PayPal lang niet zo veilig?

In Nederland gebruiken jaarlijks 2 miljoen mensen het betalingssysteem PayPal. Met dit betalingssysteem kun je aankopen in webwinkels betalen, maar je kan er ook geld mee overmaken naar andermans rekening. Ook wordt PayPal steeds vaker gebruikt voor de betaling van dingen die je op Marktplaats verkoopt. Maar Kassa vraagt zich af: hoe veilig is PayPal eigenlijk?

Frank Tamis, Jantiena Paling en Tobias Lasschuijt ondervinden aan den lijve dat PayPal lang niet zo veilig is als het bedrijf pretendeert. Zowel Frank als Jantiena worden door slinkse nep PayPal e-mails opgelicht en ook Tobias Lasschuijt gaat uiteindelijk de boot in, doordat een oplichter zegt niets te hebben ontvangen. De redactie van Kassa onderzoekt zelf ook met wat voor slimme oplichters je allemaal te maken krijgt, wanneer je iets te koop aanbiedt op het internet. Kassa constateert dat de mailtjes van de oplichters heel erg lijken op die van Paypal, maar toch echt niet van PayPal afkomstig zijn. Ook krijgt de redactie bij het aanmaken van een account geen waarschuwing van PayPal te zien dat er oplichters actief zijn. Derk Wagelaar, marketing directeur PayPal Benelux, is bekend met de nepmailtjes die uit naam van PayPal worden verstuurd. “Het is inderdaad wel oplichting. Wij zien het niet als fraude, omdat het buiten onze systemen omgaat. De oplichter maakt namelijk niet echt van PayPal gebruik”, aldus Wagelaar. Wat wel onder fraude valt wordt volgens Wagelaar goed gescreend. “Wereldwijd werken er bij ons 8.000 mensen. Maar liefst 2.000 mensen houden zich bezig met fraudebestrijding. Daarom hebben we ook maar een fraudepercentage van 0,2% op 100 miljard transacties die jaarlijks worden gedaan via PayPal.” Ondanks een foutief genoemd cijfer in de uitzending, zijn dit bijna 11.000 fraudegevallen per dag. En daar zitten de nepmailtjes dus niet eens bij!

Geen actieve waarschuwing
PayPal heeft op haar site Tips geplaatst, maar behalve dat worden PayPalklanten niet actief gewaarschuwd voor de verschillende vormen van oplichting. Ter vergelijking: de Nederlandse banken versturen regelmatig mailtjes om hun klanten te waarschuwen, maar dit doet PayPal niet. “De belangrijkste waarschuwing die wij kunnen geven is: gebruik je gezonde verstand. En verstuur nooit iets op voordat er echt betaald is. PayPal zal nooit en te nimmer vragen eerst iets op te sturen voordat het geld op de rekening staat”, vertelt Wagelaar in de studio. “Daarnaast zijn de veiligheidstips en adviezen meer prominent op de site gezet.”

Behalve dat Kassa onderzoekt wat voor oplichters je allemaal op je dak kan krijgen, houdt Kassa ook de beveiliging van Paypal tegen het licht. We constateren dat PayPal gebruik maakt van een beveiligingdie in zijn geheel is gebaseerd op een combinatie van gebruikersnaam en wachtwoord. Professor Verheul (professor Informatiebeveiliging aan de Radboud Universiteit) is bezorgd over de manier waarop PayPal toegang geeft tot het betaalsysteem. “In de Nederlandse situatie zijn we gewend dat je behalve je inlog en wachtwoord ook nog een tweede factor hebt ter controle, bijvoorbeeld een tan-code via sms of een verificatie met behulp van je betaalpas,” aldus professor Verheul. “En het is echt onveiliger zonder die tweede factor, niet alleen in theorie. Het stelen van wachtwoorden gebeurt echt in de praktijk.” Algemeen directeur van PayPal, de heer Wagelaar, vindt dat het systeem wel veilig is. “Vanuit PayPal worden er heel veel controles uitgevoerd bij iedere transactie. Alles wordt gecontroleerd en gecheckt. We hebben een zeer grote kopersbescherming en zullen altijd tot de bodem uitzoeken wat er precies aan de hand is.” Websitebeveiliger Ronald Kingma van Issx  is van mening dat het juist relatief simpel is voor oplichters om de combinatie van gebruikersnaam en wachtwoord te achterhalen. “Deze gegevens kunnen relatief simpel uit de computer worden gestolen. Of mensen worden misleid via social engineering  om hun gebruikersnaam en wachtwoord af te staan. Aangezien PayPal alleen gebruik maakt van een gebruikersnaam en wachtwoord en geen “sterke authenticatie” gebruikt, zoals bijvoorbeeld een sms op je mobiel, blijft het systeem fraudegevoelig” vindt Kingma. “En als je bedenkt dat maar liefst 12% van de Nederlandse computers op dit moment gehackt zijn, zonder dat de eigenaar ervan weet. Dan kun je bedenken hoeveel schade er geleden kan worden.”