Webcare via Twitter #fail
Bedrijven nemen de veiligheid van hun klantenservice via Twitter niet serieus. Dat zegt de brancheorganisatie voor webwinkeliers Thuiswinkel.org op BNR.
Jezelf voordoen als de helpdesk van een bedrijf blijkt een stuk makkelijker dan gedacht. BNR's Lars Sørensen zocht uit hoe eenvoudig het is om mensen die te goed van vertrouwen zijn, hun gegevens af te troggelen.
Sørensen vroeg zich tijdens een uitzending van de BNR Klantenshow af hoe goed phishing eigenlijk beveiligd is op Twitter. Hij maakte twee Twitter-accounts aan: @ABNamro_webcare en @RABOBANKwebteam. Me zijn nep ABN-account wist Sørensen zeven mensen wijs te maken dat hij de bank vertegenwoordigde. Maar met zijn account @Rabobank_webteam, had hij meer succes. "Daar had ik 27 volgers en ook al de eerste persoonlijke gegevens kunnen verzamelen", aldus Sørensen.
Eenvoudige privégegevens harken
En persoonlijke gegevens verzamelen blijkt verrassend eenvoudig. Zoekend op Rabobank vond Lars al snel iemand die naar de Floriade wil, waar de Rabobank sponsor is. "Ik vroeg hem zijn gegevens te sturen, zodat ik relatiekaarten voor hem kon klaarleggen. In een berichtje kwamen direct alle adresgegevens. Vervolgens vroeg ik voor de administratie of hij kon melden bij welke vestiging hij bankierde. Daarop kreeg ik de vestiging door waar hij zakelijk bankiert en waar hij privé bankiert en voor de zekerheid de rekeningnummers."
Zorgwekkende ontwikkeling
Dat Twitter-phishing inderdaad een probleem aan het worden is, ziet ook Wijnand Jongen van het keurmerk voor webwinkels Thuiswinkel.org. "Wij hebben wat klachten van middelgrote en grote webwinkels die daar tegenaan zijn gelopen. Het loopt nog niet de spuigaten uit. Maar het feit dat het eenvoudig is om je voor te doen als een ander, dat is zorgwekkend."
Sørensen vindt het vooral schokkend hoe snel mensen hun privégegevens delen. "Vooral het gemak waarmee mensen ervan uit gaan dat ze echt te maken hebben met een vertegenwoordiger van een instelling waar zij zakelijk of privaat aan verbonden zijn."
Wennen aan nieuwe media
ICT-ondernemer Krijn Schuurman schrikt van de bevindingen van Sørensen. Schuurman adviseert bedrijven op het gebied van social media. "Je zou denken dat mensen wel een beetje zouden weten dat je niet zomaar digitaal met een instelling moet communiceren. Met e-mail beginnen we dat wel een beetje door te krijgen met die phishing e-mails. En nu hebben we nieuwe kanalen zoals Twitter en daar gebeurt in zekere zin precies hetzelfde. Daar moeten zowel de bedrijven als wij toch nog wel aan wennen, lijkt het."
Geverifieerde accounts
In tegenstelling tot bij e-mail, waarbij je eigenlijk niet kunt weten wie de afzender is, kun je bij Twitter als bedrijf vragen of je account geverifieerd wordt. Twitter zet dan een vinkje bij jouw account die aangeeft dat jij daadwerkelijk bent wie jij bent. En dat is niet veel, maar dat is wel het minste wat je kunt doen om je klanten een beetje zekerheid te geven.
Het enige probleem met de geverifieerde accounts is dat deze slechts voorbehouden blijken aan de groten der aarde, legt Schuurman uit. "Het is helaas nog niet zo dat je je account heel makkelijk kunt laten verifiëren. Dat doet Twitter wel, maar dat doen ze bijvoorbeeld met Bill Gates, Lance Armstrong of Oprah Winfrey. Voor hen is het heel belangrijk. Maar als je lager komt, wordt het echt wat lastiger om dat voor elkaar te krijgen. Maar dat zou wel helpen."
Jongen denkt dat het gros van de bedrijven helemaal niet bezig is met het geverifieerd krijgen van hun account. "Ik denk dat het gros van de bedrijven zelfs niet weet dat deze mogelijkheden allemaal bestaan. Dat is toch nog voorbehouden aan een relatief kleine groep bedrijven", zegt Jongen.
Consument is naïef
Schuurman denkt dat de bedrijven niet heel veel te verwijten valt. Hij vindt vooral dat wij zelf een naïef zijn. "Bij een account met 27 volgers zou je een beetje wantrouwig moeten zijn. Ook als je ziet dat er nog helemaal geen communicatie met andere consumenten geweest. Maar je mag ook wel verwachten van bedrijven dat als je de stap zet om op zo’n nieuw kanaal te communiceren dat je mensen wel helpt om niet de fout in te gaan."
Daarbij zegt Schuurman dat het voor bedrijven wel heel eenvoudig is om te monitoren op naam, waardoor zij dus ook snel in de gaten hebt als iemand zich voordoet als die organisatie. "Die persoon afstoppen is relatief eenvoudig te doen [...] Het is zo dat als je nu een bericht naar Twitter stuurt dat iemand jouw naam gebruikt, of nou je persoonlijke naam is of een bedrijfsnaam, ze daar onmiddellijk mee helpen."
Ogen openhouden
Het belangrijkste advies van Schuurman aan het adres van de bedrijven is dat zij vooral hun ogen moeten openhouden voor personen die zich voordoen als een bedrijf. "Ze moeten scannen wat er gebeurt. Ze willen het weten als wij iets negatiefs over een bepaald merk zeggen. Dan kunnen ze daarop reageren met bijvoorbeeld webcare. Dus zouden ze dan ook kunnen detecteren dat andere mensen zich uitgeven met hun naam. Maar er zijn natuurlijk eindeloos verbasteringen dus dat is best een beetje werk. Uit dit item blijkt dat ze die verantwoordelijkheid hebben. Dus daar moeten ze nog actiever op zitten."
De twee Twitter-accounts waarmee zijn ondertussen gestopt met deze test. In de omschrijving van de accounts staat nu de volgende tekst.
"Kijk nou eens goed. Dit is helemaal geen account van ABN AMRO. Phishing is dichterbij dan je denkt. Blijf scherp." Het lijkt voor consumenten vooral een kwestie van heel scherp blijven en contact opnemen met de bank, op het moment dat zij benaderd worden en twijfelen aan de autenticiteit.
