Hoe veilig is veilig eigenlijk?
E-mail als distributiekanaal voor het ontvangen en betalen van facturen is inmiddels ingeburgerd. Toch heersen er tal van vooroordelen over e-mail als communicatiekanaal. Dagelijks worden frauduleuze ‘phishing-mails’ verstuurd uit naam van (overwegend) banken met als doel mensen vertrouwelijke gegevens af te troggelen. Het gevolg: angst voor e-mailberichten van financiële instellingen en voor het betalen via internet in het algemeen. Hoe veilig is e-mail eigenlijk? Hoe veilig is het versturen van rekeningen via e-mail? En waar moet je als ontvanger op letten om te voorkomen dat je ingaat op ‘phishing’?
Verschil tussen phishing en spoofing
Allereerst is phishing niet het faken van een mailtje, maar het vissen naar vertrouwelijke informatie. Dat zou via een mailtje kunnen afkomstig van een vervalst afzendadres (dat heet spoofing) of bijvoorbeeld via een malafide website. Bij phishing probeert de phisher te hengelen naar persoonlijke gegevens, zoals gebruikersnamen, wachtwoorden en pincodes. Zelden wordt gevraagd om geld over te maken, omdat dan de tegenrekeninghouder (de phisher) snel tegen de lamp loopt.
In Nederland is verreweg de meest gebruikte online betaalmethode iDEAL. Er is nog nooit naar buiten gekomen dat er gespoofed of gephished is met iDEAL. Dat komt doordat de procedure voor het openen van een iDEAL-account behoorlijk streng is. Voor het openen van een iDEAL-rekening door een bedrijf (de ontvanger) moet het bedrijf met de bank een vrij heftige KYC (Know Your Customer) checklijst doorlopen. Enkel Nederlands ingezeten bedrijven kunnen een iDEAL-rekening openen. Het geld gaat altijd vanuit de debiteur naar één rekening. Dat geldt ook voor een AcceptEmail: je kunt maar naar één rekening betalen en je ziet direct wie de begunstigde is terwijl je betaalt. Het risico op ontdekking is dus groot en de mogelijke beloning is te laag. Het gaat namelijk om individuele transacties met vaak een maximumbedrag, wat niet erg rendabel is voor fraudeurs. En dan haken zij snel af.
Herkennen van malafide berichten
Het krachtigste instrument om uw klanten te beschermen tegen spoofing en phishing-aanvallen is om ze goed te in te lichten over de wijze waarop u als bedrijf met hen communiceert. Bent u van plan AcceptEmail in te zetten als facturatie- en betaalservice, zorg dan ook voor duidelijke communicatie. Wanneer u dat niet doet, heeft de ontvanger de beste remedie, namelijk gewoon niet betalen. Het ultieme controlemiddel voor een ontvanger van AcceptEmail op phishing is wanneer hij na de eerste ontvangst van een AcceptEmail een personal account opent. Dat doe je in combinatie met een sms, dus met je mobiel als identificatiemiddel. Samen met je e-mailadres is dat een dubbele identificatie. Daarna zullen alle AcceptEmails altijd te zien zijn in je persoonlijk archief.
Keuze bij de klant
Wij zijn ervan overtuigd dat bedrijven hun klanten steeds meer de keuze gaan geven hoe ze hun factuur wensen te ontvangen en hoe ze wensen te betalen. Wij zijn voorstanders van en geloven in een multi-channelbenadering. Wij geloven het meest in de kanalen e-mail en mobiel vanwege het bereik en de beschikbaarheid van deze kanalen, de frequentie van gebruik door consumenten en bedrijven, het gebruikersgemak van beide kanalen en de acceptatie ervan door een breed publiek.
Wij zien minder in zogenaamde myportals (soms gekscherend het MijnenVeld genoemd). Elke klant heeft toch het gevoel dat hij of zij de rekening moeten komen ophalen, wat als klantonvriendelijk wordt gezien (pull in plaats van push). Myportals die maandelijks notificaties sturen dat de rekening klaarstaat, zijn phishing-gevoelig, want je logt vanuit zo’n mailnotificatie in met een gebruikersnaam/wachtwoord en die zijn interessant voor phishers. Verder heeft niemand zin om het zoveelste paar gebruikersnaam/wachtwoord te moeten onthouden, die ook nog eens om de zoveel tijd wijzigen.
Wel zien wij een goede combinatie mogelijk tussen transactionele e-mail (een AcceptEmail) en myportals; de myportal is namelijk geschikt voor klanten die het naadje van de kous willen weten van hun rekening of voor confidentiële gegevens, waarvoor een extra identificatie nuttig is zoals polisgegevens. In deze opzet krijgen klanten een samenvatting van hun factuur via de AcceptEmail met het te betalen bedrag. Dat kunnen ze direct betalen. Maar willen ze de details weten, dan is een link naar een portal waarop je inlogt, voorzien in de AcceptEmail.
Wilt u meer weten? Bezoek AcceptEmail op standnummer NB.31 op de 8e Credit Expo op woensdag 14 november 2012 in het Nieuwegein Business Center.
Bron: De Credit Manager – jaargang 23 nummer 3