Pas op voor BuyWay-kredietfraude: tientallen consumenten zijn al opgelicht
In enkele maanden tijd worden onze juridische dienst en ons callcenter overspoeld met klachten over kredietfraude met BuyWay-accounts via Itsme. Het verhaal is altijd hetzelfde: oplichting van consumenten met uitgekiende technieken, gebaseerd op identiteitsdiefstal en technologische goedgelovigheid. We leggen uit hoe de oplichters in hun werk gaan en geven je tips om je ertegen te beschermen.
Wat is BuyWay?
BuyWay is een kredietmaatschappij die samenwerkt met retailbedrijven zoals Mediamarkt, Fnac en Ikea. Klanten van die winkels kunnen een product kopen op afbetaling, waarbij de retailer fungeert als tussenpersoon voor het krediet dat wordt afgesloten tussen de klant en BuyWay.
Klanten maken een account bij BuyWay, waarop ze online en via een app kunnen inloggen. Via dat account kunnen ze de afbetaling opvolgen en eventueel nieuwe kredieten aanvragen. Inloggen gaat onder meer via Itsme.
Terug naar boven
Wat is het probleem met BuyWay?
Sinds begin 2025 krijgen we bij Testaankoop tal van klachten van consumenten die slachtoffer werden van kredietfraude via BuyWay. Een deel van hen was al klant bij BuyWay, anderen helemaal niet.
De gedupeerden ontdekken in hun account dat er een nieuw krediet (soms zelfs meerdere!) is afgesloten, dat zij dus moeten afbetalen. Nochtans hebben ze hier nooit mee ingestemd. De oplichter is erin geslaagd om in te breken in hun account en een nieuwe kredietaanvraag te doen, die dan ook door BuyWay werd goedgekeurd.
Dit toont aan dat 2 zaken mislopen:
- Identificatie van het slachtoffer is verkeerd gebeurd.
- De verificatie van het krediet is gelukt zonder controle bij de eigenlijke houder van het account.
Hoe gaat de fraude met BuyWay in haar werk?
1. De oplichter doet zich voor als het slachtoffer, en steelt m.a.w. zijn identiteit
Oplichters slagen er op verschillende manieren in zich te identificeren als de persoon met het BuyWay account.
De meest voorkomende tactiek is dat de oplichter zich voordoet als een medewerker van Itsme, het slachtoffer opbelt en vraagt om zijn account bij BuyWay te verifieren. De "medewerker" kent de naam, het gsm-nummer en het e-mailadres van het slachtoffer, waardoor zijn vraag legitiem overkomt. Op vraag van de valse medewerker moet het slachtoffer een melding van Itsme aanvaarden, maar daarmee bevestigt hij de inlogpoging van de oplichter op zijn account. Vanaf dan kan de oplichter in het account van het slachtoffer een nieuw krediet aanvragen.
Er zijn ook meldingen van personen wiens identiteit werkelijk werd gestolen, zonder oplichting via Itsme. Het gaat bijvoorbeeld om slachtoffers wiens kredietkaart van BuyWay, inclusief codes, wel werd verstuurd maar nooit is toegekomen bij het slachtoffer. De kaart werd door oplichters wel gebruikt om krediet af te sluiten.
Hoe de oplichters aan de gegevens geraken van BuyWay klanten, is nog altijd niet duidelijk.
2. De oplichter laat zijn krediet goedkeuren door het slachtoffer
De oplichter vraagt dan een nieuw krediet aan. Onder de ons gesignaleerde gevallen gebeurde dat het vaakst bij Mediamarkt. Hij laadt spullen in het winkelmandje ter waarde van om en bij de 2 500 euro en vraagt de goedkeuring aan.
In recente gevallen moet het slachtoffer voor deze aanvraag ook een code doorgeven aan de oplichter. De aanvraag van een krediet moet namelijk bevestigd worden via sms. De sms vertelt echter niet dat je met de code een nieuwe kredietaanvraag bevestigt, maar bevat enkel een "verificatiecode", wat dus nog niet meteen argwaan wekt bij het slachtoffer. Die denkt nog altijd dat hij zijn identiteit aan het bevestigen is bij Itsme.
Opvallend: in oudere gevallen had de oplichter deze code niet nodig van het slachtoffer, omdat hij op het BuyWay-account het gsm-nummer zonder problemen kon wijzigen. Zo kon hij de bevestigingscode voor de kredietaanvraag meteen naar zichzelf laten sturen.
Alvorens een kredietaanvraag goed te keuren, moet de kredietmaatschappij BuyWay nagaan of de aanvrager kredietwaardig is. Dat gebeurt gewoonlijk via een vragenlijst en een check bij de Centrale voor Kredieten aan Particulieren (CKP). Deze centrale registreert alle lopende kredieten, waardoor kan worden bepaald of een nieuw krediet mogelijk is.
BuyWay beschikt over een interne procedure voor het controleren van de kredietwaardigheid, maar voor aanvragen onder de 3 000 euro baseert BuyWay zich louter op eenzijdig aangeleverde gegevens door de aanvrager en een check bij de CKP. Een krediet van 2 500 euro wordt dus snel goedgekeurd.
Pas bij goedkeuring krijgt het slachtoffer een mail met het nieuwe kredietcontract. Op dat moment is het echter te laat.
Opvallend: ook hier kon de oplichter tot een paar maand geleden het contract naar zijn eigen e-mailadres laten sturen, door ook het e-mailadres in het BuyWay-account aan te passen naar zijn eigen e-mailadres. Dan ontdekte het slachtoffer de oplichting pas wanneer hij een volgende keer in zijn BuyWay-account ging kijken.
Terug naar bovenOpgelichte consumenten soms al klant bij BuyWay, soms ook niet
Onder de slachtoffers van de kredietfraude vinden we twee consumentenprofielen:
1) Klanten die op het moment van de oplichting al een Buy Way-account of -kaart hadden. Tot op heden zijn er een dertigtal gevallen bij ons gemeld:
- Leden van Testaankoop zijn het slachtoffer geworden van frauduleuze kredietopeningen na phishing-sms'jes of -mails, na de verplichte registratie van hun kaart in Google Pay of via ongewenste abonnementen.
- Sommigen hebben zelfs transacties geconstateerd terwijl ze de kaart nooit fysiek ontvangen hadden, wat doet vermoeden dat er sprake is van onderschepping van post of hacking.
2) Consumenten die op het moment van de oplichting nog geen BuyWay-account hadden. Die personen zijn het slachtoffer geworden van identiteitsfraude omdat hun persoonlijke gegevens zonder hun medeweten zijn gebruikt om kredieten aan te gaan. Tot op heden zijn er bij Testaankoop een twintigtal dossiers geopend voor dit type zwendel, waaronder:
- Fraude via Itsme: er zijn verschillende kredieten (vaak rond de 2500 euro) online afgesloten via MediaMarkt of Fnac met validatie door Itsme. De slachtoffers hebben nooit een financiering ondertekend of aangevraagd. Ze ontdekten de fraude via de post, een aanmaning of een bankcontrole.
- Fraude zonder Itsme, waarbij toch persoonlijke gegevens zijn gebruikt.
Wat doet Testaankoop om deze fraude te bestrijden?
Gezien de hoeveelheid klachten (meer dan 80) schreef Testaankoop BuyWay aan met de vraag om de slachtoffers te vergoeden en de procedure aan te scherpen.
BuyWay weigerde terugbetalingen en aanpassingen, en verwijst naar het feit dat Itsme een veilige manier van identificatie is. Een nieuw schrijven van onze kant, waarin we die visie weerleggen, bleef tot op vandaag onbeantwoord.
Daarom schreef Testaankoop ook de FOD Economie aan. Die meldde ons dat er bij hen geen enkele klacht was binnengekomen over het bedrijf, maar dat ze wel geïnteresseerd is in de zaak. Ze zijn op basis van onze klachten een onderzoek gestart. Ook de FSMA, de toezichthouder voor financiële bedrijven, is op de hoogte gebracht.
Ondertussen kregen we ook een zeer uitgebreid advies van de ombudsdienst Ombudsfin in één van onze dossiers. Die geeft ons volledig gelijk, en vraagt dat BuyWay de consument terugbetaalt voor de frauduleus aangegane kredieten. Zeker de veel te summiere controle van kredietwaardigheid door BuyWay wordt door Ombudsfin aan de kaak gesteld: “Même si le montant du crédit sollicité pouvait justifier un devoir de vérification limité, celui-ci n’est pas nul", luidt het. (vertaald: Ook al zou het gevraagde kredietbedrag slechts een beperkte controleplicht rechtvaardigen, deze is niet nihil.)
Tot op heden lijkt BuyWay daar niet op in te gaan.
Terug naar boven
Wat moet je doen om niet in de val te trappen?
We kunnen het niet vaak genoeg herhalen: Itsme zal je NOOIT opbellen om je te vragen een transactie te bevestigen, net zomin als je bank trouwens. Oplichters worden steeds inventiever en sluwer om hun doel te bereiken. En er zijn steeds meer oplichtingspraktijken.
Wees extra waakzaam als je door een bedrijf waarmee je in het verleden contact hebt gehad, op de hoogte bent gebracht van een beveiligingslek dat je gegevens in gevaar zou kunnen hebben gebracht. In een dergelijke situatie is het namelijk gemakkelijker om basisgegevens als je naam, voornaam, e-mailadres en telefoonnummer te achterhalen. Sommige Orange-klanten die getroffen waren door het datalek daar, zijn op dezelfde manier opgelicht als bij de BuyWay-kredietfraude.
Ontdek al onze tips over phishing en hoe je je ertegen kunt beschermen in dit dossier.
Wat is phishing en wat doe je ertegen?
Wat als je het slachtoffer bent geworden van deze BuyWay-kredietfraude?
Aangezien de FOD Economie nog steeds niet op de hoogte lijkt te zijn van deze zaak, is het van kapitaal belang dat nieuwe slachtoffers hun situatie melden bij de bevoegde autoriteiten. Je kunt ook een klacht indienen op de daarvoor bestemde pagina op onze website.
Dit artikel is geschreven met financiële steun van de Europese Unie in het kader van het Cicle X-project. De geuite meningen zijn uitsluitend die van de auteur en geven niet noodzakelijkerwijs het standpunt van de Europese Unie of EISMEA weer. De Europese Unie en de financierende instantie kunnen niet aansprakelijk worden gesteld.
