Acceptgiro’s verdwijnen. In plaats daarvan word je steeds vaker gevraagd om per AcceptEmail (of iets vergelijkbaars) te betalen. Je ontvangt dan een email met de factuur en een link waarop je moet klikken om te betalen. Maar deze manier van betalen introduceert een groot risico op phishing. Beter is het FiNBOX te gebruiken.

Dit heeft te maken met het volgende.

De link in de AcceptEmail brengt je naar de website van AcceptEmail, die je de mogelijkheid geeft om de factuur via iDEAL te betalen. Bovenaan die webpagina staat

Controleer of het adres hierboven begint met https://transaction.acceptemail.com/.
De AcceptEmail hieronder is gelijk aan die in uw e-mail.

En daarmee geven de makers al aan dat ze zich hebben gerealiseerd dat er een potentieel gevaar schuilt in deze manier van betalen. En volgens mij is dat zelfs een behoorlijk groot risico.

Het probleem is namelijk dat criminelen ook dit soort emails kunnen versturen. Ze proberen op deze manier toegang tot je internetbankieren site te krijgen, door je via zo’n link in zo’n email naar een malafide website te sturen. Deze site lijkt net echt, maar wordt beheerd door de criminelen. Wat je ook op die website doet of intypt (username, wachtwoord) geef je dus rechtstreeks aan hun door.

Dit heet phishing, en is verbazingwekkend lastig te voorkomen. Als je een rekening van het energiebedrijf verwacht, en er komt een mailtje met de maandelijkse voorschotnota binnen, dan klik je op de link en handel je de betaling af. Zonder ergens echt bij na te denken.

De melding die AcceptEmail bovenaan de webpagina zet helpt daar absoluut niet tegen. De crimineel zet daar gewoon zijn eigen (betrouwbaar uitziende) webadres neer, en dan lijkt alles gewoon te kloppen. Het slotje in je browser (SSL/TLS/https voor kenners) dat aangeeft dat de website authentiek is helpt ook niet, want de link in de email hoeft je helemaal niet naar https://transaction.acceptemail.com te sturen: emailaccept.com kan ook (en één of andere slimmerik heeft daar al een Apache servertje achter draaien).

Met andere woorden: ik denk dat het niet lang duurt voordat een stortvloed van dit soort phishing emails bij ons binnenkomt. En er is dan maar één oplossing: op geen enkele (ook niet de echte) reageren.

Een veiliger alternatief, wat dit betreft althans, is FiNBOX. In dit systeem komen al je facturen in een financiële inbox binnen je eigen omgeving voor internet bankieren terecht. Dus bij je eigen bank – en niet bij een website als AcceptEmail waar je nog nooit eerder van gehoord had. Bovendien typ je zelf het adres van de website van je bank in, of klik je gewoon op de link in je bookmarks. Niet op een link in een frauduleuze email. Na inloggen krijg je dan een melding als er nieuwe facturen voor je klaar staan.

Je kunt er ook voor kiezen om hierover per email of sms bericht te krijgen. Dit verschilt per bank. Ik hoop alleen van harte dat alle banken zo slim zijn om in die emails géén link naar de internet bankieren omgeving te zetten. Want anders zijn we natuurlijk terug bij af…