De online betaalomgeving iDeal is bij de meeste banken in twee soorten te verkrijgen: een goedkope versie voor kleine webshops en een duurdere variant voor ondernemers met grotere webshops. Bij de eerste variant blijkt het mogelijk om het betalingsproces te verstoren. Daardoor kan iemand zonder te betalen spullen te bestellen bij webshops. Mits de verkoper vertrouwt op de betalingsbevestiging van iDeal.

Link in broncode

Op het webforum Digitalplace.nl heeft een anonieme deelnemer in een tutorial beschreven hoe het mogelijk is om zonder te betalen artikelen te bestellen. Dat is erg eenvoudig: op de betaalpagina van een webshop is in de broncode een verwijzing te vinden naar de pagina die de betalingsbevestiging aan de klant toont en een mail naar de verkoper stuurt.

De webpagina mag normaliter alleen opgeroepen worden nadat een klant in de betaalomgeving van iDeal is geweest en de transactie succesvol heeft afgerond. Door de url direct vanaf het besteloverzicht in de browser aan te roepen gedraagt de website zich alsof dat inderdaad gebeurd is.

"Je kunt met deze iDeal variant niet nagaan of de waarde van de status-parameter in de URL ook de werkelijke status is", legt Martijn Wieringa van PHP Solutions en eigenaar van iDeal-Simulator.nl uit. Daarom is het eenvoudig om te frauderen. De url aanroepen is genoeg en er vindt geen verdere controle plaats.

'Goedkope iDeal niet onveilig'

Een ondernemer die ervan uitgaat dat de bevestigingsmail klopt, zal de artikelen dan versturen. Zowel iDeal als de banken geven volgens de tutorial aan dat het betalingsoverzicht in de omgeving van de bank betrouwbaar is. De bevestiging van de goedkope iDeal-versies zijn dat niet.

Woordvoerder Bob Goulooze van Currence, het bedrijf dat iDeal beheert, bevestigt dit tegenover Webwereld. Volgens hem is de mogelijkheid om de betaalpagina te omzeilen inherent aan de instapversies van iDeal en was dit al langer bekend. Hij bestrijdt dat de instapdienst onveilig is: "Zowel de light versie als de uitgebreide versie zijn veilig. Een kleine verkoper met weinig transacties kiest bewust zelf voor deze goedkope versie, waarbij hem ook wordt verteld dat hij altijd de status van de betaling moet checken, bijvoorbeeld via het dashboard".

Kleine ondernemers

Ondernemers weten volgens de zegsman dus dat zij handmatig moeten checken of een bestelling daadwerkelijk betaald is. In het overzicht van de bank zal een bestelling niet voorkomen of de status cancelled hebben als er gesjoemeld is, aldus Goulooze. Hij erkent dat dit extra werk is maar geeft aan dat de goedkope pakketten op kleine ondernemers zijn gericht. Zij krijgen maar enkele bestellingen per dag dus het handmatig controleren moet volgens de zegsman te doen zijn.

"Het is aan de programmeur om er voor te zorgen dat de consequenties van deze 'beperking' geen ernstige gevolgen hebben voor het functioneren van de website of webshop waarin iDeal wordt geimplementeerd, en het is aan de webmaster om betalingen handmatig te verifiëren op het bankafschrift of op zijn of haar iDeal dashboard", zegt ook Wieringa.

De duurdere varianten van iDeal zijn bedoeld voor webshops die zoveel bestellingen krijgen dat het ondoenlijk is om alles na te gaan. Daarbij zijn de betaalbevestigingen dus wel betrouwbaar. Ook bedrijven die online diensten verkopen die direct beschikbaar zijn moeten van deze variant gebruikmaken.

'Zes jaar lang geen fraude'

"De light variant is eenvoudig te implementeren en goedkoop, maar vereist enige zelfwerkzaamheid van de verkopers, namelijk even checken wat de status van de betaling is", geeft Goulooze aan. De verkopers kiezen volgens hem voor de instapdienst omdat het goedkoop en eenvoudig is waar de duurdere dienst meer zekerheid biedt.

Het is volgens hem wel mogelijk om die zekerheden ook de bieden in de goedkopere variant van iDeal. "Maar daarmee wordt de implementatie complexer en duurder en dat is juist wat dit type verkoper niet wil." Daarom is daar niet voor gekozen.

Volgens Wieringa is er wel beveiliging mogelijk. "Vrijwel alle iDeal protocollen bieden de mogelijkheid om POST-data te beveiligen met een HASH-veld. Er wordt dan een HASH code berekend op basis van de cruciale data in het formulier. Deze HASH berekening kan door de iDeal server worden gecontroleerd om te zien of er met de data is geknoeid", zegt hij.

ABN Amro buitenbeentje

ABN Amro is in dit verhaal een buitenbeentje. In tegenstelling tot andere banken als Rabobank, ING en Frieslandbank sturen zij helemaal geen betaalbevestiging bij hun eigen goedkope variant van iDeal.

Ondernemers moeten daar dus uit zichzelf kijken naar het overzicht van betalingen. Zij krijgen geen mailtje dat aangeeft dat er eventueel een bestelling is gedaan. Dat vermindert de verwarring die kan ontstaan over zo'n mail. Opvallend genoeg is iDeal Easy van ABN Amro één van de duurdere instapabonnementen voor iDeal. De ondernemer betaalt geen maandelijks bedrag maar moet wel 70 cent per transactie afrekenen aan de bank.

Bij de andere banken ligt dit bedrag op 65 cent per transactie, met uitzondering van de ING. Daar betaalt een ondernemer slechts 50 cent per transactie maar is hij wel 20 euro per maand aan vaste abonnementskosten kwijt. Dat is ongeveer hetzelfde als concurrerende banken rekenen voor het uitgebreide pakket, al is een klant daar vaak nog eenmalige kosten kwijt. ABN Amro levert met iDeal zelfbouw voor 50 euro per maand, 125 euro eenmalig en 60 cent per transactie veruit het duurste pakket.