Formjacking

Veel websites bevatten invoervelden waar gebruikers hun inloggegevens, persoonlijke informatie of betaalgegevens kunnen invoeren. Deze invoervelden kunnen worden misbruikt door cybercriminelen om persoonlijke informatie, zoals creditcardgegevens, te stelen. Dit doen criminelen met behulp van een techniek genaamd formjacking. Als ondernemer is het goed om je bewust te zijn van formjacking om jezelf en je klanten hiertegen te beschermen.

Wat is formjacking?

Formjacking is een vorm van cybercriminaliteit waarbij online invoervelden van bijvoorbeeld webwinkels worden misbruikt om persoonlijke of fraudegevoelige gegevens te stelen. Hierbij kan je denken aan formuliervelden, zoals tekstvakken waarin je je wachtwoord of creditcardnummer invoert, waarvan de ingevoerde gegevens vervolgens gestolen kan worden. Cybercriminelen kunnen deze invoervelden misbruiken door daar bijvoorbeeld kwaadaardige code in te stoppen, waarmee ze ervoor zorgen dat de ingevoerde gegevens onderschept wordt. De buitgemaakte (betaal)gegevens worden bijvoorbeeld direct doorverkocht of door de crimineel zelf misbruikt. Het aantal gevallen van formjacking is de afgelopen jaren sterk toegenomen, waardoor het een van de snelst groeiende vormen van cybercriminaliteit is.

Hoe herken ik formjacking?

Formjacking is voor een bezoeker van een website vrijwel niet te herkennen. Je zit namelijk gewoon op de beoogde website en alle functionaliteiten werken precies zoals je zou verwachten. Echter, worden persoonlijke gegevens die je invoert in invoervelden op de achtergrond doorgesluisd naar cybercriminelen. In theorie is elke website met invoervelden kwetsbaar voor formjacking. Vooral rond het einde van het jaar worden veel mensen slachtoffer. Dit komt omdat mensen rond het einde van het jaar veel kopen in webwinkels en criminelen hierop inspelen.

Hoe voorkom ik dat ik slachtoffer word van formjacking?

Als gebruiker van een website kan je enkele stappen ondernemen om jezelf te beschermen tegen (de gevolgen van) formjacking.

Criminelen zijn vaak op zoek naar een combinatie van persoons- en betaalgegevens omdat zij hiermee op een snelle manier het meeste geld kunnen verdienen. Wanneer je een creditcard gebruikt, kunnen zowel je betalingsgegevens als persoonsgegevens gestolen worden. Deze combinatie is waardevol, omdat criminelen hierdoor met jouw creditcard geld kunnen besteden (onder andere voor criminele doeleinden) of de creditcardgegevens direct door kunnen verkopen.

iDEAL
Daarom is het verstandig om een bekende en veiligere betaalmethode te kiezen, zoals iDEAL. Bij een iDEAL betaling word je doorverwezen naar de website van je bank, waar goed gecontroleerd wordt op de veiligheid.

Daarnaast is het belangrijk om te zorgen dat je computer en virusscanner geüpdatet zijn.

Wat kan ik doen om mijn klanten te beschermen?

Als ondernemer kan het gebeuren dat criminelen proberen gegevens van jouw klanten te stelen door middel van formjacking. Wees daarom actief bezig met de veiligheid van je website.

  • Laat je website regelmatig controleren door een externe deskundige. Bijvoorbeeld door middel van een pentest. Een pentester is een beveiligingsonderzoeker die jouw website kan controleren op kwetsbaarheden en dus ook op mogelijke formjacking.
  • Daarnaast is het belangrijk om de website te monitoren op wijzigingen in de code, zodat je een poging tot formjacking snel kunt herkennen.
  • Tot slot kan je ook jouw klanten adviseren te betalen met bijvoorbeeld iDEAL, zodat zij geen creditcardgegevens in hoeven te voeren.

Wanneer je erachter komt dat jouw website gebruikt is voor formjacking kan er sprake zijn van een datalek. Hieronder verstaan we het toegang verkrijgen tot, vernietigen van, wijziging van of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie, of zonder dat dit wettelijk is toegestaan. Indien dit het geval is, ben je verplicht melding te maken van het datalek bij het meldloket datalekken van de Autoriteit Persoonsgegevens.