Veiligheid bij online winkelen: hoe je voorkomt dat je het slachtoffer wordt van internetfraudeurs

De stroom van phishing e-mails, aanvallen van hackers en social engineering activiteiten lijkt niet af te nemen. Wat een jaar geleden waar was*, toen dit artikel voor het eerst verscheen*, is nu nog steeds waar. Er gaat bijna geen week voorbij zonder dat de media melding maken van een nieuwe zwendel. Het is ook duidelijk dat brutale hackers steeds meer kattenkwaad uithalen, vooral in de maanden rond Kerstmis wanneer de verkoop het hoogst is. Sommige klanten van Digitec en Galaxus behoren keer op keer tot de slachtoffers.

Een goede reden om de community nog eens te herinneren aan de tips en trucs van onze eigen IT-beveiligingsexpert Martin Wrona. Zodat je tijdens het winkelen niet voor vervelende verrassingen komt te staan. Even stilstaan bij vreemde e-mails en het bericht kritisch bekijken is het halve werk.

Martin, met welke oplichtingspraktijken worden klanten van Galaxus en Digitec momenteel geconfronteerd?

Internetfraudeurs zijn creatief en proberen op alle mogelijke manieren klantgegevens op te lichten. De zogenaamde phishingmails die ieder van ons dagelijks in de elektronische brievenbus vindt, zijn erg populair. Bijvoorbeeld een bericht dat het abo verlengd moet worden of dat de douane het pakket pas kan doorsturen als de verschuldigde douanekosten zijn betaald. Iedereen die onoplettend is, kan het slachtoffer worden van de "datafishers" en zijn gegevens blootgeven.

Hoe herken ik als leek dat ik een phishing-e-mail heb ontvangen?

In veel gevallen zijn er duidelijke aanwijzingen. Ik heb echter gemerkt dat e-mails met valse afzenders steeds verraderlijker worden. Sommige cybercriminelen zijn ware kunstenaars: hun giftige mail is alleen te herkennen als je heel goed kijkt.

Waar moet ik op letten?

Ik raad je aan om jezelf bij alle e-mails de volgende vragen te stellen: Ten eerste, heb ik iets te maken met de afzender? Als het antwoord nee is, stop de ongeopende e-mail dan in de prullenbak. Ten tweede, zie ik typefouten, vreemde bewoordingen of is er iets mis met het bedrijfslogo van de afzender? Als dit het geval is: verwijder de e-mail. Ten derde: Als er druk wordt uitgeoefend, bijvoorbeeld een dreigement om een lopend contract op te zeggen, verwijder dan het lokaas. Ten vierde: verbergt de afzender zijn e-mailadres? Als je met de muisaanwijzer over de zichtbare afzender gaat of erop klikt, zie je het werkelijke adres van de afzender. Als er iets vreemds aan is, moet de e-mail in de prullenbak. Belangrijk: Open geen bijlagen en klik niet op links in deze e-mail.

Hoe kan ik mijn Galaxus- en/of Digitec-account beschermen tegen onbevoegde toegang?

Er zijn verschillende manieren waarop iedereen de beveiliging van zijn account aanzienlijk kan verbeteren. De belangrijkste tip: zorg ervoor dat je een uniek wachtwoord gebruikt met voldoende lengte en complexiteit. Wij raden een wachtwoord aan dat minstens tien tekens lang is met speciale tekens en hoofdletters en kleine letters voor het inloggen. Twaalf of meer tekens zou nog beter zijn. En als ik zeg "uniek", dan bedoel ik dat het wachtwoord echt maar één keer wordt gebruikt. Iedereen die dezelfde inlog-/wachtwoordcombinatie gebruikt voor e-bankieren, het reserveringssysteem van de autodealer en bestellingen bij de groenteboer, stelt zichzelf bloot aan een onnodig frauderisico.

... zelfs als het wachtwoord uit twaalf of meer tekens bestaat en een correcte combinatie is van hoofdletters, kleine letters, cijfers en leestekens?
Dat maakt niet uit. Dat maakt niet uit. Fraudeurs hebben het juist makkelijk vanwege de vaak identieke inlog-/wachtwoordcombinaties. De wachtwoorden worden verkregen via phishing e-mails of malware zoals virussen en Trojaanse paarden. Je ontvangt bijvoorbeeld een e-mail met het logo van Digitec of Galaxus en er staat: "Je bestelling is klaar, klik hier om af te halen". Als je daarop klikt, kom je op een nieuwe, meestal vrij goed gekopieerde pagina van de vermeende aanbieder. Als je dan je inloggegevens invoert, verschijnt vaak "Login en wachtwoord onjuist". De gegevens worden echter door de criminelen op de achtergrond opgeslagen.

En hoe komen deze inlog-/wachtwoordcombinaties in omloop?

Criminelen verkopen op internet lijsten met vastgelegde inlog-/wachtwoordcombinaties aan fraudeurs die proberen in te loggen bij populaire online winkels. Iedereen die inlogwachtwoordcombinaties meerdere keren gebruikt, is daarom bijzonder vatbaar voor internetfraude. **En wat te doen met inlogwachtwoordcombinaties?En hoe zit het met het tweede beveiligingsniveau - zoiets als tweefactorauthenticatie, zoals we die kennen van financiële dienstverleners? Wij raden aan om tweefactorauthenticatie (2FA) te gebruiken. We gebruiken dit om bevestiging te krijgen via mobiel voor elke nieuwe login, bijvoorbeeld de eerste keer dat je inlogt met je nieuwe notebook. We maken onze klanten attent op onze 2FA optie in redactionele artikelen en na elke bestelling. Het tweede beveiligingsniveau kan voorkomen dat fraudeurs inloggen op het klantenaccount en ongemerkt iets bestellen, en het is raadzaam om tweefactorauthenticatie te activeren voor andere accounts, zoals aanbieders van e-mails, als dit in de sale wordt aangeboden.

Waarom vereisen Galaxus en Digitec standaard geen 2FA? Met andere woorden, waarom is deze beveiligingsmaatregel optioneel?We willen onze klanten niet betuttelen - ook niet als het om beveiliging gaat. Natuurlijk zouden wij van IT-beveiliging liever een groot, rood, knipperend waarschuwingsbord hebben met de tekst: "Activeer 2FA". Maar we willen niemand dwingen. Onze fraudedetectie is effectief en we ontwikkelen deze voortdurend verder. Als de fraudeurs echter een geldige login en wachtwoord van de pc van het slachtoffer hebben verkregen en de eerder genoemde 2FA niet is geactiveerd, is het voor ons heel moeilijk om frauduleuze bestellingen te herkennen. Waar moet ik op letten als ik met een creditcard koop? Wij slaan geen creditcardgegevens op: Betalingen worden voor ons verwerkt door het gespecialiseerde bedrijf Datatrans. Om de veiligheid van onze klanten te garanderen, eisen we ook van creditcardverstrekkers dat ze voldoen aan een zogenaamde 3-D Secure verplichting: voor elke toegang, elke betaling, moet de gebruiker een tweede identiteitsbewijs opgeven, vergelijkbaar met 2FA, een zogenaamde tweede factor, waar de bank om vraagt. Bijvoorbeeld door een sms-code in te voeren of een vingerafdruk te scannen. We kunnen niet controleren of alle banken deze tweede factor vereisen. We raden onze klanten daarom aan om voor online winkelen alleen creditcards te gebruiken die een 3-D Secure query activeren.En welke beveiligingsmaatregel hebben we nog niet besproken? Het helpt meestal om je gezonde verstand te gebruiken en e-mails die nergens op slaan meteen te verwijderen. Bijvoorbeeld deze absurde acties die je lokken met een gloeiend prijskaartje: "Macbook Pro 2022 voor CHF 1,99" En wie om veiligheidsredenen per ongeluk een belangrijke e-mail verwijdert, kan er zeker van zijn dat de afzender weer contact opneemt..

* Dit artikel is voor het eerst gepubliceerd in november 2023. Het is enigszins bijgewerkt en opnieuw gepubliceerd met het oog op de Black Friday Week en Kerstmis. De opmerkingen zijn daarom ouder en kunnen verwijzen naar de vorige versie