Het SEPA-systeem voor Europese domiciliëringen heeft enkele stevige beveiligingslacunes, die misbruikt kunnen worden om bij bepaalde webwinkels producten te bestellen op rekening van iemand anders. Dat meldt securityconsultant Approach. Het bedrijf slaagde erin om met een IBAN-nummer en een valse naam online producten te bestellen en geleverd te krijgen.

"We hebben de lacune een beetje per ongeluk ontdekt", zegt Pierre Alexis, cyber security consultant bij Approach, aan Data News. "Ik wilde iets kopen op de Duitse Amazon-site, en mijn kredietkaart werkte niet, dus zocht ik een andere manier. Via een Europese domiciliëring kon dat snel, zonder verder te moeten verifiëren, een geheime code in te geven of andere securitystappen. Dat vonden we toch wat vreemd."

Approach maakte voor zijn daaropvolgende onderzoek enkele valse accounts aan op Amazon.de, de Duitse versie van de e-commerce site. Vervolgens vulden ze een winkelwagentje met tot 200 euro aan producten, en bij het betalen gaven ze een IBAN-rekeningnummer van een collega, met een valse naam die niet aan de rekening gelinkt is.

Het bedrag ging zonder veel problemen, en zonder extra controles, automatisch van de rekening, en de goederen werden netjes geleverd. In dit geval op het kantoor van het bedrijf, maar Approach merkt op dat je je aankopen ook in een Amazon-locker kunt laten leveren. Daardoor is er helemaal geen manier meer om uit te vissen wie de bestelling heeft geplaatst.

Europese domiciliëring

De kwetsbaarheid lijkt hem te zitten in het systeem van SEPA Direct Debit (SDD), beter bekend als de Europese domiciliëring. Die SDD bestaat in ons land sinds 2014 (het werd eerst geïntroduceerd in 2009) en laat bedrijven toe om geld direct van een bankrekening te halen, als de klant daar toestemming voor heeft gegeven. Het is in die zin een vervolg op het oude principe van de domiciliëring. Het systeem wordt meestal gebruikt voor bijvoorbeeld huur of telecomrekeningen, maar je kan het ook inzetten voor je aankopen in een webwinkel. De klant kan zo doorheen de maand aankopen doen, geld wordt automatisch van zijn rekening gehaald, en op het einde van de maand krijgt hij de afrekening in zijn bankafschriften.

Belangrijk daarbij is die toestemming, in banktermen 'een mandaat'. Voor de invoering van SEPA moest je als klant je bank contacteren om toestemming te geven voor een domiciliëring. Sinds 1 februari 2014 worden domiciliëringsmandaten echter beheerd door de schuldeiser, in dit geval de webwinkel. Volgens de regels van SEPA is een mandaat een papieren of elektronisch document met de nodige gegevens, dat getekend moet worden door de klant. Eens het mandaat is verkregen, kan de winkel meteen geld van de rekening van de klant halen. Het is een van de redenen waarom elke nutsmaatschappij je bij je maandelijkse rekening een link geeft om een domiciliëring aan te zetten, als je die nog niet hebt.

In het geval van zijn test, zo schrijft Approach, had Amazon.de echter geen formele mandaten om klanten te debiteren. Er werd nergens toestemming gevraagd. En dat werd ook nergens nagekeken. Banken moeten geen mandaten meer beheren, en lijken ervan uit te gaan dat ze bestaan. Er wordt dus niet meer extra nagegaan of een mandaat bestaat. Alleen bij een dispuut zal de bank aan de winkel vragen om een mandaat te zien, zo meldt het rapport. Opvallend detail is echter dat er in het SEPA-systeem geen echte waakhond is aangeduid.

Wie is er verantwoordelijk?

"Naar onze mening zouden banken niet blindelings mogen vertrouwen op de bedrijven en retailers die domiciliëring implementeren", besluit Pierre Alexis. "Ze zouden het bedrijf moeten verplichten om die authenticatie beter te controleren en er zeker van te zijn dat ze de juiste mandaten hebben. Nu kunnen ze zeggen dat het hen niet aangaat hoe die SEPA-mandaten verkregen werden. Dat zou niet mogen."

Banken zouden retailers die domiciliëring implementeren niet blindelings mogen vertrouwen

Online betalingssystemen zijn echter een kluwen van verschillende organisaties. Tussen de klant en de winkelier zitten banken, maar ook kredietkaartmaatschappijen en vaak derde partijen zoals Ingenico, die de software aanbieden waarmee veilig over het internet kan worden betaald.

Banken zijn hier niet officieel verantwoordelijk, maar hoe zit het dan met die derde partijen? "De eindverantwoordelijkheid blijft wel bij retailer", vertelt Wilfried De Reymaeker, business tribe lead Payments bij Ingenico ePayments. "Maar wat wij als betaalsysteem wel aanbieden, is een oplossing waarin een elektronische handtekening zit vervat. In de initiële regels van SEPA werd enkel de papieren handtekening gedefinieerd, waardoor het voor online afzetkanalen heel erg moeilijk werd om daar gebruik van te maken. Nu worden ook elektronische handtekeningen aanvaard, en dat is een van de voornaamste diensten die wij extra aanbieden. Wij gaan enkele controles doen op de IBAN die wordt doorgestuurd, en we gaan ook een elektronische handtekening vragen aan de klant."

Wat betekent dit voor mij?

Op dit moment heeft de kwetsbaarheid voor Belgen weinig invloed, tenzij ze vaak in het buitenland bestellen. SDD voor e-commerce is vooral populair in Duitsland. Amazon.de, maar ook andere sites als Zalando.de, maken gebruik van het systeem, terwijl het in ons land, in Nederland en Frankrijk veel minder populair is. Bij een kleine steekproef bij enkele grote webwinkels die in ons land worden gebruikt, zagen we het systeem amper bij de betalingsopties staan.

We stuiten hier dan blijkbaar ook op een cultuurverschil, waardoor Belgische klanten sneller door het systeem geschokt zijn, dan bijvoorbeeld Duitsers. "In België is SEPA een opvolger van de domiciliëring, die vrij streng gereglementeerd was", legt De Reymaeker uit. "In Nederland en Duitsland volstond het in het verleden om iemand zijn rekening te hebben om te debiteren. Dat is daar gewoonte en het verklaart ook voor een stuk waarom men in Duitsland sneller zal debiteren zonder eerst een mandaat op te stellen. Ze hebben daar een heel systeem opgesteld om te kunnen opvolgen wanneer transactie werd teruggedraaid." Al is dat mandaat natuurlijk wel de regel.

Don't panic?

Wat kan je doen als je eigen rekeningnummer misbruikt wordt via dit systeem? Bij zijn invoering moest SEPA een grote hoeveelheid verschillende domiciliëringssystemen combineren, en naast het mandaat werden ook een reeks beschermingsmaatregelen voor consumenten voorzien. Zo heb je als klant onder SEPA het recht op terugbetaling. Je mag je geld dus terugvragen, tot acht weken nadat het van je rekening werd gehaald. Op voorwaarde, natuurlijk, dat je die betalingen gezien hebt op je afschrift. Als er sprake is van fraude, en de winkelier dus geen geldig mandaat kan voorleggen, heb je zelfs dertien maanden om je geld terug te vragen. Het is daarnaast mogelijk om Europese domiciliëringen te blokkeren."Elke bank moet vier blocks ter beschikking stellen aan de klant", zegt Isabelle Marchand, woordvoerster bij Febelfin. "Je kan bedrijven of organisaties blacklisten, waarbij je aan je bank gaat vragen om bepaalde schuldeisers helemaal geen toegang te geven. Daarnaast is er een systeem van whitelisting waarbij je specifieke bedrijven, zoals bijvoorbeeld nutsbedrijven toegang geven. Een andere block is dat je als klant domiciliëring tot een bepaald bedrag toelaat, en tot slot kan je ook periodieke blocks opzetten, zodat je domiciliëringen bijvoorbeeld driemaandelijks krijgt in plaats van maandelijks."

Je mag als klant je geld altijd terugvragen, op voorwaarde natuurlijk dat je de betalingen hebt opgemerkt op je afschrift

Approach schrijft in zijn rapport dan ook dat het grootste risico ligt bij de handelaars. Als zij niet al hun klanten stevig controleren om zeker te zijn van een mandaat, dan kan het zijn dat ze een hoop geld moeten terugstorten wanneer daar misbruik van wordt gemaakt."Amazon biedt SDD al bijna twintig jaar aan als een betalingsmethode in Duitsland", meldt Amazon in een mededeling aan Data News. "Amazon heeft de beste securitymechanismen geimplementeerd om zeker te zijn dat betalingen veilig zijn op Amazon.de."

Voorlopig lijkt het erop dat webwinkels hier uitgaan van een berekend risico. "Deze kwetsbaarheid is niet nieuw", schrijft Approach in zijn rapport. SDD bestaat al enkele jaren, en ook het systeem om er misbruik van te maken is al een tijdje bekend. Dat er weinig aan gebeurt, is mogelijk een teken dat een extra controle duurder is dan wat er nu met fraude verloren wordt.