EasyWebshop

Appendix 1: webshop beveiliging en privacy

Security Deze pagina gaat over het beveiligen van IT en een webshop (of website) en het beschermen van online privacy. We raden elke webwinkelier aan om deze pagina op een rustig moment door te nemen. U zal sterker in uw schoenen staan bij cyberaanvallen en bij online fraude. Het niveau is aangepast voor de gemiddelde internetgebruiker en de onderwerpen zijn gerangschikt van belangrijk naar minder belangrijk.

IT-beveiliging is een ingesteldheid. Het vraagt tijd en inspanning waarvan de resultaten niet direct zichtbaar zijn. Het is geen populair topic, maar wel noodzakelijk. Helaas zien we dat veel internetgebruikers nonchalant omgaan met online beveiliging en privacy. Dit is de hoofdreden voor DDOS aanvallen en de verspreiding van ongewenste e-mail.

Data protection

Fysieke (hardware) beveiliging

Bijna alle beveiligingstips hieronder zijn zinloos als uw PC, laptop, tablet of telefoon fysiek toegankelijk is.

Beveilig uw PC en laptop met een wachtwoord, alsook uw telefoon en tablet met een PIN-code om het scherm te deblokkeren.

Een veilig besturingssysteem

Het besturingssysteem is de applicatie waarop alle andere applicaties draaien. Een veilig besturingssysteem is fundamenteel: als het besturingssysteem niet veilig is, dan is de beveiliging van de bovenliggend applicaties zinloos.

Ongeveer 50% van de Windows-computers zijn besmet met malware. Dit zijn kleine programma's die de gebruiker bespioneren via de microfoon en webcam en de toetsaanslagen loggen. Malware kan ook gegevens zoals wachtwoorden, adresboeken, documenten, foto's en schermafbeeldingen doorsturen. Meestal worden besmette computers gebruikt in een botnet: ze vallen websites aan en worden gebruikt om spam te verzenden.

Malware draait op de achtergrond en is niet zichtbaar op het scherm. De symptomen kunnen echter wel opgemerkt worden: de computer of telefoon zal trager zijn, meer energie verbruiken (let op de ventilator) en zal meer data verzenden.

Malware voorkomen

Ongewenste e-mail (spam/junkmail) voorkomen

Inkomende e-mail wordt door onze spamfilter gescand. Wanneer spam gedetecteerd wordt, dan wordt de e-mail naar de ongewenste e-mail map verplaatst en komt er een waarschuwingsbericht bovenin de e-mail. We verwijderen nooit e-mail van onze klanten: dit om te voorkomen dat gewenste e-mail zou verloren gaan.

Spam

Uitgaande e-mails vanuit uw mailbox en vanop uw website zijn voorzien van een DKIM signature en van SPF records. U kunt e-mail testen op mail-tester.com.

Veilig surfen

Webbrowser

Surfen doet u met de webbrowser: dit is het programma waarmee u websites bekijkt. Regelmatig worden er beveiligingslekken gevonden in webbrowsers: het is dus belangrijk dat uw browser up-to-date is!

Lijst van webbrowsers: (gesorteerd volgens gebruik)

BrowserBeschrijving
Google ChromeGratis webbrowser van Google
Mozilla FirefoxOpen source webbrowser van Mozilla
Microsoft Internet ExplorerWebbrowser van Microsoft, vervangen door Microsoft EDGE
Apple SafariWebbrowser van Apple. De Windowsversie werd stopgezet in 2012.
Microsoft EDGEWebbrowser van Microsoft, ter vervanging van Internet Explorer
OperaGratis webbrowser beschikbaar voor Windows, Mac en Linux
Pale MoonOpen source snelle webbrowser gebaseerd op Mozilla Firefox
ChromiumOpen source webbrowser waarop Google Chrome gebaseerd is

Browser add-ons

Browser add-ons (plugins of extensies) kunnen uw veiligheid en privacy op het internet verhogen.

NoScript
NoScript blokkeert scripting die u kan volgen op het web. Betrouwbare websites kunt u "whitelisten". Javascript wordt het meest gebruikt voor het volgen van activiteit op een website, deze add-on is dus een must!
Self-Destructing Cookies
Cookies worden vaak gebruikt (of misbruikt) om u te volgen op het web. Self-Destructing Cookies is een add-on die cookies automatisch verwijderd na uw bezoek aan de website.
HTTP-referer
Wanneer u een webpagina bezoekt wordt de HTTP referer meegestuurd: dit is het adres van de vorige pagina die u bezocht heeft. Op deze manier komen websites te weten via welke pagina u erop bent terechtgekomen. Indien u dit niet wenst, kan dit uitgeschakeld worden met Change Referer Button.

Advertenties

U bent een artikel aan het lezen, maar de website staat vol met knipperende advertenties die uw concentratie afleiden van de inhoud. Advertenties zijn niet alleen storend, in veel gevallen wordt ook bijgehouden welke websites u bezoekt en welke inhoud u interesseert. Een efficiënte manier om dit te voorkomen is het blokkeren van advertenties en tracking via het HOSTS bestand. Dit kan op uw PC geïnstalleerd worden, maar bijvoorbeeld ook op uw router zodat uw hele netwerk beveiligd is.

Bijkomend voordeel: doordat u de advertenties niet downloadt, bespaart u data en gaat het surfen een stuk sneller.

Website-beveiliging

Al onze webshops zijn beveiligd met een SSL SSL/TLS certificaat. Dit wordt automatisch geïnstalleerd bij het registreren van een domeinnaam. U hoeft hier zelf niets voor te doen.

Website-apps zoals koppelingen met sociale media of een bezoekersteller kunnen uw website trager maken, voor veiligheidsproblemen zorgen en uw bezoekers volgen. We raden aan om er zo weinig mogelijk gebruik van te maken.

Een goed wachtwoord kiezen

Wachtwoord do's

Het ideale wachtwoord bestaat uit:

Tip: gebruik een wachtzin. Het is makkelijker te onthouden en is veiliger door het grote aantal tekens.

Password strength

De meeste webbrowsers helpen u om uw wachtwoorden te onthouden. Dit is een vrij veilige methode, op voorwaarde dat uw pc goed beveiligd is en dat er een "master password" ingesteld is: dit is een wachtwoord dat dient om alle andere wachtwoorden te ontgrendelen.

Wachtwoord dont's

Wachtwoord mythes

Twee factor authenticatie

Bij veel webdiensten, inclusief bij EasyWebshop, kunt u twee factor authenticatie instellen. Twee factor authenticatie zorgt voor een extra beveiliging bij het inloggen. Het inloggen werkt op basis van iets wat u weet (uw wachtwoord) en iets wat u hebt (uw telefoon).

2FA screenshot

We raden dit absoluut aan: de extra beveiliging maakt het voor kwaadwillige personen veel moeilijker om toegang krijgen tot uw account.

Fraude met betalingen

Betaling terugtrekken (Chargeback)

Bij betalingen met kredietkaart en met PayPal heeft de consument de mogelijkheid om de betaling terug te trekken. Het komt voor dat klanten hun betaling terugdraaien nadat ze uw producten of diensten ontvangen hebben. In dat geval is het aan u om te bewijzen dat er effectief geleverd is om de betaling alsnog te kunnen ontvangen.

Creditcard fraud

Betalingen die teruggedraaid kunnen worden:

Betalingen die niet ongedaan gemaakt kunnen worden:

Eventueel kunt u een toeslag aanrekenen voor sommige betaalopties om zo het verlies bij fraude en de extra administratie te compenseren. Zorg er wel steeds voor dat uw klanten minstens één betaaloptie kunnen kiezen waarvoor ze niet extra hoeven te betalen.

Sommige betaalproviders verzamelen persoonlijke gegevens van consumenten om zo een uitgaveprofiel op te stellen. Om de privacy van uw klanten te beschermen sturen we enkel de gegevens door die een betaalprovider nodig heeft om een betaling te verwerken:

GegevensVoorbeeld
Bestelcode20160-17140-65236-59629
Gewenste betaalmethodeBitcoin, PayPal, Sofort
Totaalbedrag3.95
ValutaBTC, EUR, USD
Interface taalNederlands, Engels, Spaans

Vals betalingsbewijs

Het komt soms voor dat klanten bij hoog en bij laag beweren dat ze hun bestelling betaald hebben of dat ze hun product snel willen hebben en niet willen wachten op de bankoverschrijving. Realiseer wel dat een bankafschrift eenvoudig kan gefotoshopt worden.

Bij webshops - vooral bij verkoop aan consumenten - is het gebruikelijk om de producten pas op te sturen nadat de betaling ontvangen is.

Domeinnaam fraude

Typische spam-mails naar webwinkeliers zijn valse facturen of aanmaningen om uw domeinnaam te verlengen. De enige geldige e-mails voor uw domeinnaam zijn deze van EasyWebshop en van de registrys:

Domain name

Klanten met bedreigingen of onrealistische eisen

Vooral nieuwe webshops hebben hiermee te maken: fraudeurs zijn goed op de hoogte van de regelgeving en proberen het onderste uit de kan te halen. Ze gaan op zoek naar webwinkels die net gestart zijn.

Mad customer

Er wordt gedreigd met een rechtszaak of met het plaatsen van negatieve recensies op forums of sociale media.

Negatieve recensies verwijderen tegen betaling

Er bestaan reviewsites waarop consumenten recensies over uw webshop kunnen plaatsen. Dit kan een meerwaarde zijn voor uw webshop, maar helaas zijn deze niet altijd een afspiegeling de realiteit. Tevreden klanten plaatsen doorgaans geen reviews uit zichzelf, een uitstekende service wordt - terecht - als normaal beschouwd.

Het wordt problematisch als die 1% van ontevreden of onrealistische klanten negatieve reviews plaatsen. Sommige reviewsites spelen hierop in en dwingen u om een duur abonnement te nemen om de recensies te kunnen verwijderen of om ze te kunnen beantwoorden. Ga hier niet op in. Op WebwinkelForum kunt u gelijkaardige verhalen lezen van collega webwinkeliers.

Valse marketing beloftes

Het opstarten van een onderneming en/of een webshop gaat langzaam: u zal in het begin weinig klanten hebben. Advertenties plaatsen en marketing kunnen u aan uw eerste klanten helpen. Maar let op: er zijn partijen die veel beloven maar niet nakomen.

Marketing

Enkele typische situaties:

De gladde marketingboy kan het mooi verwoorden: u gaat rijk worden! Zijn enthousiasme en speech charmeren u. Hij heeft de perfecte oplossing voor uw bedrijf. Enkel nog tekenen en de nieuwe klanten stromen binnen. Enkele weken later, wanneer uw enthousiasme bekoeld is, blijkt het vooral gebakken lucht te zijn.

Malafide marketingbedrijfjes sturen een formulier om u op te nemen in hun bedrijvengids. Toevallig staat er een foutje in uw bedrijfsnaam of in uw adresgegevens. Als u de verbeterde versie terugstuurt, gaat u een duur abonnement aan dat moeilijk op te zeggen is. De bedrijvengids levert weinig of geen klanten op.

Zelfs grote (media)bedrijven kunnen zich met deze praktijken bezighouden. Een advertentie in de krant, een tijdschrift of een reclamespot op de radio: het kan duur uitvallen en weinig tot niets opleveren.

Social engineering

De eigenlijke gebruiker is in veel gevallen de zwakste schakel in IT beveiliging. Cybercriminelen gebruiken listige trucs om informatie van u te ontfutselen. Ze zullen u bijvoorbeeld vragen om een website te bezoeken met malware of met een formulier om in te loggen. De inloggegevens worden dan doorgestuurd naar de cybercrimineel. Wees op uw hoede wanneer u een telefoontje krijgt waarin uw wachtwoord of authenticatiecode wordt gevraagd.

Ze doen zich voor als een werknemer van een bank, van een online dienst of soms zelfs als de politie. Deze e-mails of telefoons kunnen heel enthousiast en overtuigend overkomen. U kunt zowel mannen als vrouwen aan de lijn hebben, in veel gevallen Engelstalige personen. Wees op uw hoede, vooral wanneer u zelf niets gevraagd heeft!

Lijst van beveiligings- en privacytips

Onderstaande tips kunnen voor extra beveiliging en privacy zorgen. Ze zijn gerangschikt van "zeker aan te raden" tot "paranoia".

Vermijd apps op de smartphone. Realiseer u dat apps toegang kunnen hebben tot uw foto's, camera, microfoon en deze gegevens ook kunnen doorzenden. Als u ze toch gebruikt, probeer dan de toegang tot uw persoonlijke gegevens te beperken.

Vermijd onversleutelde vormen van communicatie of gesloten encryptie protocollen zoals Skype en WhatsApp. Goede alternatieven zijn e-mail (PGP), XMPP, Ring.cx en Tox.

The Internet of Things (IoT): een koffiezet die verbonden is met het internet, een smart-tv met ingebouwde microfoon: het is nefast is voor uw privacy.

Beveilig uw wifi-netwerk met een sterk wachtwoord en WPA2. Verander het admin-wachtwoord van uw router. Maak alleen verbinding met een wifi-netwerk met WPA2-beveiliging en vermijd onversleutelde netwerken in hotels of openbare plaatsen. Routers kunnen malware bevatten in hun firmware. U kunt deze vervangen door DD-WRT of OpenWrt.

Veel zoekmachines bewaren uw zoekopdrachten en linken die aan u als persoon. Zoekmachines die u niet volgen zijn DuckDuckGo en StartPage.

Voor optimale beveiliging kunt u uw harde schijf versleutelen: wanneer uw laptop gestolen wordt, kunnen de gegevens niet gelezen worden zonder het wachtwoord. Een BIOS-wachtwoord beveiligt de gegevens op de harde schijf niet!

Virusscanners zijn niet zo effectief als verondersteld wordt. In veel gevallen maken ze uw pc trager en in sommige gevallen bevatten ze zelfs malware. Een veilig besturingssysteem met firewall voorkomt dat u kwetsbaar bent.

Maak back-ups en bewaar uw back-ups offline. Test of u de back-up achteraf nog kan herstellen. Externe harde schijven zijn hier ideaal voor.

Schakel Bluetooth, wifi en 3G/4G uit wanneer u het niet gebruikt. Scherm RFID-tags af. Geef voorkeur aan een bedraad toetsenbord.

Plak tape over uw webcam. Veel malware kan de camera in uw laptop, tablet of telefoon activeren zonder dat het cameralichtje brandt. Met een stukje karton ertussen voorkomt u dat er lijm op de lens van uw camera terechtkomt.

Geef voorkeur aan betalingen met cash boven betaalkaarten en kredietkaarten. Zo kan er geen profiel worden aangemaakt van uw aankopen.

Via de DNS-servers die u ingesteld heeft kan iemand te weten komen welke websites u bezoekt. Als u dit wil vermijden, kies dan een DNS-service die u vertrouwd of gebruik een VPN.

Overzicht

Info

Documentatie