De multinational Aether verdient miljoenen aan digitale misleiding. ‘Klanten’ krijgen op hun webshops ongevraagd online abonnementen aangesmeerd. Hoe werkt deze oplichting?
Trustpilot staat er vol mee: duizenden mensen klagen op de review-website dat ze ineens een abonnement afgesloten bleken te hebben, terwijl ze dat niet doorhadden en niet wilden. Allemaal werden ze slachtoffer van een bedrijf dat van verborgen kosten een lucratief verdienmodel maakte: Aether, een digitaal marketingbedrijf dat vanuit Dubai wereldwijd opereert en achter meer dan duizend webshops zit. Via verborgen abonnementskosten weten ze maandelijks geld van de creditcards van nietsvermoedende klanten af te schrijven.
„Het is echt professioneel”, zegt ethisch hacker Matthijs Koot, die de werkwijze van Aether op verzoek van NRC onderzocht. „Dit laat de verregaande professionalisering van ellende op het internet zien. Het komt in feite neer op georganiseerde misdaad.”
NRC en twintig internationale media ontleedden via gegevens van de Franse betalingsverwerker Wordline, die jaarlijks ruim 54 miljoen euro aan betalingen voor Aether verwerkte, zes bouwstenen van het succes van deze onzichtbare misleidingsmachine.
Webwinkels doen er alles aan om snel gevonden te worden via Google. Maar de webshops van Aether steken er juist tijd en energie in om níét gevonden te worden via zoekmachines. Meer dan de helft van Aethers webshops, die bijvoorbeeld film- en fitnessabonnementen aanbieden, wordt bewust uit de zoekresultaten van Google gehouden, blijkt uit onderzoek van NRC.
Consumenten worden op een andere manier naar de kassa gelokt, vooral via advertenties op sociale media. Wie doorklikt komt in de krochten van het internet terecht, op webpagina’s die zonder de doorverwijzing niet te vinden zijn. De advertenties worden ontworpen door onderaannemers van Aether, ‘affiliates’, slimme internetmarketeers die betaald krijgen per klik of per nieuwe abonnee die ze aandragen.
Het maakt Aether weinig uit hoe de consumenten op hun websites komen, zolang ze maar een abonnement ‘afsluiten’ – terwijl de klant vaak denkt dat hij iets heel anders koopt of krijgt. Advertenties gaan over loterijen (‘u heeft een iPhone gewonnen’) en allerlei producten die verkocht worden tegen prijzen die te mooi zijn om waar te zijn. Biedt daar maar eens weerstand tegen. De creditcardgegevens zijn snel ingevuld.
Maar die ‘winnaars’ blijken dan abonnementen te hebben afgesloten die een normaal mens nooit zou kopen: een digitaal fitness-abonnement voor zo’n 40 euro per maand, of een abonnement van 65 euro per maand dat toegang geeft tot een verzameling B-films – veel duurder dan een Netflix-abonnement. „Geen enkele klant gebruikt die diensten echt”, zegt een oud-medewerker van Aether die anoniem wil blijven.
De slechte, soms niet-geleverde producten in combinatie met de verborgen kosten resulteren in een universeel negatief oordeel van de webshops op Trustpilot. NRC bekeek er ruim 3.300, de gemiddelde score is 1,1. Lager dan 1 kan niet.
Als de nietsvermoedende klant op een advertentie klikt, komt hij eerst terecht op een onschuldig ogende pagina. Ze zijn er in allerlei talen: Frans, Nederlands, Duits, Deens. ‘Vul uw gegevens in om door te gaan’, staat er dan bijvoorbeeld op een Spaanse variant, die NRC en partners vonden. Voor de aankoop voltooid kan worden, moet de klant een account aanmaken.
Deze stappen doorlopen klanten op ‘dummydomeinen’, een soort digitale tussenstations zonder dat duidelijk is dat ze horen bij de website waar afgerekend moet worden. Soms waren er meerdere tussenstappen tussen een advertentie en de site waar de klant moet betalen, zegt een oud-medewerker van Aether. De sites ogen betrouwbaar en professioneel. Een groen lampje met „beveiligde verbinding” knippert vriendelijk.
Pas als de gegevens ingevuld zijn op de Spaanse pagina, wordt de consument doorgestuurd naar een site waar daadwerkelijk betaald moet worden. Een softwareprogramma bepaalt naar welke site de consument wordt doorverwezen. De browser die de consument gebruikt, zoals Google Chrome, Firefox of Safari, krijgt versleutelde instructies om naar de eindpagina te gaan waar de klant moet betalen. Hoogst ongebruikelijk, zegt onderzoeker Matthijs Koot. „Dat kan alleen bedoeld zijn om onder de radar te blijven. Het is maatwerk om controles en beveiligingssoftware in browsers te vermijden.”
Misleidende advertenties zijn tegen de spelregels van Google en Meta, het moederbedrijf van Facebook, WhatsApp en Instagram. Maar handhaven is lastig. Door de dummypagina’s hoeven oplichters alleen maar die pagina’s te vervangen als er gedoe komt: klagende klanten of banken die betalingen terugdraaien. Dummydomeinen zijn wegwerpproducten, vertellen oud-medewerkers van Aether. De sites houden het hooguit enkele weken tot een maand vol, voordat ze op de zwarte lijsten komen. „Dan komen er nieuwe.”
De eindpagina’s waar betaald moet worden hoeven niet gewijzigd te worden en kunnen jaren in de lucht blijven. Ze zijn verstopt aan het einde van een ondoorgrondelijk labyrint. Pas daar wordt het geld verdiend.
Slachtoffers klagen nergens gelezen te hebben over de verborgen abonnementen. Maar is dat zo? Het is lastig om dat met zekerheid te zeggen: wie weet wat de consument op weg naar de kassa op de vluchtige dummysites gezien heeft. Goed verstopt zijn de kleine lettertjes in ieder geval, zoals onderaan het formulier van een Spaanse tussenpagina.
Op de pagina waar de betaalgegevens ingevuld moeten worden, staat achter een groen slotje vermeld dat de creditcardinformatie beschermd is. Op het eerste gezicht valt er geen woord over de abonnementskosten. „Slechts drie dollar” staat er wel dikgedrukt, met asteriks erachter.
Ethisch hacker Koot ziet op de pagina meer misleidende trucs. Zo staat op een doorverwijspagina helemaal onderaan uitgelegd dat drie dagen na de eerste betaling het proefabonnement volautomatisch omgezet wordt naar een volwaardig abonnement. Het kadertje met de voorwaarden valt buiten het zicht van mobiele surfers. Pas in de laatste alinea van een stuk tekst over de retourvoorwaarden worden de verborgen voorwaarden genoemd. Het vakje om akkoord te gaan met de algemene voorwaarden is voor het gemak al automatisch aangevinkt. „Zulke bewuste ontwerpkeuzes moeten de consument zo snel mogelijk richting de kassa duwen”, zegt Koot.
De pagina’s zijn niet toevallig zo tot stand gekomen, vertelt een oud-medewerker van Aether. „Op de registratiepagina’s wordt volop getest. Het ontwerp is erop gericht zoveel mogelijk mensen binnen te hengelen.” Alleen de verleidelijkste varianten overleefden.
De betalingen aan de webwinkels lopen via banken, creditcardmaatschappijen en gecertificeerde betalingsverwerkers zoals het Franse Wordline – vergelijkbaar met het Nederlandse Adyen. Voor fraudeurs is dat een probleem: als de financiële partijen te veel klachten ontvangen of te veel betalingen teruggedraaid worden, kunnen zij ingrijpen. Zo hanteert creditcardmaatschappij Visa maxima voor het aantal transacties dat maandelijks teruggedraaid wordt of waarvan de webshopklant de juistheid betwist.
Financiële instellingen stellen ook eisen aan de pagina’s waarop consumenten hun bestelling afrekenen. Dat is geen probleem voor Aether, want de misleidende advertenties en de dummypagina’s krijgen de banken niet te zien, legt een oud-medewerker uit. Zelfs de betaalpagina wordt voor de banken aangepast. Een klant die via een advertentiecampagne op zo’n site belandt, ziet een betaalpagina vol misleidende patronen. Maar als iemand in zijn browser het webadres intypt en er niet via een advertentie belandt, ziet die site er heel anders uit. Dan staan de voorwaarden ineens keurig duidelijk genoemd. „De websites van de winkels die de banken zien zijn ontworpen om aan hun regels te voldoen”, legt een oud-medewerker uit. „Klanten komen alleen niet via die pagina’s binnen, maar via de marketingcampagnes waar de banken geen enkele weet van hebben.”
De webshops zijn op papier eigendom van talloze kleine bedrijfjes, vooral uit Cyprus of het Verenigd Koninkrijk. „De omzet en de transacties van ieder bedrijf worden bewust klein gehouden”, zegt een oud-werknemer. „Dat moet voorkomen dat ze opvallen – ieder bedrijf heeft verschillende websites en iedere website heeft zijn eigen betalingsrekeningen bij vele banken.”
Aether probeert ook te voorkomen dat er te veel klachten bij dezelfde bank terechtkomen of dat de fraude per bedrijf te hoog wordt. Dummypagina’s leiden klanten steeds naar verschillende webshops van Aether door, blijkt uit onderzoek van Koot. De Spaanse pagina stuurt betalers bijvoorbeeld door naar dibvambee24x.com, weseezoos.com, jabberfeed.com, hdplay247.com, inn2flix.com en tal van andere domeinen. Zo kan Aether sturen waar de omzetten, klachten en fraudemeldingen uiteindelijk neerslaan.
Als alle omzetten van de bedrijfjes bij elkaar worden opgeteld, vallen de betwiste en teruggeëiste betalingen aan de webshops van Aether wel op. In een maand in 2023 bleek zo’n 15 procent van alle Aether-transacties te worden betwist, blijkt uit de verwerkte Worldline-transacties uit die maand, waar NRC inzage in had. Deze omstreden transacties hebben een waarde van 1 miljoen euro, op een omzet van ruim 6,4 miljoen.
Worldine hielp Aether ook misleiding verborgen te houden. De Franse betalingsverwerker wist wél dat de kleinere bedrijven onderdeel zijn van een netwerk, maar hield die kennis achter voor externe partijen. Risicomanagers van Worldline werd geleerd het bestaan van groepen als Aether te verzwijgen richting creditcardbedrijven en controlerende accountants, staat in een intern document uit 2023.
Een klassieke oplichter verdwijnt na de betaling. De webshops van Aether niet. Integendeel: wie klaagt over de misleiding, krijgt netjes antwoord van de klantenservice. Die werkt 24/7, reageert via e-mail en livechat, en kan in veel gevallen een deel van het geld terugstorten.
Klantenservicemedewerkers zijn geïnstrueerd om na een klacht het abonnement direct op te zeggen, maar al gemaakte abonnementskosten niet zomaar terug te storten. In standaard-e-mails, ingezien door NRC, benadrukt Aether dat klanten zelf akkoord zijn gegaan met de voorwaarden. „Als iemand klaagt, kunnen we vaak een deel van het geld terugstorten,” zegt een oud-klantenservicemedewerker van Aether. „Maximaal drie maanden. Hoger moest met goedkeuring van boven.” In de nauwkeurig uitgewerkte scripts staat dan dat het „een eenmalige uitzondering” is.
De klantenservice werkt als ‘escalatiebuffer’. Iedere klacht die daar afgekocht wordt, levert winst op: er is betaald, zonder juridische nasleep, zonder dat de bank meer vragen stelt. Aether heeft een speciale afdeling en een huisadvocaat die klachten en fraudemeldingen nauwlettend in de gaten houden, zegt een oud-medewerker. Campagnes die veel klachten opleveren worden desnoods gestaakt of gepauzeerd. Soms worden alle transacties in één land tijdelijk stilgelegd. „Alles om de banken tevreden te houden.”
De brievenbusbedrijven worden gerund door katvangers, mensen die alleen op papier eigenaar van de zaak zijn. Zo staat een verzameling dating- en sekssites van Aether met een omzet van zo’n 2,7 miljoen euro op naam van een geestelijk gezondheidswerker uit het Verenigd Koninkrijk, een hippe fittnesssite blijkt eigendom van een Britse glazenwasser. Het Cypriotische bedrijfje Syntevy Limited – de organisatie achter de film- en gamingsites inn2flix.com en weseezoos.com – wordt bestuurd door een 60-jarige vrouw uit Griekenland.
De katvangers lopen de juridische risico’s voor de misleiding, terwijl het gros van de inkomsten weggesluisd wordt. Van de 370.000 euro omzet van Syntevy blijft uiteindelijk 4.320 euro winst over, blijkt uit de jaarrekening over 2023. De rest van de inkomsten gaan ‘op’ aan vage verkoopposten en administratieve lasten die door weer andere bedrijfjes in rekening worden gebracht. Voor de Griekse directrice blijft 1.000 euro over.
De katvangers, brievenbusbedrijven en betalingsverwerkers maken Aether bijna onaantastbaar. Als een bedrijf of website omvalt, staat de volgende al klaar in de coulissen, zeggen oud-medewerkers. „Aether heeft gemiddeld zo’n 200 à 300 bedrijfjes. Nieuwe bedrijven worden regelmatig aangemaakt, oude bedrijven worden gesloten, zodat er constant gerouleerd kan worden.”
Aether is Wordline als betalingsverwerker inmiddels kwijtgeraakt, blijkt uit interne stukken. In een poging schoon schip te maken, zou Wordline alle webshops van Aether er in het voorjaar van 2024 uitgeknikkerd hebben. Een jaar eerder had de Duitse toezichthouder op de financiële markten hard ingegrepen bij de Duitse dochter van Wordline wegens verdenkingen van witwassen.
Van ruim negenhonderd sites van Aether staat de betaalpagina nog online, zag Koot. „Die zijn nog steeds live.” Eén bank of betalingsverwerker die stopt, maakt bij Aether weinig indruk, zegt een oud-medewerker. „We gebruiken zoveel sites, bedrijven en banken. Er is altijd wel een andere beschikbaar.”
Lynne Brouwer en Pepijn Barnard
Dit artikel over Aether komt voort uit een gezamenlijk onderzoek van NRC en twintig internationale media naar data van betalingsdienst Worldline. Dit onderzoek, ‘Dirty Payments’, is gecoördineerd door het netwerk European Investigative Collaborations (EIC).
Deze reconstructie kwam tot stand na uitvoerig onderzoek naar Aether en aan haar verbonden bedrijven. De auteurs spraken negen werknemers en ex-werknemers van het concern. Ze maakten gebruik van gezichtsherkenningssoftware, lazen jaarverslagen, statuten, en kadastrale documenten. Ze analyseerden vertrouwelijke data en deden met deskundigen technisch onderzoek naar de websites. Ze bezochten ook kantoren in Amsterdam en Dubai.
Lees alle stukken hier
Consumenten overal ter wereld klaagden over sites uit het Aether-imperium. Hun ervaringen zijn vrijwel identiek, blijkt uit onderzoek van NRC. Ze klikten op een advertentie, kochten een product en zaten ineens vast aan een abonnement. Lees hier wat ze overkwam.
Source: NRC