Cyberaanvallen richten zich steeds vaker op webwinkels. Hét dilemma: beveiliging bespaart geld, maar kost klanten.
KLM kreeg er ineens mee te maken: een cyberaanval. Op donderdagavond 18 april konden de servers het aantal verzoeken om informatie niet meer verwerken. De webshop viel uit en voor passagiers die al geboekt hadden, was het niet langer mogelijk online in te checken. De webshop was anderhalve dag slecht bereikbaar. Voor een verkoopkanaal dat jaarlijks 411 miljoen euro omzet te verwerken krijgt, is dat een serieus probleem – minstens zo serieus als de storingen die de online diensten van de vier grote banken in april troffen.
Social media
Grootste E-commerce groeiers
1. RFS Holland Holding (469, +11%)
2. Bol.com (358, +12,6%)
3. Ahold (200, +34%)
4. KPN (130, +19,3%)
5. BAS Group (110, nieuw)
6. Coolblue (108, +58,8%)
7. H&M (108, +13,7%)
8. HEMA (106, +17,8%)
9. Amsterdamgold.com (94, nieuw)
10. Thuisbezorgd.nl (82, nieuw)
Online omzet (in mln. euro in 2011
met groeipercentage 2010-2011)
Bron: Twinkle-100 van 2012
Toen duidelijk was dat hackers achter de cyberaanval op KLM zaten, schaalde de luchtvaartmaatschappij zijn arbeids-
krachten op Twitter en Facebook op, aldus woordvoerder Joost Ruempol. ‘Onze social media-crew had via de interne servers toegang tot onze systemen. Die konden het inchecken en boeken ook afhandelen.’ Gelukkig had het bedrijf een backupkanaal: het interne boekingscentrum bleef gewoon draaien en was het gedurende de aanval nog mogelijk tickets te boeken en in te checken. Bovendien kon er nog ouderwets geboekt worden alsof het 1990 was: per telefoon.
Geschiedenis
Voor een bedrijf met de geschiedenis van KLM is dat misschien vanzelfsprekend, voor veel andere online retailers niet. Bankfilialen verdwijnen de komende jaren in rap tempo uit het straatbeeld. En met de opkomst van het bestellen via internet dreigt voor veel winkels een soortgelijke toekomst. Tekenend is dat postorderbedrijf Wehkamp inmiddels ’s lands grootste online retailer – al 6 jaar geen catalogus meer uitbrengt. Het roept de vraag op: wat gebeurt er als internet uitvalt?
Geen alternatief
Dat is een relevante vraag. Want het internet blijkt niet alleen handig, maar ook uiterst kwetsbaar. Elke minuut downtime is reële schade voor een webwinkel. En dus zijn DDoSaanvallen – massaal in gang gezette aanvragen om informatie, met als doel die site te ontwrichten – een financieel risico voor e-commercebedrijven. Maar er zijn ook cybercriminelen die binnen de systemen fraude plegen. Zeker nu creditcardgegevens overal ter wereld voor luttele dollars online te koop zijn – of zelfs bij meer malafide transacties als extraatje worden bijgeleverd – is het gevaar voor webwinkels groot, zegt Vincent van Kooten van IT-consultancyfirma EMC. ‘Fraudeurs willen hun creditcards verzilveren. Wat is er eenvoudiger dan online spullen te bestellen en te laten verschepen?’ En die vervolgens via online marktplaatsen weer door te verkopen? Van Kooten: ‘E-commerce is na de banken het voornaamste target in deze vorm van fraude.’
Liquide
Cybercriminelen storten zich het liefst op de meest liquide producten. ‘Online schnitzels bestellen is onzin’, zegt Van Kooten. ‘Het gaat ze om iPads, elektronica, luxegoederen en merkkleding.’ En dus is de bereidheid bij online-retailers om na te denken over bescherming van hun kanaal des te groter. Van Kooten: ‘Ik sprak deze week bijvoorbeeld met een Zwitserse horlogemaker. Die verkopen niet heel mooie, maar wel heel dure horloges, van grofweg 50.000 dollar per stuk. Dat doen ze steeds vaker via een webshop. En ik sta er versteld van hoe eenvoudig ik een wachtwoord kan namaken, een creditcard registreer, en vervolgens online kan winkelen.’
Creditcards: een kaartenhuis?
TIPS VOOR ONLINE RETAILERS
1. Ontwerp een Plan B
Een cyberaanval kan iedereen overkomen. Wat heb je je klanten te bieden als het je overkomt? Hoe stel je zo veel mogelijk transacties veilig? Hoe communiceer je met je klanten? Maak een plan om je bedrijfsvoering zo veel mogelijk veilig te stellen in geval van een aanval.
2. Dring je eigen aansprakelijkheidsrisico terug
Breng in kaart waarvoor je als retailer in geval van online fraude aansprakelijk kunt worden gesteld. En wentel waar dat financieel interessant is de aansprakelijkheid af op banken, creditcardmaatschappijen of logistieke dienstverleners.
3. Voed je klanten op
Wie via internet iets bestelt, wil maximaal gemak. Laat je klanten daarom weten welke risico’s zij lopen en hoe je ze daartegen beschermt. Licht ze in over hun eigen aansprakelijkheid. Publiceer bijvoorbeeld in omloop zijnde phishingmails gericht op je webwinkel op je eigen website.
Het is een van de redenen waarom Amsterdam Gold – met een online omzet van 94 miljoen euro in 2011 – geen creditcards accepteert in zijn webwinkel. Amsterdam Gold is een online retailer van fysiek goud. Maar, zo voegt directeur Luc van Hecke toe: ‘Wij zijn wel een tikkeltje serieuzer dan de meeste e-commercebedrijven. Wij hebben een vergunning van de AFM en zijn onderdeel van het beursgenoteerde Value8.’Met de eisen die hieraan verbonden zijn, heeft Van Hecke geen behoefte om creditcards te accepteren. ‘Er kleven risico’s aan creditcards. Wij leveren ons product met een ouderwets contract dat onze klant nog in persoon tekent. Wij willen weten dat de klant is wie hij zegt te zijn.’
Kosten
Toch wordt Van Hecke geregeld door creditcardmaatschappijen benaderd. ‘Laatst nog kreeg ik een propositie. Die wilden onder hun ledenbestand gratis reclame maken voor ons goud als wij ze via hun kaarten zouden laten betalen. Ik was niet geïnteresseerd.’ De financiële afweging is voor Amsterdam Gold niet interessant genoeg. ‘Het enige interessante voor ons is het extra klantenbestand waar we toegang toe kunnen krijgen. Maar de kosten zijn groter.’ De kostenoverweging is belangrijk voor webwinkeliers. In het verdienmodel van e-commerceondernemers spelen begrippen als de downtime van de webshop en de abandonmentrate van hun online-klanten een belangrijke rol. Hoe meer verificatiestappen in een aankoopproces zitten, des te hoger de abandonmentrate. En dus de omzetderving.
Verificatie
En dat betekent dat de vraag naar beveiliging van e-commercewebsites een financiële is. Niet alleen vanwege de kosten voor beveiligings- en IT-consultancybedrijven, maar ook vanwege de potentiële omzetderving die extra verificatie met zich meebrengt. Van Kooten: ‘Extra verificatie is voor de meeste online retailers interessant vanwege de mogelijkheid hun aansprakelijkheid te kunnen afwentelen. Maar zodra het meer kost, deinzen bedrijven terug.’
Topje van de ijsberg
Aansprakelijkheid bij fraude kost de e-commercebranche geld. Volgens de Thuiswinkelorganisatie, de belangenvereniging van webwinkels in Nederland, bedraagt de gederfde omzet door online fraude ‘minder dan 1 procent van de totale omzet’, maar directeur Wijnand Jongen geeft toe dat de cijfers slechts ‘het topje van de ijsberg’ betreffen. ‘Geen van onze leden staat te springen om hun fraudegevallen met ons te delen.’ Bovendien heeft het melden van online fraude volgens Jongen ‘niet veel zin omdat de politie geen middelen heeft om dit probleem aan te pakken. Fraude kan iedere e-commerceondernemer overkomen. Dit probleem zal waarschijnlijk nooit verdwijnen.’
Extra code
Een voorbeeld van de kosten/batenoverweging die webwinkels maken in de beveiligingskwestie, is de extra verificatiemogelijkheid van Visa en Mastercard. Die twee creditcardmaatschappijen hebben hun verificatietechniek 3D Secure genoemd. Als een klant een online transactie met creditcard betaalt, kunnen webwinkels een extra controle van de kaart uitvoeren. Jongen: ‘De klant krijgt dan een pop-upscherm, waarin hij een extra code moet invoeren.’ Met die extra controle is de winkelier bij de meeste van zijn transacties niet langer aansprakelijk als de transactie alsnog frauduleus blijkt te zijn, zo betoogt Jongen, die erkent dat de pop-up ook klanten afschrikt. ‘De vraag is: lever ik hiermee meer omzet in dan ik aan kosten bespaar?’ Van Kooten herkent de afweging in zijn werk als security-consultant. ‘Net als de banken worstelen ook veel e-commerceondernemers met dit dilemma. En ondertussen ontstaat er nog steeds fraude. Ook de gebruiker wordt er niet beter van.’
User-ID
Van Kooten wijst op nog een gevaar voor online-retailers: het groeiende probleem van identiteitsdiefstal. Daarbij ontvreemden fraudeurs niet zozeer creditcardgegevens van nietsvermoedende consumenten, maar vooral gebruikersnamen en wachtwoorden voor webwinkels.‘Alle user-ID’s zijn interessant. Accountgegevens zijn geld waard.’
Schietschijf
Waarom? Een voorbeeld: Een fraudeur heeft toegang gekregen tot een bankrekening of creditcard, waarmee hij via een Nederlandse webwinkel een iPad koopt. Om die iPad te kopen kan hij een nieuw account op de webwinkel aanmaken, de gekraakte rekeninggegevens invullen en vervolgens direct shoppen. Maar omdat de meeste webwinkels op nieuwe klanten extra verificatiemechanieken loslaten, is het voor internetcriminelen meer interessant een bestaand account te hacken en daarvan de betalings- en adresgegevens te wijzigen. Van Kooten: ‘Bestaande accounts hebben een betrouwbaardere reputatie in de meeste betalingssystemen en zijn een interessante schietschijf voor fraudeurs.’
Katvangers
Die vorm van identiteitsfraude gaat meestal gepaard met het gebruik van katvangers. De meeste fraudeurs wonen niet in Nederland. Als de fraudeur in ons voorbeeld in Rusland of China woont, is de kans groot dat hij zijn bestellingen niet rechtstreeks naar zijn Russische of Chinese adres laat sturen, maar in plaats daarvan gebruik maakt van een zogeheten money mule – een katvanger die op een ontraceerbaar adres pakketjes ontvangt en tegen betaling doorstuurt. Dergelijke katvangers zijn zich al of niet bewust van de strafbaarheid van hun medewerking, en vormen daarmee het logistieke smeermiddel van de online fraude-industrie. Daarom is de pakketdienst een ander target. Fraudeurs die vanuit het buitenland hun bestellingen doen, willen vroeg of laat hun product in handen hebben.TNT Express stelt voor deze vorm van fraude ‘extra stringente controlemechanismen’ toe te passen. Hoeveel schade dergelijke fraude toebrengt, wil het bedrijf niet zeggen, maar volgens een woordvoerder is er ‘bewijs dat de logistieke dienstensector wordt aan gevallen door oplichters.’ Dergelijke zwendelaars ‘gebruiken gefingeerde communicatie als voertuig voor een aanval op het systeem.’ Om te voorkomen dat fraudeurs in hun opzet slagen, zegt TNT Express ‘zeer strikte controles’ uit te voeren op ‘de verschillende stadia van onze dienstverlening’. TNT Express deelt geen gegevens over de hoeveelheid frauduleuze transacties die het te verstouwen krijgt.
Dit artikel is afkomstig uit de printeditie van MT. Vraag een abonnement aan.Boetes
En daarin staat het bedrijf niet alleen. Van de zes online retailers die MT benaderde, was er geen bereid deze gegevens te delen. Om de gewenste openheid over de veiligheid van datasystemen af te dwingen is het wetsvoorstel Meldplicht Datalekken in de maak. Met die meldplicht zijn online dienstverleners verplicht om datalekken direct te openbaren zodra ze worden ontdekt. Met als gevolg een boete die kan oplopen tot 200.000 euro. Een forse sanctie, stelt Wijnand Jongen: ‘Maar tegelijk vind ik dat webwinkels verantwoordelijkheid moeten nemen. Webwinkels moeten ervoor zorgen dat hun data veilig zijn. En zich daarvoor maximaal inspannen.’
Landsgrenzen
Met die boete in aantocht, worden online retailers tot actie gedwongen. En dat is tijd ook. Ervan uitgaan dat internetcriminaliteit van tijdelijke aard is, is in ieder geval niet wijs. Dat denkt ook Van Kooten: ‘Internetcriminelen laten zich niet door landsgrenzen tegenhouden. Zolang overheden geen grensoverschrijdende bevoegdheden hebben, zullen de boeven dit kat-en-muisspel vaak winnen.’
Illustraties door Monique Wijbrands