Meer fraude door accountovername vanwege corona

Cyber crime

Mede vanwege de coronacrisis duiken er de laatste weken steeds meer gevallen van frauduleuze accountovernamen (account takeovers) op. Dit levert zowel voor betrokken webwinkels als voor gedupeerde consumenten grote schade op. Hoe gaat zo’n accountovername eigenlijk in zijn werk? En, belangrijker nog, wat kun je hier als webwinkelier of consument tegen doen?

Bij een accountovernamen krijgt een crimineel op een illegale manier toegang tot een legitiem account van een iemand anders, bijvoorbeeld bij een webwinkel. In dat geval kan hij zich voordoen als een eerlijk klant en frauduleuze bestellingen plaatsen. Dit is overigens geen nieuw fenomeen en gebeurt al langere tijd bij banken en financiële instellingen.

Door de uitbraak van het coronavirus is het aantal gevallen in de e-commercesector echter enorm gestegen. Hier zijn twee redenen voor: ten eerste zijn de volumes aan online bestellingen de afgelopen maanden enorm toegenomen omdat consumenten zoveel mogelijk thuis moesten blijven. Hierdoor vallen frauduleuze bestellingen minder snel op. Ten tweede maken criminelen misbruik van de ontstane chaos door in te spelen op de heersende onzekerheid. Zo kunnen zij bijvoorbeeld via phishing veelvuldig de inloggegevens van consumenten verkrijgen.

Hoe gaan criminelen te werk?

Voor een accountovername kunnen criminelen op veel verschillende manieren te werk gaan om toegang te krijgen tot het account van een ander. Hieronder volgt een beschrijving van de drie meest voorkomende, zodat deze beter herkend kunnen worden:

  • Phishing

    Vrijwel iedereen weet wel hoe dit werkt, maar criminelen zijn er nog steeds succesvol mee en gebruiken deze manier nog steeds. Door hun slachtoffers te laten klikken op een ‘foute’ link, kunnen criminelen de inloggegevens voor accounts en persoonlijke data stelen.

  • Social engineering

    Criminelen verzamelen bijvoorbeeld de informatie die publiek beschikbaar is over hun slachtoffers, onder andere via social media. Met deze informatie kunnen zij vaak de persoonlijke vragen bij accounts beantwoorden en zo toegang ertoe verkrijgen. Een andere vorm van social engineering is het romantisch aanpappen met eenzame personen op datingsites om zo belangrijke gegevens te ontfutselen. Een variant gebeurt ook steeds vaker per sms-bericht.

  • Credential stuffing

    Hierbij proberen criminelen via bots gestolen of gekochte gegevens uit databanken verhandeld op de zwarte markt, uit in verschillende webwinkels om te zien of hun slachtoffers daar een account hebben. Als dat het geval is, nemen ze het account over en proberen ze dezelfde gegevens op andere platformen. 

Schade voor consumenten en webwinkeliers

Als er ineens bij meerdere accounts het telefoonnummer wordt veranderd in hetzelfde nummer, kun je er vrijwel zeker van zijn dat deze accounts zijn overgenomen. Een account is verdacht als er een login vanaf een ander apparaat plaatsvindt binnen 24 uur nadat de gebruiker zijn klantgegevens (zoals telefoonnummer, e-mailadres en/of naam) heeft geüpdatet, en er vervolgens een bestelling wordt geplaatst. Als een account veel IP-adressen uit verschillende landen heeft, is dit een goede indicator dat het account is overgenomen. Criminelen proberen vaak te verbergen op wat voor een apparaat zij werkzaam zijn. Wees dus alert als een ‘klant’ op een onbekend apparaat zijn bestelling doet. Het afleveradres wordt gewijzigd; hetzelfde afleveradres bij meerdere accounts is ook een indicator.

Schade door accountovername beperken

Er zijn verschillende manieren waarop webwinkeliers succesvolle fraude via accountovername op zijn minst kunnen beperken:

  • Zorg voor een limiet op het aantal logins per apparaat, gebruikersnaam en IP-adres.
  • Zorg ervoor dat een gebruiker zich moet identificeren wanneer hij aanpassingen wil doen in zijn accountgegevens, bijvoorbeeld via two-way authentication.
  • Stuur gebruikers een melding zodra er wijzigingen worden gedaan in hun accountgegevens.
  • Zorg voor een duidelijk proces hoe je om moet gaan met een eventuele accountovername. Denk hierbij aan het bevriezen van het bewuste account en goede communicatie richting de gedupeerde consument.
  • Zet AI in om patronen te herkennen over alle accounts heen.

Meer informatie?

Heb je nog vragen over accountovernamen of een andere manier van e-commercefraude, of ben je hier slachtoffer van geworden? Neem dan contact op met Roland van Kortenhof (), manager operations bij Thuiswinkel.org.