Phishing-aanvallers opvallend succesvol bij Bunq: 'Veiligheid geen thema'
Ellen Kamphorst
redacteur Binnenland
Phishing-oplichters hebben het gemunt op klanten van onlinebank Bunq, waarbij ze per slachtoffer bedragen van vaak tienduizenden euro's weten buit te maken. Dat blijkt uit onderzoek van NOS en NRC.
Volgens experts heeft de werkwijze van de aanvallers waarschijnlijk geen succes bij andere banken, en ook de hoogte van de buitgemaakte bedragen wekt verbazing. Beveiligingsmaatregelen die andere banken wel hebben ontbreken, en klanten worden in de regel niet gecompenseerd.
NOS en NRC verifieerden de verhalen van 28 slachtoffers die in de afgelopen zeven maanden werden opgelicht. Ze raakten samen ruim 1,6 miljoen euro kwijt, gemiddeld bijna 60.000 euro per geval.
In vijf gevallen ging het om bedragen van 100.000 euro en meer. "Het gebeurde allemaal razendsnel, in drie kwartier was al mijn spaargeld weg", zegt Geraldine. Ook zij verloor meer dan een ton.
"Veiligheid heeft bij Bunq de hoogste prioriteit", stelt de bank in een schriftelijke reactie. "Daarom gebruiken wij geavanceerde technologieën zoals AI, biometrische beveiliging en beveiligde communicatie. De enige manier om slachtoffer te worden is door zelf je persoons- en inloggegevens af te staan."
De bank stelt ook dat "het gemiddelde fraudebedrag bij slachtoffers van phishing bij Bunq lager is" dan bij andere banken, maar wil dat desgevraagd niet onderbouwen.
Ook rechtsbijstandsverzekeraars zien een toename van het aantal zaken. Volgens justitiële bronnen neemt bovendien het aantal kant-en-klare Bunq-phishingsites toe dat wordt aangeboden op de zwarte markt, die criminelen zonder veel werk kunnen opzetten.
Bunq biedt sinds 2015 bankrekeningen aan en presenteert zich graag als een eigentijds alternatief voor traditionele banken. Het heeft geen fysieke vestigingen en is ook wel omschreven als vooral een techbedrijf. Afgelopen jaar kreeg het er veel spaarklanten bij, door relatief hoge rentes.
Onopgemerkt
Dat aanvallers zoveel geld kunnen stelen, is de bank aan te rekenen, vinden deskundigen. "De banken die ik ken, kunnen dit tegenhouden", zegt fraude-expert Pepijn Slappendel van DataExpert, die meerdere banken bijstaat.
Shairesh Algoe, jarenlang verantwoordelijk voor de fraudebestrijding bij ABN Amro: "Dit is geen nieuw soort aanval. Je kunt fraude niet 100% voorkomen, maar ik denk dat banken dit in het algemeen wel detecteren."
"We kunnen ons niet voorstellen dat een expert die bekend is met de feiten zo'n conclusie zou trekken", reageert Bunq.
De aanvallers gebruiken voornamelijk twee methodes. In zeker acht door de NOS geverifieerde gevallen weten ze de logingegevens én de vereiste gezichtsherkenningsscan van klanten te kapen, kunnen ze inbreken op het account en daarna grote sommen geld overmaken. "Dat is echt verdacht gedrag, dat zou een rode vlag moeten zijn", zegt Slappendel.
Bij de andere methode, die de NOS in zeker negen gevallen herkende, weten de aanvallers slachtoffers te overtuigen om software te installeren op hun apparaat, waarmee ze de controle kunnen overnemen. "Dat is iets moeilijker te herkennen, maar ook daar zijn manieren voor", aldus Slappendel.
Veiligheid is geen onderwerp dat Ali echt drijft. Hij wil gewoon een zo goed mogelijk product aan klanten bieden.
De afgelopen jaren bouwden alle grote banken in de strijd tegen phishing een afkoelingsperiode in. Wil een klant meer dan zijn daglimiet overmaken, dan moet hij die verhogen en daarna vier uur wachten.
Die maatregel heeft Bunq nooit genomen, maar wel iets vergelijkbaars: als klanten een nieuw apparaat toegang gaven, moesten ze 24 uur wachten voordat ze weer geld konden overmaken.
Dat werd al snel verkort tot een uur en daarna afgeschaft, volgens Bunq naar aanleiding van klachten van klanten en omdat het in de praktijk geen verschil maakte.
De slachtoffers zijn collateral damage, zegt een oud-Bunq-medewerker tegen de NOS en NRC. "Veiligheid is geen onderwerp dat Ali echt drijft", zegt hij over Bunq-topman Ali Niknam. "Hij wil gewoon een zo goed mogelijk product aan klanten bieden. Daar past niet bij dat je uren moet wachten als je een limiet wil verhogen."
Ook drie andere oud-medewerkers zeggen dat de bank veiligheid ondergeschikt maakt aan gebruiksvriendelijkheid, maar Bunq stelt dat dat "aantoonbaar onjuist" is.
Afwikkeling
De 28 gedupeerde klanten zijn over het algemeen bozer op de bank dan op de oplichters. Geen van hen lukte het om contact te krijgen met een medewerker, alles verliep via de chat in de app.
Het is beleid bij de bank, die alleen digitaal wil communiceren. Overigens heeft de groep van 28 slachtoffers donderdagmiddag van Bunq een uitnodiging gekregen voor een gesprek.
'Weg is weg'
Ook klagen slachtoffers over Bunqs SOS-optie voor fraudegevallen, die gebrekkig zou werken. Ze zeggen dat die toepassing geen enkel verschil heeft gemaakt.
Eén klant, Floor Hendriks, vond dat ze zo slecht werd geholpen bij Bunq dat ze de fraudedesk van haar andere bank belde. "Ik heb mijn lopende rekening bij de Rabobank; daar hebben ze me toen midden in de nacht geholpen om aangifte te doen." Van Bunq hoorde ze pas tien uur later iets.
Bunq spreekt tegen dat de optie nutteloos is. "Dit is wellicht de perceptie van de slachtoffers, maar het is aantoonbaar onjuist."
De afhandeling wijkt eveneens af. Andere banken geven slachtoffers van oplichting in vergelijkbare gevallen hun geld terug, als ze aan bepaalde voorwaarden voldoen.
In de regel krijgen slachtoffers niets terug van Bunq. Weg is weg, is het mantra van Bunq-oprichter Niknam. "Het is alsof je buiten op straat iemand je autosleutels geeft. Dan is je auto weg", zei Niknam in gesprek met een slachtoffer.