Wat kun je doen als je PayPal gehackt is?
Huh? € 481,- aan Transavia France, € 282,- aan Bravofly, € 454,- aan Cheapoair, € 88,- aan Hotels.com en nog eens € 470,-aan RoomsXXL.de. De betalingen van mijn PayPal-rekening deden vermoeden dat ik een mooie vakantie in het verschiet had, alleen wist ik van niets. Even later bleek mijn hele PayPal gehackt, ik kon zelfs niet meer inloggen.
Frank, 52 jaar oud en werkzaam in de IT als engineer, dacht het goed voor elkaar te hebben. “Ik had alle pc’s geüpdatet naar de ‘meest veilige Windows ooit’ en gebruikte op alle belangrijke websites sterke wachtwoorden. Ik ben bovendien best kritisch als het gaat om verdachte mailtjes en mijn eigen privacy. Toen mijn bank belde dat er mogelijk frauduleuze handelingen met mijn creditcard waren uitgevoerd, was ik er dan ook van overtuigd dat mijn creditcard gescamd was. Ik was kort daarvoor in de VS geweest en daar moet je echt te pas en te onpas je kaart afgeven. De bank heeft toen de frauduleuze transacties geannuleerd en de kaart geblokkeerd voor transacties buiten Europa en via internet, dat moest genoeg zijn. Toen ik echter een paar dagen later mijn PayPal controleerde, zag ik tot mijn schrik dat er voor bijna 1800 euro vliegtickets en hotelkamers waren geboekt.”
©PXimport
Wat is PayPal?
Koop je regelmatig online, dan zijn jouw betaalgegevens al snel bij een groot aantal webshops bekend. Niet wanneer je PayPal gebruikt. PayPal is een intermediair tussen jou en de webshop. Jij betaalt PayPal en PayPal betaalt de webshop. PayPal werkt het makkelijkst wanneer je jouw bankrekening of creditcard direct aan je PayPal-account koppelt. Je kunt dan bijna onbeperkt geld uitgeven. Handig, maar ook een risico. Wil je dat niet, dan moet je voordat je met PayPal betaalt, geld op je PayPal-rekening storten. Je verliest dan de flexibiliteit van altijd kunnen shoppen. PayPal is eigendom van eBay, de grote Amerikaanse online veilingsite die ook eigenaar is van het Belgische 2dehands.be en het Nederlandse marktplaats.nl. PayPal is actief in meer dan 200 landen. Open je in Nederland een PayPal-rekening, dan ga je een juridische relatie aan met PayPal Europe. PayPal Europe beschikt over een Luxemburgse banklicentie en mag daarom ook betaaldiensten aan Nederlanders leveren.
©PXimport
Beveiliging
PayPal heeft beveiliging hoog in het vaandel staan. Het biedt zijn klanten bijvoorbeeld aankoopbescherming in geval een product niet wordt geleverd of niet voldoet aan de verwachting. Ook is het bedrijf scherp op ‘niet-geautoriseerde transacties’. Behalve dat het die zelf met een groot team securityspecialisten probeert te ontdekken, moet je als klant wanneer je merkt dat er iets misgaat dit direct bij PayPal melden. Het liefst doe je dat door in te loggen bij PayPal, maar er is ook een gratis telefoonnummer. Helaas is dat alleen van maandag tot en met vrijdag, van acht uur ’s morgens tot half vijf ’s middags bemand. Niet echt de 24uurs-economie die we inmiddels gewend zijn, en ook niet handig wanneer je in het weekend ontdekt dat je rekening geplunderd wordt.
Frank had geluk, hij kon meteen bellen. “De helpdesk is een onderzoek gestart en heeft alle transacties geblokkeerd. Ik kreeg keurig van elke betwiste betaling een mailtje met daarin de gegevens van de transactie. Het gaf me een goed gevoel, dit werd professioneel opgepakt, zo voelde het. Let wel, op dat moment dacht ik nog steeds dat mijn creditcard gescamd was … iets wat later dus niet het geval bleek te zijn.”
©PXimport
Iemand heeft mijn PayPal gekaapt
Een dag later krijgt Frank e-mail van PayPal: zijn wachtwoord is gewijzigd. Omdat hij dat niet heeft gedaan, probeert hij meteen in te loggen op zijn eigen PayPal, maar helaas. Het wachtwoord is onjuist. “En net als tot me doordringt dat iemand mij uit mijn eigen PayPal-account heeft gegooid, komt er een tweede e-mail van PayPal binnen, de bevestiging dat er een nieuw mailadres is toegevoegd aan mijn PayPal-account. Een mij volkomen onbekend e-mailadres! Iemand heeft volledige controle over mijn PayPal-account en omdat het inmiddels zaterdag is, zal ik tot maandag acht uur moeten wachten voor ik ook maar PayPal kan informeren. Voor het eerst kwam er paniek opzetten.”
“Langzaam wordt me duidelijk: dit is geen kwestie van een gescamde creditcard. Mijn pc moet haast wel gehackt zijn of minimaal mijn e-mail. Vanaf een andere computer log ik in op mijn webmail en wijzig het wachtwoord. Daar komt juist een e-mail binnen met het verzoek een hotelreservering te bevestigen. De mail is onderdeel van een flinke correspondentie van het hotel met… mij! Ik neem contact op met het hotel en meld dat iemand anders die vorige e-mails heeft gestuurd, niet ik. Inmiddels blijken zij ook al via PayPal geïnformeerd dat de betreffende boeking niet correct was.”
©PXimport
Ze hadden zelfs mijn paspoort en rijbewijs
In de mailwisseling met het hotel leest Frank dat de criminelen eerder een paspoort aan het hotel hebben gestuurd als bevestiging van de boeking. Hij neemt contact op met het in Amsterdam gevestigde boekingsbureau. En inderdaad hebben zij eerder een kopie van een paspoort en rijbewijs heeft ontvangen. Benieuwd vraagt Frank of ze de ‘eerder door hem verstrekte’ scan van ‘zijn paspoort’ willen terugsturen. Tot zijn verbazing blijkt het wel degelijk om zijn paspoort te gaan! De criminelen hebben Franks webmail doorzocht en daar staat inderdaad een bericht met deze scan als bijlage, ooit gebruikt om online een gsm-abonnement af te sluiten.
“Omdat ik vermoed dat mijn pc gehackt is of geïnfecteerd met malware, download ik een gratis antivirus en scan daarmee alle pc’s van alle gezinsleden. Sinds de overgang naar Windows 10 gebruikte ik alleen Windows Defender, maar dat was duidelijk niet genoeg. Sophos Home vindt heel veel malware, en ruimt het gelukkig allemaal op.”
PayPals helpdesk
Maandagmorgen neemt Frank contact op met PayPal om het lopende misbruik te stoppen én zijn eigen PayPal terug te krijgen. Er doet zich een nieuw probleem voor. Er bestaat geen PayPal-account meer onder zijn mailadres. En weliswaar heeft hij de gegevens van de aan ‘een account’ gekoppelde bankrekening, dat matcht niet met het door de hackers gebruikte mailadres. Er volgen zenuwslopende uren met heel veel telefoontjes met soms zeer slecht Engels sprekende PayPal-medewerkers. Volgens PayPal moet er een nieuwe rekening worden geopend en daarvoor moet Frank meerdere keren zijn paspoort en een bankafschrift opsturen. “Iets waarvan ik me juist had voorgenomen dat nooit meer per e-mail te doen. Tot mijn schrik zie ik ’s avonds meerdere grotere betalingen aan PayPal op mijn Nederlandse bankrekening. Direct de bank gebeld, die is gelukkig wel altijd bereikbaar. Samen concluderen we dat dit automatische incasso’s zijn vanuit PayPal, op mijn nog altijd aan PayPal gekoppelde bankrekening. Ik laat de bank de incasso’s ongedaan maken. Weliswaar weet ik niet hoe PayPal daarop zal reageren, maar het is na 17:00 uur, dus die zijn weer onbereikbaar.”
Een dag later heeft Frank weer toegang tot zijn (nieuwe) PayPal-account. Direct nadat hij voor de eerste keer weer is ingelogd, verwijdert hij de koppeling tussen zijn bankrekening en zijn PayPal-account. Hetzelfde laat hij doen voor het gekaapte account. “Gelukkig had ik die mail gezien die PayPal stuurde toen het mailadres werd veranderd. Anders was het nog veel lastiger geworden. Dat was echt mazzel, want de hackers verwijderen direct elke mail die ze voor je ontvangen of namens jou versturen.”
©PXimport
PayPal adviseert
We vroegen PayPal naar de adviezen die het zijn klanten geeft om de online dienst zo veilig mogelijk te gebruiken. Dit was het antwoord:
- Controleer altijd minimaal twee keer het adres van de afzender als je mail van PayPal ontvangt. Als het niet afkomstig is van een adres dat eindigt op @paypal.com, @paypal.nl of @e.paypal.nl is het vermoedelijk vals.
- PayPal gebruikt in de communicatie altijd je voor- én achternaam.
- Open nooit je PayPal-account via een link in een mail van een handelaar. Het kan vals zijn.
- Controleer de url van de website van elke handelaar. Het moet altijd beginnen met https:// om er zeker van te zijn dat het veilig is.
- Open nooit een bijlage in een mailbericht van een onbekende. PayPal stuurt nooit bijlagen met zijn berichten mee.
- Deel nooit je persoonlijke en financiële gegevens en wees waakzaam voor e-mailberichten die daarom vragen.
- Als je verkoopt, controleer altijd je PayPal-account of er wel betaald is voordat je iets aan de koper verstuurt.
- Let op ongewone aanbiedingen zoals meer betaald krijgen dan je vraagt of wanneer de koper in het buitenland woont.
Verdienmodel
Maak PayPal veiliger
Frank vermoedt dat de hackers die zijn PayPal hadden gekaapt, overal boekingen doen en die dan weer annuleren. Het geld wordt dan teruggeboekt op de PayPal-rekening en dat sluizen ze dan door naar een eigen rekening. “Het is me nog altijd niet duidelijk of alleen mijn e-mail gehackt was of dat er ook echt een keylogger ofzo op mijn pc stond. Op zich had ik best sterke wachtwoorden, maar al wel heel lang dezelfde en zoals iedereen, overal ongeveer dezelfde. Als je al langere tijd hetzelfde mailadres hebt, dan komt er ongemerkt heel veel gevoelige informatie in je mailarchief te staan. Als je dan terugzoekt, heb je altijd weleens je creditcard-gegevens verstuurd of je rijbewijs of paspoort gescand en verstuurd. Allemaal dingen die je nooit samen zou versturen … maar die staan daar wel rustig te wachten in de Verzonden Items!”
Je kunt PayPal veiliger maken door geen bankrekening of creditcard te koppelen. Je moet dan telkens geld op de PayPal-rekening zetten als je gaat betalen. Dankzij iDeal gaat dat eenvoudig, maar zo houd je dus zelf meer controle. Wil je meer gemak, dan kun je ervoor kiezen om standaard een klein vast bedrag op de PayPal-rekening te laten staan voor de kleinere impulsaankopen.
De beveiliging van PayPal is in beginsel volledig gebaseerd op het weten van een gebruikersnaam en een wachtwoord. Voor belangrijke zaken is dat gewoon niet voldoende, de Nederlandse banken gebruiken niet voor niets allemaal een extra factor, zoals een unieke code die je genereert met een losse kaartlezer of een code die via sms naar je telefoon wordt gestuurd. Ook PayPal ondersteunt tweestapsauthenticatie, maar promoot het niet echt. Wil je jouw PayPal-account veiliger maken, ga dan hiernaartoe en log in met je PayPal-account. Hier kun je een telefoonnummer registreren, waar voortaan elke keer wanneer je met PayPal afrekent een code van zes cijfers naartoe wordt gestuurd. Die is nodig om met PayPal te kunnen betalen. De hacker moet dan dus ook jouw telefoon hebben om jouw PayPal-account te kunnen misbruiken.
©PXimport
Leerschool
Het duurt nog drie weken, maar uiteindelijk corrigeert PayPal alle frauduleuze handelingen en wordt ook het tegoed dat nog op zijn oorspronkelijke PayPal-account stond, overgeboekt naar zijn nieuwe. “Dit kan iedereen overkomen. Het is voor mij een goede leerschool geweest. Vanaf nu gebruik ik overal unieke sterke wachtwoorden en waar mogelijk tweestapsauthenticatie. En diensten die dat niet ondersteunen of om een andere reden niet veilig genoeg zijn, die verliezen mij gewoon als klant.”
Reactie PayPal
Hoewel PayPal vermoedelijk niet de bron was van deze hack, speelt het bedrijf hier wel een prominente rol. We vroegen PayPal daarom om een reactie. “We vragen iedereen die frauduleuze handelingen vermoed om spoof@paypal.com te informeren, we beginnen dan meteen een onderzoek. Gebruikers kunnen hun fraude-rapport ook telefonisch doorgeven aan onze klantenservice op 0800-2659293 of online via het PayPal Resolution Center. PayPal adviseert haar klanten altijd erg sterke wachtwoorden te gebruiken om hun account te beveiligen. Gebruikers kunnen bovendien tweefactor-authenticatie activeren voor extra beveiliging. PayPal heeft een apart team van beveiligingsspecialisten die 24 uur per dag alle PayPal-transacties monitoren en hun prioriteit is de PayPal-gebruikers tegen fraude te beschermen.”
