Nederland – Klanten van 5 populaire webwinkels zijn niet goed beschermd tegen bestelfraude met gelekte of geraden wachtwoorden. Dit blijkt uit een steekproef van de Consumentenbond bij 30 webwinkels. De meeste winkels gaan beveiligingssuggesties van de Consumentenbond doorvoeren, zodat consumenten beter beschermd zijn tegen fraude.

Criminelen kunnen met een gestolen of geraden wachtwoord een bestelling doen, het bezorgadres veranderen in hun eigen adres en gebruik maken van de mogelijkheid om achteraf te betalen. De gedupeerde ontvangt dan geen bestelling, maar wel de rekening. Om dit te voorkomen blokkeren veel webshops de mogelijkheid om achteraf te betalen als er op een ander adres wordt bezorgd. Of ze bieden een betaalmethode aan waarvoor een extra wachtwoord nodig is.

Bij Bol.com, Bonprix, Plein, Wehkamp en Zalando ontbrak een dergelijke beveiliging en is bestelfraude wel mogelijk. Bij Bonprix en Plein konden fraudeurs klantgegevens aanpassen en zo de bevestiging van bestellingen ongemerkt omleiden naar een ander e-mailadres. Bij Bol, Wehkamp en Zalando bleek het niet mogelijk voor fraudeurs het e-mailadres aan te passen, of niet ongemerkt. Klanten van deze 3 winkels die hun mail goed in de gaten houden, kunnen tijdig aan de bel trekken en fraude voorkomen.

Omslachtig
De Consumentenbond vindt de huidige beveiligingsmaatregelen van deze webwinkels niet voldoende. Slachtoffers van bestelfraude moeten zelf hun vordering door Afterpay of Klarna of de webwinkel laten schrappen, maar dat levert wel veel gedoe en stress op. Klarna eist bijvoorbeeld dat consumenten aangifte doen bij de politie en die aangifte vervolgens uploaden naar de website van Klarna.

Verbeteringen
De Consumentenbond stuurde de betreffende webwinkels een lijst met beveiligingssuggesties, zoals een strenger wachtwoordbeleid en 2-factor-authenticatie voor achterafbetalingen. De webwinkels gaven aan dat slachtoffers van bestelfraude zich kunnen melden bij de klantenservice voor een oplossing. Ook beloven ze extra beveiligingsmaatregelen te zullen nemen. Bol.com gaat bijvoorbeeld onderzoeken of ze 2-staps-authenticatie voor inloggen kunnen gaan invoeren. En Plein.nl geeft aan het wachtwoordbeleid aan te scherpen en het wijzigen van het mailadres helemaal uit te schakelen. De Consumentenbond checkt 1 oktober of die maatregelen zijn doorgevoerd.