Postbank dicht eindelijk 'phishinglek'

Beveiligingsexpert Ronald van den Heetkamp presenteerde voor de jaarwisseling op zijn weblog dat zeven Nederlandse banken kwetsbaar waren voor cross side scripting wat gebruikt kan worden bij phishingaanvallen.

Gewoon een kwestie van achter de webadressen van onder meer Postbank, ABN-Amro en SNS, het adres van je eigen scriptje zetten en die hele regel als link aan mensen mailen. Volgens Van den Heetkamp konden de banken het probleem in een kwartiertje oplossen. Bij de Postbank duurde dat tot 10 januari. Niet echt een snelle reactie? We vroegen het de Postbank.

'Het klopt dat onze site kwetsbaar is geweest', zegt Postbank-woordvoerder Harold Reusken. 'Maar we hebben maatregelen genomen. We waren niet de enige bank voor wie dit gold.' Volgens Reusken heeft Van den Heetkamp niets aan de bank gemeld.

Voor een mogelijke phishingaanval hadden kwaadwillenden de methode cross side scripting kunnen gebruiken op het openbare gedeelte van de Postbank-site. Zo hadden ze bijvoorbeeld een formulier met vragen naar tancodes kunnen tonen in de vormgeving van de Postbank.

Er kon geen toegang worden verschaft tot financiële gegevens van klanten. Reusken: 'Wij melden altijd aan klanten dat wij als Postbank nooit per mail of telefoon naar persoonsgegevens, pincodes of tancodes zullen vragen.'

Volgens de bank is er geen misbruik van de kwetsbaarheid gemaakt. Wel vertelt Reusken dat er rond de kerstdagen door klanten werd geklaagd over het ontvangen van phishingmails. 'Enkele tientallen mensen hebben daar over geklaagd. Maar dat was veel minder dan bij de grootschalige spamruns over de Postbank vorig jaar.'

Veilige online banken zijn volgens Van den Heetkamp op dit moment bijvoorbeeld Rabobank, DSB, Alex en Van Lanschot. De beveiligingsexpert stuitte door bezoekjes van bankmedewerkers aan zijn weblog ook nog op een gaatje in de beveiliging van het intranet van de ING.