! Je browser is verouderd.

Update je browser voor meer veiligheid en snelheid om deze site optimaal te kunnen gebruiken.

Klik hier om te lezen welke browsers geschikt zijn

icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest
mediapool-zeker-online-1200x800px

Zeker Online

Meer weten over privacy en digitale veiligheid? Schrijf je in voor de nieuwsbrief!

Webwinkels: doe meer tegen bestelfraude

Criminelen krijgen soms wachtwoorden van webwinkelklanten in handen. Daar plegen ze bestelfraude mee: zij het pakje, jij de rekening. Hoe goed beschermen webwinkels je tegen deze bestelfraude? Wij onderzochten het bij 5 bekende webwinkels.

Peter Kulche

Peter Kulche , Expert Elektronica Bijgewerkt op:1 oktober 2020

Artikel buitenlandse webwinkels

Hoe werkt bestelfraude?

Lang verhaal kort: criminelen misbruiken het webwinkelaccount van iemand anders om pakjes te bestellen en af te laten leveren op een ander adres. De rekening gaat naar de oorspronkelijke klant, want de boef kiest voor uitgestelde betaling op naam van de klant. 

Webwinkels niet optimaal beveiligd

Bij de steekproef in Digitaalgids bleken 5 webwinkels je niet optimaal te beveiligen tegen deze bestelfraude: Bol.com, Bonprix, Plein, Wehkamp en Zalando.  

Bij Bonprix en Plein bleek het meest mis: fraudeurs konden door manipulatie van klantgegevens voorkomen dat de klant een bevestigingsmailtje kreeg van de bestelling. De andere 3 verstuurden wel altijd bevestigingsmailtjes, zodat klanten in elk geval gewaarschuwd werden over de bestellingen die uit hun naam gedaan werden.

Aanbevelingen voor de webwinkels

Consumenten hebben zelf de verantwoordelijkheid goede, unieke wachtwoorden te gebruiken.  Maar webwinkels kunnen ook meer doen tegen bestelfraude. Een lijstje met suggesties: 

  1. Het wachtwoordenbeleid van webwinkels moet op orde zijn. Je moet bijvoorbeeld geen 1234 kunnen kiezen als nieuw wachtwoord, of een ander te eenvoudig wachtwoord.
  2. Van belangrijke stappen in het bestelproces of aanpassingen in het klantaccount moet áltijd een bevestigingsmail naar de klant gestuurd worden.
  3. Wil de klant het e-mailadres aanpassen dat gekoppeld is aan het account, dan moet webwinkel minimaal een notificatie sturen naar het oude mailadres. 
  4. Biedt 'achteraf betalen' niet aan in combinatie met riskante keuzes, zoals bij afleveren op een afwijkend adres.  
  5. Bied 2-factor-authenticatie (2FA) als een optie (instelling) aan voor het bevestigen van alle betalingen met een achterafbetaalservice.
  6. Biedt de mogelijkheid tot online bestellen zonder een account aan te maken. 

Reacties van webwinkels

We hebben de 5 webwinkels onze algemene suggesties gestuurd. De webwinkels hebben meerdere van deze maatregelen al een tijd geleden genomen, maar nog niet allemaal. De webwinkels gaven naar aanleiding van onze suggesties aan nieuwe maatregelen te nemen.

Op 1 oktober hebben we gecheckt of deze beloften (al) zijn ingewilligd.  

Bol.com:

'We zullen dit najaar onderzoeken of we 2FA voor inloggen kunnen gaan aanbieden.' Bol.com overweegt dus een extra beveiliging voor het hele inloggen aan te bieden (niet alleen het achteraf betalen) en dat is een goede zaak. 

Update 1 oktober: We zien in Bol.com nog geen optie voor een dubbele beveiliging van het winkelaccount. 

Bonprix:

De webwinkel geeft aan dat snel zal worden ingesteld dat bij het wijzigen van het e-mailadres ook een notificatie naar het oude adres zal worden gestuurd. De andere suggesties neemt ze mee in toekomstige updates van de site.

Update 1 oktober: Bonprix meldt dat de e-mailbeveiliging nog niet is aangepast maar dat dit later in oktober wel zal gebeuren. Het afleveren op een ander adres in combinatie met achteraf betalen blijft een optie bij Bonprix. De winkel zegt te vertrouwen op zijn 'fraudedetectiesysteem'.

Bij Bonprix kunnen klanten nog altijd te eenvoudige wachtwoorden als 123456 aanmaken. De enige eis is: 6 tekens. Dat kan dus nog beter.

Plein:

Belooft snel het wachtwoordenbeleid aan te scherpen (bij Plein was 1234 als wachtwoord mogelijk). Ook zal de website bij meer stappen in het bestelproces bevestigingsmails sturen. Plein heeft het kunnen wijzigen van het e-mailadres helemaal uitgeschakeld. De webwinkel overlegt met achterafbetaalservice Klarna of 2FA mogelijk is bij betalingen. Ook het eigen achterafbetaalsysteem wordt kritischer ingesteld, zodat je niet zomaar een ander afleveradres kunt kiezen. 

Update 1 oktober: We zien dat de webwinkel vereist dat wachtwoorden uit 8 tekens bestaan. Maar te eenvoudige wachtwoorden als 12345678 zijn nog mogelijk. Dat kan dus beter. Positief is dat je bij Plein kunt bestellen zonder een account aan te maken.

Wehkamp:

Wehkamp reageert dat nieuwe klanten die op krediet willen betalen een extra controle moeten doorlopen: ze moeten inloggen op een Tinka-account (in een app). Voor de overige suggesties voelt het bedrijf zich niet aangesproken. 

Update 1 oktober: We zien dat Wehkamps wachtwoordenbeleid beter kan. De eis is nu weliswaar 8 tekens, maar te eenvoudige wachtwoorden als 12345678 zijn mogelijk. Positief: bij het intikken van een nieuw wachtwoord krijg je wel suggesties voor een beter wachtwoord. 

Zalando:

Deze webwinkel meldt (al) aan de meeste beveiligingssuggesties te voldoen, maar om veiligheidsredenen geen gedetailleerde informatie te kunnen geven.

Update 1 oktober: Wij zien dat bij Zalando nog te eenvoudige wachtwoorden mogelijk zijn als ‘123456’. De enige eis is: 6 tekens of meer.    

'Fraudedetectiesystemen'

Overigens melden alle aangesproken webwinkels dat ze ‘uitgebreide fraudedetectiesystemen’ hebben die de meeste problemen ondervangen en dat klanten die toch slachtoffer worden van bestelfraude zich kunnen melden bij de klantenservice om een oplossing te vinden.

Digitaalgids

In de Digitaalgids van september/oktober lees je alles over identiteitsfraude. Eén van de belangrijkste vormen van ID-fraude is bestelfraude bij webwinkels. Lees het artikel over bestelfraude in Digitaalgids gratis (pdf).