Tech

Van Zalando tot Bol.com: duizenden gehackte webshopaccounts doorverkocht

Daniël Verlaan • 20 juli 2018 15:54 @danielverlaan

Een bezorger brengt bestelde pakketjes rond (archiefbeeld). Beeld © Getty

Duizenden gekraakte accounts van onder andere Bol.com, Wehkamp en Zalando worden door hackers te koop aangeboden. Criminelen bestellen met deze accounts dure spullen, waarna de rekening bij het slachtoffer op de deurmat valt.

De accounts worden meestal voor een euro per stuk verkocht, blijkt uit onderzoek van RTL Nieuws. Toegang tot het bijbehorende e-mailadres kost een euro extra. Na betaling via bitcoin worden de gehackte accounts in een tekstbestandje naar de koper opgestuurd, netjes op webshop gesorteerd.

Volgens de politie gaat het jaarlijks om vele honderden slachtoffers. Wehkamp stelt zelfs dagelijks met deze vorm van fraude te maken te hebben. Criminelen laten de pakketjes meestal bij afleverpunten bezorgen, waarna katvangers ze in ontvangst nemen. De gadgets worden vervolgens doorverkocht via Marktplaats of pandjeshuizen.

Dure spullen kopen met gehackte accounts

Twee iPhones

Het lukte RTL Nieuws om met de gehackte accounts dure spullen te bestellen, zoals iPhones, draadloze koptelefoons en merkkleding, op naam en rekening van het slachtoffer. De spullen werden binnen een dag geleverd bij alternatieve adressen of afleverpunten, waar je zonder het tonen van een identiteitsbewijs het pakket kan ophalen.

Alleen bij Wehkamp gingen de alarmbellen rinkelen: bij twee van de drie bestellingen werd de persoon achter het gehackte account door de fraudedesk gebeld om te controleren of zij daadwerkelijk een iPhone hadden besteld. Uiteindelijk werd één bestelling door Wehkamp tegengehouden. Bij de andere webshops, Zalando en Bol.com, werd er geen één bestelling onderzocht of onderschept.

Een deel van de ontvangen bestelde producten. Beeld © RTL

Ook lieten we een pizza bezorgen op de redactie, betaald met gespaarde 'pizzapunten' van iemands New York Pizza-account. Deze gehackte accounts worden erg vaak verkocht, vertelt één van de verkopers tegen RTL Nieuws. Een woordvoerder van New York Pizza laat weten dat er inmiddels een 'grootschalig politieonderzoek' loopt naar deze pizzapuntenfraude.

Laat in de avond

Omdat je bij veel webshops achteraf kunt betalen, valt de rekening uiteindelijk bij het slachtoffer op de deurmat. De Amsterdamse Brechtje kan daarover meepraten. Haar Wehkamp-account werd gehackt en criminelen bestelden op een zondagavond rond 22.00 uur voor 1000 euro aan spullen: een dure jas, PlayStation 4 en enkele dure parfums, die bij een afhaalpunt in Arnhem moesten worden geleverd.

Omdat Brechtje 's avonds nog de bevestigingse-mails opmerkte, lukte het haar om alle bestellingen net voor verzending te annuleren. De hackers die inloggegevens verkopen, geven dan ook de tip dat je net voor middernacht een bestelling moet plaatsen: zo worden e-mails hoogstwaarschijnlijk niet opgemerkt. Als criminelen ook toegang tot het e-mailaccount kopen, kunnen ze handmatig deze e-mail verwijderen.

Bij de DHL-locker kun je zonder jezelf te identificeren pakketjes ophalen. Beeld © DHL

Datalekken

De hackers maken misbruik van grote datalekken, zoals die van LinkedIn en Yahoo, om achter e-mailadressen en wachtwoorden te komen. Deze gegevens worden geautomatiseerd via een programma bij de webshops ingevoerd. Zodra het wachtwoord werkt, wordt het account opgeslagen en doorverkocht.

Het verkopen van specifiek Nederlandse webshopaccounts lijkt een nieuw fenomeen, vertelt beveiligingsonderzoeker Rickey Gevers. "Ik ben de bundels die op de Nederlandse markt gericht en uitvoerig gecontroleerd zijn nog niet eerder tegengekomen." Hij kent de wereld van hackers en vertelt dat daar voornamelijk gestolen databases met wachtwoorden worden verkocht.

Naast Bol.com, Wehkamp, Zalando en New York Pizza bieden de hackers ook de inloggegevens van klanten van onder andere MediaMarkt, Ziggo Sport en Marktplaats aan.

Politie

Bol.com, Wehkamp en Zalando zeggen in een reactie alle bestellingen te monitoren en verdachte transacties te onderzoeken. "Daar zijn we goed op getraind en we hebben een speciaal team dat zich hiermee bezighoudt", aldus een woordvoerder van Wehkamp. "Daarnaast werken we heel goed samen met politie en justitie."

In Nederland zijn al verschillende mensen opgepakt vanwege deze criminele activiteiten, stelt de politie. Recentelijk werd een 25-jarige man uit Den Bosch opgepakt omdat hij op webshopaccounts inbrak en daar dure gadgets bestelde. "Door geldstromen en adresgegevens te analyseren proberen we deze oplichters te pakken", aldus de politie.

Tips

Zowel de politie als beveiligingsonderzoeker Gevers raden aan om niet dezelfde wachtwoorden voor verschillende websites te gebruiken. Om verschillende wachtwoorden te onthouden kun je ze opschrijven in een boekje op bewaren in een digitale kluis, ook wel een password manager genoemd. Goede opties daarvoor zijn 1Password, LastPass en KeePass. Deze password manager bescherm je dan met een goed wachtwoord.

Zo krijg je een sterk wachtwoord:
Een sterk wachtwoord bestaat bijvoorbeeld uit vijf willekeurige woorden, die je samen gemakkelijk kunt onthouden. Denk bijvoorbeeld aan een panda die een biertje op een eiland drinkt, om vervolgens Doom3 te spelen op zijn Gameboy. Je krijgt dan het wachtwoord pandabiereilandDoom3Gameboy, dat een sterk wachtwoord is en je ook gemakkelijk onthoudt.

Met de website Have I Been Pwnd houd je bij welke websites zijn gehackt en of je wachtwoord daar mogelijk is buitgemaakt. Zodra je een melding krijgt van een gehackte website is het belangrijk om daar je wachtwoord aan te passen. Gebruik je hetzelfde wachtwoord bij meer sites? Dan moet je hem ook daar veranderen.

Mocht er op jouw webshopaccount plotseling spullen worden gekocht, bel de winkel dan direct op om de bestellingen te annuleren. Ook is het belangrijk om je wachtwoord aan te passen en te kijken of je hetzelfde wachtwoord voor nog meer online diensten gebruikt.

Over dit artikel: Alle bestellingen zijn met toestemming van de eigenaren van de gehackte accounts geplaatst.

Bron • RTL Nieuws / Daniël Verlaan