Criminelen kunnen online winkelen met geraden wachtwoorden
03-09-2020
•
leestijd 2 minuten
•
154 keer bekeken
•
Klanten van vijf populaire webwinkels zijn niet goed beschermd tegen fraude met gelekte of geraden wachtwoorden. Dit blijkt uit een steekproef van de Consumentenbond bij 30 webwinkels. Criminelen kunnen met een gestolen of geraden wachtwoord een bestelling doen.
Vervolgens kunnen ze het bezorgadres veranderen in hun eigen adres en gebruik maken van de mogelijkheid om achteraf te betalen. De gedupeerde ontvangt dan geen bestelling, maar wél de rekening. De meeste winkels gaan beveiligingssuggesties van de Consumentenbond doorvoeren, zodat consumenten beter beschermd zijn tegen de online fraude.
Bestelfraude bij bekende webwinkels mogelijk
Om de fraude te voorkomen blokkeren veel webshops de mogelijkheid om achteraf te betalen als er op een ander adres wordt bezorgd. Of ze bieden een betaalmethode aan waarvoor een extra wachtwoord nodig is. Bij Bol.com, Bonprix, Plein, Wehkamp en Zalando ontbrak een dergelijke beveiliging en is bestelfraude wel mogelijk. Bij Bonprix en Plein konden fraudeurs klantgegevens aanpassen. En zo konden ze de bevestiging van bestellingen ongemerkt omleiden naar een ander e-mailadres.
Bij Bol, Wehkamp en Zalando bleek het voor online criminelen niet mogelijk voor fraudeurs het e-mailadres aan te passen. Of het kon, maar niet ongemerkt. Klanten van deze drie winkels die hun mail goed in de gaten houden, kunnen tijdig aan de bel trekken en fraude voorkomen.
'Gedoe' voor slachtoffers fraude
De Consumentenbond vindt de huidige beveiligingsmaatregelen van deze webwinkels niet voldoende. Slachtoffers van bestelfraude moeten zelf hun vordering door Afterpay of Klarna of de webwinkel laten schrappen. Dat levert ze veel gedoe en stress op. Klarna eist bijvoorbeeld dat consumenten aangifte doen bij de politie en die aangifte vervolgens uploaden naar de website van Klarna.
De webwinkels gaven aan dat slachtoffers van bestelfraude zich kunnen melden bij de klantenservice voor een oplossing.
Verbeteringen
De Consumentenbond stuurde de betreffende webwinkels een lijst met beveiligingssuggesties. Bijvoorbeeld een strenger wachtwoordbeleid en 2-factor-authenticatie voor achterafbetalingen. Ook beloven ze extra beveiligingsmaatregelen te zullen nemen. Bol.com gaat bijvoorbeeld onderzoeken of ze 2-staps-authenticatie voor inloggen kunnen gaan invoeren. En Plein.nl geeft aan het wachtwoordbeleid aan te scherpen en het wijzigen van het mailadres helemaal uit te schakelen.