• Slachtoffer van Phising mail

@Justine-Cyan-Quokka#158484 Maar het concept "een iban verifieren" bestaat vziw niet bij bunq, vandaar dat ik dit een beetje een eng verhaal vind en ben ik benieuwd naar wat er precies is gebeurd...

De enige manier die ik kan verzinnen is dat ze je ipv een betaalverzoek link te sturen, ze je in bunq.app zijn ingelogged (de website), maar als je niet zelf de website qr code scanned, dan moet het via je email, waar je weer op een link moet klikken. Daarvoor moet je email dus gehacked zijn en om je niet te alarmeren moet die email dus snel weg zijn gehaald en geen notificatie triggeren op je telefoon? Misschien kan iemand doen of ze jou zijn als ze de bunq app zelf installeren (op een mobiel), dan moet je volgens mij je hand scannen of in je eigen app akkoord geven, maar dat heb ik zelf nog nooit gedaan.

Ah, @Sander indeed.. de API is ook een "attack vector".

    @Justine-Cyan-Quokka#158484 het klinkt meer alsof er een QR is gescanned waarmee volledige API toegang is verleend. Zijn er geen rode popups in beeld geweest toevallig over API Keys / beveiligingssleutels? Of heb je online je wachtwoorden wellicht ingevuld tezamen met je email/mobiele nummer en de 6-cijferige code? Die vul je normaliter alleen in in de bunq app. Als je die online hebt ingevuld in een nep-website dan heeft de crimineel feitelijk gewoon de sleutel tot je account gekregen, en dan kan die persoon praktisch doen en laten wat hij/zij maar wil.

      @Freek#158489 Het concept iban verifiëren bestaat voor zover ik weet bij geen enkele bank. Het is een truc om jou op een net-echt lijkende website je gegevens in te laten vullen.

      Als ze bang zijn dat ze een IBAN niet kunnen knippen en plakken dan kunnen ze beter zelf eerst 1 cent overmaken en dat jij dan bevestigt dat het is aangekomen.

      Of natuurlijk nog beter: stuur zelf een betaalverzoek.

        Afschuwelijk verhaal 😱 Zou idd willen dat bunq iets van een beveiliging zet op hoge bedragen overmaken. Weet zelf niet wat handig is, maar dit is echt afschuwelijk.

          Onderstaand is de reactie van mijn partner. Die kan er momenteel niet meer in omdat alles dichtgezet is.

          Werkwijze die ik vermoed:

          De vrouw (waarschijnlijk man) op whatsapp vroeg om voor de zekerheid de bankrekening te verifieren voor gelijk oversteken.
          Dit via: https://ideal-bankieren.com/gelijkoversteken-accountidentificatieKey928221902848804749284758381

          Ja, als je het eenmaal weet trap je er niet in...

          Maargoed, klik je op de link, dan moet je je bank selecteren, in ons geval BUNQ, maar als je een andere bank hebt, krijg je een kopie van de inlogpagina van die bank.
          Heel goed in elkaar gezet dus.

          Daar vul je je wachtwoord in. Op dat moment gebeurt er niks, behalve dat de hacker (als we het zo even noemen) je wachtwoord heeft.
          Hierna krijg je op die site iets te zien van "check je telefoon".

          Op dat zelfde moment probeert de hacker in te loggen, hier krijg je dan iets met de hand scanner en dergelijke om toe te vertrouwen dat je het apparaat/IP adres vertrouwd.
          Probleem hier is, het is niet je eigen apparaat, maar die van de hacker. Weet jij veel.. ja nu wel.
          Vervolgens kan diegene alles doen met je account en dus ook transacties uitvoeren naar een ander account.

          Punt 2: We hebben dus een gezamenlijk account, dus van alle gedeelde rekeningen, is alles vanaf kunnen halen.

          Punt 3. We hebben een spaarpotje (of spaardoel zoals we in BUNQ kennen), die ook is leeg gehaald.
          Er is naar mijn weten geen manier om een spaarrekening af te schermen of los te koppelen van de betaalrekeningen.
          Tenzij je nog een BUNQ account neemt.
          Bij sommige andere banken staat de spaar rekening helemaal los van je betaal rekening.
          Dat dit bij BUNQ uberhaupt mogelijk is en ook is gebeurt, dat vindt ik eerlijk gezegt best kwalijk.

          Tegen scammen, stelen, fraude, etc.. daar kan geen bank zich 100% op beveiligen, want ergens ben je er toch zelf ingetrapt.
          Maar eenmaal in het account, daar valt zeker wel meer te beveiligen.

          PS. Ik heb geen meldingen gehad op het moment van de transacties.

            TJa; We zitten zelf in de ICT dus zouden beter moeten weten zou je zeggen.
            We zijn er zo alert op. We werken allebei bij een bedrijf die software verleend. Er gaan zoveel mensen mee de mist in. We hebben het al zo vaak gezien en toch zo..

            Zo zie je maar. Het kan iedereen overkomen.

              @Justine-Cyan-Quokka#158512 Ieder spaardoel is een aparte rekening, maar je kan er gewoon alles mee doen wat je ook met een normale rekening kan. De wens is hier ook dat je het geld kan vastzetten voor bepaalde tijd of wanneer het doel bereikt is (maar dat zou het probleem niet oplossen)

                @Justine-Cyan-Quokka#158512 Wow, idd best slim in elkaar gezet hoor. Nogmaals, heel vervelend, succes/sterkte er mee. Ik kan er weinig anders over zeggen, kan iedereen gebeuren. Het zou mooi zijn als bunq dit als les kan zien en veranderingen kan doorvoeren omdit nog moeilijker te maken (en misschien ipv iemands salaris verdubbelen, zoals ik net op facebook zie, jullie een beetje tegemoet komen ;) )

                  Adding the nice web access also did raise risks.
                  I think the security design can be improved by bunq. Some ideas:
                  - Enforce (one-time) usage of location service in the bunq web application and the authentication function on the phone and only allow access when phone location equals webbrowser location.
                  - Have a setting that only can be managed via the app that makes website access view only without any authorization to do transactions.
                  - Have a setting that only can be managed via the app that blocks individual accounts for transactions via the website.
                  - Every transactions done via the web requires individual authorisation via the app
                  - For the use cases of a lost phone and logging in via the email link, additional limited authorisations are applicable like max amounts etc.
                  - <More to think thru by the security architects of bunq>

                  Similar principles go for API access.

                  Did you get your money back? Considering the vulnerabilities in the security design you should.

                    Er zijn wel rekeningen (verbouwing, spaargeld, etc.) waarvoor een extra autorisatie wel wenselijk zouden zijn bij overschrijven. Bijvoorbeeld vingerafdruk én authenticator code. Of vingerafdruk van beide eigenaren van de rekening.
                    Dat zijn geen rekeningen waar zomaar geld afgehaald wordt.

                      Hi Justine!

                      Wat enorm vervelend om te horen dat jullie dit is overkomen. Helaas komt phishing steeds meer (zie bijvoorbeeld https://www.nu.nl/tech/6026617/fraudehelpdesk-flink-meer-fraudemeldingen-in-2019-grote-stijging-phishing.html) en steeds weer op andere manieren voor en kan het erg overtuigend zijn.

                      We werken er keihard aan om alle mogelijke manieren, vaak ook succesvol, tegen te gaan. Voor dit geval zal het geen verschil meer maken, maar hier https://together.bunq.com/d/19654-phishing-scams-what-are-they-and-how-can-i-avoid-them/2 geven we tips hoe je voorkomt dat je slachtoffer van phising wordt.

                      We willen je enorm bedanken voor je suggesties, we zullen er gelijk in duiken en kijken wat we hiermee kunnen verbeteren!

                      Cheers,

                      Jorrit

                        2 months later

                        We receive an answer from the Compliance Team.
                        While everyone is thinking along with you, the compliance team don't really seem to care at all.
                        I might be sleeping on the street or having a complete burn-down.

                        One of the things that I keep questioning is that I've been robbed from a shared savings account. So someone with access to the account, is able to transfer all the money on the shared savings account to another bank account.
                        So it's not only the money on my account, but the shared account was actually an account from someone else, shared with me. Imagine that.
                        Glad L made a feature wish: https://together.bunq.com/d/27449-feature-wish-secure-iban-accounts

                        Now see how the answer of the compliance team starts:
                        "Hello,
                        We are following up with your regarding the report you made on fraudulent payments from your account. We would like to inform you that in accordance with Article 7:529(2) BW we consider you actions to be grossly negligent and as a result no refund will be issues on our side."

                        grossly negligent... grossly..negligent? really? I am a victim of something, you don't treat victims like that, like we're doing it on purpose or we are the criminals. Of course there is no way to contact the compliance team directly, no employee name, nothing.

                        I never asked for a refund in the first place.
                        I guess i'm going to look into another bank instead of Bunq. This is disrespectful.

                          Heb je eigenlijk je wachtwoord ingevuld? Of API toegang gegeven?

                            @JasperQueueon#170352 Hi 👋🏼 Jasper,

                            Sad story to read.... feel for you guys.

                            The response sounds far far far from being empathetic as a bank ☹️

                            I wonder...
                            bunq claims to have state of the art technology when it comes to keeping us safe. And to be honest, have seen examples of that with relative small amounts 👍
                            BUT I wonder how it is possible that no alarms 🚨 bells will go off when all funds are withdrawn in a short amount. Heck, bunq even asks “are you sure?” when I accept two direct debits of the same amount within a short period. I heard a story where a bank called the user in such case.

                            So, in general (cause I don’t know all details of this case).. I wonder if such situation as you describe isn’t neglect on the banks part.. at least to some extent. I think to some extent it is.

                            I recently have seen many examples of criminals that use and sell complete fake bank / payment environments that look scary real! So, I can understand a user would fall for one of those.

                            Finally, wish you guys all the best.

                              @Justine-Cyan-Quokka#158473 How did your case go?

                              Did you get any money back?

                                @JasperQueueon#170352 Ik snap je frustratie en leef mee met wat je is overkomen.

                                Maar feitelijk kan je alleen bestolen worden bij bunq als je op heel veel vlakken de alarmbellen niet heb laten afgaan. En bij een shared account zijn alle eigenaren verantwoordelijk hiervoor, net als bij een e.o. rekening.

                                Ik begrijp dat ze via de API key toegang hebben gekregen.

                                Om even te vertalen, jullie hebben samen een geldkistje thuis. Een onbekende vraagt eerst je adres, daarna de code om steutels na te maken van jullie huis.
                                De sleutelboer vraagt jullie in de App of dit akkoord is, en jullie zijn hier mee akkoord gegaan.
                                Daarna is de boef met alle info die jullie vrijwillig hebben afgestaan, naar binnen gegaan en jullie gedeelde geldkistje op gaan halen.

                                Wat kan bunq hier dan nog aan doen, vraag ik me af?

                                  @Hostingwalk#170356
                                  Het was phishing, dus ze hebben me geleid naar een website ideal-betalingen.com, waarbij ze alle websites hebben nagebouwd van alle banken, en zo 1 cent hebben laten overmaken, daarvoor dus wachtwoord ingevuld.

                                  Bij nader inzien dom, maar op dat moment druk, even tussendoor doen, je kent het wel.

                                    @Lui#170384
                                    Nope, and I didn't expect any money back.
                                    For Bunq's security sake, my question is exactly like how you created the wish :)

                                      @JasperQueueon#170396 Yeah. Okay and did the Topic creater get her money back?
                                      I think she was in discussion with bunq about this