Betalen op het internet: de valkuilen

Hoe veilig is betalen op het internet? Sinds kort kan je zelfs online met Bancontact/MisterCash betalen: is dat wel een veilige zaak? Trends gaat na wat er kan mislopen, welke methoden de fraudeurs toepassen én hoe u zich kunt beschermen.

Het is het verhaal van de kip of het ei. Internetwinkels hebben een veilig betaalsysteem nodig om goed te verkopen, maar ze investeren pas in nieuwe betaaltechnologie als er voldoende vraag naar onlineshopping is. Vier Belgische banken hebben zopas de handen in elkaar geslagen om samen met één betaalknop naar buiten te komen op het internet. Een muisklik op het logo volstaat. Een vernuftig staaltje betaaltechnologie, al bestaat het ook al in Nederland. Het uitgangspunt: de consument hoeft bij de afrekening van zijn virtueel winkelkarretje niet te twijfelen tussen de talrijke betaalknopjes van banken, kredietkaarten of andere betaaloplossingen. Hij kan gewoon voor het vertrouwde logo van Bancontact/MisterCash kiezen. Ook de internetwinkel heeft er baat bij: hij moet niet met elke bank apart een deal sluiten, hij heeft genoeg aan een contract met Banksys, de eigenaar van Bancontact/MisterCash.

Voorlopig doen alleen de banken Dexia, Fortis, ING en VDK Spaarbank mee met het internetinitiatief van Bancontact/MisterCash. Wellicht sluiten er zich nog meer banken aan. Meteen is duidelijk dat de banken een grote vinger in de pap hebben in de internethandel. De meeste onlineaankopen gebeuren met kredietkaarten (73 %) of via internetbankieren. Wanneer een internetbetaling fout loopt of wanneer er fraude opduikt, draait de bank op voor de kosten. Vandaar dat de banken er alle belang bij hebben dat de betaling efficiënt en vooral veilig verloopt.

Het Brusselse bedrijf Ogone ontwikkelde de technologie achter de betaalknop van Bancontact/MisterCash. Volgens Peter De Caluwe, international sales director van Ogone, is de betaalmethode 100 % veilig: “Daar durf ik mijn handen voor in het vuur te steken. De betaaltechnologie evolueert mee met de opmars van e-commerce. Uiteraard blijven ook de fraudeurs niet bij de pakken zitten. Zij kiezen een andere sector uit. In plaats van webwinkels te pluimen, richten ze zich nu meer op de consument zelf, onder meer op veilingsites of in de ruilhandel. Of ze bieden zogezegd iets te koop aan op een website en vragen een voorschot, maar de consument krijgt zijn bestelling nooit te zien.”

Fraude verandert

Wie iets online koopt, haalt zeven van de tien keer zijn kredietkaart boven. “Op dat vlak daalde de fraude de voorbije vijf jaar met zo’n 30 %,” meldt Ante Rimac, woordvoerder van Bank Card Company (BCC), de onderneming achter de kredietkaarten Visa en MasterCard. In 2001 registreerde BCC bijna 7000 fraudegevallen, in 2005 nog 5000. “De ommekeer kwam er nadat de kredietkaarten werden uitgerust met een chip. De geheime code staat nu op de chip. Dat is veel minder evident om te kopiëren dan wanneer de geheime code zich op de magnetische strook bevindt.”

Ook BeCommerce, het platform voor internethandel in België, is ervan overtuigd dat het onlinebetalen de jongste tijd veiliger is, maar concrete cijfers heeft het niet. BeCommerce houdt wel cijfers over de evolutie van e-winkelen bij. In 2005 verdubbelden de onlineaankopen tot een bedrag van 1,2 miljard euro. Daarvan vloeide 340 miljoen euro naar Belgische internetsites. Voor de eerste helft van 2006 noteerde BeCommerce al een toename van 60 %.

Meer internethandel betekent ook meer kans op fraude. Eind juli schreef De Tijd dat Banksys in de eerste helft van dit jaar 40 % meer betaalkaarten blokkeerde “om veiligheidsredenen”. Inbraken op websites zouden dit jaar al 65.000 betaalkaarten hebben getroffen. Ook het aantal klachten over internetwinkelen neemt toe. In 2005 klom het aantal klachten in Europa met 50 %, melden de Europese Centra voor de Consument (ECC).

Hackers uit oost en west

Fraudeurs zijn er in alle maten en gewichten. Het zwaarste geschut komt uit Azië, het Midden-Oosten en Centraal-Europa. Goed georganiseerde hackers zoeken naar foutjes in computersystemen – van ondernemingen, internetwinkels of financiële instellingen. Eenmaal prijs, dreigen ze ermee het hele computernetwerk lam te leggen. Een typisch voorbeeld is het onlinecasino. Hackers kraken de website en persen het casino vervolgens af. Krijgen ze geen geld, dan blokkeren ze de website.

Telefoonkosten doorsluizen en illegale downloads verspreiden, zijn geliefde snufjes van hackers. Voor dat laatste dringen ze via het internet door tot een computerserver, die ze gebruiken om muziek of kinderporno te verspreiden. Kosteloos voor de fraudeurs, maar een ramp voor het imago van een bedrijf wanneer zoiets gebeurt. Nog een nieuwtje in hackerland is cyberspionage. Steeds meer bedrijven huren hackers in om hun concurrenten te bespioneren. Ook een Vlaamse kmo of een kleine internetwinkel kan daarvan het slachtoffer zijn. Aan de basis van elk bedrijf ligt vast wel een goed idee dat iemand anders kan interesseren.

Erwin Geirnaert, computerexpert van Zion Security: “Naast de georganiseerde misdaad heb je ook gewoon mensen die zich amuseren op het internet. Slagen ze erin een website te kraken, dan geeft dat een kick. Zo werd onlangs op één dag ingebroken bij honderden Belgische websites. Onder meer de sites van de Brusselse discotheek Fuse, de Vlaamse Wielerbond en van een politicus waren erbij. De homepage van de internetsites was vervangen door een tekening. Voor de lol.”

Nu veel mensen thuis een breedbandverbinding hebben, hebben ze ook eenvoudig toegang tot het internet. Informatie over fraude ligt voorhanden. “Je hoeft maar een paar sleutelwoorden op Google in te tikken en je komt te weten hoe je een site kan doorbreken. Je vindt als het ware de handleidingen op het net. Vooral via internetforums kan je veel informatie inwinnen,” zegt Geirnaert.

Online kopen

Wie vandaag iets koopt op het world wide web, krijgt verschillende betaalmogelijkheden voorgeschoteld. Contant bij de levering, met een overschrijving, via internetbankieren of met een betaalkaart. Ook in België zijn kredietkaarten het populairst. Bij ons spant Visa de kroon. De kredietkaarten Visa en MasterCard ontwikkelden beide een technologie die een betaling op het internet betrouwbaarder maakt: Verified by Visa en MasterCard SecureCode. Aanvankelijk moedigden Visa en MasterCard die betaalmethodes alleen maar aan, maar ondertussen zijn ze verplicht voor wie zijn klanten laat betalen met een kredietkaart.

Bank Card Company volgt de transacties met Belgische kredietkaarten op de voet. De organisatie doet hiervoor een beroep op Banksys, dat met Hartbeat alle elektronische betalingen in België in de gaten houdt. Betaal je met je kredietkaart in Mechelen en een paar uur later in Barcelona, dan gaat er een knipperlicht aan. Dat is het signaal voor BCC dat ze moeten nagaan of dit wel kan. Ante Rimac: “Hartbeat is een sterke computer die de coherentie van de transacties onderzoekt. Krijgen wij een alarm, dan gaan wij eerst na hoe ernstig het is. Vrezen we fraude, dan nemen we contact op met de kaarthouder. Als we denken dat het al te laat is, blokkeren we onmiddellijk de kaart.”

Enkele banken kozen er ook voor om hun klanten te laten betalen op het internet met een Digipass – een soort rekenmachientje dat willekeurig een nummer aangeeft wanneer je online wil betalen. Op die manier moet je het nummer van je kredietkaart niet vrijgeven, wat veiliger zou zijn. Citibank en Europabank bedachten alternatieven. De klanten van Citibank kunnen een sofwareprogramma op hun pc zetten, waarmee voor iedere onlinebetaling een ander kredietkaartnummer wordt berekend. Ook Europabank kwam onlangs met een virtuele kredietkaart op de proppen – naar eigen zeggen uniek in de bankwereld. De virtuele kaart is een kredietkaartnummer en de cijfercombinatie verandert bij iedere betaling. Rimac is niet wild enthousiast: “Met een cijfercombinatie alleen kan je niet overal terecht. Bijvoorbeeld wanneer je een ticket voor een concert bestelt. Bij de ingang van de concertzaal wordt meestal de kredietkaart gevraagd, om te zien of de bestelling klopt. Dat kan hier dus niet. Een virtuele kredietkaart is dus niet zo comfortabel.”

Kredietkaartnummers stelen

Spitsvondige betaaltechnologie maakt het steeds moeilijker om bankkaarten te kopiëren via het internet. Wel zijn er nog lacunes in het bewaren van kredietkaartnummers. Webwinkels houden de gegevens van hun klanten graag bij. Vaak zijn die gegevens niet genoeg beveiligd. Hackers kunnen ze via het internet bemachtigen en zo kredietkaartnummers en hun eigenaars traceren. Voldoende om kredietkaarten te kopiëren of om iets aan te kopen op het internet. “Databasediefstal is nu in trek. Niet alleen van internetwinkels, maar ook van tussenpersonen. Betaalorganisaties of andere leveranciers die een rol spelen in de handel op het internet,” vertelt Ante Rimac.

Databankdiefstal is georganiseerde misdaad en komt vooral uit Centraal-Europa en Azië. In 2005 moest BCC 16.000 Belgische kredietkaarten vervangen omdat hackers de gegevens van de betaalkaarten hadden ingekeken. De hackers hadden via het internet het computersysteem van de Amerikaanse onderneming CardSystem Solutions gekraakt, die be-talingen verwerkt van Visa en MasterCard. Zo hadden ze kaartnummers, namen en vervaldata van kredietkaarten bemachtigd. Hier zaten ook Belgische kredietkaarten tussen. Hun eigenaars waren op reis geweest in de Verenigde Staten of hadden iets aangekocht op het internet.

De grootschalige fraude bij CardSystem Solutions kwam aan het licht, maar meestal steken grote ondernemingen die met webfraude worden geconfronteerd, de zaak in de doofpot. Om geen gezichtverlies te lijden of omdat ze de politie liever niet over de vloer krijgen. Ook kmo’s houden zich meestal koest. Bij een aangifte gebeurt het immers vaak dat de politie de computerserver meeneemt als bewijsmateriaal. Zo zijn meteen ook alle klantengegevens verdwenen…

“De Belgische wetgeving is in die zin te laks,” vindt Geirnaert. “In Californië is een bedrijf verplicht om al zijn klanten aan te spreken zodra er een vermoeden is van internetfraude. Zo moest de kledinggroep Ralph Lauren onlangs nog 300.000 klanten verwittigen.” Geirnaert verwijst naar een recent onderzoek waaruit bleek dat 98 % van de top 200 web-sites in België niet voldoet aan de privacywetgeving. “Er is een opmerkelijk gebrek aan controle.”

Internetwinkels beschermen

Naast het inbrengen van computervirussen, het inbreken in computernetwerken en het stelen van gegevens via het internet, mikken hackers nu ook op mobiele telefoons, zakcomputers of draadloos internet. “Veiligheid blijft uiterst belangrijk voor elk bedrijf. België onderschat het probleem nog altijd en besteedt er te weinig aandacht aan. Er bestaat zelfs geen opleiding voor computerveiligheidsexpert.” Geirnaert: “Er is natuurlijk geen 100 % beveiliging tegen cyberfraude. Je kan het best vergelijken met een bankbediende aan een loket. Die zit wel achter glas, maar dat sluit niet uit dat een boevenbende binnenkomt met een bulldozer de kluis probeert te breken.”

Hoe kan een internetwinkel zich het best hoeden tegen misbruik? Het is een kwestie van voortdurend opvolgen, testen en controleren. Geirnaert: “Natuurlijk moet je vanaf het begin een veilig plaatje schetsen. Dat start met een deftig softwarepakket. En je sluit je best ook niet bij om het even welke hosting server (centrale computer) aan. Er zijn Amerikaanse servers waar je als webwinkel terecht kan voor minder dan 30 dollar per maand. Maar die servers staan in de VS en omhelzen nog andere bedrijven. Misschien zit daar wel een Amerikaanse concurrent in.”

Wanneer bedrijfsleiders of internethandelaars aankloppen bij Zion Security, het bedrijf van Geirnaert, hebben ze meestal al een vermoeden dat er iets mis is met hun IT. “Ik voer dan meteen een test uit, op zoek naar de gebreken in hun computersysteem. Ik ga hierbij als een hacker te werk: zonder enige voorkennis probeer ik een foutje te ontdekken en zo het systeem binnen te treden,” vertelt Geirnaert. Op basis daarvan kan hij aantonen waar moet worden ingegrepen. “Ondernemingen, vooral kmo’s, zijn er zich niet van bewust dat extra beveiliging van hun computernetwerk weinig investeringen vraagt. Het grootste bedrag dat een klant me al heeft betaald was 10.000 euro,” zegt Geirnaert.

Cash betalen op het net

Binnenkort kan je ook contant betalen op het internet dankzij het Britse UKash. Het bedrijf probeert nu voet aan wal te krijgen in de Benelux en is ervan overtuigd dat het nog tegen eind 2006 daarin zal slagen. De aanpak van UKash is eenvoudig: je schaft je een waardebon aan bij je dagbladhandelaar, je supermarkt of in een benzinestation. Daarmee kan je online kopen. Op de waardebon staat een code die je bij de betaling moet gebruiken. Een kanttekening hierbij is dat je alleen terecht kan bij de internetwinkels die UKash aanvaarden. Voorlopig doet nog geen enkele Belgische webwinkel mee met het initiatief.

Saar Sinnaeve