Een crimineel kan in een overboeking het bedrag en het rekeningnummer aanpassen zolang de opdracht nog niet verstuurd is, waarschuwt de Consumentenbond. Bijna een miljoen klanten van de bank gebruiken een TAN-code op papier in plaats van via sms bij een overboeking, aldus de organisatie.
Op een papieren lijst kunnen gebruikers een code vinden aan de hand van een driecijferig volgnummer dat bij de overboeking staat. Op die manier keuren ze de overboeking goed. Die cijfercombinatie is één keer te gebruiken. De papieren codes zijn niet gekoppeld aan de overboeking.
Als de opdracht voor de overboeking niet verstuurd is, kan een cybercrimineel het rekeningnummer van de ontvanger wijzigen en het bedrag verhogen. Hierbij hoeft de code niet nogmaals ingevuld te worden.
Om dit te bereiken moet de hacker de besturing van de computer overnemen nadat de TAN-code is ingetoetst bij het internetbankieren. Hoe hoog het bedrag kan worden, is afhankelijk van het saldo en de betaallimiet.
Niet vergoed
De schade wordt volgens de Consumentenbond in principe niet door banken vergoed, omdat de rekeninghouder zelf toegang heeft gegeven tot de computer en alle gegevens.
Frauderen is niet mogelijk als de TAN-code via sms verstuurd wordt. Daarbij wordt er bij elke aanpassing van de opdracht om een nieuwe code gevraagd.
Een woordvoerder van ING zegt enigszins verbaasd te zijn. “Beide vormen van TAN-codes zijn even veilig. Als iemand dit wil doen, moet diegene je TAN-code hebben en je computer over kunnen nemen. Daarom zeggen wij ook altijd dat je de code alleen met je bank moet delen als je geld overmaakt en dat je ze goed moet bewaren. De papieren versie is niet per definitie minder veilig.”