image

Fraude met webshopaccounts door hergebruikte wachtwoorden

vrijdag 20 juli 2018, 18:31 door Redactie, 20 reacties

Criminelen maken misbruik van Nederlandse webshopaccounts die via hergebruikte wachtwoorden toegankelijk zijn, zo meldt RTL Nieuws. Via grote datalekken zoals die van LinkedIn en Yahoo achterhalen de criminelen e-mailadressen en wachtwoorden en proberen die vervolgens op andere websites.

Wanneer gebruikers het gelekte wachtwoord ook voor andere websites gebruiken kunnen de aanvallers inloggen en met het account frauderen. Volgens RTL Nieuws worden de op deze manier gehackte accounts van webshops zoals bol.com, Zalando en Wehkamp op internet aangeboden. Kopers van de gehackte accounts kunnen vervolgens op naam van anderen producten bestellen, waarna de rekening bij het slachtoffer op de deurmat valt.

De politie stelt dat er jaarlijks honderden slachtoffers op deze manier worden gemaakt. Wehkamp laat weten dat het zelfs dagelijks met deze vorm van fraude te maken heeft. Internetgebruikers krijgen dan ook het advies om voor elk account een ander wachtwoord te gebruiken.

Reacties (20)
20-07-2018, 18:47 door Anoniem
Lijkt me beter dat webshops die een optie bieden om een verplichting aan te gaan (spullen leveren zonder vooruitbetaling)
deze wat beter beveiligen dan met een naam en wachtwoord.
We weten allemaal dat naam en wachtwoord een laag-nivo vorm van authenticatie is die niet geschikt is voor echt
belangrijke dingen zoals het aangaan van verplichtingen.
20-07-2018, 20:52 door karma4
Als de webshop niet de juiste persoon valideert lijkt me de webshop aansprakeljjk. Dit ligt in het verlengde:
https://www.consuwijzer.nl/nieuws/de-acm-waarschuwt-voor-incassobureau-pay-care
20-07-2018, 22:02 door Anoniem
Het moet gewoon verboden zijn om op afbetaling via een website te kopen, doen ze het toch is
dit voor hun eigen rekening.
Ik vraag me trouwens af wat je kunt doen als dit je overkomt.
20-07-2018, 22:44 door Anoniem
Door karma4: Als de webshop niet de juiste persoon valideert lijkt me de webshop aansprakeljjk. Dit ligt in het verlengde:
https://www.consuwijzer.nl/nieuws/de-acm-waarschuwt-voor-incassobureau-pay-care
Wat de ACM te maken heeft met webshops zie ik niet. Bovengenoemde link gaat over een malafide incassobureau.

Ten eerste: recht hebben of recht krijgen is nog altijd een groot verschil.
Ten tweede: de vraag of de webshop aansprakelijk is hangt mede af of aansprakelijkheid geregeld is in de algemene voorwaarden.
Ten derde: een schadeclaim kan op grond van twee voorwaarden worden toegekend: de wanprestatie of de onrechtmatige daad.
Met andere woorden: er kan nog een behoorlijk juridisch gesteggel losbreken over de vraag of de webshop in de fout is gegaan of niet. Dus beste consument: het is altijd verstandig een Rechtsbijstandverzekering te hebben. Zo niet, dan zult u in veel gevallen moeten opdraaien voor Advocaatkosten en het tarief is zeker rond de 100 euro per uur.
21-07-2018, 06:51 door Anoniem
Ja, lekker. Straks heb je nog een digid nodig om wat in een webshop te kopen...
21-07-2018, 08:23 door [Account Verwijderd]
Door Anoniem: Het moet gewoon verboden zijn om op afbetaling via een website te kopen, doen ze het toch is
dit voor hun eigen rekening.
Ik vraag me trouwens af wat je kunt doen als dit je overkomt.
Dat zou een oplossing kunnen zijn, ware het niet dat de Nederlandse wet hierover nogal duidelijk is (zie het Burgerlijk Wetboek). De kans dat een dergelijk wetsvoorstel (om op afbetaling te verbieden) inderdaad wordt aangenomen, acht ik daarom maar klein.
21-07-2018, 08:42 door Anoniem
Door Anoniem:
Wat de ACM te maken heeft met webshops zie ik niet.
Tja...


Ten tweede: de vraag of de webshop aansprakelijk is hangt mede af of aansprakelijkheid geregeld is in de algemene voorwaarden.
Dat mag ik toch hopen van niet...
De consument heeft geen invloed op die voorwaarden en hoe ze veranderen.
Als je koopt bij een webshop en daar gedwongen wordt een account te maken (als je kiest voor de optie ik wil gewoon
kopen zonder gedoe met een account dan betekent dat meestal in werkelijkheid: wij maken wel even een account), dan
kies je op dat moment voorwaarden voor je eigen aankoop. Wellicht kun je alleen bestellen met betaling via iDeal
of vooruit overmaken en alles is veilig want als iemand anders bestelt zal die toch ook eerst moeten betalen.
Dan komt de webshop op het idee om meer klanten te trekken door ook afterpay toe te staan en een jaar later
bestelt er ineens iemand op jouw account met afterpay. En daar zou JIJ dan voor verantwoordelijk zijn??
Daggutnie...
Als een webshop er voor kiest om verplichtingen aan te gaan zonder deugdelijke en geschikte authenticatie dan is
dat hun eigen probleem. Niet dat van degenen die ooit gedwongen werd een account te maken omdat de computer
dat vereiste.
21-07-2018, 08:59 door karma4
Door Anoniem:
Wat de ACM te maken heeft met webshops zie ik niet. Bovengenoemde link gaat over een malafide incassobureau.

Ten eerste: recht hebben of recht krijgen is nog altijd een groot verschil.
Ten tweede: de vraag of de webshop aansprakelijk is hangt mede af of aansprakelijkheid geregeld is in de algemene voorwaarden.
Ten derde: een schadeclaim kan op grond van twee voorwaarden worden toegekend: de wanprestatie of de onrechtmatige daad.
Met andere woorden: er kan nog een behoorlijk juridisch gesteggel losbreken over de vraag of de webshop in de fout is gegaan of niet. Dus beste consument: het is altijd verstandig een Rechtsbijstandverzekering te hebben. Zo niet, dan zult u in veel gevallen moeten opdraaien voor Advocaatkosten en het tarief is zeker rond de 100 euro per uur.

AD 0/ Het gaat om rekeningen waarbij de klant niets van de bestelling weet en het bewijs nogal dubieus is (een bandje telefoongesprek) . Ik kijk naar de order waar het niet goed gegaan is. Dat is de overeenkomst met de webshop.
Als er pakketten verstuurd worden naar een adres anders dan de betaler en dat op rekening dan is dat raar. (verwijtbaar).
Als het iets onlogisch is wat niet bij die klant hoort dan is dat raar (verwijtbaar).

ad ten eerste: Je hebt gelijk. Mogelijk helpt het met een bepaalde mening als algemeen draagvlak.
ad ten tweede: Een onverschuldigde verzending is onverschuldigd wat de algemene voorwaarden van de webshop ook zeggen. Consumentenrecht gaat voor. https://www.acm.nl/nl/levering Nu wordt er wel geleverd maar niet aan de persoon die gezegd zou hebben te betalen.
ad ten derde: Je wordt persoonlijk lastig gevallen door een bedrijf met verkeerde persoonsinformatie. Zoiets kost tijd en ergernis. Als het verwijtbaar aan de webshop is dan kan je met de GDPR schadevergoeding eisen. Inderdaad je moet zoiets alleen starten als de kans op succes heel hoog is zodat je alle kosten (ook van de advocaat) terug krijgt.
21-07-2018, 09:00 door karma4
Door Anoniem: Ja, lekker. Straks heb je nog een digid nodig om wat in een webshop te kopen...
Voor digid kun je je banktoegang gebruiken om in te loggen. Betalen bij een bestelling moet je toch al. Wat is het probleem?
21-07-2018, 09:52 door [Account Verwijderd]
Door karma4:
Door Anoniem: Ja, lekker. Straks heb je nog een digid nodig om wat in een webshop te kopen...
Voor digid kun je je banktoegang gebruiken om in te loggen. Betalen bij een bestelling moet je toch al. Wat is het probleem?

Hoe dan? Ik zie nog geen DigiD in het (veel te korte) lijstje. https://www.idin.nl/consumenten/waar-idin-gebruiken/
21-07-2018, 10:13 door Briolet - Bijgewerkt: 21-07-2018, 10:17
Door karma4: …Als er pakketten verstuurd worden naar een adres anders dan de betaler en dat op rekening dan is dat raar. (verwijtbaar)
Als het iets onlogisch is wat niet bij die klant hoort dan is dat raar (verwijtbaar).

Ik denk dat er regelmatig pakketten naar een ander adres verstuurd worden. Als iedereen in de huishouding overdag buitenhuis werkt, laat je het pakket naar een kennis sturen waar wel altijd iemand thuis is, of naar je werkadres.

Of oma bestelt een verjaardagscadeau voor de kleindochter en laat het bij de jarige afleveren.

Wisselende afleveradressen kunnen wel een punt van aandacht zijn, maar in de meeste gevallen is dat gewoon legitiem.
21-07-2018, 10:20 door Anoniem
De hele problematiek en de mogelijkheid tot fraude wordt toch eigenlijk eerst mogelijk gemaakt door
1.) het hebben van een "account" EN
2.) de manier van betalen/afrekenen van een bestelling.

Account
Het (moeten) hebben van een account is qua veiligheid een onding en verlaagt de veiligheid. Bij bestellen zonder account vul je alle gegevens in (wat typewerk en iedere keer opnieuw). De leverancier zou alle gegevens moeten wissen nadat ze niet meer nodig zijn wat in werkelijkheid niet gebeurt omdat die mogelijkheid meestal niet geboden wordt.
DUS::
a.) Als je een bestelling kunt plaatsen zonder een account aan te maken doe dat dan.
b.) Je kunt altijd verlangen dat alle gegevens van jou worden gewist zodra ze niet meer nodig zijn mbt de transactie.

Betalen/afrekennen
a.) Gebruik bij voorkeur de credit card omdat die meer zekerheid en/of verhaal biedt.
b.) Het gebruik van credit card die "permanent openstaat" voor bestellingen en betalingen is de deur wagenwijd opzetten voor fraude. Immers na het inloggen op een account (mbv naam en paswoord) kan er besteld en betaald worden. Het zogenaamde "one click bestellen en afrekenen" werkt fraude in de hand. Dus zelf de credit card verwijderen als ze niet (meer) nodig is
c.) Er zijn websites waar het betalen iets omslagtiger afgehandeld wordt dmv de tussenkomst van een payment provider (bv Ayden) en verificatie mbv een codegenarator naar de bank toe (twee factor) wat zeer zeker een fijne beveiliging is.

Er zijn dus wel tools om de veiligheid te verhogen.
21-07-2018, 10:29 door karma4
Door linux4: ? Ik zie nog geen DigiD in het (veel te korte) lijstje. https://www.idin.nl/consumenten/waar-idin-gebruiken/
https://www.rijksoverheid.nl/onderwerpen/digitale-overheid/veilig-makkelijk-inloggen-overheidswebsites
"De nieuwe en verbeterde inlogmiddelen geven meer zekerheid dat u bent wie u zegt te zijn. Dat maakt identiteitsfraude moeilijker." https://www.idin.nl/belasting/ die is al uitgerold. De lijst mag nu te kort zijn.
In ieder geval is begrip authenticatie van de persoon al beter tussen de oren. Nu de uitrol nog.
21-07-2018, 10:50 door karma4
Door Briolet: ..Wisselende afleveradressen kunnen wel een punt van aandacht zijn, maar in de meeste gevallen is dat gewoon legitiem.
In de paar gevallen die je met een ander adres noemt zal gewoonlijk de rekening vooraf voldaan worden. Daarmee is er een extra authenticatie op de identificatie ingesloten, (mits alles de zelfde naam heeft).
Met een geregeld herhaalde actie naar een adres is het zichtbaar. Typisch dat big data makkelijk voor de hype met nieuwe verkopen en nieuwe producten ingezet wordt en zo weinig met beperking risico schade beheer (niet sexy, mogelijk negatief beeld als profilering).

Het komt voor https://nos.nl/artikel/2215136-internetoplichter-opgepakt-dankzij-postbezorger.html
https://opgelicht.avrotros.nl/alerts/item/politie-waarschuwt-voor-oplichtingstruc-met-onbestelde-pakketjes/
21-07-2018, 12:03 door Anoniem
Door Fidelis:
Door Anoniem: Het moet gewoon verboden zijn om op afbetaling via een website te kopen, doen ze het toch is
dit voor hun eigen rekening.
Ik vraag me trouwens af wat je kunt doen als dit je overkomt.
Dat zou een oplossing kunnen zijn, ware het niet dat de Nederlandse wet hierover nogal duidelijk is (zie het Burgerlijk Wetboek). De kans dat een dergelijk wetsvoorstel (om op afbetaling te verbieden) inderdaad wordt aangenomen, acht ik daarom maar klein.
Volgens de website Tweakers Het heeft niet te maken met vooruitbetaling, maar achteraf-betaling.
Een idee voor Bol.com en Mediamarkt: maak de accounts zodanig, dat de achteraf-betaling wordt uitgeschakeld. Dan heeft de crimineel ook toegang nodig tot de bankgegevens van de klant (iDeal), en die heeft hij niet voorhanden.
21-07-2018, 19:42 door Anoniem
waarom niet gewoon mfa, of verificatie dmv een sms code?
in ieder geval optioneel en de klant de keuze geven om zijn of haar account beter te beveiligen.
23-07-2018, 09:40 door Anoniem
Toch maar een stukje meer hygiène in wachtwoordgebruik toepassen, denk ik. Dat heb je tenminste zelf in de hand. Wachten tot anderen zorgen dat jouw gegevens veiliger zijn, dat is misschien te passief.
23-07-2018, 11:39 door [Account Verwijderd]
Door karma4:
Door linux4: ? Ik zie nog geen DigiD in het (veel te korte) lijstje. https://www.idin.nl/consumenten/waar-idin-gebruiken/
https://www.rijksoverheid.nl/onderwerpen/digitale-overheid/veilig-makkelijk-inloggen-overheidswebsites
"De nieuwe en verbeterde inlogmiddelen geven meer zekerheid dat u bent wie u zegt te zijn. Dat maakt identiteitsfraude moeilijker." https://www.idin.nl/belasting/ die is al uitgerold. De lijst mag nu te kort zijn.
In ieder geval is begrip authenticatie van de persoon al beter tussen de oren. Nu de uitrol nog.

Alleen de belastingdienst is nog niet veel. Maar mijn vraag is: Als ik naast iDin nog steeds ook via DigiD kan inloggen wat voor veiligheid voegt iDin dan toe? Ik moet dan andere inlogmethoden kunnen blokkeren als ik die minder veilig vind.
23-07-2018, 16:16 door Anoniem
Het lijkt wat omslachtig, maar het kan wél. Gewoon na ieder gebruik je wachtwoord wijzigen. Dit in combinatie met 'moeilijke' wachtwoorden zou voldoende moeten zijn.

Een andere oplossing die gemakkelijk is te implementeren sis dat de webshop via e-mail een bevestiging vraagt. Geef jij die bevestiging niet per mail, dan is er geen koopovereenkomst. Kwestie van service aan de klant.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.