Bunq-klanten via bankhelpdeskfraude voor 1,6 miljoen euro bestolen
Een kleine dertig klanten van bunq zijn de afgelopen maanden via bankhelpdeskfraude voor een bedrag van ruim 1,6 miljoen euro bestolen en het grootste deel van de slachtoffers werd niet volledig door de bank schadeloos gesteld. Dat melden de NOS en NRC op basis van onderzoek. De schade door bankhelpdeskfraude die bunq voor heel 2023 rapporteerde bedroeg 1,5 miljoen euro.
De oplichters achter de fraude versturen e-mails of sms-berichten die van bunq afkomstig lijken en waarin wordt verzocht de meegestuurde link te openen. Deze link wijst naar een phishingsite. Slachtoffers die op de phishingsite inloggen worden daarna door de oplichters gebeld. Die weten het slachtoffer zover te krijgen om hun geld zelf over te maken, of toegangscodes te geven. Ook komt het voor dat slachtoffers op verzoek van de oplichters hun gezicht scannen om transacties te verifiëren.
Bij bunq is het met één klik mogelijk om een spaarrekening in een betaalrekening om te zetten. Ook kent bunq in tegenstelling tot andere banken geen limiet voor overschrijvingen. Andere banken hanteren daglimieten en wachttijden om die te verhogen. Banken hebben een 'coulancekader' afgesproken om slachtoffers van bankhelpdeskfraude te vergoeden. Het vergoeden gebeurt alleen als er aan bepaalde voorwaarden is voldaan en slachtoffers niet 'grof nalatig' hebben gehandeld.
Vorig jaar werden tienduizend Nederlanders slachtoffer van bankhelpdeskfraude, met een schadebedrag van ruim 28 miljoen euro. Meer dan drieduizend kregen de schade niet vergoed. NRC stelt dat bunq minder toeschietelijk is dan andere banken bij het vergoeden van de schade. Naar aanleiding van de berichtgeving is bunq op het eigen forum met een reactie gekomen wat het doet om klanten te beschermen. Klanten hebben daarnaast ook suggesties gedaan om social engineering-aanvallen te voorkomen.
Het zou beter zijn als de banken onderzoek doen naar hun eigen rol in het opzetten van een veilig systeem waarin individuele menselijke fouten niet catastrofaal zijn. Dat begint in de eerste plaats met het erkennen van het feit dat mensen fouten maken, in plaats van dit altijd zien als 'grof nalatig'. Daarna komt de stap om hele systeem te analyseren en nagaan hoe die menselijke fouten beter opgevangen hadden kunnen worden (een werkend SOS nummer, etc.) Tenslotte komt de stap waarbij het systeem 'safe-by-design' gemaakt wordt en dit soort phishing en social engineering aanvallen helemaal niet meer mogelijk zijn.
Hopelijk ziet Bunq in dat ze nog drie grote stappen te maken hebben.
Of ze komen 'm met de pas tegelijk ophalen.
Zonder het voor banken op te nemen mag je nu toch wel aannemen dat deze fraude bekend is, of begrijp ik hier iets niet?
Omdat dat voor geen meter helpt tegen mensen die zich door "een helpdesk" laten vertellen wat ze moeten doen met hun veilige app, hun veilige rsa-token, hun veilige hardware authenticator-met-bankpas, hun veilige openbsd-in-cubes-banking system, of het zoveelste stukje authenticatie hardware zoals een yubikey .
Met een goed verhaal gaan ze papiergeld in een envelop stoppen en sturen naar het adres wat ze opkrijgen !
(geen grap - er zijn die dat gedaan hebben).
Wat is het toch, met technerds die denken dat dit een technisch probleem is dat met een hardware opgelost kan worden ?
Ik krijg het idee dat de Yubikey de PGP van nu is - en is dat niet echt een compliment, noch hoopvol.
Bunq is geen grote bank. Het is hooguit een bank die veel reclame maakt en daardoor groot lijkt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
