bunq is niet echt een goede organisatie. heb een poosje een rekening gehad om creditcard betalingen te kunnen doen. Mijn rekening (gelukkig stond er maar een paar cent op) is geblokkeerd na dat ik waarschuwde dat ik een SMS phishingbericht via het zelfde telefoon nummer had gehad die mijn 2fa codes stuurde om in te kunnen loggen. Zelf heb ik niet op de link geklikt. Maar om een rekening al te blokkeren wanneer iemand de organisatie waarschuwt dat via nummer spoofing SMSen verstuurd worden laat zien dat ze niet veel van de zaken af weten.

'Fraude met Bunq-bankrekeningen lijkt vaker voor te komen dan bij andere banken.'
Zou het kunnen zijn dat de klanten van Bunq wat naïever zijn? Welke klanten hebben zich laten 'verleiden' te reageren op een sms/email?

Als je reageert op een email of een SMS of een telefoontje van de bank dan mag je toch in deze tijd wel verwachten dat je of heel goedgelovig bent of in een bubble leeft.

Het zullen geen hoog bejaarden zijn geweest die onder de gedupeerden vallen.

In dit geval komt de fout van zowel klant als van de bank, maar banken zouden beter moeten weten...
Ik zou zeggen; stel uw klanten schadeloos, leer er van en verbeter de beveiliging voordat het opnieuw gebeurd.
Nouja, ze doen tenminste niet aan foute wapenhandel...

Ook wel bekend als: de pot verwijt de ketel...

Iedereen blèrt over privacy, maar stellen wel een bank verantwoordelijk voor het feit, dat zij zelf alles fout doen. Maar dan moet een bank WEL continue jouw rekening in de gaten houden, dus dag privacy.

Nee, Bunq is waarschijnlijk vaker doelwit om er geen limieten zitten op overboekingen waardoor het mogelijk is in korte tijd meerdere grote bedragen over te schrijven. Daarnaast is de klantenservice waardeloos waardoor er zeer langzaam geacteerd wordt bij dit soort zaken.

Als ik de website van Bunq bekijk dan valt me op dat ze zich "bank of The Free" noemen, dat hun doel is "om door het wegnemen van de rompslomp van geldadministratie go-getters in staat te stellen". In staat waartoe zijn ze vergeten onderdeel te maken van de zin, maar dat past wel in het beeld ;-).

Mensen die niet opgehouden willen worden door rompslomp die willen geen lastige beveiligingsmaatregelen, die willen niet dat ze limieten moeten verhogen en daar nog eens vier uur op moeten wachten, die willen wat ze willen nu meteen kunnen doen en niet teveel opgehouden worden door vertragingen en nadenken over mitsen en maren.

Ik kwam in de jaren '90, toen die dingen begonnen te verschijnen, mensen tegen die een Digipass vreselijk vonden. Het was omslachtig, ze wilden het niet bij zich moeten hebben als ze overboekingen deden in een internetcafé (en dat deden ze natuurlijk), en ze waren ervan overtuigd dat het allemaal veilig was omdat hun bank de schade wel zou vergoeden als het misging. Ik heb toen gemerkt dat als ik mensen die er zo in stonden nieuws onder hun neus drukte waaruit bleek dat hun bank in de praktijk helemaal niet zo scheutig was met het vergoeden van dat soort schade een deel van hen dat niet wilde weten en optimistisch bleef denken wat ze al dachten.

Aan dat slag mensen moet ik sterk denken als ik de website van Bunq bekijk, dat lijkt precies de groep te zijn waar Bunq zich op richt.

Zijn die mensen naïef? Voor een deel zullen ze dat zeker zijn. Voor een deel zijn het misschien mensen die een hoog risiconiveau accepteren en daarbij volledig snappen waar ze mee bezig zijn. Maar persoonlijk vind ik het moeilijk om te begrijpen waarom je zelfs niet een klein beetje moeite zou willen doen om een grote smak geld tegen diefstal te beschermen, op mij komt dat behoorlijk naïef over.

Hoe dan ook kan ik me goed voorstellen dat mensen die sterk gericht zijn op snel doen en daarbij teveel nadenken maar hinderlijk vinden Bunq aantrekkelijk zullen vinden terwijl juist zij vanuit die houding kwetsbaar zijn voor dit soort fraude.

Wat heeft Bunq dan voor verantwoordelijkheid? Ik vind dat een lastige. Ja, de positiviteit spettert van hun website af, dat zal deze mensen aanspreken maar slaat iets heel belangrijks over. Maar het is ook je eigen verantwoordelijkheid om een keer te leren dat je hard op je bek kan gaan als je niet zorgvuldig wilt zijn met belangrijke dingen; je kan dus ook stellen dat Bunq ze precies geeft wat ze zoeken en niet het handje vast hoeft te houden van mensen die het alleen maar hinderlijk vinden als er handjes worden vastgehouden.

Ik denk dat dit wel bij de rechter gaat belanden, en ben benieuwd wat die ervan vindt.

De eerste stap wordt toch gezet door de klant die op een link klinkt, of zich anderszins laat verleiden te reageren op een fauduleus bericht. Ik heb zelf (voormalig klant bij Bunq) ongeveer 10 emails gekregen van zogenaamd Bunq om te reageren. Ook van de belastingdienst, DHL, en andere instanties die mij manen om geld te betalen. Wellicht kan Bunq wel veranderingen doorvoeren, maar zolang klanten blijven klikken op fake links en alle gegevens invoeren of afgeven kan geen enkel systeem beschermen.

Bunq lijkt gelijk te hebben. Klant maakt er een potje van. Bank mag bloeden. De onredelijkheid gaat steeds verder.

Bij mijn melding over phising kreeg ik ruim een maand later (pas) een reactie. Recent kreeg ik rare berichten in de app (vanuit 'support') die mij allerlei documenten vroegen te overleggen. Het leek me op voorbereiding voor een hackingpoging van binnenuit. Daarvan heb ik ook een 'security' melding gedaan. Weer een week geen reactie. Rekening opgeheven.

Wat een hoop mensen die hier afgeven op de slachtoffers. Vinden jullie dan ook dat een slachtoffer van een zakkenroller gewoon geen portemonnee bij zich had moeten hebben? Dat een slachtoffer van verkrachting zich maar netter had moeten kleden?

Lees de verhalen eens voor je een oordeel geeft! Ja die slachtoffers hebben op een link geklikt, maar Bunq heeft z'n beveiliging zo slecht op orde dat er honderden gevallen zijn van mensen die direct nadat ze een rekening openen 'ineens' phishing mails ontvangen van 'Bunq' terwijl dat daarvoor nooit gebeurde.

Mensen maken soms fouten. Vaak hebben ze dat zelf snel genoeg door en herstellen ze die fout door contact op te nemen met de bank, maar bij Bunq kan dat dus niet. Naast dat Bunq klanten dus vogelvrij zijn door de slechte beveiliging zijn ze na één fout ook meteen alles kwijt. Dat is nérgens anders zo. Alleen Bunq geeft zo weinig prioriteit aan beveiliging dat hun klanten, vaak nog eens mensen die behoorlijk op de hoogte zijn van IT ontwikkelingen, 5x zo vaak slachtoffer zijn en dan ook nog eens veel meer geld kwijt zijn. Natuurlijk valt de klanten wat te verwijten, maar dat is zeker niet de hoofdoorzaak hier.

Het één neemt het ander niet weg, men kan ook goede beveiliging inbouwen zonder privacy in gevaar te brengen, in de cryptowereld bestaat dat genoeg (monero, z-cash) maar inderdaad, of ze dat ook doen is me een raadsel...

Verder kun je de indruk krijgen dat bunq de 'verdachte transactie monitoring' nogal in de kinderschoenen heeft staan.

De roepen heel hard dat ze nieuw zijn en dat helemaal AI automatisch doen en dat DNB niet wil snappen dat een fintech zo anders is.
https://www.riskcompliance.nl/news/bunq-versus-de-nederlandsche-bank-een-beschouwing-over-de-inzet-van-internet-technologie-in-de-financiele-sector/
https://www.security.nl/posting/771459/Bunq+wint+rechtszaak+over+inzet+kunstmatige+intelligentie+bij+fraudebestrijding

Nu gaat Wft vooral over (foute)clienten en witwassen , en iets minder over fraude detectie .

Maar de bekende grootbanken hebben _reusachtige_ afdelingen 'monitoring' moeten optuigen .
Toch wel opmerkelijk dat het bankje dat dat vooral 'statistisch' wil doen er dan bij fraude zo hoog uitspringt.

Bunq heeft nu ~500 FTE totaal , maar claimt (internationaal) 11M clienten te hebben.
Slechts enkele jaren terug was het aantal geschatte klanten 300.000 .

Ik kreeg had dit dus via de SMS 2fa 3 jaar geleden. Dit gemeld en mijn rekening met gelukkig maar 3 cent werd meteen geblokkeerd. Bij bunq maken ze er gewoon een potje van.

Mensen zijn feilbaar, en dat los je in de verste verte niet volledig op door mensen te vertellen dat ze beter op moeten letten. In centrale computersystemen kunnen voorzieningen worden geïmplementeerd die in een klap al die feilbare klanten een hoop extra bescherming geven. Dat doen veel banken ook met lage daglimieten en een vertraging van 4 uur op het verhogen ervan.

Maar Bunq richt zich op mensen die niet door al dat geneuzel gehinderd willen worden die die centrale beschermingsconstructies opleveren, wat een argument is waarom hun hogere risico verdedigbaar is. Maar ze laten voor zover ik zie wel na om nieuwe klanten daar uitdrukkelijk voor te waarschuwen, hun website lijkt een groot positief juichverhaal over alleen maar voordelen te zijn zonder duidelijk te maken dat daar ook risico's aan kleven die behoorlijk heftig kunnen uitpakken. En dat is in mijn ogen weer een argument om wel degelijk ook verantwoordelijkheid hiervoor bij Bunq te leggen.

Bunq is natuurlijk beslist niet het enige bedrijf dat alleen de positieve kant van het verhaal vertelt en de negatieve kant onder het kleed veegt. Persoonlijk ben ik nooit gecharmeerd geweest van hoe marketing aan halve waarheden doet die net zo misleidend kunnen zijn als leugens. Bij banken speelt nog mee dat ze wettelijk een zorgplicht hebben omdat ze geen gewone bedrijven zijn maar de dragers van het financiële systeem.

Maar waarom ben JIJ dan aansprakelijk voor de schade van die zakkenroller ?
Omdat je de jas verkocht waar de portemonee inzit ?



Gevolg is niet altijd oorzaak.
post hoc ergo proper hoc is een drogredenering.

Ik krijg 'opeens' ook bunq phishing en sms-ing, alleen ik heb GEEN bunq rekening geopend.

Als er weer eens een nieuwe batch phishing uitgaat treffen die natuurlijk (ook) verse bunq rekening houders.

Nee, maar nu wordt mensen voorgespiegeld dat het allemaal zo veilig is, in plaats dat ze met het angstzweet in hun handen hun bankzaken moeten doen, zeker als het om grote bedragen gaat. Net zoals vroeger wanneer je tienduizend gulden op zak had om een auto te betalen...

Dat zijn achteraf-bedachte beschermingen tegen scenario's waar al misbruik van gemaakt is.
Op een gegeven moment vinden de criminelen een andere methode en dan moet je DAAR weer wat op verzinnen.
Bovendien is er altijd weer de afweging tussen "klant moet gemakkelijk en zonder gezeur zijn overschrijvingen kunnen doen" en "klant moet beschermd worden". Die 4 uur zou eigenlijk 24 uur of 3x24 uur moeten zijn maar dan gaan er weer klanten piepen, dus is men tot dat compromis van 4 uur gekomen waarbij een geduldige crimineel alsnog die limiet kan verhogen pinnen de periode dat het slachtoffer nog niks door heeft of de bank niet kan bereiken.

Zo zijn mensen nu eenmaal. Ze willen zelf de vrijheid en de verantwoordelijkheid. Maar als het mis gaat, proberen ze de verantwoordelijkheid af te schuiven.

Als ik de berichtgeving in het journaal hoorde, hadden ze vroeger wel een wachttijd voor aanpassing van limieten. Dat hebben ze later verkort en nog later helemaal afgeschaft. Dat zullen ze niet zomaar gedaan hebben, maar omdat hun klanten dat vroegen. Ze profileren zich nu eenmaal als een bank waar je zelf de controle over al je betalingen hebt. Dan moet je niet gaan klagen dat de bank verzuimd heeft zich met jouw uitgaven te bemoeien.

Stunq voor Dunq zouden wij zeggen.

Er wordt amper ingegaan op de mensen die vertellen dat zij een probleem of veiligheidsrisico bij bunq hebben aangekaart en direct de rekening geblokkeerd krijgen als bedankje. Dat zaakje stinkt toch echt aan alle kanten. Hoe kan dit ooit gebeuren?

Zo zijn sommige mensen nu eenmaal. Niet allemaal, gelukkig. Maar Bunq lijkt zich nou net te richten op mensen die er zo in staan.

Dat ze die wachttijd hebben gehad hoorde ik gisteravond voor het eerst, ook op tv. Bunq-topman Ali Niknam zat bij Sophie en Jeroen en vertelde dat ze die wachttijd vier jaar geleden hebben ingevoerd en na een paar maanden weer hebben afgeschaft. Het probleem is dat de oplichter doet simpelweg alsof die belt omdat er iets mogelijk iets mis is met de rekening, even wat instellingen doorneemt, en dan aankondigt om, hoewel die dat eigenlijk niet mag, de volgende dag voor de zekerheid nog even terug te bellen om zeker te weten dat alles goed is. En dan is de limiet opgeheven, de wachttijd voorbij en gaat het alsnog mis.

Daarom is Bunq er weer mee gestopt, zei hij, het werkte niet. Ze zijn momenteel bezig een ander soort vertraging in te bouwen. Mensen komen pas in actie op het moment dat ze de afboekingen van de fraudeurs daadwerkelijk zien. Het idee is om die afboeking dus wel direct te laten zien maar ze pas met vertraging uit te voeren, zodat de klant hopelijk wel de rekening blokkeert voordat de schade een feit is. Ik weet niet hoe lang die vertraging wordt.

Sophie & Jeroen liet beelden zien van een vrouw die in Oranjezomer van SBS6 vertelde hoe het was misgegaan. Ze had een SMS gekregen, zogenaamd van Bunq, die zei dat ze verplicht was haar nieuwe beveiliging te activeren via een link die er best echt uit zag als je negeerde dat hij helemaal niet van Bunq was. Ze volgde die link, kwam op een goede kopie van de Bunq-website aan, probeerde daar twee keer in te loggen en dat lukte niet. Daarmee hadden de oplichters haar inloggegevens bemachtigd en bevestigd. Vervolgens werd ze direct gebeld door iemand die zich voordeed als een Bunq-medewerker, die vroeg of ze geld overboekte naar Turkije (nee, natuurlijk), die zei dat ze slachtoffer was van fraude, blijf aan de lijn, we gaan u helpen. Zij vroeg zich wel af of dit wel klopte, maar ze hadden een naam gebruikt van iemand die kennelijk echt op de website van Bunq te vinden is, ze dacht: ik geef geen gegevens, dus fijn, ik word geholpen. Ze logde ondertussen wel in op haar telefoon, zag bedragen afgeschreven worden, riep tegen de "medewerker " "wat ben je aan het doen!", en de verbinding werd verbroken. Maar de schade was geschied.

Niknam wees erop dat er nog een paar dingen waren gebeurd die ze niet vertelde: klanten krijgen een waarschuwings-email dat iemand inlogt, met een link om de rekening direct te blokkeren. Ook wordt er een gezichtsscan gedaan, dus daar is deze klant toe verleid, met een waarschuwing erbij om op te hangen als iemand belt die zegt van Bunq te zijn, en weer die blokkeer-link. En ze zocht de medewerker op de website van Bunq op, en ook daarbij staat een waarschuwing dat ze je nooit bellen.

Niknam wijst op dingen die in het verhaal van die mevrouw ontbreken terwijl ze gebeurd moeten zijn, maar er valt ook wel wat op hem en Bunq af te dingen. Niknam wordt erop gewezen dat je Bunq niet kan bellen. Hij heeft het als reactie daarop alleen maar over dat Bunq de klant niet zal bellen en dat de reden daarvoor is dat de meeste scams per telefoon gaan. Dat is alleen niet hetzelfde: dat Bunq de klant nooit belt hoeft echt niet de betekenen dat de klant Bunq niet kan bellen. Mij valt verder op dat 2FA niet ter sprake komt. Er is gewoon een techniek waarmee je kan voorkomen dat er al afboekingen plaats kunnen vinden voordat de klant ze ziet, en een volkomen gangbare ook die zo'n beetje elke bank behalve Bunq toepast. En Niknam probeerde nog een afleidingsmanoeuvre: hij begon uit te weiden over scammers die na de oplichting nog eens slachtoffers bellen en doen alsof ze de AFM zijn en de slachtoffers er een tweede keer inluizen (wat op zich een interessant gegeven is), maar dat kapte Jeroen Pauw snel af.

Verder benadrukte Nikham dat van de 10.000 phishing-gevallen in Nederland vorig jaar er maar 85 bij Bunq hadden plaatsgevonden, en zegt dat het pertinent niet zo is dat er bij Bunq meer dingen misgaan dan bij andere banken. Dat lijkt laag, maar bijvoorbeeld Kassa claimt dat het bij het relatief kleine Bunq in verhouding juist hoog is, en dat zou bij de Fraudehelpdesk ook opvallen:
http://www.bnnvara.nl/kassa/artikelen/ton-kwijt-zonder-contact-met-bank-alarm-over-bankhelpdeskfraude-bij-bunq

Niknams positie is: "Dit is geen onveiligheid, dit is onwetendheid, en mensen moeten gewaarschuwd worden." Ja, natuurlijk moeten mensen gewaarschuwd worden, maar je moet niet negeren dat mensen als er iets is waar direct op gereageerd moet worden stoppen met doordacht reageren, want daar is geen tijd voor, en dan gaan er heel makkelijk dingen mis. De fout om die link in die SMS te volgen was een steekje dat een mens in een onoplettend moment makkelijk kan laten vallen, en daarna zat het slachtoffer direct in een maalstroom van elkaar tegensprekende boodschappen en weinig of geen tijd om nog goed na te denken en goed te oordelen. Als je eenmaal in die maalstroom zit moet het niet van je eigen goede reacties afhangen, dan moet het systeem daar verdedigingen tegen bevatten.

Een goede beveiliging is er dus niet afhankelijk dat klanten op elk moment doordacht en verstandig reageren, een goede beveiliging is bestand tegen mensen die geschrokken, deels of flink in paniek, niet verstandig en doordacht reageren maar juist ondoordachte dingen doen, kennis die ze hebben even niet meer weten toe te passen, de verkeerde dingen vertrouwen omdat ze dingen even niet op een rijtje weten te zetten. Mensen zijn geen computers die precies zo reageren als ze geprogrammeerd zijn, mensen zijn levende wezens met manieren van reageren die op heel andere dingen gebaseerd zijn. Daar moet rekening mee gehouden worden, want die computersystemen worden voor gebruik door mensen gebouwd.

Met dat laatste bedoel ik, voor alle duidelijkheid, niet het andere uiterste, dat mensen maar gedachteloos alle zorgvuldigheid moeten laten varen en moeten denken dat alles wel voor ze opgevangen wordt. Dat is onmogelijk. Er mag zeker wel van mensen verwacht worden dat ze in hun gewone doen bewust en doordacht met hun geld omgaan, het gaat erom dat de schade niet meteen exorbitant groot wordt als dat even niet lukt. Dat gaat nu duidelijk wel mis bij Bunq, en ik heb de indruk dat dat misgaat omdat Bunq zich juist richt op het slag mensen dat niet gehinderd wil worden door de rompslomp van zorgvuldigheid en aanneemt dat veiligheid dat ook niet nodig heeft. Wat overigens helemaal niet wil zeggen dat alle klanten van Bunq zo zijn.

Voordat we internetbankieren en pinnen hadden en nog ouderwets met contant geld betaalden was het risico dat je liep zo groot als hoeveel geld je in je portemonnee had zitten. Het is me toen ik achterin de twintig was eens gebeurd dat in een kledingzaak, waar ik de enige klant was, terwijl ik iets paste mijn portemonnee gestolen is door iemand die op dat moment even door de zaak was gelopen. Dat was klote, ik was denk ik ruim honderd gulden kwijt, maar echt niet meteen al mijn geld. Ik leerde ervan om mijn spullen veel beter neer te zetten en in het oog te houden, en het is me nooit meer gebeurd. En ik wist allang dat je niet overdreven veel geld in je portemonnee moet hebben, ter bescherming tegen het verliezen ervan. Dat zijn risiconiveaus waar mensen makkelijk mee kunnen omgaan en dat is naar mijn mening iets om als normaal te beschouwen.

Dankzij het internet zijn aan het zelfde niveau van alertheid nu veel en veel grotere risico's gekoppeld. Natuurlijk brengen die systemen ons enorme voordelen, en ik vind het geweldig het allemaal tot mijn beschikking te hebben, maar laten we niet vergeten wat eigenlijk redelijkerwijs van mensen verwacht kan worden, inclusief van de mensen die het allemaal niet zo goed kunnen, en proberen de systemen op de menselijke vermogens af te stemmen in plaats van andersom.

Mij valt op dat Bunq veiligheidsmaatregelen heeft die sterk gebaseerd zijn op de aanname dat mensen in een crisissituatie goed reageren, en die aanname rammelt. Bij de vertraging die ze nu aan het inbouwen zijn, namelijk overboekingen met vertraging uitvoeren maar ze wel laten zien alsof het al gebeurd is, zodat mensen reageren, vraag ik me af hoe goed die reacties zullen zijn. Die mensen schrikken zich namelijk te pletter en juist dan is goed reageren meer geluk dan wijsheid. Ik weet ook niet alles, en weet echt niet zeker hoe het uit zal pakken, maar het gevoel dat mij erbij bekruipt is dat ze bij Bunq werken vanuit een behoorlijk slecht inzicht in hoe mensen eigenlijk functioneren.

:-)