Archief op 2021-02-22

‘Klarna beschermt onvoldoende tegen identiteitsfraude’

Klantenaccounts van de betaaldienst Klarna kunnen worden overgenomen en misbruikt door derden. Dat blijkt uit onderzoek van de Consumentenbond die Klarna oproept zijn beveiligingssysteem aan te passen.

Bij het afrekenen met Klarna vraagt deze betaaldienst niet om een wachtwoord. Het invullen van enkele persoonsgegevens is voldoende. Ook is er geen (zichtbare) tweestapsverificatie vereist bij de betaling.

De Consumentenbond ontdekte in september 2020 bij toeval dat het mogelijk is om een bestelling te plaatsen op naam en rekening van een ander. En om vervolgens het product naar zichzelf op laten sturen.

In een reactie liet Klarna toen weten dat het een incident betrof en dat de beveiliging van het betaalsysteem op orde is.

In januari 2021 bestelden onderzoekers van de Consumentenbond bewust nog eens 10 keer producten via een account van een ander. Met succes. Ook nu reageert Klarna lauw. De Consumentenbond: ‘Het is onvoorstelbaar hoe laconiek en afwachtend het bedrijf reageert. We willen van Klarna concreet horen hoe het de beveiliging gaat opschroeven. Ook zullen we ons onderzoek over een aantal weken herhalen om te zien of het lek gedicht is.’

De Consumentenbond raadt consumenten met een Klarna-account aan om hun mail, spambox en Klarna-app goed in de gaten te houden. En om daarnaast hun bankrekening te controleren op onduidelijke afschrijvingen.

Klarna reageert uitgebreid bij het progranmma Kassa: ‘We nemen meldingen van fraude zeer serieus en maken gebruik van geavanceerde technologie om fraude en frauduleus gedrag op te sporen, waaronder veel verschillende variabelen voor elke aankoop.’

Een klant die herhaaldelijk bij Klarna terugkeert, verschillende achtereenvolgende bestellingen plaatst en op tijd betaalt, bouwt met al deze interacties bij Klarna een aanzienlijke digitale voetafdruk op. ‘We gebruiken deze informatie om het risico van transacties in te schatten. Elke afzonderlijke aankoop via Klarna wordt op deze manier real time beoordeeld en gedurende dit proces maken we gebruik van honderden variabelen.’

In het uitzonderlijke geval van een succesvolle frauduleuze transactie treedt Klarna’s Koperbescherming in werking en dekt het bedrijf alle kosten.

© Emerce

Fraudehelpdesk waarschuwt voor identiteitsfraude en oplichting namens ‘DigiD’: ‘Kopie van uw legitimatiebewijs is ongeldig’

Over oplichting namens DigiD hebben wij de laatste tijd veel geschreven, maar deze variant is voor ons nieuw. Volgens de Fraudehelpdesk doen oplichters zich momenteel per mail voor als de DigiD-helpdesk in een poging je legitimatiebewijs te bemachtigen: ‘Wij hebben geconstateerd dat de kopie van uw legitimatiebewijs in ons dossier niet meer geldig is.’

Deze mail wijkt op een belangrijke manier af van hetgeen we gebruikelijk zien in het geval van oplichting namens banken of overheidsinstanties: waar het eigenlijk in vrijwel alle gevallen gaat om het bemachtigen van inloggegevens voor internetbankieren, hebben oplichters het nu op jouw paspoort, rijbewijs of identiteitskaart voorzien.

Dat is bovendien niet alles, want ze vragen ook om een pasfoto, een bewijs van je huidige woonadres én een rekening van de gasleverancier of je telecomprovider.

Lees hier verder. © Opgelicht

Pakketjesfraude: oplichters gaan er met bestellingen op jouw naam en adres vandoor

Dat er in tijden van lockdown regelmatig een pakketbezorger voor je deur staat, is voor velen niet vreemd. Maar dat die bezorger mogelijk pakketjes brengt die je zelf helemaal niet besteld hebt, is daarentegen wel bijzonder, al helemaal als ze wél aan jou geadresseerd zijn en de factuur nog voldaan moet worden. Bij Opgelicht?! komen de laatste tijd meldingen binnen van mensen die dit is overkomen. Bovendien blijkt het vaak helaas niet te gaan om een enkel pakketje, maar om een heleboel pakketjes. Soms zelfs om tientallen pakketjes. Wat is er aan de hand?

Oplichters maken een account aan bij een webwinkel en bestellen op naam en het adres van iemand anders een pakket. Ze kiezen voor de optie ‘achteraf betalen’, een optie die door een aantal webwinkels wordt aangeboden en waar niet in alle gevallen adequate controle op wordt toegepast. En dat is in bepaalde gevallen vragen om moeilijkheden.

Bezorgadres nog vóór de eerste afleverpoging gewijzigd

Het pakket is bij voorkeur niet te duur, niet te goedkoop en mag zeker niet door de brievenbus passen, want juist daarin schuilt de truc. Wanneer de webwinkel het pakket aanmeldt bij PostNL ontvangt de oplichter een mailtje met een Track&Trace-code én met de mogelijkheid om de bezorglocatie te wijzigen. De bezorglocatie wordt vervolgens nog vóór de eerste reguliere bezorgpoging gewijzigd naar een afhaalpunt: daar haalt de oplichter vervolgens zijn buit.

Het klinkt bijna te simpel om waar te zijn. Als de oplichter het pakket namelijk zelf ophaalt, moet hij of zij zich aan de balie wél even legitimeren. Voor oplichters die niet gevonden willen worden ligt daar dus het probleem, want vroeg of laat komt de politie informeren bij PostNL en vallen de puzzelstukjes op hun plaats.

Eind vorig jaar ging er via sociale media overigens een waarschuwing rond over een vergelijkbare vorm van pakketjesfraude, al was de insteek van die truc dat het pakketje juist wél door de brievenbus past: het idee is dat een argeloze bewoner van een woonhuis minder snel om legitimatie vraagt dan een getrainde en geroutineerde baliemedewerker van een officieel afhaalpunt.

Onze conclusie luidde destijds dat het weliswaar met een hoop mitsen en maren theoretisch mogelijk is, maar dat er geen grond was om aan te nemen dat deze vorm van oplichting qua omvang zou uitgroeien tot enorme proporties: daarvoor waren er net iets te veel variabelen in het spel. Dat stuk lees je via onderstaande button.

KUNNEN OPLICHTERS OP JOUW ADRES EN OP JOUW KOSTEN BESTELLINGEN PLAATSEN?

Ondanks legitimatieplicht lukt het soms tóch om een pakket af te halen

In dit geval is de kunst voor oplichters dus om de pakketjes te laten ophalen door mensen die de risico’s niet in kunnen schatten, snel geld nodig hebben of geen vaste woon- of verblijfplaats hebben. Naïeve jongeren of katvangers dus.

Het lukt de katvangers kennelijk om met een overtuigende smoes toch een pakketje af te halen. Zij legitimeren zich wellicht met hun eigen legitimatiebewijs: zonder vaste woon- of verblijfplaats is het voor de politie moeilijker om je te vinden. Legitimeren is in dat geval dus een zorg voor later.

Als je hier slachtoffer van bent, doe dan direct aangifte. En neem voor zover mogelijk contact op met de webshops die jou de pakketjes en de factuur sturen. De PostNL-app biedt daarnaast de mogelijkheid om te zien welke poststukken en -pakketten er naar je onderweg zijn.

© Opgelicht

Klanten Ziggo, KPN en Netflix opgelet: internetcriminelen willen geld stelen

Weer een grote golf aan phishingmails: dit keer wordt het vizier vooral op klanten van Ziggo, KPN en Netflix gericht. Het doel: geld stelen.

Tijdens de huidige coronacrisis hebben criminelen hun werkplek meer naar het internet verplaatst. Dit betekent onder meer dat meer Nederlandse criminelen zich bezighouden met het versturen van phishingmails. Het uiteindelijke doel is geld en bank- en inloggegevens in bezit te krijgen. Omdat meer Nederlandse internetcriminelen actief zijn, worden ook de gebruikte nepmails geloofwaardiger. Kon voorheen vaak aan de grammatica een phishingmail worden herkend, is dit nu veel moeilijker.

Ziggo en KPN

In het geval van Ziggo en KPN worden klanten van deze providers aangespoord om te klikken op een link naar een fictieve site van de betreffende provider. Doet men dit niet dan volgt volgens de internetcrimineel het offline zetten van het e-mailaccount. Wanneer eenmaal op de link in de phishingmail wordt gedrukt, begint het spel van het stelen van inloggegevens. Ook kan malware en ransomware op de computer worden geplaatst waardoor bijvoorbeeld persoonlijke bestanden op slot gezet worden. Alleen na het betalen van losgeld belooft de internetcrimineel de toegang tot de bestanden terug te geven. Iets dat natuurlijk niet in alle gevallen gebeurt.

Netflix

Door de coronacrisis is het gebruik van Netflix toegenomen. Nederlanders willen in de huidige tijd met de avondklok natuurlijk niet de toegang tot Netflix worden ontzegd. Internetcriminelen spelen hierop in door met een phishingmail kenbaar te maken dat de toegang tot de online streamingdienst wordt ontzegd als niet op een link wordt gedrukt om de factuurgegevens opnieuw in te voeren omdat een automatische betaling mislukt is. Eenmaal in bezit van bank- of creditcardgegevens kan het leegplukken van de rekening beginnen.

© TotaalTV

Cybersecurity-bedrijven waarschuwen voor agressievere ransomware-aanvallen in Nederland

Ransomware-aanvallen worden steeds geavanceerder. Er wordt in Nederland, ten opzichte van vorig jaar, steeds vaker gedreigd met het lekken van gestolen persoonsgegevens of gevoelige bedrijfsdocumenten wanneer bedrijven niet willen betalen om weer toegang te krijgen tot deze bestanden. Daarvoor waarschuwen verschillende cybersecurity-bedrijven tegen KRO-NCRV’s Pointer.

Wanneer bedrijven slachtoffer zijn geworden van een ransomware-aanval worden alle bestanden gegijzeld, op slot gezet. Deze worden pas weer vrijgegeven na het betalen van een grote som losgeld. “Begin vorig jaar gebeurde het nog af en toe, maar nu is het aan de orde van de dag dat klanten op deze manier onder druk gezet worden”, zegt Lars Jacobs, senior manager van het cyber response-team van KPMG.

“Je ziet dat criminelen er alles aan doen om het losgeld betaald te krijgen”, zegt Frank Groenewegen van het cybersecurity-team van Deloitte. Om ervoor te zorgen dat slachtoffers betalen, dreigen criminelen met het lekken van gevoelige bedrijfsinformatie en persoonsgegevens. “Ook wij hebben meerdere onderzoeken gedaan bij bedrijven waar de hackers dreigden data te publiceren als er niet betaald werd”, aldus Groenewegen.

Lees hier verder. © Emerce