Afgelopen week werd bekend dat hackers duizenden webwinkel-accounts wisten te kraken. Criminelen kopen deze accounts, zodat ze dure spullen kunnen bestellen op kosten van de werkelijke account-houder. Als webwinkelier kan het geen kwaad om je klanten nog eens extra te wijzen op het belang van veilige wachtwoorden.
Dat gebruikersaccounts voor een klein prijsje op de zwarte markt worden verkocht is niet nieuw. Maar het is wel voor het eerst dat dit op zo’n grote schaal gebeurt met Nederlandse webwinkel-accounts. In een recent onderzoek van RTL Nieuws kwam naar voren dat internetcriminelen onder meer hun slag (proberen te) slaan bij Bol.com, Zalando en Wehkamp, shops die achteraf betalen mogelijk maken dus.
Door hiervoor te kiezen, valt de rekening uiteindelijk bij het slachtoffer op de deurmat. En ook over de bezorging hebben de criminelen goed nagedacht. Ze kiezen bij voorkeur voor anonieme afleverpunten zoals pakketkluizen, waarbij zij de order kunnen ophalen zonder dat ze zich hoeven te legitimeren. De spullen worden vervolgens doorverkocht via diverse marktplaatsen.
Jaarlijks honderden slachtoffers
Volgens de politie worden jaarlijks vele honderden mensen op deze manier gedupeerd. Wehkamp heeft zelfs een speciaal team opgericht, omdat zij dagelijks te maken krijgen met dubieuze transacties. Vooral orders die net voor middernacht worden geplaatst, krijgen extra aandacht.
Hackers die inloggegevens verkopen geven afnemers namelijk als tip dat dit het beste tijdstip is om bestellingen te plaatsen. De kans dat de werkelijke account-eigenaar al ligt te slapen en de bevestigingsmail niet opmerkt, is dan aanzienlijk. Ook zijn er hackers die niet alleen webshop-accounts verkopen, maar ook het behorende e-mailaccount waardoor criminelen handmatig de bevestigingsmails kunnen verwijderen.
Om achter deze e-mailadressen en wachtwoorden te komen, maken hackers gebruik van datalekken zoals die van LinkedIn en Yahoo. Via een geautomatiseerd programma worden de gegevens bij verschillende webshops ingevoerd. Is er een match, dan wordt het account opgeslagen en doorverkocht. De website Have I Been Pwnd houdt bij welke websites zijn gehackt. Ook kan er worden nagegaan welke wachtwoorden er zijn buitgemaakt.
Gebruik verschillende wachtwoorden
Veel mensen gebruiken hetzelfde wachtwoord voor verschillende sites, maar dit is volgens de experts geen aanrader. Beter is het om per website een uniek wachtwoord te gebruiken en deze op te slaan in een digitale kluis, oftewel een password manager. Bekende opties hiervoor zijn LastPass, 1Password en KeePass.
Ook als webwinkelier kun je helpen in de strijd tegen internetfraude. Zo kun je extra aandacht besteden aan orders die laat in de avond zijn binnengekomen. Zeker wanneer de orderwaarde hoog is, er wordt gekozen voor achterafbetalen en de levering plaatsvindt bij een anoniem punt moeten er alarmbellen gaan rinkelen. Ook kun je jouw klanten erop attenderen hoe belangrijk het is om periodiek hun wachtwoord te wijzigen.
Reacties
Als constante lezer van deze blog moet ik toch minstens één keer reageren en je feliciteren met het goede werk. Ga vooral zo door!