Aanvallen op ING Bank

26 december 2014

D

e ING Bank is de bank die het meest wordt aangevallen door hackers en het meest te kampen heeft met storingen. Wat zou daar de reden van kunnen zijn? We hebben een klein onderzoek gedaan, en hebben enkele dingen ontdekt die mogelijk te maken zouden kunnen hebben met de aanvallen.

ING is een Nederlandse onderneming met vestigingen in andere landen. De webzijde van ING staat op computers in de Verenigde Staten van Amerika. Als een Nederlandse klant gaat internetbankieren, dan verloopt dat dus via Amerika. Het is bekend dat de Amerikaanse overheid inzage wil hebben in alles wat er over het internet gaat en zeker als het om banken gaat.

Als de klant wil gaan inloggen op de pagina: https://mijn.ing.nl/internetbankieren dan wordt hij automatisch doorgestuurd naar een andere pagina. Welke pagina dat is en waarom dat gebeurt kunnen we zo niet zien. Na het inloggen wordt de pagina opnieuw doorgestuurd naar een andere. Raadselachtig.

Om te kunnen internetbankieren moet de beveiliging van de computer en de browser worden verlaagd. Javascript moet toegestaan zijn en Cookies moeten zijn ingeschakeld. De bank hamert er steeds op dat de klant een veilige (moderne) computer gebruikt bij het bankieren, maar eist vervolgens dat de beveiliging sterk wordt verlaagd. Hoe krom!

De bank bedient zich zelf van hackers-methoden, door soms pardoes een schermgrote pop-up te presenteren kort na het inloggen. Die pop-up verschijnt zelfs als de klant in zijn browser heeft aangegeven dat pop-ups moeten worden geblokkeerd. Het extra venster blokkeert het verder werken, en de klant moet eerst met een klik bevestigen dat hij de tekst gelezen heeft. Hoe weet hij dan dat het hier niet om een malafide activiteit gaat? Zeer onwijs van ING.

Aanvankelijk communiceerden de banken nooit ongevraagd via e-mail. En had de klant de zekerheid dat een ontvangen mail afkomstig van zijn bank, dus nep was. Tegenwoordig eist de bank het e-mailadres van zijn klant, om hem te kunnen bestoken met zinnige en onzinnige informatie. Zodat de klant nooit meer weet of de mail echt of vals is.

Tijdens het internetbankieren komen er twee vreemde bedrijven stiekem op de ING-pagina's geslopen. Ze maken zich nergens bekend, maar volgen alles wat de klant doet, en leggen dat ongetwijfeld ook nauwkeurig vast.
Het ene bedrijf heet Ogone.com, en dat is momenteel onderdeel van Ingenico Payment Services, en die doet onder andere in “e-Commerce Solutions”. Ingenico is weer onderdeel van de Ingenico Group, en die is uiteraard gevestigd in Amerika.
Omdat Ingenico begint met de letters ING, zou het kunnen dat ING er bij betrokken is.
Het bedrijf is waarschijnlijk verantwoordelijk voor de afhandeling van betalingen aan webwinkels. Maar wat die op de webzijde doet als er geen sprake is van een dergelijke activiteit, is ons een raadsel.

Het andere bedrijf dat in het verborgene actief is op de ING webzijde, heet Ensighten.com. Het hoofdkantoor staat wederom in de USA (California) en het bedrijf omschrijft zichzelf alsvolgt:
“Ensighten provides real-time enterprise data and tag management, accelerating site performance & increasing your marketing agility!”

ING Bank heeft momenteel 56 openstaande vacatures op gebied van ICT, dus het kan zijn dat men niet alles zelf kan behappen.
Wij zijn er echter van overtuigd dat alle bovenstaande zaken voor zwakheden en achterdeurtjes in de beveiliging van ING kunnen zorgen, waar criminelen zich gretig van bedienen.