Een crimineel kan in een overboeking het bedrag en het rekeningnummer aanpassen zolang de opdracht nog niet verstuurd is, waarschuwt de Consumentenbond. Bijna een miljoen klanten van de bank gebruiken een TAN-code op papier in plaats van via sms bij een overboeking, aldus de organisatie.

Op een papieren lijst kunnen gebruikers een code vinden aan de hand van een driecijferig volgnummer dat bij de overboeking staat. Op die manier keuren ze de overboeking goed. Die cijfercombinatie is één keer te gebruiken. De papieren codes zijn niet gekoppeld aan de overboeking.

Als de opdracht voor de overboeking niet verstuurd is, kan een cybercrimineel het rekeningnummer van de ontvanger wijzigen en het bedrag verhogen. Hierbij hoeft de code niet nogmaals ingevuld te worden.

Om dit te bereiken moet de hacker de besturing van de computer overnemen nadat de TAN-code is ingetoetst bij het internetbankieren. Hoe hoog het bedrag kan worden, is afhankelijk van het saldo en de betaallimiet.