Criminelen stelen voor 1.400 euro aan elektronische cheques van Giovanni: "Volgens bedrijf is het mijn eigen schuld"

Het begon allemaal eind januari. "Ik kreeg een e-mail met de melding dat mijn Edenred-kaart aan een Apple Pay account was gekoppeld. Omdat ik geen toestellen van dat merk heb en ik dacht dat het een phishingmail was, heb ik daar geen aandacht aan geschonken."

Helaas bleek de melding wel te kloppen. Omdat Edenred zijn gebruikers momenteel geen tweestapsverificatie (een extra beveiliging bovenop een wachtwoord om je identiteit te bewijzen red.) aanbiedt, konden de criminelen de cheques moeiteloos koppelen aan een Apple Pay account. Daarna konden ze zijn geld uitgeven in allerlei restaurants en webwinkels.

Meer dan een week later kreeg Giovanni in de gaten dat er allerlei betalingen waren gebeurd met zijn elektronische maaltijd- en consumptiecheques. "Dan eens 50 euro, dan weer 70 euro. Vooral voor maaltijden in allerlei fastfoodrestaurants in Wallonië, waar ik nooit kom. Maar ze hadden ook 750 euro uitgegeven bij een webwinkel die elektrische steps verkoopt."

1.445,65 euro. Dat is het exacte bedrag dat criminelen online van Giovanni konden stelen. "Veel maaltijdcheques zijn weg en ik ben ook voor 750 euro aan consumptiecheques kwijt. Ik weet eerlijk gezegd niet hoe ze in mijn account zijn geraakt. Ik had nu niet per se het makkelijkste wachtwoord."

Vermoedelijk kregen de oplichters toegang tot zijn Edenred-account na een hacking of datalek bij een ander platform waarop hij een account had. Wanneer je voor verschillende websites of apps hetzelfde e-mailadres en wachtwoord gebruikt en een van die systemen wordt gehackt, dan kunnen criminelen met die gegevens ook toegang krijgen tot de andere platformen.

Een terugbetaling door Edenred hoeft Giovanni niet te verwachten. Het bedrijf vindt dat de verantwoordelijkheid vooral bij de klant ligt. "We willen onze gebruiker niet beschuldigen, maar we verwachten wel dat onze gebruikers een uniek en sterk wachtwoord kiezen om deze vorm van oplichting te voorkomen", zegt Olivier Bouquet, algemeen directeur bij Edenred.

Dat de diefstal vooral zijn eigen schuld zou zijn, vindt Giovanni te kort door de bocht. "Edenred zegt dat de gebruiker zelf verantwoordelijk is voor zijn account en wil mijn gestolen cheques daarom niet terugbetalen. Ik heb aangifte gedaan bij de politie, maar ben een beetje ten einde raad."

Toch kreeg hij onlangs 361 euro teruggestort van Edenred. "Omdat we op een bepaald moment een fout hebben gemaakt", geeft de directeur toe. "We hebben aan onze klant voorgesteld om Apple Pay uit te schakelen en hij heeft daar meteen positief op geantwoord. Toch hebben we dat niet snel genoeg afgesloten. Omdat er in die tijdspanne nog uitgaven zijn gebeurd, hebben we die bedragen terugbetaald."

Op dit moment bieden noch Edenred noch Monizze of Pluxee - twee andere grote aanbieden van elektronische cheques - tweestapsverificatie aan om toegang te krijgen tot een account. Tweestapsverificatie is een extra beveiliging bovenop een wachtwoord om je identiteit op een extra manier te bevestigen.

Dat die dubbele beveiliging er momenteel niet is, vindt het Centrum voor Cybersecurity niet kunnen. "Het is onverantwoord dat platformen waarop gevoelige financiële of medische informatie wordt gedeeld geen tweestapsverificatie aanbieden bij het aanmelden op een account", zegt directeur-generaal Miguel De Bruycker.

Edenred heeft vandaag aangekondigd dat het bedrijf op korte termijn tweestapsverificatie zal aanbieden via sms of Itsme. Zowel om aan te melden op een account als om betalingen uit te voeren of een kaart te koppelen aan andere betaaldiensten.