Phishing opvallend succesvol bij Bunq: 'Veiligheid geen thema'

quote:

Op zaterdag 25 mei 2024 08:39 schreef Leandra het volgende:

[..]
Geen 20K...

Gisteren de rekening van de garage betaald (¤ 500), toen ik het vanuit de factuur zelf (betaallink) wilde doen had ik daar de RaboScanner voor nodig, geen zin op te staan en scanner en pasje te pakken, vervolgens geprobeerd een betaalopdracht aan te maken (garage staat in het "adresboek" van mijn rekening), toen kon ik wel gewoon met de app bevestigen, zonder RaboScanner.

Dus ook vanuit de betaalrekening is het niet zo simpel.

Zeg je nu dat je bij Bunq onbeperkt bedragen kunt overmaken zonder enige vorm van 2FA?

Ik was in de veronderstelling dat 2FA als sinds een jaar of 10 verplicht was voor banken. Dan lijkt me dat inderdaad een beveiligingsblunder van hier tot Tokyo.

Niet alleen kan je rekening razendsnel leeggetrokken worden bij bunq. Ze zijn ook nauwelijks bereikbaar, je kunt ze niet bellen, en via de chat krijg je met een bot te maken.

Dat vind ik toch wel heel matig hoor, natuurlijk kun je als bank niet altijd voorkomen dat iemand opgelicht wordt, maar probeer dan in ieder geval zo snel mogelijk afterservice te bieden.

Hier een vrouw die opgelicht werd, en Jack die zich tot de bank richt.

quote:

Op zaterdag 25 mei 2024 11:36 schreef RamboDirk het volgende:

[..]
. Dat geeft alleen maar aan dat bunq te weinig doet. En niet degene die opgelicht worden.

Bunq is een prive bank die op ALLE manieren geld wil verdienen , dat weet iedereen

als je daar een rekening opent dan ben je erg stom

Overigens krijg ik vrijwel dagelijks mailtjes en sms'jes die zogenaamd van bunq, bitvavo etc. zijn.

quote:

Op zaterdag 25 mei 2024 13:03 schreef Farenji het volgende:

[..]
Ok, nou het zij zo. Het ontbreken van de limiet noem ik expliciet in de OP. De bank maakt daar geen geheim van en als je dat niet wil kun je een andere bank kiezen. Natuurlijk vind ik het heel naar voor de slachtoffers. Maar hoe ver zou die empathie dan moeten gaan? Als de bank geld zou gaan vergoeden in dit soort situaties kun je natuurlijk ook op je klompen aanvoelen wat er gaat gebeuren, dan krijg je het omgekeerde verhaal, mensen die een rekening openen en er veel geld op zetten, en dan met een handlanger een "beroving" in scene zetten. De bank betaalt het toch wel terug.

Dit gebeurd al, druif

quote:

De vier grootbanken hebben gezamenlijk besloten om particuliere klanten die slachtoffer zijn geworden van helpdesk fraude, ook wel spoofing geheten, te vergoeden. Banken gaan over tot dit besluit omdat deze vorm van fraude misbruik wordt gemaakt van het vertrouwen van de klant.

Bij jou in het boekje is iedereen zelf schuldig als ze Bunq niet herkennen als frauduleus. Omdat het bunq is met een kleine letter.

Jij lult echt maar raak voor een knaak he? Om in geldtermen te blijven

quote:

Op zaterdag 25 mei 2024 00:48 schreef Farenji het volgende:
Je doelt waarschijnlijk op de daglimiet die bunq niet heeft (wat ik zelf ook benoem in de OP) maar je mag me uitleggen welke bescherming er bestaat tegen mensen die vrijwillig al hun credentials afgeven en dus hun hele rekening overgeven aan derden.

In de eerste plaats al de daglimiet zelf. Als je die ophoogt krijg je een melding en zit er een wachttijd op van een aantal uren. Heb je in ieder geval de gelegenheid om actie te ondernemen.

Daarnaast wordt je rekening bevroren als er ongebruikelijke transacties plaatsvinden. Dus er is wel degelijk bescherming ook tegen mensen die "vrijwillig" hun gegevens overdragen.

Zoals bij bunq de ene afschrijving na de ander op je rekening zien gebeuren (wat toch vrij ongebruikelijk is) gebeurt bij "normale" banken niet. En wat nog het meest kwalijke is: als je het ziet gebeuren als klant zijnde en je beseft dat je wordt opgelicht, dan heb je dus niet de mogelijkheid om het te stoppen. De bank zelf is namelijk niet bereikbaar.

Kortom: je bouwt als bank geen beveiliging in om dit soort fraude te detecteren en de rekening per direct te blokkeren, maar je bent ook nog eens niet te bereiken als een klant actie wil ondernemen omdat de rekening op dat moment geplunderd wordt.

quote:

Op zaterdag 25 mei 2024 13:24 schreef Farenji het volgende:

[..]
Het gaat niet om hoofd- of kleine letters. Ik zal je uitleggen hoe het werkt. Op een website zie je in de locatiebalk van je browser een icoontje. Soms ziet het eruit als een slotje, dat aangeeft dat het een beveiligde verbinding is. Maar dat zegt op zichzelf nog helemaal niks. Klik op dat icoontje, en dan zie je niet alleen of het een secure verbinding is, maar je ziet vooral ook het adres waarvoor het certificaat geldig is. Dat is belangrijk. Als dat iets anders is dan "bunq.com" of "www.bunq.com" is het niet veilig.

[ afbeelding ]

quote:

Op zaterdag 25 mei 2024 13:39 schreef Farenji het volgende:

[..]
Ok ik heb je kinderachtige op de man gespeel al genegeerd maar nu ben ik klaar met je. Kleuter.

Jonge je maakt jezelf echt belachelijk hier in dit topic.

quote:

Op zaterdag 25 mei 2024 13:42 schreef Farenji het volgende:

[..]
Ik? Je hoeft het niet met me eens te zijn hoor, maar ik onderbouw alles wel en speel niet op de man.

Je speelt het hier de ganse tijd al op de slachtoffers maar dat heb je klaarblijkelijk niet door...

quote:

Ze raakte de 44.000 euro spaargeld voor haar nieuwe koophuis kwijt, nadat ze op een zaterdag op een link klikte. Toen ze bij bunq niemand te spreken kreeg, belde ze met de Rabobank. „Die hebben me geholpen om aangifte te doen.”

Tè triest voor woorden. Wetende dat bunq zelf ook heel veel linkjes stuurt waar je op moet klikken.

quote:

Op zaterdag 25 mei 2024 13:52 schreef capricia het volgende:

[..]
Tè triest voor woorden. Wetende dat bunq zelf ook heel veel linkjes stuurt waar je op moet klikken.

Ik stoor me heel erg aan bedrijven die nog linkjes sturen ipv bijvoorbeeld een confirmatie dat er een bericht op je wacht in de app. Ik merk dit vooral ook bij zorgbedrijven/zorgverzekeraars die nog steeds acceptmail gebruiken.

quote:

Op zaterdag 25 mei 2024 13:57 schreef snabbi het volgende:

[..]
Ik stoor me heel erg aan bedrijven die nog linkjes sturen ipv bijvoorbeeld een confirmatie dat er een bericht op je wacht in de app. Ik merk dit vooral ook bij zorgbedrijven/zorgverzekeraars die nog steeds acceptmail gebruiken.

Juist. Helemaal eens.
Bij bunq krijg je gewoon linkjes in een email om je account te verifiëren etc.
Maar klik je op een verkeerd linkje, dan heb je pech, niet de schuld van bunq, en kun je fluiten naar je geld. Dan mag de Rabobank je helpen met aangifte omdat bunq niet bereikbaar is.

Ik vind het schandalig.

quote:

Op zaterdag 25 mei 2024 13:50 schreef Farenji het volgende:

[..]
Dat is iets anders. Ik zeg dat ze zelf fouten hebben gemaakt en dat ze nu boos zijn op een partij die daar niet zo heel veel aan kon doen. Dat is niet op de man spelen. Dat is een onderbouwde mening. Nogmaals, waar je het mee oneens kan zijn. Maar kom dan met argumenten. Ik zie in dit topic vooral een heleboel post in de trant van "Ali is een lul, bunq is een kutbank, dus al die slachtoffers hebben gelijk en die bank moet kapot". Terwijl het toch wel iets genuanceerder zit.

(en zoals ik zelf al zei, Ali *is* nogal een lul maar dat staat hier wel los van he)

Lees jij wel de reacties van andere in dit topic? Legio voorbeelden van wat bunq hiertegen had kunnen doen. En zoals capricia aangeeft dat de bank zelf ook linkjes verstuurd is ook niet handig natuurlijk. Als je dan bovenstaande blijft volhouden dan ben je wel beetje een simpele.

btw -- voor de gedupeerden zie ik een redelijke kans dat ze (een deel van de) schade vergoed kunnen krijgen.
https://wetten.overheid.n(...)4-05-01&g=2024-05-01

5. Indien de betaaldienstverlener nalaat om overeenkomstig artikel 525, eerste lid, onder c, passende middelen beschikbaar te stellen waarmee te allen tijde een kennisgeving als bedoeld in artikel 524, eerste lid, onder b, kan worden gedaan, is de betaler niet aansprakelijk voor de financiële gevolgen die uit het gebruik van dat betaalinstrument voortvloeien, tenzij hij frauduleus heeft gehandeld.

Het feit dat je afgescheept wordt met zo'n chatbot en dus geen melding kan maken, en zodoende ook dat de mogelijke terugboeking lijkt mij wel een afbreuk aan zo'n artikel

quote:

Op zaterdag 25 mei 2024 10:28 schreef michaelmoore het volgende:

[..]
nou ik snap Fok nog steeds niet hoor

als je tegen D66 en CU bent dan word je op POL gebanned voor eeuwig

Volgens mij snap je het prima!

quote:

Op zaterdag 25 mei 2024 13:03 schreef Farenji het volgende:
Als de bank geld zou gaan vergoeden in dit soort situaties kun je natuurlijk ook op je klompen aanvoelen wat er gaat gebeuren, dan krijg je het omgekeerde verhaal, mensen die een rekening openen en er veel geld op zetten, en dan met een handlanger een "beroving" in scene zetten. De bank betaalt het toch wel terug.

Dat gebeurt dus niet als een bank meerdere veiligheidssystemen instelt. En ja, fraude hou je altijd. Maar dat lijkt me geen argument.

quote:

Op zaterdag 25 mei 2024 14:02 schreef Farenji het volgende:

[..]
Daar ontkom je helaas niet altijd aan. Als je bijvoorbeeld een email-adres moet valideren (wat vaak wel een essentiele beveiligingsmaatregel is) dan kun je niet altijd van mensen verwachten dat ze zelf een url intikken en daar een (mogelijk lastige) code gaan overtikken of plakken. Dat is vaak al een veel te hoge drempel voor veel mensen. Je hebt altijd een spanningsveld tussen beveiliging en gebruiksgemak, en een goede balans daartussen vinden is gewoon echt heel moeilijk. Zeker als je te maken hebt met publiek met heel varierende digitale vaardigheden.

Het valideren van een mailadres is aan de voorkant/onboarding proces als klant. Dit gaat over het sturen van linkjes vanuit de normale operatie.

quote:

Op zaterdag 25 mei 2024 13:39 schreef Farenji het volgende:

[..]
Ok ik heb je kinderachtige op de man gespeel al genegeerd maar nu ben ik klaar met je. Kleuter.

Over kleuters gesproken. Inhoudelijk reageer je nauwelijks op mijn posts. Het blaat maar wat in het luchtledige.