedacht bij het inrichten van zijn nieuwe smartphone, waarna hij de pincode van zijn bankkaart invoerde als schermbeveiligingscode. Nu hebben de huidige generatie smartphones over het algemeen een mooi groot scherm van glas. Een scherm waarop vingerafdrukken nogal goed te zien zijn. Een beetje smartphone-dief weet dus al gauw welke cijfers er in de pincode zitten, hij moet ze alleen nog in de juiste volgorde zetten om toegang te krijgen tot de telefoon. Als dat gelukt is, kan hij er redelijk zeker van zijn dat hij ook de pincode voor het bevestigen van betalingen heeft gevonden. En dan kan het grote betaalfeest beginnen. De limiet van €125,- zal het tempo van de ongeoorloofde betalingen wel wat temperen, maar als er tien betalingen van €125,- worden gedaan (denk aan een goed georganiseerde shopping spree), is er toch al een flinke schade.
Mijn advies voor iedereen die de app wil gaan gebruiken is eenvoudig: zorg voor een unieke pincode. En veeg je scherm goed af na elke transactie.
Jan van Haver, country manager Benelux & UK bij G Data Software
