Webwinkels beloven betere bescherming tegen bestelfraude
Babs van der Staak WoordvoerderGepubliceerd op:3 september 2020
Zwak wachtwoord in combinatie met achteraf betalen vormt een risico
Criminelen kunnen met een gestolen of geraden wachtwoord een bestelling doen. Vervolgens kunnen ze het bezorgadres veranderen in hun eigen adres en gebruik maken van de mogelijkheid om achteraf te betalen. De gedupeerde ontvangt dan geen bestelling, maar wel de rekening.
Om dit te voorkomen blokkeren veel webshops de mogelijkheid om achteraf te betalen als er op een ander adres wordt bezorgd. Of ze bieden een betaalmethode aan waarvoor een extra wachtwoord nodig is.
Bij Bol.com, Bonprix, Plein, Wehkamp en Zalando ontbrak een dergelijke beveiliging en is bestelfraude wel mogelijk. Bij Bonprix en Plein konden fraudeurs klantgegevens aanpassen. En zo konden ze de bevestiging van bestellingen ongemerkt omleiden naar een ander e-mailadres.
Bij Bol, Wehkamp en Zalando bleek het niet mogelijk voor fraudeurs het e-mailadres aan te passen. Of het kon, maar niet ongemerkt. Klanten van deze 3 winkels die hun mail goed in de gaten houden, kunnen tijdig aan de bel trekken en fraude voorkomen.
Procedure na fraude is omslachtig
De Consumentenbond vindt de huidige beveiligingsmaatregelen van deze webwinkels niet voldoende. Slachtoffers van bestelfraude moeten zelf hun vordering door Afterpay of Klarna of de webwinkel laten schrappen. Dat levert ze veel gedoe en stress op. Klarna eist bijvoorbeeld dat consumenten aangifte doen bij de politie en die aangifte vervolgens uploaden naar de website van Klarna.
Verbeteringen
De Consumentenbond stuurde de betreffende webwinkels een lijst met beveiligingssuggesties. Bijvoorbeeld een strenger wachtwoordbeleid en 2-factor-authenticatie voor achterafbetalingen. De webwinkels gaven aan dat slachtoffers van bestelfraude zich kunnen melden bij de klantenservice voor een oplossing.
Ook beloven ze extra beveiligingsmaatregelen te zullen nemen. Bol.com gaat bijvoorbeeld onderzoeken of ze 2-staps-authenticatie voor inloggen kunnen gaan invoeren. En Plein.nl geeft aan het wachtwoordbeleid aan te scherpen en het wijzigen van het mailadres helemaal uit te schakelen.
De Consumentenbond controleert 1 oktober of die maatregelen zijn doorgevoerd.
Zie ook:
- Webwinkels: doe meer tegen bestelfraude
- Artikel uit de Digitaalgids van september/oktober: Zij het pakketje, jij de rekening (pdf)