Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Criminelen verkopen duizenden gehackte Nederlandse accounts voor webwinkels'

Criminelen verkopen grote aantallen accounts van Nederlanders, waarmee het mogelijk is om bestellingen te doen bij webwinkels als Bol.com, Zalando en MediaMarkt. Dat blijkt uit onderzoek van RTL Nieuws.

Het lukte RTL bijvoorbeeld om met toestemming van de eigenaren van 'gehackte accounts' bestellingen te plaatsen voor dure producten, waarna de factuur bij de eigenaren terechtkwam en de producten daadwerkelijk werden geleverd. Dat komt doordat vaak de mogelijkheid bestaat achteraf te betalen. RTL merkt op dat alleen bij Wehkamp twee van de drie bestellingen werden onderzocht doordat de fraudehelpdesk van het bedrijf contact opnam met de accounteigenaar. De accounts zouden voor een euro per stuk worden verkocht, waarbij er een meerprijs van een euro wordt gerekend als de koper ook toegang wil tot het bijbehorende e-mailaccount. Volgens de politie zijn er jaarlijks 'honderden slachtoffers' van deze vorm van fraude.

Volgens beveiligingsonderzoeker Rickey Gevers gaat het om een nieuw verschijnsel dat specifiek Nederlandse accounts op deze manier worden verkocht, zegt hij tegen RTL Nieuws. Criminelen maken gebruik van inloggegevens uit uitgelekte databases en loggen daarmee geautomatiseerd in op verschillende sites. Als het inloggen lukt, wordt het betreffende account doorverkocht. Bestellingen met doorverkochte accounts zouden vaak laat in de avond plaatsvinden, omdat dan de kans kleiner is dat de accounteigenaar de bevestigingsmail ziet en een annulering doet. Webwinkels Bol.com, Wehkamp en Zalando zeggen tegen RTL dat ze bestellingen controleren.

Niet alleen accounts van de eerdergenoemde webwinkels worden te koop aangeboden, maar ook van Marktplaats, New York Pizza en Ziggo Sport. Gevers zegt dat het aan te raden is om niet hetzelfde wachtwoord voor verschillende diensten te gebruiken. Een van de manieren om dit eenvoudig te doen is het gebruiken van een wachtwoordmanager.

Door Sander van Voorst

Nieuwsredacteur

20-07-2018 • 16:47

196 Linkedin Google+

Reacties (196)

Wijzig sortering
Dit is mij helaas ook overkomen een kleine maand geleden, ik zag ineens een melding van een orderbevestiging bij Zalando om 22:00 s'avonds. Waar natuurlijk gekozen werd voor een achteraf betaling.

Bij Zalando hebben ze gelukkig wel een systeem dat automatisch controles doet wat nog voor dat ik mijn computer aan kon slingeren om de order te annuleren had Zalando het al geannuleerd.

Helaas bieden webshops veelal niet de mogelijkheid om achteraf betalen gewoon definitief uit te schakelen. Het heeft mij wel aan het denken gezet aangezien ik zelf ook programmeer voor meerdere e-commerce websites, het is eigenlijk gek dat een achteraf betaling naar een adres dat afwijkt van het adres waarmee het account aangemaakt is zonder enige vorm van verificatie gewoon mogelijk is.

Maar natuurlijk zal het hun conversieratio wel aantasten, want de fix is niet moeilijk.
Ik vind dat die webshops op deze manier fraude eigenlijk faciliteren en dat er daarom eens een proefproces moet uitgelokt worden. Als je het achteraf betalen niet uit kan zetten dan mogen zij opdraaien voor de schade. Ook mag niet zomaar een ander afleveradres opgegeven worden en zeker niet een afleverdienst waar geen identificatie vereist is.

Los daarvan vind ik het heel erg verontrustend dat de criminelen niet eens moeite doen om hun sporen te verbergen want ze lopen gewoon tegen de lamp. Ze hebben dan ik weet niet hoeveel schade veroorzaakt maar komen gewoon weg met een werkstraf of een paar weken celstraf.

Het wordt hoog tijd dat we in dit land eens exponentiële straffen gaan invoeren.

[Reactie gewijzigd door ArtGod op 20 juli 2018 20:46]

Het probleem is een beetje dat bij consumenten achteraf betalen een wettelijk recht is, tenminste 50% van het totaalbedrag, waarbij rembours ook een vorm van achteraf betalen is (tenzij expliciet met de consument is afgesproken dat het anders is, maar dan moet je hem individueel benaderen, een standaard tekst op de site is namelijk al snel weer een algemene voorwaarde).
(Bron: @Arnoud Engelfriet - https://ictrecht.nl/2011/02/25/hoe-zit-dat-nu-precies-met-de-eis-van-achteraf-betalen-bij-een-internetaankoop/)

Bij rembours zou ik dan zelfs even het pakketje open maken, zodat je geen pak melk ipv een iPad geleverd krijgt, de meeste postbodes die ik heb meegemaakt hebben hier geen probleem mee als je het netjes vraagt/uitlegt.

Sowieso ligt, als ik me niet vergis, de bewijslast dat iets aan jou geleverd is en door jou bestelt is bij de webwinkel. Als er vanaf jouw account bestelt is, en op een adres waar jij wel vaker dingen laat bezorgen moet worden geleverd, kom je denk ik al een heel eind met zo'n bestelling.
Dat is niet het enige probleem het strafrecht is ook een probleem, die milde strafjes werken niet en die oplichters mogen wel eens keihard aangepakt worden want anders houdt het nooit op. Desnoods 5 tot 10 jaar celstraf, dan leren ze het wel af.
En toch denk ik niet dat dat laatste helemaal het geval is, want anders zouden webwinkels een stuk terughoudender zijn met opsturen van spullen naar een vreemd adres bij betaling achteraf. Je kan gaan procederen maar dat kost ook geld en je lijdt daardoor toch altijd schade.
Ondernemer zijn is investeren en risico nemen. Het concept waarbij de klant in de winkel kan grijpen wat die wil en dan zelf het fatsoen moet hebben om naar de kassa te lopen om te betalen in plaats van meteen de deur uit te gaan bestaat ook nog steeds. Je moet namelijk ook tot op zekere hoogte vertrouwen in je klanten hebben om ze over te halen te winkelen en waarschijnlijk meer te besteden. Dat kan afhankelijk van de situatie aan rendement prima opwegen tegen het risico om misschien geld uit te willen geven aan een incassant, deurwaarder of te gaan procederen. Dus dat winkels bepaalde vormen van winkelen mogelijk maken die fraude in de hand lijken te spelen wil niet zeggen dat het een slecht verdienmodel is of er geen bewijslast ligt bij de ondernemer.
Zoals je zegt achteraf betalen en dan naar ander adres lijkt me dat dat gewoon niet moet kunnen en automatisch zorgt dat de bestelling in de wacht komt te staan.

Die criminelen lopen meestal niet echt tegen de lamp omdat ze waarschijnlijk naar een katvanger sturen die het doorstuurt of ze het daar afhalen.

Maar de vraag is ben je als accounthouder verantwoordelijk als dit gebeurt en men het met achteraf betalen naar een ander adres stuurt. Jij hebt niet getekend, je hebt niets ontvangen en de creditcheck voor achteraf betalen is op jou adres gedaan maar niet naar het verzendadres. Lijkt me idd een leuke voor een proefproces.
Wat voor schade wil je dan claimen? De webwinkel zal echt niet gaan procederen als er sprake is van fraude.
Heb ik het ergens over schade claimen ?
Waarover wil je dan gaan procederen (proef proces) als er geen schade is?
Als de webwinkel jou toch alsnog verantwoordelijk wil stellen dus, staat er ook als je het goed leest
Waarvoor verantwoordelijk? Er is geen schade en webshop zak niet bij jouw claimen.

Hun zijn natuurlijk niet verantwoordelijk voor gebruikers die een onveilig wachtwoord gebruiken.
Dit is al vrij simpel gedekt. Als jij de tegenpartij niet bent, dan is er geen koopovereenkomst.

Oftewel: dit is voor het risico van de winkel, tenzij ze kunnen aantonen dat je extreem nalatig bent geweest. (je hebt bvb. jouw gegevens zelf op een openbaar forum gepost)
Ze zullen betogen dat jij nalatig bent geweest omdat iemand anders jouw wachtwoord heeft bemachtigd.
Zinloos en daarom claimen ze dit ook niet. Ze nemen hun verlies.
Dat is verre van voldoende. Met precies dezelfde 'bewijskracht' kun je namelijk redeneren dat *zij* nalatig zijn geweest.

Maar geen rechter die het resultaat voldoende zal vinden als bewijs zelf. Dit is echt het risico van de winkelier.
Echter, welke consument laat het zo ver komen? Veel mensen betalen toch maar als er een incassobureau wordt ingeschakeld.
Tsja. Dat is erg onverstandig. Als je een beetje tegengas geeft zal men de zaak al snel laten vallen en als ze bij de rechter komen, dan hebben ze helemaal geen poot om op te staan.
Helemaal waar, maar juist mensen met wat.minder geld en opleiding worden slachtoffer. Vage webshops, net iets goedkoper...
Specifiek voorbeeld van oud-collega van mij. Die had ook dat er even lekker besteld werd op zijn naam. Wordt je door zo'n bedrijf (Afterpay in dit geval) toch mooi voor de rechter gedaagd omdat je niet betaald (staat ten slotte op jouw naam!).

Eerste verhaal: https://rutger.kirkels.nl.../de-cowboys-van-afterpay/
Vervolg, Afterpay had 't niet begrepen: https://rutger.kirkels.nl...aar-zijn-de-cowboys-weer/
Wat een verschrikkelijk slechte praktijk van Afterpay. Wel duidelijk waarom ze heel snel zijn teruggekrabbeld van die rechtszaak, want de rechter zal *nooit* hen gelijk geven.

In het beschreven geval is het nog erger trouwens. De boeven hebben niet eens een 'gehackt' account. Ze hebben een gefingeerde identiteit!

Overigens moet je deurwaarder/incasso altijd wel serieus nemen, maar nooit zonder meer betalen. Het fijne aan Nederland is dat je doorgaans altijd je recht kunt halen. En in dit geval is het simpel:heb jij niks besteld, dan is er geen koopovereenkomst. Immers, iemand anders kan niet voor jou een overeenkomst aangaan.

Daar is genoeg jurisprudentie over: Bijvoorbeeld:
uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBNHO:2017:9375
of
https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBLIM:2017:9864

[Reactie gewijzigd door Keypunchie op 23 juli 2018 11:57]

Interessant. Volgende keer maar direct vragen of ze kunnen aantonen dat de bestelling was gedaan vanaf een eigen IP-adres, lijkt me wel grappig.

Maar inderdaad, dat Afterpay systeem is echt bagger. Naam en geboortedatum is het enige dat nodig is om een bestelling daarmee te doen. Zelfs dat wordt niet geverifieerd (hoe ook eigenlijk...?), dit merk je als er een keer een betalingsysteem mee opzet. Het is te gek voor woorden. Gelukkig zijn er webshops die meer dingen vereisen, maar zelfs dan kunnen ze niet veel meer vragen want dan gaat de consument (die Afterpay wilt gebruiken) wel ergens anders hetzelfde bestellen.
Bedreiging met de rechter is deel van het businessmodel. Of ze van de rechter gelijk zouden krijgen boeit amper, want veel mensen durven het risico niet aan. Bingo voor AfterPay.
Vergeet niet dat je na dat ene jaar gevangenisstraf niet "klaar" bent. zo'n strafblad achtervolgd je je hele leven
Dat is niet waar. Een strafblad verdwijnt na een bepaalde tijd.
Ja en nee, dat ligt aan voor welk misdrijf je veroordeeld bent:

Overtredingen blijven 5 jaar op je strafblad.
20 of 30 jaar voor misdrijven, eventuele onvoorwaardelijke vrijheidsstraf wordt hier nog bij opgeteld, als het daarbij gaat om een delict met een max. straf van 8 jaar of langer wordt hier nog 10 jaar bij opgeteld.
Als het een zedendelict betreft dan wordt 't bewaard voor 't leven tot 20 jaar na je overlijden.

De politie zelf bewaart alle contacten die je met politie hebt gehad in het BVH.
Dus een moord verdwijnt na 20 jaar of 30 jaar van je strafblad maar een zedendelict nooit? Wat voor onzin is dit nu weer?
Kopie pasta van Wikipedia soort onzin. 't Is te warm hier om meer dan dat te doen.
Misschien klopt wiki ook wel niet, de Nederlandstalige kant van wiki is niet erg indrukwekkend in vergelijking met Engels imho, zowel niet qua uitgebreidheid per entry, correct en up to date zijn van de informatie maar ook totaal aantal entries niet. Maar dit is wat op wiki stond. Hoor 't wel als wiki niet klopt.

Verdwijnen doet overigens niks (volgens wiki), niet vanuit het perspectief van politie, die kijken in 't BVH dat verjaard nooit zover ik weet. Dus ook al staat 't niet meer op je strafblad, 't staat nog in 't BVH.

Kwam mij niet vreemd over, dit soort vage dingen verbazen me totaal niet meer in NL.
Mijn verbaasd niets meer in dit land nadat ik las dat iemand voor moord 10 jaar cel kreeg. Tien jaar! En na 6 jaar staat hij weer buiten.

Echt te belachelijk voor woorden! Geen wonder dat criminelen een kort lontje hebben om iemand om te leggen in dit land.
Hoe loont het dan? Je zal die ton gewoon terug moeten betalen.
Hij heeft helemaal gelijk en ik kan zijn "taal" lezen.

Toelichting voor als nodig: De crimineel zit, wanneer die gesnapt word, in een jaar celstraf voor 8000 per maand uit, iets wat hij legaal niet kan verdienen. Dat erbij dat hij gratis kan fitnessen, een studie eventueel doen, met kans op eerder vrijkomen en gratis treinkaartjes met de kerst, als je een lowlife bent heb je niets te verliezen, dus waarom niet?
Dank voor de toelichting, maar ik snap nog steeds niet waar dat inkomen van 8k/maand vandaan komt...
Je moet die ton gewoon terug betalen dus het rekensommetje slaat nergens op. Het loont alleen als je niet gepakt wordt.
Van een kraal kip kan je niks plukken, of denk je dat hij die geld op de bank laat?
Daarbij veel criminelen stoppen niet bij een ton die gaan gewoon door.
sorry maar dit ruikt naar dat je een username+wachtwoord op een dubieuze website hebt gebruikt die is misbruikt op Zalando.
De kans dat men bij Zalando random jou specifieke username+wachtwoord kan raden is vrijwel nihiel.

Daarom zet men "gehackte accounts" ook in quotes.
Dubieuze site? Mijn account is inmiddels 9x bemachtigd, 0 dubieuze sites, alle bekende gerenommeerde diensten of games. Ik kan er niets aan doen... eens gaat dat fout

Daar sta dus 9x tussen

[Reactie gewijzigd door himlims_ op 20 juli 2018 18:48]

Dubieuze site? Mijn account is inmiddels 9x bemachtigd, 0 dubieuze sites, alle bekende gerenommeerde diensten of games. Ik kan er niets aan doen...
Je kan een persoonlijke wachtwoordmanager gebruiken en voor elke site een willekeurig wachtwoord instellen. Heel leuk dat men je e-mailadres heeft met een wachtwoord dat nergens anders bruikbaar is. ;)

Niet dat ik hiermee jou als slachtoffer de schuld in de schoenen wil schuiven. Als je wachtwoord via online diensten is bemachtigd dan ligt de schuld daarvan bij die diensten. Die zullen er echter niet voor vervolgd worden, waardoor er maar weinig motivatie is om de beveiliging te verbeteren. Hierom kan je beter het heft in eigen handen nemen.

[Reactie gewijzigd door The Zep Man op 20 juli 2018 22:42]

Heb het vermoeden dat het niet de sites zijn, maar je thuiscomputer die kwetsbaarheden heeft...
9x en je kunt er niks aan doen? sorry maar dat kan ik niet serieus nemen.
misschien even https://haveibeenpwned.com/ checken ?
Hij bedoelt dat hij op 9 niet dubieuze sites zijn gegevens kwijt is geraakt hoop ik(Adobe/Paypal etc).

Een wachtwoord niet hergebruiken is een redelijke simpel fix.

Niet dat ik zelf niet 20 vm's heb draaien met hetzelfde root pw.
Hoe voorkomt dat iets? Enige dat ik daar geleerd heb dat account 9x gejat is
Simpel:
1) overal uniek wachtwoord. Ook ik gebruik veel wachtwoorden van 6 karakters voor bijvoorbeeld deze webshops. Maar wel altijd een unieke. In de app op de smartphone blijf je wel ingelogd en op de computer (Windows en MacOS) heb ik net als op mijn Android en iOS overal Lastpass geinstalleerd staan.

2) notificatie instellen op haveibeenpowned. Mocht er dan een website bijkomen, ga ik daar direct het wachtwoord resetten.
LinkedIn, Yahoo, adobe etc, niet echt dubieus te noemen en wel gehackt. Vaak hoor je het als gebruiker pas jaren later of je hoort het helemaal niet. Gaat nergens over. Punt is dat elke webshop een account verlangt en je echt niet alle webshops onthoud waar je ooit een account hebt aangemaakt. De kans dat het een keer fout gaat komt helaas gewoon voor. Webshops moeten meer verantwoordelijkheid nemen zodat het niet lukraak mogelijk is om niet te betalen en het pakket naar een vaag afhaalpunt te sturen. Voor de gewone mens is dat nodig.
de verantwoordelijkheid ligt bij de gebruiker. Als je anno 2018 nog dezelfde username+wachtwoord op verschillende sites gebruikt dan vraag je er om. Beetje het nivo van Pincode op je pasje schrijven.
En alle grote hacks zijn de databases overlegd aan https://haveibeenpwned.com/ waar je je email kunt checken of het bij een hack was betrokken.
Nee de verantwoordelijkheid ligt hier bij de webwinkel, die lopen te prutsen.

Zij moeten niet toestaan om spullen via achterafbetaling te bezorgen op een ander adres als waar de factuur heen gaat. Dat is echt een grote ontwerpfout.

Mijn inziens zou die achterafbetaling helemaal geschrapt moeten worden, ik heb meerdere pakketjes gekregen op mijn adres die o.a. bij de mediamarkt besteld waren via achterafbetalingen. Omdat ik daar zelf achteraangebeld heb heb ik voorkomen dat er een incasso kwam. Dat is gewoon fout van de webshop. De crimineel hoopt dan dat ze het pakket bij je thuis op kunnen komen halen, als in, sorry ik had een verkeerd adres ingevuld, en als dan 4 weken later de acceptgiro+ verhoging in de bus valt heb je geen poot om op te staan. Niks "de verantwoordelijkheid ligt bij de gebruiker".
Je hebt op zich gelijk en achterafbetaling zou niet het default moeten zijn. Maar je hebt geen last van achterafbetalingmisbruik als je je account gegevens goed bewaard en niet steeds dezelfde username + wachtwoord hergebruikt op verschillende sites.
Nee, dat is dus niet waar. Ook als je accountgegevens niet uitgelekt zijn kan iemand iets op jouw naam bestellen en dat jij dan moet betalen.
A: Ik heb een hekel aan vooruitbetalen. B: Mijn moeder woont om de hoek EN is vaker thuis dan ik ben.

Dat het fout kan gaan als je inloggegevens op straat komen te liggen vraagt om een oplossing, maar dit is geen ontwerpfout: gewoon een superhandig proces waar vraag naar is.
Je inloggegevens hoeven niet op straat te liggen om deze truuk te laten werken.
Mijn inziens zou die achterafbetaling helemaal geschrapt moeten worden,

Het aanbieden van achterafbetaling is wettelijk verplicht. Een klant moet immers een product kunnen beoordelen alvorens volledige betaling kan worden geeist. Dat is de reden dat grote webwinkels als blo en wehkamp die mogelijkheid aanbieden. Kleine webshops, die vaak niet goed op de hoogte zijn van de regels, doen daar niet aan mee.
Klopt en dat zou m.i. veranderd moeten worden omdat er erg makkelijk mee te frauderen is.
Je hebt nu al de wet aankoop op afstand waardoor je 14 dagen herroepingsrecht hebt.
Mijn pincodes staan bewust op mijn pasjes gedrukt. Zo onthoud ik ze want de cijfers wijken af van wat er op mijn pasjes staat, maar altijd op dezelfde manier.

Mocht ik ooit op straat met geweld beroofd worden dan biecht ik direct op dat mijn pincodes op mijn pasjes staan ;)
Bij sommige banken kun je gelukkig zelf je pincodes opgeven :-)
Als je je pinpas een keer kwijtraakt kunnen ze dus direct bij je rekening?
Ik zeg ook niet dat dit niet het geval was ;)
Zelf heb ik tegenover anderen altijd de mond vol over veilige wachtwoorden maar ik ben zelf ook niet heilig met websites die mij weinig interesseren.
gelukkig kom je met een sisser weg. :P
Ik heb ook over iemand gelezen die financieel zwaar gefuckt is omdat zijn DigID misbruikt was en duizenden euros aan subsidies etc zijn aangevraagd.
Maar ook daar zit een grote fout in. Zo kan iemand die 15 is gewoon KDF subsidie aanvragen. En niemand die het controleert of het wel klopt. En ja het is mogelijk. Maar kans is erg klein.
Had precies hetzelfde. Gelukkig was mijn account bij Wehkamp gebruikt en hadden zij zelf al de order geannuleerd en werd daarna gebeld door ze, ze zitten er daar goed bovenop!
Ik was helemaal vergeten dat ik een account heb bij Wehkamp en daardoor had ik dus ook nooit mijn wachtwoord aangepast daar, tegenwoordig gebruik ik voor alles een wachtwoordmanager.
Klopt. Mijn partner werkt bij de fraudedesk van de Wehkamp. Helaas hoor ik soms hele vervelende verhalen voorbijkomen, maar aan alles merk ik dat ze er goed bovenop zitten en er alles aan doen om de klant gerust te stellen. Een typische Wehkamp-klant is in de regel ook vaak wat ouder en schiet namelijk al snel in de "zie je wel, het internet is onveilig" modus.
Een typische Wehkamp-klant is in de regel ook vaak wat ouder
Omdat je al Wehkampgebruiker kon zijn voordat internet bestond. En ja, internet is onveilig als het om geldzaken gaat waarbij men van derden en vierden afhankelijk is.
Ik vind achteraf betaling bij bol.com juist fijn om te gebruiken, omdat je dan eerst kunt afwachten of het bestelde in correcte staat is aangekomen voordat je betaalt. Het is me wel eens overkomen echter, dat ik een openstaande rekening eerst moest betalen, voor het werd bedrag werd geretourneerd. De details herinner ik me niet meer precies, het was extra ingewikkeld doordat ik een gedeelte van de bestelling wou houden en een gedeelte retourneren, ik geloof dat dat de reden was dat ik eerst alles moest betalen.
Als je je ergens geen zorgen hoeft te maken is het wel bij bol. Als je daar regelmatig bestelt en geen enorme klager bent dan zorgen ze goed voor je.

Bij mij vrouw kwam een pakketje niet aan. Bol heeft zonder onderzoek het product gestuurd.

Toen weken later het pakketje werd bezorgd hebben wij contact opgenomen, mochten we het tweede exemplaar houden.

Over het algemeen zorgen ze best goed voor hun klanten.
Webshops moeten gewoon 2FA implementeren en gaan forceren voor dit soort praktijken, ben je van het hele gelazer af.
Nee, echt onnodig. Waarom moet de verantwoordelijke Internetter (die al jaren een wachtwoord manager heeft) gestraft worden voor degenen die zonder rijbewijs het Internet opgaan en vooral blijven gaan.

Ik heb simpele 6 karakter wachtwoorden voor al deze webshops maar wel altijd een andere. Niemand zit te wachten op 2FA dan.

Bovendien: we kunnen allemaal raden wat er dan gebeurd bij de oudere Internetter. 1 oude Android met de 2FA en nergens de secret key opgeslagen. 2FA app weg of telefoon weg: alle codes verloren.
het is eigenlijk gek dat een achteraf betaling naar een adres dat afwijkt van het adres waarmee het account aangemaakt is
Deze criminelen laten bezorgen op "afhaalpunten". Die selecteren ze zo dat hier zonder legitimatie de spullen kunnen afhalen.
Mij met Uber overkomen. Kreeg opeens mails van Paypal dat ik in Moskou ritten had besteld. Meer dan 10 ritten, in totaal meer dan 100 euro. Ik moest een paar keer met support van Uber mailen voordat het allemaal teruggestort werd. Ik hoefde niet eens te bewijzen dat ik het niet was, maar dat was makkelijk aangezien ik die hele week gewoon in Nederland was (en locatie op telefoon aan had).
Bij mij was het ook helaas overkomen. Ik kreeg dus ook een kleine maand geleden een mail van Wehkamp rond 22:00 dat ik een bestelling had geplaatst voor een HP monitor t.w.v. ¤899.

Heb het via Wehkamp laten weten en ze hadden op tijd de bestelling kunnen annuleren en retourneren.
Een week later hoorde ik dat naast mijn account ook 40 andere accounts waren gehackt bij Wehkamp. Met in totaal ongeveer ¤40.000 aan spullen.
Mensen moeten gewoon leren verschillende wachtwoorden te gebruiken en liefst wachtwoordmanager te gebruiken.

Webshops moeten e-mails sturen als er op een nieuw device wordt ingelogd.

Achteraf betalen alleen mogelijk maken op adressen waar al eerder op geleverd is.

Nieuwe aflever adressen altijd vermelden in de e-mail.

Bij e-mail adres wijzigen altijd een e-mail naar het oude adres.
----

Zo, 99% van dit soort misbruik opgelost.

Meeste webshops vergoeden dit soort fraude. Daarnaast leer mensen dat webshop zonder HTTPS niet te vertrouwen zijn, en ook daar geldt, voor iedere site een ander wachtwoord.
ik vind daarom dat het voor bedrijven een MUST moet gaan worden om 2fact aan te bieden die dit soort dingen kunnen ver komen.
Alsjeblieft niet zeg, laat ze het niet verplichten, 90% van de sites met 2FA hebben geen mogelijkheid om een fallback in te stellen. Dus als ik de codes in mijn authenticator app kwijt ben kan ik nergens meer bij (behalve bijv. gmail, die heeft backup codes). Je moet dan handmatig met de helpdesk contact gaan opnemen om je account terug te krijgen.

En NEE, je 06 nummer is geen veilige manier van 2FA! Dit maakt het alleen maar makkelijker voor aanvallers, zie Sim Swaps ( uitgebreid artikel: https://motherboard.vice....numbers-instagram-bitcoin )
By hijacking Rachel’s phone number, the hackers were able to seize not only Rachel’s Instagram, but her Amazon, Ebay, Paypal, Netflix, and Hulu accounts too. None of the security measures Rachel took to secure some of those accounts, including two-factor authentication, mattered once the hackers took control of her phone number.
Gebruik gewoon een goede password manager met een random wachtwoord per site, je password manager beveilig je met een heel sterk master password + 2FA (Hardware of Authenticator app) + backup codes. Verder meld je aan bij Haveibeenpwned.com en wijzig je ww zodra je een melding krijgt.

@Whatts 2FA op meerdere apparaten zorgt weer voor andere problemen, helemaal met backups in hun eigen cloud, je hebt dan het zelfde probleem als met je 06 nummer, je 2FA codes staan ergens waar je geen invloed op hebt

[Reactie gewijzigd door GrooV op 20 juli 2018 17:06]

Wat is het verschil met het verliezen van je backup code of je wachtwoord.
Een wachtwoord kan vaak via secret questions / een e-mail verificatie worden herstelt. Dat is bij heel veel mutli factor toepassingen niet mogelijk.
Voor MFA zijn er zat implementaties die backup codes bieden die je gewoon kunt opschrijven op een papiertje en in je kluis leggen (of in je wachtwoordmanager zetten). Dat niet iedereen 't zo doet is vers twee maar maakt 2FA / MFA niet minder geschikt. Sterker: ik ben 't met @AWESOMO 3000 eens dat van mij alles en iedereen naar 2FA mag. Graag!

[Reactie gewijzigd door RobIII op 20 juli 2018 18:40]

Blijkbaar krijg je bij bol.com niet eens een bevestigings mail als je een wijziging maakt zoals afleveradres. Laten ze daar eerst mee beginnen.
Gebruik dan Authy als 2FA app, cross-platform (en simultaan op verschillende toestellen) met backup/restore optie).

Reactie op edit: die backup is encrypted bij Authy: https://authy.com/blog/ho...-two-factor-backups-work/
Natuurlijk kan ik dat niet zelf controleren, maar het lijkt mij in elk geval minder onveilig dan helemaal geen 2FA.

[Reactie gewijzigd door Whatts op 20 juli 2018 17:09]

Of LastPass Authenticator. Ook backups en de 2FA secrets worden encyprted in je LastPass account opgeslagen (dat op zijn beurt ook weer encrypted is).
Als je een fatsoenlijke authenticator gebruikt kun je prima (encrypted) backups maken van je keys. Probeer andotp eens zou ik zeggen. Bewaar hem waar je ook de backup van je password vault bewaart.

overigens ben ik wel met je eens dat 2fa veel te vaak als "silver bullet" gezien wordt. Het is een extra laagje maar veel mensen die het hardsts roepen om 2fa gebruiken nog steeds geen password manager en loggen op iedere website die ze tegenkomen met het zelfde wachtwoord in. Dat is een beetje het zelfde als geen gordel om doen "omdat je toch airbags hebt".

[Reactie gewijzigd door mcDavid op 20 juli 2018 17:26]

al je keepass gebruikt kan je je totp keys daarin zetten en hij maakt er 6 cijfers van.
https://keepass.info/plugins.html#traytotp

Je hebt dan dus al een backup van de key in keepss staan die je eventueel weer kan inporteren in google authenticator of een vergelijkbaar programma.


edit- keepass2android kan er ook mee overweg. Gewoon doen dus, krijg je geen spijt van.

[Reactie gewijzigd door bilbob op 20 juli 2018 19:02]

Dit is bij KPN/Telfort sowieso niet mogelijk. Ik dacht dat dit trouwens ook al is verboden zo'n paar jaar geleden.

Edit:
Tele2/T-Mobile ook niet.

Nog een leuk filmpje:
https://www.youtube.com/watch?v=lc7scxvKQOo

[Reactie gewijzigd door Loggedinasroot op 20 juli 2018 17:30]

Ik snap je aversie tegen sms als 2fa, dit is echter al vele malen beter als helemaal geen 2fa. Het word immers al beduidend moeilijker misbruik te maken van een account dan wanneer er enkel een username en wachtwoord aanwezig zijn.
Makkelijker voor aanvallers? Dit stukje neem ik totaal niet serieus. Misschien werkt het in het buitenland, maar hier moet je alsnog je ID-kaart laten zien mocht je simkaart willen vervangen. Misschien niet over de telefoon, maar wel als hij wordt thuisgestuurd.
First, criminals call a cell phone carrier’s tech support number pretending to be their target. They explain to the company’s employee that they “lost” their SIM card, requesting their phone number be transferred, or ported, to a new SIM card that the hackers themselves already own. With a bit of social engineering—perhaps by providing the victim’s Social Security Number or home address (which is often available from one of the many data breaches that have happened in the last few years)—the criminals convince the employee that they really are who they claim to be, at which point the employee ports the phone number to the new SIM card.

[Reactie gewijzigd door vali op 20 juli 2018 17:46]

Elke 2FA bestaat uit een secret code die de pincode genereert. Heb die gewoon allemaal in mijn Lastpass staan.

Kan je stom vinden maar vorige maand viel mijn Android kapot en mijn iPhone was vervangen en na terugzetten iCloud opende ik een lege Lastpass. Wilde op restore backup 2FA codes kiezen maar net voor ik dat kon doen stond er al “backup succesfull” en had ik dus een nieuwe lege backup.

Als Premium direct contact opgenomen met Lastpass, maar ze vertelden mij dat dit een omtwerpfout is. Alle codes zijn weg.

Al met al. Er zijn geen fatsoenlijke normale 2FA apps met normale backup functies en je moet je 2FA op elke device los toevoegen.

Nou dan ga ik mijn secret keys wil gewoon in mijn wachtwoord manager zetten. Zonder fatsoenlijke apps is 2FA een gedrocht.

[Reactie gewijzigd door Malarky op 21 juli 2018 08:37]

Beetje halfbakken fraudedetectie (en daar dan ook actief wat mee doen) werkt hier al goed.

Andere afleverlocatie dan gebruikelijk icm afterpay -> Alert -> klant bellen.
"SOCKS5 for rent" lijstjes scrapen
Tails? Denied.
TOR? Denied.

Dit zijn webshops, daar hoef je niet via TOR te kunnen bestellen. Wehkamp bewijst dat het 66% al kan ondervangen. En dat is f'ing wehkamp.

Dat is een veel betere oplossing dan 2FA forceren, zie ook de reactie van @GrooV 20 juli 2018 16:57

[Reactie gewijzigd door Endless_Death op 20 juli 2018 17:24]

Ik snap dat je oplossingen veel fraudegevallen de kop in kunnen drukken. Maar toch zou ik niet blij zijn als ze het op deze manier zouden oplossen. Het blokkeren van TOR / Tails snap ik ergens wel. Maar waar ligt de grens? Waarom TOR niet/wel en een VPN niet/wel?

Voorzichtiger zijn met AfterPay ligt me inderdaad een goed voorstel.


//edit: iets verduidelijkt.

[Reactie gewijzigd door Ynst2003 op 20 juli 2018 17:43]

Misschien moeten we eens stoppen bij webwinkels met achteraf betaalmethodes.
Ik heb het altijd belachelijk gevonden dat een branche organisatie als thuiswinkel.org verplicht stelt dat je er 1 aanbiedt.
Er is een goede reden voor: het voorkomen van al te gemakkelijke fraude door kwaadwillende webwinkels. Bij betaling vooraf ben je je geld kwijt als de webwinkel er met je geld vandoor gaat zonder te leveren / failliet gaat. Met betaling achteraf ligt dat risico bij de webwinkel. (En nee, niet iedereen kan of wil een credit card.)
Dan heb je dus de optie betalen met creditcard.
Als de winkel niet levert, c.q geen bewijs van levering kan brengen krijg jij gewoon je geld terug van de creditcard firma.

Jaren terug heb ik bijv meerkosten voor creditcard afgeschaft ondanks dat het rond de 2,1% kost. Door het afschaffen naam de omzet toe en werd er 2x zo veel met creditcard betaald.
"En nee, niet iedereen kan of wil een credit card."
Dan gebruik je PayPal. Kan je ook opwaarderen met iDeal. Biedt ook goede consumentenbescherming*.

* Al gebruik je PayPal om geld te ontvangen, gebruik dan een apart PayPal account als iDeal doorgeefluik. Ontvangende accounts worden nog wel eens geblokkeerd bij verdachte binnenkomende transacties.

[Reactie gewijzigd door The Zep Man op 20 juli 2018 22:51]

Klopt, maar je moet voor het accepteren van een Ideal-betaling al wel aan behoorlijk wat eisen voldoen die het een stuk moeilijker maken.
Dat komt omdat het wéttelijk verplicht is om achteraf betalen mogelijk te maken voor consumenten. Een webwinkel die weigert deze optie te bieden, pleegt een economisch delict.

Ik denk dat je wel consumenten via hun account mag laten zeggen "verberg deze optie".
Je hebt helemaal gelijk maar als ik op dit thema eens zoek en wordt er heel creatief mee omgegaan en vele grote websites bieden het niet aan. Thuiswinkel.org gedoogd het voor sommige leden zelfs ook nog en de overheid treed er niet echt tegenop.

Soms krijg ik ook het idee dan je voor sommige producten helemaal geen achteraf betalen wil aanbieden, risico is te groot. Rembours is niet echt mee een optie, postnl doet het misschien nog maar pakketdiensten zitten er ook niet op te wachten.

Je kan ook stellen creditcard is achteraf betalen maar dat is discutabel.

Ben dus vooral blij dat de overheid niet als een gek gaat controleren op dit thema.
Soms krijg ik ook het idee dan je voor sommige producten helemaal geen achteraf betalen wil aanbieden, risico is te groot. Rembours is niet echt mee een optie, postnl doet het misschien nog maar pakketdiensten zitten er ook niet op te wachten.
Misschien als de wet beter gehandhaafd wordt gaat de vraag omhoog voor mobiele PIN als betaalmiddel.

[Reactie gewijzigd door The Zep Man op 21 juli 2018 09:36]

Zou kunnen maar gaat niet werken.

Er is nu al vaak een probleem met levering van pakjes, niemand thuis, moet je naar de buren, maar die gaan niet pinnen voor jou. Moet de chauffeur dus weer een keer terug komen. Dat betekend extra kosten dus gaan de transportkosten weer omhoog.
Dat las ik inderdaad achteraf ook, "toevallig" ook geschreven door ICTRecht (ik herken je naam :)). Daar was ik niet van op de hoogte, maar wellicht dat de wet dan maar eens aangepast moet worden.
Dat komt omdat het wéttelijk verplicht is om achteraf betalen mogelijk te maken voor consumenten. Een webwinkel die weigert deze optie te bieden, pleegt een economisch delict.
Wacht even...

Hoe werkt dat dan met bijv. bestellingen voor digitale content die pas op latere datum beschikbaar komt? Ik noem een Sony PSN, waar zo'n slordige drie-kwart van vooruitbestellingen onmiddelijke volledige betaling vereist.

Dat is dan dus niet alleen een overtreding van de wet omdat er meer dan de maximale 50% aan vooruitbetaling gevraagd wordt, maar ook omdat er totaal geen optie tot achteraf betalen is?

Of werken deze regels enkel voor fysieke goederen? En is dit weer zo'n schemergeval van 'digitale content is noch een goed noch een dienst'?

[Reactie gewijzigd door R4gnax op 21 juli 2018 12:24]

Rembours valt ook onder achteraf betalen. En geen crimineel die daar aan denkt.
Omdat je betaalt bij aflevering ;)
duh. Maar dan hoef je niet de echte achteraf betalen aan te bieden.
duh. Maar dan hoef je niet de echte achteraf betalen aan te bieden.
Over rembours bij PostNL:
U kunt het bedrag van de rembourszending alleen contant en gepast betalen aan de chauffeur. De chauffeur heeft geen wisselgeld. Pinnen is niet mogelijk.
Ja, dat is gebruiksvriendelijk. En zo kan je je bestelling alsnog niet zien voordat je betaald hebt. Alle nadelen, geen van de voordelen. |:(

Dan betaal ik liever met iets als PayPal. Iets duurder, maar ik heb dan naast PayPal ook mijn kredietkaartbedrijf die ik het geld kan laten terugstorten. Verder is die PayPal rekening niet aan een bankrekeningnummer gekoppeld en staat er geen saldo op, waardoor ik er ook geen traantje om zal laten als dat account geblokkeerd wordt wanneer PayPal niet meewerkt en mijn kredietkaartmaatschappij wel.
Eens. Ik maak als het even kan geen account aan. Geef een mailadres op , een bezorgadres en betaal. Ook voor de webwinkel heeft dit veel voordelen.
Heel hard he, maar mijn webshop. Die paar klanten die hun dildo via TOR willen bestellen hoef ik niet. Ik sluit namelijk 1% van m'n klantbase uit maar direct ook 80% van de criminelen met mijn lijstje maatregelen. Wil je wel via TOR/Tails/SOCKS5 (VPN laat ik bewust buiten beschouwing, maar SOCKS5 huren in de regio van je card/online shop target om location flags te voorkomen vind ik een ander verhaal, daarom dus die lijstjes scrapen) dan zoek je maar een ondernemer die dat risico wél wil dragen "for the good of the people". TOR zelfde verhaal, dient in dit geval alleen maar criminelen. Een VPN is goed genoeg om de aanschaf van een boek over Wilders te verbergen van je bubble. Alles wat zich verder vermomd dan dat komt mijn winkel gewoon niet in. Beetje hetzelfde als met een motorhelm of bivakmuts een winkel binnenlopen. Is ook een nogo. Ook in de winter.

LEUK: Kleding analogie. Lets go:

VPN: Zonnebril en hoed
TOR: Motorhelm/Bivakmuts
Tails: Toch bijna een kogelwerend vest onder je jas.
SOCKS5-4-rent: Da's gewoon echt met een double-barrel sawn off shotgun binnenlopen. Intenties zijn helder.

[Reactie gewijzigd door Endless_Death op 20 juli 2018 17:34]

VPN laat je buiten beschouwing omdat het een b*tch zou zijn om je IP blacklist te blijven aanvullen. Als zelfs Netflix of China's Firewall moeite heeft om VPN providers bij te houden, dan lijkt het mij dat je minder tijd kwijt bent door simpelweg TOTP aan je webshop toe te voegen.

Edit: overigens snap ik al je maatregelen niet. Waarom indien men afterpay gebruikt als betaaloptie, men niet een geautomatiseerde mail sturen met een link waar de klant op moet klikken ter verificatie? Lijkt mij dat je dan al je problemen hebt afgevangen.

[Reactie gewijzigd door PostHEX op 20 juli 2018 18:13]

Gedeeltelijk ook niet onwaar :+ Maar toch bungelt VPN onderaan de rangorde wat betreft serieuze dreiging. Wie koop z'n VPN met tumbled crypto currency? Niemand, gewoon CC/Ideal. Wie z'n SOCK5? Iedereen, nooit CC/Ideal. De rest zit daartussen.

Edit: Omdat als iemand z'n webshop account gecompromitteerd is, het aannemelijk is dat zijn mail dat ook is. De meute heeft geen wachtwoord-per-website.

[Reactie gewijzigd door Endless_Death op 20 juli 2018 18:19]

Jou voorbeeld link kun je doen als het pakket naar een ander postadres gestuurd moet worden.
Dan bevestigen van mail is al weer een extra stap.
Dan moet men dus toegang tot je email hebben. Als men die heeft grote kans dat men ook toegang heeft tot je andere accounts.
Je kan dan weer beter sms sturen. Dat werkt tenzij men de beschikking heeft over je gsm (diefstal) en je via je gsm ook bij je mailaccount kan en bestellen op bol.com
Blijft dus moeilijk om het helemaal op te lossen.
Onderschat Wehkamp nou niet, die is net als Otto héél hard aan de weg aan het timmeren om van het stoffige imago af te komen.
De controle bij de webshops is mager, concludeert RTL. Redacteuren bestelden spullen bij Zalando, Wehkamp en Bol.com. Alleen Wehkamp belde in een aantal gevallen de oorspronkelijke eigenaar van het account om te controleren of er wel echt voor zo'n groot bedrag was besteld. De andere webshops ondernamen geen actie.
https://nos.nl/artikel/22...et-gestolen-accounts.html

Wehkamp is de enige die nog iets van controle deed.
Dit zijn webshops, daar hoef je niet via TOR te kunnen bestellen.
Waarom niet? Als ik TOR wil gebruiken (de standaard browser in Tails is volgens mij ook TOR) maak ik dat toch zeker zelf uit? Als je ziet dat zelfs zorgverzekeraars al Facebook pixels gebruiken om je te tracken, snap ik best dat mensen TOR gebruiken om wat minder getracked te worden. Iedere keer dat je TOR start een ander IP, i.c.m. cookies verwijderen bij sluiten van je browser, zorgt ervoor dat je een stuk lastiger te tracken bent. En al is de enige reden om TOR te gebruiken 'omdat het kan' of 'omdat ik dat wil', dan nog zou dat gewoon moeten kunnen.

Als er via TOR veel gefraudeerd wordt en er daarom een alarmbel gaat rinkelen bij de webshop kan ik goed begrijpen. Maar door het dan volledig te blokkeren zadel je juist de privacy bewuste medemens tegen je in het harnas (en de fraudeurs, maar dat zal je als webwinkel worst wezen). Er zijn ook andere manieren om fraude tegen te gaan, bijvoorbeeld 2FA, extra bevestiging van je bestelling via e-mail/sms, of via TOR enkel directe betalingen mogelijk maken.
TOR hoeft niet eens! Je kunt de Disconnect plugin (in firefox i.i.g.) installeren. Deze ondervangt vooral tracking pogingen. :) En Feestboek!
Dit zijn webshops, daar hoef je niet via TOR te kunnen bestellen. Wehkamp bewijst dat het 66% al kan ondervangen. En dat is f'ing wehkamp.
Dat vind jij, maar ik bestel wel eens dingen die niet bij de hele wereld bekend hoeven te zijn, zonder dat het illegaal is. Denk aan een zwangerschapstest, "volwassen speeltjes", religieuze of politieke boeken (je weet wel welke), een cursus solliciteren, medische hulpmiddelen, etc...
Met 2fa hoeft dat toch ook niet?
Nee hij wijst naar TOR of iets anders om anoniem te zijn.
Bovendien is met 2FA meestal je mobiele telefoon nummer bekend enzo.
De producten moeten toch ook bezorgd worden?
Dan nog weet de winkel het. En ook die kan gehackt worden. Dan moet je een pruik kopen en een winkel in lopen.
Mee eens, ik zeg niet dat ik het er mee eens ben of wat ook, ik vertaal alleen (nogmaals) wat er gezegd werd.
Dit zijn webshops, daar hoef je niet via TOR te kunnen bestellen. Wehkamp bewijst dat het 66% al kan ondervangen. En dat is f'ing wehkamp.
Sommigen hebben standaard TOR aan staan en zouden dat dus apart uit moeten zetten voor webshoppen.

Het probleem met de meeste fraudedetectie is dat het veel te veel false-positives oplevert. Wanneer je over alles dat van een strict patroon afwijkt vragen gaat stellen aan de klant, kan die klant dat vervelend gaan vinden, helemaal wanneer daar tijd over heen gaat, waardoor er niet de volgende dag geleverd kan worden. En alles wat de klant vervelend vind kan een reden zijn om de volgende keer naar een andere webshop te gaan.

En dan moet de melding van de webshop wel meteen opvallen. Veel shops sturen na een bestelling een stroom van emails. Niet iedereen opent en leest alle vervolgmailtjes (na de bestelbevestiging) meteen na ontvangst wanneer ze denken dat het een statusupdate van de bestelling is. (Van sommige shops krijg ik ná de bevestiging drie mailtjes voordat de bestelling de deur uit gaat en vervolgens een melding van elke statusverandering in de track-and-trace van de bezorger. Acht mailtjes voor één bestelling is geen uitzondering.) Wanneer je er na twee dagen achter komt dat één van die mailtjes een waarschuwing van de webshop was en dat je 24 uur de tijd had om aan te geven dat de bestelling klopt voordat deze geannuleerd zou worden, is dat vervelend.

Een werkend fraudedetectiesysteem zou onmiddellijk tijdens de bestelling aan moeten slaan en tijdens de afronding aan moeten geven dat je op een link in een mailtje moet klikken om de bestelling te voltooien. Zelfs dat zal mensen afschrikken.
Zo moeilijk is dat idd niet.
Maak gebruik van google authenticator ofzo.
Klinkt simpel genoeg, ja. Maar ik werk als e-commerce developer voor 20+ webshops en zeker in Nederland is het niet gebruikelijk accounts aan te maken (ten opzichte van Frankrijk en Duitsland waar dat heel normaal is). We merken elk extra veldje in de checkout in onze conversies en het gros van de mensen die online besteld (dan zeker bij Wehkamp e.d.) zijn doorsnee jan-en-alleman burgers die schrikken van woorden zoals "2 staps authenticatie". Hoe goed je het ook kunt communiceren, hoe simpel je het ook kan maken; mensen over het algemeen ervaren het als een drempel en haken er op af.

Beter steek je de aandacht als bedrijf in fraudedetectie en beveiliging van je gegevens; dat levert onder aan de streep meer op dan extra stappen voor de consument te implementeren.

(Dat niet te zeggen dat ik het er niet mee eens ben; als het aan mij ligt is 2FA overal verplicht en moet iedereen overal unique passwords gebruiken, helaas is het een commerciele markt en telt conversie zwaar in de overwegingen)

[Reactie gewijzigd door Asitis op 20 juli 2018 17:01]

Het is hoog tijd dat we 2FA (verder) gaan standaardiseren zodat je hulp van je OS en je browser krijgt en niet iedere website het wiel opnieuw moet uitvinden. Ik weet dat er al goede stappen genomen zijn, bijvoorbeeld met U2F, maar we zijn er nog niet. Het moet zo makkelijk en vanzelfsprekend worden dat mensen zich er nauwelijks bewust van zijn, net zoals ze ook niks merken van de beveiligingsfeatures op hun pinpas. Naast de pincode zijn er nog andere beveiligingen maar daar merk je normaal gesproken niks van.

Ik hoop dat we vele semi-passieve methodes kunnen vinden om multifactor-authenitcatie te doen. Als er maar genoeg andere factoren zijn hoeven we niet meer zo'n zware eisen te stellen aan wachtwoorden. Net zoals onze pinpassen worden beveiligd met een viercijferige PIN-code omdat er ook nog ander maatregelen zijn, zoals dat je de pas zelf nodig hebt, en je maar drie keer mag proberen voor je wordt geblokkeerd. In verhouding met onze computerwachtwoorden is dat belachelijk simpel maar nog vergeten mensen hun PIN.

Moeilijker dan PIN moet het dus niet worden en dat zou ook niet nodig moeten zijn. Met onze pinpassen gaat het vrij aardig, je hoort haast nooit dat er een bankrekening is geplunderd met een gejatte pas & pincode. Het gebeurt wel, maar niet veel.
Moeilijker dan PIN moet het dus niet worden en dat zou ook niet nodig moeten zijn. Met onze pinpassen gaat het vrij aardig, je hoort haast nooit dat er een bankrekening is geplunderd met een gejatte pas & pincode. Het gebeurt wel, maar niet veel.
Je legt hier een relatie die je niet kunt leggen. Dat je iets niet veel hoort wil niet zeggen dat iets niet veel gebeurt. Een pin systeem bestaande uit 4 cijfers waarbij een aantal combinaties als 0000 / 1234 etc niet mogen is inherent onveilig. Dat weet de bank ook maar het risico is ingecalculeerd. Wordt het misbruikt? Ja, zeker. De banken doen echter aan damage contol waardoor je dit soort gevallen niet snel hoort.

[Reactie gewijzigd door Bor op 20 juli 2018 18:02]

Je legt hier een relatie die je niet kunt leggen. Dat je iets niet veel hoort wil niet zeggen dat iets niet veel gebeurt. Een pin systeem bestaande uit 4 cijfers waarbij een aantal combinaties als 0000 / 1234 etc niet mogen is inherent onveilig. Dat weet de bank ook maar het risico is ingecalculeerd. Wordt het misbruikt? Ja, zeker. De banken doen echter aan damage contol waardoor je dit soort gevallen niet snel hoort.
Het zal vast gebeuren, maar dat mist het punt een beetje. Het gaat erom dat we niet alleen op die viercijferige PIN vertrouwen. Er zijn meer maatregelen, zoals dat je de pas hebt en maar drie keer mag proberen. Die, en andere, maatregelen samen geven voldoende veiligheid.
Online bankieren heeft ook 2fa.
Daar klaagt niemand over dus zo erg zal het wel niet zijn. Het is gewoon gemakzucht.
Is het niet ook een stukje gewenning? Banken hebben al tijden 2fa, waarbij je in het begin iedereen hoorde klagen maar je hier nu eigenlijk nooit meer iemand over hoort. Consumentenprogramma's / -organisaties raden het ook aan. Wanneer iedere website het inbouwt waar transacties plaatsvinden dan wordt het vanzelf de normaalste zaak van de wereld.

Snap wel dat je dit als developer niet perse wilt omdat je met elk veld/handeling mogelijke inkomsten misloopt doordat een lead deze horde niet neemt. Echter zou ik zeggen dat webshop hierin wel een redelijke aansprakelijkheid heeft door in de huidige tijd geen 2fa in te bouwen als shop. Ik zou zeggen, neem gewoon je verantwoordelijkheid als verkoper.

[Reactie gewijzigd door jdh009 op 20 juli 2018 17:35]

Daarom ben ik boven adequaat reagerende klant-teams boven 2FA. Je houdt het proces voor de klant simpel. Dus het tast ook je conversie niet aan. Detectie is grotendeels automatisch, uitbellen kan gedaan worden door een callcenter in Casablanca of Ukraine/Bulgarije/Roemenie (met native Nederlands sprekende mensen ja, veel terugkerende marokkanen en in de rest gewoon beetje avonturiers, je zal je verbazen). Kost amper wat, levert veel goede PR op, bouwt klantbinding. Ik wist het wel.

[Reactie gewijzigd door Endless_Death op 20 juli 2018 17:11]

Noem 1 goede 2FA app zodat je niet zelf je secret keys hoeft te backuppen?

Nee niet Lastpass, onbetrouwbaar als wat met backups, zie mijn andere posts.

Er zijn gewoon geen goede appa voor 2FA zoals voor wachtwoorden helaas.
Beveiliging begint bij jezelf, simpelweg een ander wachtwoord bij elke site\account was al voldoende geweest.

Maar ik ben het met je eens dat 2-factor wel richting de standaard mag gaan inmiddels.
Gebruik keepass, kan ik benaderen waar ik wil en ieder account heeft een eigen password welke is gegenereerd met Keepass. 1 nadeel, als mijn KeepPass certificaat wordt gestolen en mijn wachtwoord bekend is, kunnen ze overal in.
2fact is helemaal niet nodig.
99% vd onjuiste inlogpogingen kunnen worden afgevangen door iemand zn inlogpatronen te herkennen.
Als ik een verkeerde scheet laat met mn creditcard (omdat het niet in het patroon valt van mijn normale betalingen) dan wordt hij direct geblockt en kan ik een nummertje bellen om hem in 5min weer laten unlocken.
Vreemd, die vreemde scheet hebben ze bij mij nog niet opgemerkt, maar betalen met mijn CC bij Coolblue waar ik al jaren klant ben? Neen, dat gaat niet meer.
Laat de LUIE gebruiker eens een keer goed nadenken en gewoon voor ELK account een ander wachtwoord gebruiken. Dan heb je dit soort gezeik ook niet! Er zijn gewoon zoveel password managers tegenwoordig. Laat de gebruiker ook maar wat meer verantwoordelijkheid nemen hoor.

Los van het feit dan 2fact prima is. Is 1 wachtwoord voor al je account gewoon idioot..
2fact hoeft niet eens als er achteraf pas betaald kan worden!
Te makkelijk dit! Ik heb in mijn Wehkamp account dit ook niet aangezet. (Tip!)
Of gewoon geen achteraf betalen aanbieden, maar vooraf of bij aflevering.
Het is min of meer verplicht om dit als optie aan te bieden, met enkele nuances.

https://www.thuiswinkel.o...alen-altijd-mogelijk-zijn
Dan zou ik dat alleen met 2 factor aanbieden. Maar wel een aparte regel, wist niet dat we die hadden.
Zou een eventuele oplossing niet kunnen zijn dat je via een link in e-mail je bestelling nog eens moet bevestigen?
Nee. Er is vaak ook toegang tot het mail account.
Men zou echt moeten leren om voor elke dienst verschillende wachtwoorden te gebruiken.
Niet als de koper ook de toegang tot het emailaccount koopt.
Ik mis een beetje het idee, is dit een "afterpay" concept aangezien de spullen worden geleverd?
Of worden accounts verkocht waar een bankrekening nummer (of creditcard) aanhangt waardoor er dus gelijk "betaald" wordt..
Wehkamp en Bol hebben inderdaad Afterpay.
ik denk dat er vooral digitale diensten mee gekocht worden via AfterPay. Zo kun je die digitale spullen weer snel doorverkopen (bijv. licentiecodes) zonder dat je gepakt wordt via het fysieke adres waar de spullen worden afgeleverd..
Het kraken van accounts wordt al heel lang gedaan.
Zoek voor de grap maar eens naar SentryMBA.
https://blog.shapesecurit.../09/a-look-at-sentry-mba/
Met dit stukje software is het mogelijk om automatisch in te loggen op websites en aan de hand van het resultaat bepaalde informatie op te slaan. Door het gebruik van proxies heeft een IP-ban weinig zin.
Als er een postive voorkomt kan het account (gebruikersnaam/wachtwoord) verkocht worden.

Als ik zo naar bol.com, Marktplaats en Zalando kijk wordt er geen gebruik gemaakt van bijv, captcha. Dit maakt het verifiëren van inloggegevens vrij eenvoudig. 8)7
There are many automated attack tools, including other credential stuffing frameworks, that vastly exceed Sentry MBA in sophistication. However, this serves to illustrate the real security challenge: the fact that Sentry MBA is so effective on so many major websites and mobile application API services today highlights the need for significantly more advanced application defense mechanisms.
Je linkt leest trouwens bijna als een reclame ( als je het bovenstaande stukje weg laat ;) ).

Er zit trouwens een OCR wizzard in Sentry MBA ( werkt niet met ReCaptcha en andere 'betere' captcha aanbieders ).

De manier om dit soort tools te ondervangen is op firewall niveau.

edit:

Kan ook op applicatie niveau, zelfs proxies verbergen niet het hoge aantal foutieve inlogpogingen, maar op firewall niveau filteren op inkomende login requests en meteen alle proxies blacklisten wanneer een threshold is bereikt lijkt mij makkelijk. Er kan wel worden geroepen dat het 'een heel grote lijst met proxies gebruikt' maar a> je blokkeert zowieso al open proxies b> veel foutieve inlogpogingen per proxy die een blacklist triggeren is gewoon werkbaar, ze gebruiken echt geen proxy per account.

[Reactie gewijzigd door MarvTheMartian op 20 juli 2018 17:38]

Reclame zou kunnen ;). Was meer om verdere informatie te geven.
"ze gebruiken echt geen proxy per account." Als je hiermee SentryMBA bedoeld, dit wordt wel degelijk gedaan.
Dit is onmogelijk, zoveel bruikbare proxieservers zijn er niet ( en al zijn ze er wel dan zijn ze juist heel herkenbaar en dus makkelijk te blacklisten ).

"proxy per account" bedoel ik mee één proxyserver per login poging per account.

edit: en ook indien het wel zou gebeuren kan je dit ondervangen op firewall niveau, bij inkomende login pogingen bekijken of er steeds een nieuw ip wordt gebruikt voor dezelfde account naam, zo ja dan drop je alle traffic voor een periode welke in proberen te loggen op deze account + je blokkeert meteen de proxy omdat deze waarschijnlijk ook ingezet gaat worden met een andere account.

Dit is bijvoorbeeld 'makkelijk' ( en dat is heel subjectief ) op te zetten met pfSense en Squid+SquidGuard volgens mij.

[Reactie gewijzigd door MarvTheMartian op 20 juli 2018 18:49]

Blijkbaar zijn er wel zoveel proxies beschikbaar. Als je iets verder zoekt op SentryMBA en proxyscrapers zie je dat het vrij simpel is en dat je zo 20k proxies kan gebruiken.
In SentryMBA wordt er per geprobeerde login (dus per account) een aparte proxy gebruikt totdat er een fail/pass is. Mogelijk kan een proxy als banned worden opgegeven waardoor deze wordt overgeslagen.

Ik ben het helemaal met je eens dat dit gemakkelijk te blacklisten is. Echter hoe snel ga je dit doen. Zo meteen krijg je gebruikers die gaan klagen omdat ze op de blacklist staan. (Vanwege bijv. 3x verkeerd inloggen) Hoe onderscheid je deze proxies van 'echte' gebruikers? Blijkbaar wordt hier dus niets aan gedaan en is het lastig of niet te zien dat er een proxy gebruikt gewordt. Anders hadden ze het wel op de block gezet lijkt mij?
In SentryMBA wordt er per geprobeerde login (dus per account) een aparte proxy gebruikt totdat er een fail/pass is. Mogelijk kan een proxy als banned worden opgegeven waardoor deze wordt overgeslagen.
Op applicatie niveau word al vaak gelogd op inlog + ip, dus ook laatst geslaagde. Je zou deze combinatie dus kunnen whitelisten met hogere prioriteit dan je blacklists. Ook zou je na een x aantal mislukte inlogpogingen van dit account vanaf een ander IP dit IP loggen als verdacht. Bij meerdere malen gebruik van dit IP en mislukte inlogpogingen ben je vrij veilig om dit IP te blacklisten.

Er zijn verschillende organisaties welke lijsten met 'gecompromitteerde proxies' delen, de claim van 20k beschikbare proxies is makkelijk gemaakt maar moeilijk te bewijzen ( of in stand te houden ). Tuurlijk zit er een bepaalde reactietijd tussen, en levert het ongemak op voor gebruikers maar dat ongemak is een stuk kleiner dan je klanten/gebruikers vertellen dat hun accountgegevens bemachtigd zijn door derden.
Amazon lost dit redelijk eenvoudig op door bij een eerste bestelling op een nieuw adres terug validatie van de betalingsmethode te vragen (+ natuurlijk 2 factor).

Persoonlijk zal ik ook waar mogelijk (en zeker als er geen 2FA is) voor een betalingsmethode kiezen die niet "opgeslagen" wordt (zoals Bancontact hier in België).

[Reactie gewijzigd door Whatts op 20 juli 2018 16:58]

Mjah dan ga je bij carding nog nat. Validatie is niets anders dan CVC en datum.
Voor creditkaart in sommige gevallen, debetkaart (en soms ook voor creditkaart) heb je een nieuwe code via de kaart+kaartlezer nodig.
Achteraf betalen is sowieso een security risk. Ik gebruik het ook nooit. Je hebt een hele kleine kans bij vooraf betalen dat de shop failliet is of gaat, maar voor de rest is het een stuk veiliger.
Hmm ik gebruik achteraf betalen redelijk vaak. Wat is daar een security risk aan?
Dat vaag ik me ook af, als het pakket niet aan jou wordt geleverd, dan hebben ze niet aaan het contract voldaan en hoef je niet te betalen.
Het is een security risk voor de webshop, omdat mensen dus pakketten kunnen bestellen onder valse naam met achteraf betalen, of accounts kunnen gehackt worden, en voor jou is het een risico omdat iemand met toegang tot jouw account met achteraf betalen kan bestellen en dan krijg jij de rekening.
Tijdje terug via een link ontdekt dat wachtwoorden bij een e-mail adres van mij openbaar waren. Sindsdien gebruik ik Dashlane om voor iedere website een ander wachtwoord te generen en te gebruiken.
Dat is een goede tip ik gebruik ook wachtwoord generators bij elke website waarvoor ik een account nodig heb. Ook gebruik ik twee stap verificatie waar dat beschikbaar is.
Hier is niks nieuws aan, dit soort praktijken gebeuren al jaren. Toen ik nog voor een grote webshop werkte zaten we regelmatig achter dit soort fraude gevallen aan. En opzich heb je er niet eens een gehackt account voor nodig.
Dit werd een paar jaar terug al gedaan met random email adressen die zijn gekoppeld aan random huisadressen of adressen die op illegale manieren zijn verkregen.

En met zaken als betalen via acceptgiro en pick-up points is dit heel makkelijk scoren.
Waar ik dan wel benieuwd naar ben, waarom hier zo weinig of geen maatregelen tegen worden genomen. Vermoedelijk omdat men een x bedrag incalculeert voor dergelijke gebeurtenissen, maar wellicht weet jij iets meer ervan.

Ik denk persoonlijk dat het probleem van twee kanten aangepakt zou kunnen worden. Enerzijds de webwinkels die meer veiligheidsmaatregelen nemen en anderzijds aan de bezorgzijde het verplicht stellen van legitimatie (komt naam niet overeen met wat op pakket/post staat - dan gaat het retour).

[Reactie gewijzigd door JKP op 22 juli 2018 20:53]

Er worden wel degelijk maatregelen genomen bij de webshop waar ik voor werkte. Wij hadden allerlei rapportages bijv om verdachte orders te herkennen voordat ze werden verstuurd. Maar ook credit score checks bij hoge bedragen, acceptgiro pas toestaan na x aantal iDeal orders etc.

Ik kan echter niet spreken voor bovengenoemde webshops, maar het is zeker niet zo dat er in het algemeen niets aan gedaan wordt.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True