icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest

Je browser is verouderd.

Update je browser voor meer veiligheid, snelheid en om deze site optimaal te kunnen gebruiken.

Klik hier om te lezen welke browsers geschikt zijn

mediapool-zeker-online-1200x800px

Zeker Online

Meer weten over privacy en digitale veiligheid? Schrijf je in voor de nieuwsbrief!

Webwinkels: doe meer tegen bestelfraude

Criminelen krijgen soms wachtwoorden van webwinkelklanten in handen. Daar plegen ze bestelfraude mee: zij het pakje, jij de rekening. Hoe goed beschermen webwinkels je tegen deze bestelfraude? Wij onderzochten het bij 5 bekende webwinkels.

Peter Kulche

Peter Kulche , Expert Elektronica Gepubliceerd op:3 september 2020

Artikel buitenlandse webwinkels

Hoe werkt bestelfraude?

Lang verhaal kort: criminelen misbruiken het webwinkelaccount van iemand anders om pakjes te bestellen en af te laten leveren op een ander adres. De rekening gaat naar de oorspronkelijke klant, want de boef kiest voor uitgestelde betaling op naam van de klant. 

Webwinkels niet optimaal beveiligd

Bij de steekproef in Digitaalgids bleken 5 webwinkels je niet optimaal te beveiligen tegen deze bestelfraude: Bol.com, Bonprix, Plein, Wehkamp en Zalando.  

Bij Bonprix en Plein bleek het meest mis: fraudeurs konden door manipulatie van klantgegevens voorkomen dat de klant een bevestigingsmailtje kreeg van de bestelling. De andere 3 verstuurden wel altijd bevestigingsmailtjes, zodat klanten in elk geval gewaarschuwd werden over de bestellingen die uit hun naam gedaan werden.

Aanbevelingen voor de webwinkels

Consumenten hebben zelf de verantwoordelijkheid goede, unieke wachtwoorden te gebruiken.  Maar webwinkels kunnen ook meer doen tegen bestelfraude. Een lijstje met suggesties: 

  1. Het wachtwoordenbeleid van webwinkels moet op orde zijn. Je moet bijvoorbeeld geen 1234 kunnen kiezen als nieuw wachtwoord, of een ander te eenvoudig wachtwoord.
  2. Van belangrijke stappen in het bestelproces of aanpassingen in het klantaccount moet áltijd een bevestigingsmail naar de klant gestuurd worden.
  3. Wil de klant het e-mailadres aanpassen dat gekoppeld is aan het account, dan moet webwinkel minimaal een notificatie sturen naar het oude mailadres. 
  4. Biedt 'achteraf betalen' niet aan in combinatie met riskante keuzes, zoals bij afleveren op een afwijkend adres.  
  5. Bied 2-factor-authenticatie (2FA) als een optie (instelling) aan voor het bevestigen van alle betalingen met een achterafbetaalservice.
  6. Biedt de mogelijkheid tot online bestellen zonder een account aan te maken. 

Reacties van webwinkels

We hebben de 5 webwinkels onze algemene suggesties gestuurd. De webwinkels hebben meerdere van deze maatregelen al een tijd geleden genomen, maar nog niet allemaal. De webwinkels geven naar aanleiding van onze suggesties aan de volgende nieuwe maatregelen te nemen: 

Bol.com:
'We zullen dit najaar onderzoeken of we 2FA voor inloggen kunnen gaan aanbieden.' Bol.com overweegt dus een extra beveiliging voor het hele inloggen aan te bieden (niet alleen het achteraf betalen) en dat is een goede zaak. 

Bonprix:
De webwinkel geeft aan dat snel zal worden ingesteld dat bij het wijzigen van het e-mailadres ook een notificatie naar het oude adres zal worden gestuurd. De andere suggesties neemt ze mee in toekomstige updates van de site.

Plein:
Belooft snel het wachtwoordenbeleid aan te scherpen (bij Plein was 1234 als wachtwoord mogelijk). Ook zal de website bij meer stappen in het bestelproces bevestigingsmails sturen. Plein heeft het kunnen wijzigen van het e-mailadres helemaal uitgeschakeld. De webwinkel overlegt met achterafbetaalservice Klarna of 2FA mogelijk is bij betalingen. Ook het eigen achterafbetaalsysteem wordt kritischer ingesteld, zodat je niet zomaar een ander afleveradres kunt kiezen. 

Wehkamp:
Wehkamp reageert dat nieuwe klanten die op krediet willen betalen een extra controle moeten doorlopen: ze moeten inloggen op een Tinka-account (in een app). Voor de overige suggesties voelt het bedrijf zich niet aangesproken. 

Zalando:
Deze webwinkel meldt (al) aan de meeste beveiligingssuggesties te voldoen, maar om veiligheidsredenen geen gedetailleerde informatie te kunnen geven.  

'Fraudedetectiesystemen'

Overigens melden alle aangesproken webwinkels dat ze ‘uitgebreide fraudedetectiesystemen’ hebben die de meeste problemen ondervangen en dat klanten die toch slachtoffer worden van bestelfraude zich kunnen melden bij de klantenservice om een oplossing te vinden.

Beloften-check 

Op 1 oktober zullen we checken of de nieuwe beloften daadwerkelijk zijn uitgevoerd. De uitkomst lees je in een update van deze pagina. 

Digitaalgids

In de Digitaalgids van september/oktober lees je alles over identiteitsfraude. Eén van de belangrijkste vormen van ID-fraude is bestelfraude bij webwinkels. Lees het artikel over bestelfraude in Digitaalgids gratis (pdf).