Bol.com trapte in phishingmail en maakte 750.000 euro over naar oplichters

| AE 12647 | Ondernemingsvrijheid, Regulering | 28 reacties

Bol.com heeft 750.000 euro overgemaakt naar oplichters nadat het bedrijf in een phishingmail was getrapt, las ik bij Tweakers. De rechtbank Midden-Nederland oordeelde recent dat men argwanender had moeten zijn. Weliswaar klopte het afzendermailadres (door een computerhack) en leken ook layout en namen correct, maar het taalgebruik was van het niveau Google Translate halfbakken Engels en dat is voor twee jarenlang samenwerkende Nederlandse bedrijven bepaald gek.

Op 25 november 2019 werd een e-mail aan ‘supplierfinance@bol.com’ gestuurd met onder meer de volgende inhoud: ‘Bijgevoegd vindt u onze nieuwe betalingsroute zoals opgedragen door het management, doe het nodige voor de volgende betaling. Alvast bedankt!’. Afzender: meneer [A], wiens mailbox was gehackt “via de cloud”. Het vonnis bevat een printscreen van de gehele mail. De strekking: een verzoek om betalingen voortaan niet meer over te maken aan de bij Bol.com bekende bankrekening van Brabantia Netherlands maar aan een Spaanse bankrekening die ten name van ‘Brabantia International B.V.’ zou staan.

De oplichter bleek hardnekkig want de navolgende dagen werd een keurige reminder gestuurd (“Kunt u bevestigen dat uw crediteurenadministratie is bijgewerkt als bijgevoegd.“) Uiteindelijk werd daarop gereageerd, maar die mail bleef buiten het zicht van de gehackte Brabantia-medewerker. Daarna dacht Bol.com alles geregeld te hebben en werden de verkoopopbrengsten keurig overgemaakt naar het nieuwe nummer. Na zo’n 750.000 euro niet te hebben gekregen, trok het Brabantse bedrijf aan de bol, sorry bel, en kwam de fraude uit.

Wie draait daar voor op? Het begon dus bij een overgenomen mailbox van een medewerker van Brabantia, en ook kon men bij het briefpapier-template van Brabantia, zodat het op zich echt doen lijken van de berichten mogelijk was. De inhoud van de mails gaf echter te denken:

Om te beginnen bevat deze merkwaardige fouten als ‘Houd he [?] rekening mee’ en de frase ‘een wijziging in onze bankrekeninggegevens hebben voor incaende [?] betalingen’, waarbij ‘incaende’ meer dan een gewone typefout lijkt. Bovenal roept de frase ‘moten all incoming betalingen have been overgemaakt’ onmiddellijk grote vraagtekens op, zelfs als een zekere mate van gebrekkig taalgebruik of een overmatig gebruik van het Engels voor lief wordt genomen.
Bol.com moest begrijpen dat dergelijke frases praktisch niet van directeuren van Brabantia Netherlands afkomstig kunnen zijn of door hen kunnen zijn goedgekeurd. Dat met de daarop volgende Engelstalige passage ‘niets mis is’, zoals Bol.com benadrukt, doet hier niet aan af, nog afgezien van het feit dat het gebruik van de Engelse taal in deze context op zich zelf al tot twijfel had moeten leiden.

Vanwege al deze omstandigheden is de conclusie voor de rechter helder: Bol.com had beter op moeten letten, en zij heeft dus wanprestatie gepleegd jegens Brabantia door die 750k niet te betalen op de rekening waar die hoorde te komen.

Het enige vind ik steekhoudende tegenargument is dat Bol.com dus had gereageerd naar Brabantia (het gehackte mailadres) en dat men daar het niet opgepakt had. Dat kwam omdat de crimineel mails met als afzender Bol.com in het mapje “RSS Feeds” (zo’n standaardmap van Outlook die niemand wil) had laten komen en automatisch als gelezen gemarkeerd. Zo kon die keurig reageren maar zou de medewerker die waarschijnlijk niet zien. Je zou dan zeggen: die berichten zijn bij Brabantia aangekomen, het niet checken van dat mapje is voor rekening van dat bedrijf dus die hadden het moeten zien. Alleen:

Bij de vraag of Bol.com te goeder trouw was bij de betalingen, is bepalend of zij had moeten twijfelen (zie hiervoor in 3.11). Hiervoor heeft de rechtbank vastgesteld dat Bol.com door de brief van 25 november 2019 ernstig moest twijfelen. Die ernstige twijfel wordt naar het oordeel van de rechtbank niet weggenomen doordat Brabantia Netherlands de bevestiging van Bol.com onbeantwoord heeft gelaten.
Bol.com had al moeten twijfelen vóórdat ze een reply stuurde, laat staan voordat ze het rekeningnummer aanpaste. En dan kun je dus niet zeggen “jullie hebben nooit gereageerd op ons bericht dat we het nummer aangepast hebben”. Ook het sturen van betalingsaankondigingen hielp haar niet, als leverancier hoef je daar niet naar te kijken en al helemaal niet te denken, wat raar dat ze vier weken na de aankondiging nog niet betaald hebben.

Ook een argument van Bol.com was dat Brabantia haar mailboxen beter had moeten beveiligen, bijvoorbeeld met tweefactorauthenticatie. Dan was de inbraak waarschijnlijk niet gelukt, en had dit alles voorkomen kunnen worden. Een terechte klacht, en dit had ook zeker de doorslag gegeven als de mail perfect Nederlands was geweest en een Nederlands IBAN was gebruikt. Maar dat was dus niet zo, en precies  daarom had Bol.com argwanender moeten zijn. Als de afzender klopt maar de inhoud bizar is, dan is er iets mis. En dan ligt de bal écht bij jou als ontvanger.

Arnoud

Banken gaan namen en adressen van internetoplichters geven

| AE 12496 | Privacy, Regulering | 18 reacties

De Nederlandse banken gaan op verzoek de namen en adressen van internetoplichters verstrekken aan slachtoffers van internetfraude. Dat las ik bij Privacynieuws. Slachtoffers kunnen dan via een civiele procedure proberen hun gestolen geld terug te vorderen. Na een gesprek met justitieminister Grapperhaus hebben banken eind vorig jaar besloten om onder voorwaarden de NAW-gegevens te overhandigen.

Het probleem van fraude en oplichting via internet is zo oud als, eh, internet: je weet niet met wie je aan de andere kant zaken doet, dus een fraudeur kan eenvoudig je geld of spullen afhandig maken en ondanks vele beloftes zijn wederprestatie niet nakomen. Of dat oplichting is, is de vraag, maar wie beroep of gewoonte maakt van via internet handelen zonder te leveren is in ieder geval strafbaar. Net als die Whatsappfraudeurs met hun “hoi mam ik ben mijn telefoon kwijt”-oplichterij.

Kom je bij het vervolgpunt: wie moet je hebben? Een anoniem mailadres of snel Marktplaats-account met prepaid 06 is zo gemaakt, en dan sta je dus nergens. Het bankrekeningnummer is vaak het enige aanknopingspunt, alleen blijken banken zich op het (op zich begrijpelijke) standpunt te stellen dat zij niet kunnen zien of er een strafbaar feit is gepleegd en dat ze vanuit privacyoogpunt niet zomaar persoonsgegevens afgeven. Ook stichting Brein kreeg ongelijk toen zij in 2013 deze probeerde te krijgen (ja, met Lycos/Pessers).

In november meldde minister Grapperhaus aan de Kamer dat er over deze situatie gesproken is, en dat er nu een doorbraak is gekomen:

De Nederlandse banken hebben mij naar aanleiding van deze gesprekken recent laten weten te hebben besloten een procedure in het leven te roepen om de NAWgegevens van een fraudeur aan slachtoffers van fraude te verstrekken. Het doel van de procedure is om benadeelden in de gelegenheid te stellen om, onder voorwaarden en met inachtneming van privacywetgeving (zoals de hierna genoemde 21 dagen termijn), met de vermeende fraudeur in contact te kunnen komen. De procedure houdt in dat de fraudeur eerst gevraagd wordt om het geld terug te storten. Als dat niet binnen 21 dagen is gebeurd, worden de NAWgegevens van de vermeende fraudeur verstrekt.
De procedure start nadat het slachtoffer aangifte heeft gedaan. Zo is bekend wie de gegevens eist, en zit er enige check op: valse aangifte is strafbaar, en vanwege de keten slachtoffer-politie-bank-rekeninghouder is het eenvoudig om daar op terug te komen. Ook bij eigenrichting weet je nu snel wie de (mogelijke) dader is.

Blijf je zitten met het probleem van de geldmuilezels: mensen die hun bankrekening verhuren “omdat er toch niets op staat en ik rood staan heb uitgezet”. En dan inderdaad 30% krijgen van het bedrag dat er op gestort wordt. Want met deze procedure kom je daar uit, en niet bij de werkelijke dader. Maar wellicht dat deze nieuwe procedure helpt om katvangers af te schrikken.

Arnoud

Wacht, Marktplaatsoplichting is geen oplichting?

| AE 12345 | Informatiemaatschappij | 22 reacties

Een verrassing voor velen: de bekendste vorm van online oplichting, namelijk gewoon het geld pakken en niet leveren, is juridisch geen oplichting. Kwam recent nog langs en het blijft verwarrend. Maar de kern is dat we niet iedere vorm van wanprestatie tot een strafbaar feit willen verheffen, zeker omdat het wetsartikel voor oplichting uitgaat van echt een of andere truc.

In het gewone spraakgebruik spreken we al snel van oplichting als iets tegenvalt en je je geld (of spullen) kwijt bent. De Van Dale stelt het gelijk aan bedriegen, wat dan weer “met opzet misleiden” betekent. Maar juridisch gezien zitten er heel wat meer haken en ogen aan. Dit is wat de wet zegt (art. 326 Strafrecht):

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, hetzij door het aannemen van een valse naam of van een valse hoedanigheid, hetzij door listige kunstgrepen, hetzij door een samenweefsel van verdichtsels, iemand beweegt tot de afgifte van enig goed, tot het verlenen van een dienst, tot het ter beschikking stellen van gegevens, tot het aangaan van een schuld of tot het teniet doen van een inschuld, wordt, als schuldig aan oplichting, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.
De juridische definitie van “oplichting” eist dus heel wat meer dan alleen een stukje voor de gek houden of misleiden. Je moet echt een vuile truc uithalen. Dat kan dus met een valse naam of hoedanigheid, of door (oud-juridische taal is echt ongelofelijk prachtig) listige kunstgrepen of (nóg prachtiger) een samenweefsel van verdichtsels uit te halen. Maar doe je dat allemaal niet, dan is het dus geen oplichting.

Het simpelste voorbeeld: ik zet op Marktplaats een telefoon te koop voor een lage prijs, mensen betalen me dat geld, ik sluit mijn account en lever nooit en te nimmer die telefoon. Sterker nog, ik héb niet eens een telefoon. Ik ben nu juridisch niet strafbaar, want welke valse naam of hoedanigheid heb ik gebruikt, wat was mijn listige kunstgreep of samenweefsel van verdichtsel dan? Die zijn er niet.

Natuurlijk, ik pleeg wanprestatie en ben dus civielrechtelijk voor de rechter te dagen. Ook heb ik (als ik professioneel handelaar ben) waarschijnlijk een oneerlijke handelspraktijk gepleegd en ben ik bestuurlijk te beboeten als de ACM heel veel zin heeft. En ik ben mijn account op Marktplaats kwijt, inclusief al mijn reviews en geschiedenis en dat doet ook pijn. Maar strafbaar, in de zin van een strafblad, boete en de cel in? Nee.

De kern is dat als je alléén maar niet levert (en dat ook niet van plan was), dat je dan geen oplichter bent omdat dat “valse voorwendselen of samenweefsel van verdichtsels” vereist. Je moet echt een truc uithalen om oplichter te zijn.

In 2016 zette de Hoge Raad de principes hierover nog eens op een rijtje. De kern is dat je niet iedere vorm van bedrog tot het misdrijf oplichting (vier jaar cel) wil verheffen. Het moet wel een ernstig geval zijn. Men citeert een voorbeeld van een internetondernemer die wist dat hij niet kon leveren maar desondanks de webshop open hield:

Niet elke vorm van bewust oneerlijk zakendoen levert het in artikel 326 van het Wetboek van Strafrecht strafbaar gestelde misdrijf ‘oplichting’ op. Dat geldt eveneens wanneer kan worden bewezen dat men is benadeeld door een persoon die niet van plan of in staat was zijn verplichting na te komen en die zich in strijd met de waarheid heeft voorgedaan als een bonafide (ver)koper.
Natuurlijk staan kopers dan een tikje in de kou. Maar er zijn genoeg andere middelen, zoals betalen met een beschermd middel (zoals de creditcard), onderzoek doen naar betrouwbaarheid (de reviews) of kopen bij bekende webwinkels (met keurmerken zoals Thuiswinkel Waarborg) of achteraf betalen dan wel bij het ophalen/ontvangen. (Oh ja, en in theorie de verkoper dus voor de rechter slepen, maar wie doet dat nou.) Het is dan eigenlijk niet meer nodig dat het strafrecht hier tegen ingezet kan worden.

Specifiek in de internetcontext zijn wel ontzettend vervelend de figuren die een gewoonte maken van niet leveren maar wel het geld houden. Daar is een oplossing voor bedacht, die recent in het strafrecht is beland (art. 326e Strafrecht):

Hij die een beroep of een gewoonte maakt van het door middel van een geautomatiseerd werk verkopen van goederen of verlenen van diensten tegen betaling met het oogmerk om zonder volledige levering zich of een ander van de betaling van die goederen of diensten te verzekeren, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Hiermee is het dus wel mogelijk om grootschalige internetbedriegers aan te pakken, maar blijven de individuele “je zei dat je zou leveren dus ik ga aangifte doen” gevallen buiten het strafrecht. Ik ken nog geen veroordelingen onder dit artikel.

Arnoud

Advocaat VS die fraudeerde met gedeelde pornofilms krijgt celstraf

| AE 11339 | Intellectuele rechten | 6 reacties

Een Amerikaanse advocaat die online fraudeerde met gestolen en eigen porno, krijgt een gevangenisstraf van veertien jaar. Dat meldde de NOS onlangs. De advocaat, bekend onder de handelsnaam Prenda Law, deelde pornografische films en klaagde downloaders aan vanwege het schenden van auteursrechten die zogenaamd bij zijn cliënten zouden berusten. Een lucratieve business, in een slordige… Lees verder

John de Mol start rechtszaak tegen Facebook om nepadvertenties

| AE 11312 | Ondernemingsvrijheid, Uitingsvrijheid | 28 reacties

Talpa-oprichter John de Mol spant een kort geding aan tegen Facebook. Hij eist dat het sociale netwerk stopt met het tonen van nepadvertenties voor bitcoinproducten waarin zijn naam en foto worden gebruikt. Dat meldde het FD onlangs. De ondernemer is niet de enige: ook foto’s van zanger Waylon, presentator Matthijs van Nieuwkerk en techondernemer Alexander… Lees verder

Is een belastingsoftwaremaker aansprakelijk voor valse aangiftes?

| AE 7467 | Ondernemingsvrijheid | 19 reacties

Belastingsoftwaremaker Intuit heeft de e-filing van belastingaangiftes via TurboTax tijdelijk stopgezet vanwege vermoedelijke fraude, las ik bij Slashdot. Criminelen zouden de identiteit van derden hebben gestolen en via TurboTax grootschalig valse aangiftes doen. Het bedrijf deed dit nadat de staat Utah 28 zekere fraudegevallen en 8.000 mogelijke fraudegevallen bij hen meldde. Wat voor mij de… Lees verder

Marktplaatsoplichting is geen oplichting???

| AE 5601 | Ondernemingsvrijheid, Regulering | 27 reacties

Het niet leveren van spullen via Marktplaats terwijl daarvoor door slachtoffers wel is betaald, is niet altijd oplichting, las ik bij Webwereld. En dat terwijl de man met voorbedachten rade niet van plan was te leveren. Willens en wetens adverteren en mensen laten betalen terwijl je de spullen niet hebt, lijkt mij vrij evident oplichting… Lees verder