Bol.com trapte in phishingmail en maakte 750.000 euro over naar oplichters

Bol.com heeft 750.000 euro overgemaakt naar oplichters nadat het bedrijf in een phishingmail was getrapt, las ik bij Tweakers. De rechtbank Midden-Nederland oordeelde recent dat men argwanender had moeten zijn. Weliswaar klopte het afzendermailadres (door een computerhack) en leken ook layout en namen correct, maar het taalgebruik was van het niveau Google Translate halfbakken Engels en dat is voor twee jarenlang samenwerkende Nederlandse bedrijven bepaald gek.

Op 25 november 2019 werd een e-mail aan ‘supplierfinance@bol.com’ gestuurd met onder meer de volgende inhoud: ‘Bijgevoegd vindt u onze nieuwe betalingsroute zoals opgedragen door het management, doe het nodige voor de volgende betaling. Alvast bedankt!’. Afzender: meneer [A], wiens mailbox was gehackt “via de cloud”. Het vonnis bevat een printscreen van de gehele mail. De strekking: een verzoek om betalingen voortaan niet meer over te maken aan de bij Bol.com bekende bankrekening van Brabantia Netherlands maar aan een Spaanse bankrekening die ten name van ‘Brabantia International B.V.’ zou staan.

De oplichter bleek hardnekkig want de navolgende dagen werd een keurige reminder gestuurd (“Kunt u bevestigen dat uw crediteurenadministratie is bijgewerkt als bijgevoegd.“) Uiteindelijk werd daarop gereageerd, maar die mail bleef buiten het zicht van de gehackte Brabantia-medewerker. Daarna dacht Bol.com alles geregeld te hebben en werden de verkoopopbrengsten keurig overgemaakt naar het nieuwe nummer. Na zo’n 750.000 euro niet te hebben gekregen, trok het Brabantse bedrijf aan de bol, sorry bel, en kwam de fraude uit.

Wie draait daar voor op? Het begon dus bij een overgenomen mailbox van een medewerker van Brabantia, en ook kon men bij het briefpapier-template van Brabantia, zodat het op zich echt doen lijken van de berichten mogelijk was. De inhoud van de mails gaf echter te denken:

Om te beginnen bevat deze merkwaardige fouten als ‘Houd he [?] rekening mee’ en de frase ‘een wijziging in onze bankrekeninggegevens hebben voor incaende [?] betalingen’, waarbij ‘incaende’ meer dan een gewone typefout lijkt. Bovenal roept de frase ‘moten all incoming betalingen have been overgemaakt’ onmiddellijk grote vraagtekens op, zelfs als een zekere mate van gebrekkig taalgebruik of een overmatig gebruik van het Engels voor lief wordt genomen.
Bol.com moest begrijpen dat dergelijke frases praktisch niet van directeuren van Brabantia Netherlands afkomstig kunnen zijn of door hen kunnen zijn goedgekeurd. Dat met de daarop volgende Engelstalige passage ‘niets mis is’, zoals Bol.com benadrukt, doet hier niet aan af, nog afgezien van het feit dat het gebruik van de Engelse taal in deze context op zich zelf al tot twijfel had moeten leiden.

Vanwege al deze omstandigheden is de conclusie voor de rechter helder: Bol.com had beter op moeten letten, en zij heeft dus wanprestatie gepleegd jegens Brabantia door die 750k niet te betalen op de rekening waar die hoorde te komen.

Het enige vind ik steekhoudende tegenargument is dat Bol.com dus had gereageerd naar Brabantia (het gehackte mailadres) en dat men daar het niet opgepakt had. Dat kwam omdat de crimineel mails met als afzender Bol.com in het mapje “RSS Feeds” (zo’n standaardmap van Outlook die niemand wil) had laten komen en automatisch als gelezen gemarkeerd. Zo kon die keurig reageren maar zou de medewerker die waarschijnlijk niet zien. Je zou dan zeggen: die berichten zijn bij Brabantia aangekomen, het niet checken van dat mapje is voor rekening van dat bedrijf dus die hadden het moeten zien. Alleen:

Bij de vraag of Bol.com te goeder trouw was bij de betalingen, is bepalend of zij had moeten twijfelen (zie hiervoor in 3.11). Hiervoor heeft de rechtbank vastgesteld dat Bol.com door de brief van 25 november 2019 ernstig moest twijfelen. Die ernstige twijfel wordt naar het oordeel van de rechtbank niet weggenomen doordat Brabantia Netherlands de bevestiging van Bol.com onbeantwoord heeft gelaten.
Bol.com had al moeten twijfelen vóórdat ze een reply stuurde, laat staan voordat ze het rekeningnummer aanpaste. En dan kun je dus niet zeggen “jullie hebben nooit gereageerd op ons bericht dat we het nummer aangepast hebben”. Ook het sturen van betalingsaankondigingen hielp haar niet, als leverancier hoef je daar niet naar te kijken en al helemaal niet te denken, wat raar dat ze vier weken na de aankondiging nog niet betaald hebben.

Ook een argument van Bol.com was dat Brabantia haar mailboxen beter had moeten beveiligen, bijvoorbeeld met tweefactorauthenticatie. Dan was de inbraak waarschijnlijk niet gelukt, en had dit alles voorkomen kunnen worden. Een terechte klacht, en dit had ook zeker de doorslag gegeven als de mail perfect Nederlands was geweest en een Nederlands IBAN was gebruikt. Maar dat was dus niet zo, en precies  daarom had Bol.com argwanender moeten zijn. Als de afzender klopt maar de inhoud bizar is, dan is er iets mis. En dan ligt de bal écht bij jou als ontvanger.

Arnoud

Mijn pakket raakte kwijt bij het Albert Heijn verzendpunt, wat nu?

Interessante discussie bij Tweakers:

Lang verhaal in oktober 2017 wat besteld bij bol.com, week later geretourneerd via de AH daarvoor gekozen tijdens het retourproces. Daar een ontvangstbewijs van gekregen. Poos daarna herinnering ontvangen niet betaald, bewijs doorgestuurd niets meer gehoord. Toen opeens in januari van accountor een incassobureau een mail/brief gehad met een vordering.

Het pakket bleek vervolgens kwijtgeraakt ergens na die inleveractie bij het Bol.com-afhaalpunt, zo kon de topicstarter reconstrueren uit het verzendbewijs dat hij had meegekregen. De PostNL track&trace code liet zien dat het bij Bol.com was afgegeven door de postbezorger, maar Bol.com stelde het nooit in ontvangst te hebben gekregen. En nu is meneer dus gedagvaard door het incassobureau.

Hoofdregel uit de wet is dat je als afzender moet zorgen dat je zending aankomt bij de ontvanger. Ook bij het retourneren van een internetbestelling. Wie dus met een retourzending naar een PostNL punt gaat en het daar laat versturen, is afhankelijk van de zorg van de postvervoerder en moet maar verzekerde verzending kopen als hij het risico op kwijtraken niet wil dragen. Dat zou dus ook bij deze topicstarter zo zijn, als hij het per post (of DHL of wie dan ook) had laten versturen.

Echter, de topicstarter is naar een lokale Albert Heijn gegaan waar van die mooie Bol.com-afhaalpunten zijn. Logo en huisstijl van Bol. Dan spreken we van een “gemachtigde van Bol.com”, en dan is het pakket bij Bol.com aangekomen zodra het over de toonbank is gegaan bij de Appie (art. 6:230s lid 1 BW):

Tenzij de handelaar heeft aangeboden de op basis van de ontbonden overeenkomst geleverde zaken zelf af te halen, zendt de consument onverwijld en in ieder geval binnen veertien dagen na het uitbrengen van de in artikel 230o lid 3 bedoelde verklaring de door hem ontvangen zaken terug of overhandigt deze aan de handelaar of aan een persoon die door de handelaar is gemachtigd om de zaken in ontvangst te nemen.

Dat men het vanaf de Albert Heijn-vestiging door PostNL naar een Bol.com-sorteerpunt laat vervoeren, doet daar niet aan af. Dat hoef je als consument niet te weten, juist omdat je met zo’n afhaalpunt in huisstijl van Bol.com te maken hebt. Dat kleine lettertjes op het verzendbewijs misschien naar PostNL verwijzen, of dat je een label krijgt met een postadres erop, is daarbij eveneens niet relevant. Wat de grote letters geven, kunnen de kleine niet wegnemen.

Wat overigens niet wil zeggen dat als je een label krijgt van de webwinkel, je meteen mag zeggen dat het dus hun risico is. Dat label is alleen een manier om de terugzendkosten voor rekening van de winkel te laten komen, maar het blijft jouw risico om het dan via PostNL (of DHL of wie dan ook) te versturen.

Maar laat je het ophalen door zeg PostNL of DHL dan is het dus vanaf het inladen voor risico van de winkel. Dat is immers het “aanbod zelf af te halen”, en dat de winkel daarvoor een bezorgbedrijf inschakelt is zijn risico.

Arnoud