Bunq gaat remoteaccesstools detecteren om phishingaanvallen te stoppen

Bunq gaat verschillende beveiligingsmaatregelen toepassen om phishingaanvallen tegen te gaan. Dat doet de bank nadat eerder bleek dat relatief veel klanten slachtoffer werden. De maatregelen zijn onder andere detectie voor rat's, de mogelijkheid 2fa-codes te herstellen en waarschuwingen.

Bunq schrijft op zijn forum dat het meerdere nieuwe beveiligingsmaatregelen heeft doorgevoerd. Dat heeft het bedrijf eerder deze week al gedaan, maar nu worden klanten daar ook over ingelicht. Het bedrijf zegt dat het onder andere herkenning doorvoert voor remoteaccesssoftware zoals AnyDesk of TeamViewer. Bij veel phishingaanvallen vragen criminelen aan slachtoffers zulke software te installeren. Bunq zegt dat het gaat proberen zulke tools te detecteren op systemen en in dat geval een betaallimiet aan een account toe te voegen.

De bank zegt dat het ook mogelijk wordt een tweetrapsauthenticatiebeveiligingscode te resetten als een slachtoffer merkt dat een aanvaller toegang heeft tot een account. In dat geval worden gebruikers ook automatisch uit alle actieve apparaten uitgelogd en moeten ze zich opnieuw identificeren als ze weer toegang willen krijgen.

Bunq gaat ook sneller securitywaarschuwingen geven als het bedrijf detecteert dat gebruikers mogelijk opgelicht worden. Het gaat dan bijvoorbeeld om waarschuwingen als gebruikers ergens inloggen, een grote betaling willen doen of hun daglimiet willen ophogen. Vorige week besloot bunq ook al zijn beleid rondom actief bellen aan te passen. Het bedrijf gaat klanten in de toekomst toch bellen als het vermoedt dat er pogingen tot phishing plaatsvinden.

De maatregelen volgen nadat de NOS en NRC vorige week meldden dat juist bij bunq opvallend veel slachtoffers van phishing vielen. Experts wijten dat aan het feit dat bunq minder maatregelen neemt om phishing te voorkomen dan veel andere banken. Zo gaan er nergens alarmbellen af als gebruikers hun daglimiet verhogen en monitort bunq niet actief of er opvallende geldbedragen worden verplaatst. De bank zei vorige maand nog dat het klanten daar geen geld voor vergoedt. "Het is alsof je buiten op straat iemand je autosleutels geeft. Dan is je auto weg", zei bunq-topman Ali Niknam volgens de NOS.

Reacties (161)

DealExtreme2 7 juni 2024 12:09

Bunq was natuurlijk heel stoer: bij ons geen losse apparaatjes of weet ik wat nodig, dat is ouderwets. Maar er is wel een goede reden voor dedicated devices, zeker met display. En dan kan je nog zo hip willen zijn, voor grotere overboekingen blijft dat het meest veilig (eigenlijk de 2FA inclusief inhoud over wat je aan het bevestigen bent).

Wat ik niet begrijp is waarom ze niet kiezen voor een in mijn ogen zeer eenvoudige oplossing: je maakt een 2e/aanvullende code verplicht voor hoge bedragen. En zegt erbij: deze code is enkel nodig voor hoge bedragen overboekingen en nooit voor iets anders. Op dit moment weet je bij autorisatie niet wat je bevestigd en daar zit het probleem.

Die code kun je ook aanpassen, maar daar zit een wachttijd op van 1 a 2 dagen (met eventueel een delayed transfer), inclusief meerdere meldingen via de app en de mail dat er iets is aangepast en dat als dat niet de bedoeling was, iemand je aan het neppen is.

Dan kan het toch bijna niet mis gaan? Of mis ik iets? Al is een dedicated device natuurlijk altijd beter. En eigenlijk onmisbaar als het om grote bedragen gaat.

Edit: suggestie hierboven van een dedicated 'spaarrekening' met wachttijd en beperkte 'tegenrekening' is nog simpeler. Voeg daar een notificatie aan toe en je bent ook al 10x zo safe. Maarja, dat klinkt allemaal zo ouderwets. For a reason mensen

Edit 2: De arrogantie vind ik ook wat vervelend, zelfs in hun mail waarin ze beginnen met een statistiek die toch duidelijk als doel heeft het opnieuw te downplayen. Los van de statistiek: je klanten zijn de dupe van je wens om hip en makkelijk te zijn en je hebt ze niet geholpen. Begin eens met je excuses.

[Reactie gewijzigd door DealExtreme2 op 22 juli 2024 15:18]

SgtElPotato @DealExtreme2 • 7 juni 2024 12:31

Het is een 'hippe' bank en online only. Daar kies je als klant bewust voor. Als je vervolgens als klant zo 'dom' (om het maar even plat te zeggen) bent om te vallen voor dit soort simpele maar ook ouderwetse oplichting trucs dan vind ik dat ook deel de verantwoordelijkheid van de klant.

Ik heb bij de Rabobank ook ingesteld dat ik naar onbekende rekeningnummers meer mag overmaken dan de standaard 250 euro. Maar dat is mijn eigen verantwoordelijkheid. Als iemand vervolgens toegang krijgt tot mijn app of omgeving dat kunnen ze inderdaad geld overmaken zonder bevestiging (alleen de toegangscode).

FrankoNL @SgtElPotato • 7 juni 2024 14:49

Banken hebben een wettelijke zorgplicht en die gaat vrij ver. Er waren voorbeelden waarbij kwaadwillenden in tientallen overboekingen veel geld van een rekening hadden gehaald of 30 pinpassen hadden aangevraagd. Vervolgens was de bank volstrekt onbereikbaar. Dat is gewoon verwijtbaar naar de bank toe. Er zou gewoon geautomatiseerd een blokkering op die rekening moeten komen, voordat het zover komt.

Ik vond de reactie van BunQ echt schandalig. Ook de reden dat ik direct overgestapt ben. Met zo’n club wil ik niet meer dealen.

[Reactie gewijzigd door FrankoNL op 22 juli 2024 15:18]

SgtElPotato @FrankoNL • 7 juni 2024 14:54

Nee uiteraard, dat begrijp ik helemaal en dat is ook volkomen terecht. Waar het mij om gaat is dat de klant ook een plicht heeft en ook zorg moet dragen voor bepaalde dingen. Vooral om die grijze massa te gebruiken en goed na te denken.

90% van alle scams zijn namelijk paniek scams. Ze bellen je op dat het niet goed gaat en dat je geld kan verliezen of kwijt raken, mensen raken in paniek en doen op dat moment alles om het te fixen. Als we er al simpelweg vanuit gaan dat een bank niet belt, of dat als de bank belt (sommige banken doen dat wel namelijk) je altijd terug kunt bellen naar het nummer vanuit de app dan is 90% al ondervangen.

De techniek is snel gegaan, de oudere generatie heeft wat dat betreft een flinke kloof en voor die mensen is het ook allemaal veel, wat ik kan begrijpen. Over een jaar of 20 is dat allemaal weg.

Jerie

@FrankoNL • 7 juni 2024 16:45

Ze heten bunq. Waardoor als je op z'n kop gaat staan, het nog steeds ouderwets bnuq betreft.

Datisraar @FrankoNL • 7 juni 2024 21:32

Eens, ook de hele gang van zaken heeft mij doen besluiten over te stappen en de overstap service van Bunq naar een andere bank te nemen.

aap @SgtElPotato • 7 juni 2024 13:29

Ik begrijp niet zo goed waarom Bunq de vaste tegenrekening niet wilt aanbieden.
Een argument dat ik hoor is, dat Bunq (gratis) spaarrekeningen on-the-fly wil kunnen converteren naar (betaalde) betaalrekeningen, omdat dat onderdeel van hun verdienmodel is.

Maar ze kunnen een vaste tegenrekeniing (of een beperkte set van white-listed rekeningnummers) toch best als opt-in aanbieden? Laat mij dat lekker aanzetten zodat ik beter slaap en laat de klanten die flexibel willen blijven vrij om geld naar willekeurige rekeningen over te boeken.

teek2

@SgtElPotato • 7 juni 2024 13:04

Het is idd niet moeilijk voor een scammer om je te helpen je limiet te verhogen (of ze doen het voor je met anydesk), om vervolgens te zeggen, "Excuses, we moeten nu even afwachten, ik bel U zsm terug!" En na 4u slaan ze alnog hun slag.

Ik denk echt dat de fraudes bij andere banken gewoon minder aandacht krijgen omdat ze snel terug betalen om imagoschade en paniek te voorkomen.

aap @teek2 • 7 juni 2024 13:35

Ik denk toch dat dit al een deel van de hacks voorkomt. Mensen hebben vier uur om na te denken over wat er gebeurd is, eventueel met andere mensen te spiegelen of dit wel in de haak was etc.

Als de druk die de oplichter van de ketel is, kun je vaak beter nadenken. Ik ben een paar weken geleden op straat gescamd door zigeuners met een of ander liefdadigheidsverhaal. Dat was ze alleen maar gelukt omdat ze me geen seconde de tijd gaven om na te denken. Zo gauw als de interactie voorbij was realiseerde ik me meteen dat ik opgelicht was. De telefonische oplichterij werkt net zo.

Je leest dit ook in de verhalen van Bunq-slachtoffers. Zo gauw als ze de telefoon opgelegd hebben, gaan ze al twijfelen, maar tegen de tijd dat ze bij Bunq iemand aan de lijn krijgen (wat bij Bunq bijna onmogelijk leek te zijn en de oplichters bellen jou bij voorkeur buiten kantoortijden) was het geld al lang weg.

[Reactie gewijzigd door aap op 22 juli 2024 15:18]

TheMak @aap • 7 juni 2024 14:23

Ja bij famillie meegemaakt. Vier uur aan de praat houden was te lang. Na drie en ern half uur vertrouwden ze het niet meer.

shytah @SgtElPotato • 7 juni 2024 12:46

Voor een "digitale bank" hadden ze hun digitale beveiliging bijzonder slecht op orde, terwijl tradionele banken dit soort zaken allang op orde hebben. Dit kun je alleen maar Bunq kwalijk nemen.

Uiteraard ligt er een verantwoordelijkheid bij de klant, maar als je niet eens snel in contact met iemand kunt komen om je (eigen) fout te herstellen dan blijft het laakbaar van Bunq.

j-nl @shytah • 7 juni 2024 13:40

De beveiliging is juist bijzonder goed op orde. De weak link zijn de mensen die in deze slimme oplichtingstrucs trappen.

Wat natuurlijk wel kwalijk is, is dat als een buitenstaander toegang heeft tot een account hij of zij zonder beperkingen zijn of haar gang kan gaan.

thompouce @j-nl • 7 juni 2024 14:41

Hoe kom je tot de conclusie dat de beveiliging goed op orde is?

- De spaarrekening kan vrijlijk overboeken naar elke IBAN, en is daarmee in feite een betaalrekening
- Er was geen maximumbedrag voor grote overboekingen, laat staan een afkoelperiode
- Overboekingen vereisen vrijwel geen tweede factor
- Binnen de bunq app is te achterhalen of een van je contacten een Bunq account heeft, waardoor kwaadwillenden gericht aan de gang kunnen gaan

Feit blijft dat er in luttele seconden volledige pensioenen zijn verdwenen, ik zou dat nooit 'bijzonder goed op orde beveiliging' noemen.

Aalard99

@thompouce • 7 juni 2024 16:06

- De spaarrekening kan vrijlijk overboeken naar elke IBAN, en is daarmee in feite een betaalrekening
- Er was geen maximumbedrag voor grote overboekingen, laat staan een afkoelperiode
- Overboekingen vereisen vrijwel geen tweede factor

Helemaal eens, dit zijn wat mij betreft de basis zaken die een bank op orde moet hebben, dus ik durf wel de stelling in nemen dat Bunq security niet hoog in het vaandel heeft. Ik lees dat er mensen enorme bedragen zijn kwijtgeraakt (100k) en dat het bij sommige mogelijk was om wel 80 fysieke passen aan te vragen zonder dat er ergens een alarm afging. En dan nog de arrogantie van de bank die de schuld volledig bij de consument neerlegt. Nee ik blijf voorlopig even weg bij deze bank.

jaenster

@thompouce • 7 juni 2024 14:56

Je bedoeld dat ze hun slogan naleven van "bank of freedom". Ik snap dat het super kut en naar is voor deze mensen en wil dat niet goed praten, maar al deze beperkingen opleggen is eigenlijk ook raar. Waarom moet je bank je overal en constant tegen werken? Als ik besluit om al mijn geld aan jou over te maken, waarom moet dat gelabeld worden als fouttief? Dat is toch mijn keuze?

De grootste fout die bunq heeft gemaakt is dat ze een web app hebben gemaakt, ze hadden alles in de app moeten houden zoals ze jaren deden.

J_van_Ekris @jaenster • 7 juni 2024 23:49

Ik snap dat het super kut en naar is voor deze mensen en wil dat niet goed praten, maar al deze beperkingen opleggen is eigenlijk ook raar. Waarom moet je bank je overal en constant tegen werken? Als ik besluit om al mijn geld aan jou over te maken, waarom moet dat gelabeld worden als fouttief? Dat is toch mijn keuze?

Omdat elke bank in Nederland een wettelijke plicht heeft haar klanten te beschermen tegen veel voorkomende vormen van fraude waar mogenlijk en ook een sleutelrol heeft in het bestrijden van witwaspraktijken. Ook heeft een bank een rol bij overlijden van de rekeninghouder waar mogenlijk mensen rekeningen plunderen. En ineens al het vermogen overmaken (of zowieso ineens grote bedragen overmaken buiten bepaalde patronen) moet opvallen en moet in veel gevallen zelfs een blokkade opleveren omdat dit in malifide patronen hoort te vallen en in veel gevallen zelfs meldingsplichtig is bij de FIOD.

Afgaande op de discussies over bunq concludeer ik dat ze deze wettelijke rol erg laks invullen.

SpaghettiCake @j-nl • 7 juni 2024 13:52

ja.. de schuld afschuiven op de mensen die erin zijn getrapt.. heeft bunq veel goeds opgeleverd paar weekjes terug

je hebt gelijk hoor maar dat het ultiem aan de klanten ligt die op de linkjes hebben geklikt, maarja als je dan nu net als bunq als eerste respons min of meer dikke middelvinger zegt dan kan je ook niet gek staan kijken als andere klanten snel weglopen. realistischer is om ook de acties van die 'domme klanten' mee te nemen in je beveiliging. zelf geen fan van een script/programma dat moet draaien om te checken op teamviewer o.i.d, snap niet waarom ze niet gewoon 2FA aanzetten. Of nou, ik snap het goed, zo'n Niknam persoon boeit dit soort dingen natuurlijk geene ene barst, die wil gewoon wat centjes vangen nu de ECB lekker veel rente geeft en alle grote nederlandse banken schandalig lage rente geven.

ibmpc @j-nl • 7 juni 2024 19:20

Je noemt twee tegenstrijdigheden in twee regels:

De beveiliging is juist bijzonder goed op orde.

En dan:

De weak link zijn de mensen die in deze slimme oplichtingstrucs trappen.

Dus is de beveiliging niet goed op orde.

emeralda @SgtElPotato • 7 juni 2024 12:47

Bunq wil gewoon een stukje van de 500 miljard aan spaartegoeden die Nederlanders bezitten. En daar zitten ook een hoop niet hippe mensen tussen.

Montaner @SgtElPotato • 7 juni 2024 12:56

Een hippe online only bank die aan de andere kant ook veel wordt ingezet voor fraude. Vrijwel alle frauduleuze webshops welke iDeal accepteren: via Bunq.

kodak

Beveiliging en antivirus

@SgtElPotato • 7 juni 2024 14:02

Wat is er hip aan het als bank nauwelijks hebben van beveiliging tegen duidelijke kenmerken van (identiteits)fraude? Want de wet is niet dat een bank maar zo min mogelijk moet doen om fraude te voorkomen, juist vooral meer. En de wet is ook niet dat als je geld betaald krijgt om andermans geld niet zomaar aan verkeerde personen mee te geven je dat dus maar tegenstrijdig wel kan gaan doen. Dat klanten in phishing kunnen trappen is geen excuus om qls bank dan maar zelf ook geen maatregelen te nemen.

Jerie

@SgtElPotato • 7 juni 2024 16:42

Dom, ach. Als je een remote kwetsbaarheid hebt in Android/iOS dan kun je ook bunq klanten targetten. Want die hebben geen 2FA zoals @DealExtreme2 omschreef. Ik ben zelf klant bij bunq, maar een dedicated offline apparaat voor 2FA (zoals een YubiKey) is veiliger.

dr86 @SgtElPotato • 7 juni 2024 13:19

Nee je kiest tegenwoordig als klant bij bunq voornamelijk voor de hoge spaar rente, sinds zij de hoogste rente in nederland hebben is hun klantenbestand geexplodeerd.

Jerie

@dr86 • 7 juni 2024 16:43

De rente is zelfs nog hoger als je je geld in USD of GBP stalt. Maar hoe het dan met depositogarantiestelsel zit weet ik niet.

sympa @DealExtreme2 • 7 juni 2024 12:14

ING heeft voor normale klanten ook geen extra apparaat nodig.
Maar ze richten het wel zo in dat schade beheersbaar blijft.
En, als het misgaat, grijpen ze in.

lenwar

Bank
Beveiliging en antivirus

@sympa • 7 juni 2024 13:30

Bij de ING is de app-installatie je 'tweede factor'.

Fysieke 2FA in welke vorm dan ook gaat om 'vertrouwde apparaten' (trusted devices). Ik weet dat deze zin heel kort door de bocht is, maar hier mijn onderbouwing:

Rabobank:
De Rabobank gebruikt je bankpas en PIN-code als 2FA.
De Rabobank heeft een 'Raboscanner' voor 2FA. Dit is een hip kastje met een bankpasslot, een camera en een display. De Raboscanner is een generiek apparaatje. Iedere Rabobank-klant, kan iedere Raboscanner gebruiken. De tweede factor bij de Rabobank is 'dus' niet de de Raboscanner, maar je bankpas.

Je 'gebruikersnaam' van Rabobank, is je bankrekeningnummer (IBAN) + je pasnummer (4 cijfers). Deze informatie staat fysiek op je bankpas geschreven. Je fysieke bankpas is dus je eerste factor.

Je prikt de bankpas in de RaboScanner en vult je PINcode in (tweede factor).

Vanaf hier wordt het een beetje voor de show.

Je scant een soort gekleurde QR-code van je monitor. Het kastje gebruikt de code uit de chip van de bankpas om daarmee een OTP te creëeren. Dit moet je overtypen. En zo log je in.

Ofwel. Iedereen die jouw bankpas fysiek heeft en PIN-code weet, kan inloggen als jou op Rabobank Internet Bankieren. Je bankpas is dus je 'trusted device'

ING:
Je activeert de App op je telefoon:
Je vult je gebruikersnaam (Factor 1) en Wachtwoord in (Factor 2). Je scant je ID-kaart/paspoort met de camera èn de NFC-lezer van je telefoon. (Je ID-kaart/paspoort is dus Factor 3) .

Nu Stel je een PIN in.

Je hebt dus drie factoren nodig om de app te activeren. Nu komt de truc: Iedere smartphone/tablet heeft een 'unieke code' die niet veranderd kan worden. De code bestaat uit een string van zoveel karakters, plus de eigenschappen van je telefoon (merk/type/serienummer/enz.) Deze unieke code wordt in combinatie met een unieke code die de app voor zichzelf gebruikt als 'Functionele eerste factor'. Deze data kan niemand veranderen behalve de app zelf. Deze twee codes zijn dus je 'eerste factor' geworden. Versimpeld gezegd: De app-installatie zelf is een vertrouwde factor.

Al zou iemand het voor elkaar krijgen om een dump te maken van jouw app-installatie en die op een andere telefoon op te starten, gaat dat nog steeds niet werken. (want jouw telefoon is fysiek anders)

Je PIN is de tweede factor.

De bescherming van de ING is dus gebaseerd op het feit dat je zowel je toestel in bezit moet hebben, die moet kunnen deblokkeren, en de app moet kunnen activeren (dus ook nog is de app moet kunnen deblokkeren voordat je er iets mee kunt).

Om vervolgens in te loggen op de website van je internetbankieren, moet je dus zowel de gebruikers en wachtwoord hebben als de telefoon en de PINcode van de telefoon. (4 factoren).
Op je telefoon heb je alleen maar het gedeblokkeerde toestel en de PIN van de internetbankieren app nodig.

Bij ING is je app-installatie dus je 'trusted device'.

fwiffo @lenwar • 8 juni 2024 09:51

Qua Rabobank: op de scanner staat nogmaals de actie waarvoor toestemming wordt gegeven. Het is heel gemakkelijk om een proxy-in-the-middle te hebben welke een inlogscherm toont. En na invoer van de code zegt: extra beveiliging detectie.. ogenblik geduld... Voer nogmaals een nieuwe code in.
Alleen de tweede code authoriseert de betaling die de scanner in de tussentijd heeft klaargezet. Dit gebeurde met de vorige lezer.
Dus theater is het niet...

Maar dan moet men wel lezen wat er staat en ook dat is al moeilijk om te blijven doen

jpsch @sympa • 7 juni 2024 23:41

ING heeft een apparaatje dat specifiek voor jou is, met een aparte pincode en een scanner. Je kunt zelfs niet elkaars apparaatje gebruiken.

Eupeodes

@DealExtreme2 • 7 juni 2024 12:16

Volksbank (ASN, SNS, Regiobank) stapt nu ook af van het losse apparaatje. Tegenwoordig kan je overboekingen allemaal goedkeuren via de app, hiervoor geldt standaard wel een limiet van 1000 euro. Deze limiet kan je vervolgens zelf verhogen (tijdelijk tot max 50000, permanent tot max 25000), waarbij een vertraging van 4 uur wordt gehanteerd (en de uren tussen 20:00 en 5:00 niet worden meegeteld) voor de hogere limiet actief is (https://www.asnbank.nl/on...gen-van-de-daglimiet.html), ook krijg je in het activatieproces meerdere keren een bericht via sms.

Pinkys Brain @Eupeodes • 7 juni 2024 12:59

Hoe zeer zijn mensen bewust dat ze bij verlies/diefstal van hun telefoon ze meteen de rekening moeten laten blokkeren? Met los apparaat en puur app limiet van 1000 Euro naar onbekende rekening is de schade te overzien, met 50k word het pijnlijk.

dikkechaap @Pinkys Brain • 7 juni 2024 13:09

Daarnaast is er nog altijd de pincode van de app natuurlijk (nog los van de beveiliging van je telefoon zelf), het is niet zo dat je meteen 50K kunt overmaken als je iemands telefoon weet te jatten.

Pinkys Brain @dikkechaap • 7 juni 2024 13:32

Die dan vaak bijna hetzelfde is als pin van de telefoon. Camera, terrasje, etc.

zordaz @Pinkys Brain • 7 juni 2024 14:05

Precies dat. Waarmee het oude wijn in nieuwe zakken is (lees: variant van hergebruik van wachtwoorden), maar dan verschoven naar apps. De geschiedenis herhaalt zich weer eens...

Eupeodes

@Pinkys Brain • 7 juni 2024 13:03

die 50k kan je dus enkel tijdelijk aanzetten, voor maximaal 24 uur. Maar inderdaad is die 25k ook fors. Ik hoop dat mensen die hun limiet zo hoog zetten dit dus ook bewust doen, zelf heb ik de limiet in ieder geval zo laag gehouden dat de schade te overzien is, en die enkele keer dat ik daadwerkelijk een betaling van een paar duizend euro moet doen verhoog ik de limiet wel even tijdelijk. En bedenk, het zijn limieten per etmaal, dus als je de limiet op 25k zet vanwege een betaling van 24.5k dan heb je verder alsnog maar 500 euro voor alle andere overboekingen dat etmaal.

klonic @DealExtreme2 • 7 juni 2024 12:38

Wat ik niet begrijp is waarom ze niet kiezen voor een in mijn ogen zeer eenvoudige oplossing: je maakt een 2e/aanvullende code verplicht voor hoge bedragen. En zegt erbij: deze code is enkel nodig voor hoge bedragen overboekingen en nooit voor iets anders. Op dit moment weet je bij autorisatie niet wat je bevestigd en daar zit het probleem.

Omdat dat al bestaat. ABN Amro doet dit. Bunq wil dit soort dingen niet, omdat dat geld kost. Als je dit wil, dan ga je toch naar ABN? Het gevolg is dat die bank wel wat duurder is, want ja, al die extra features moeten ook onderhouden worden.

haam @klonic • 7 juni 2024 13:33

Is ABN duurder of Bunq (onterecht) goedkoper? Ik denk dat ABN een 'normale' prijs rekent.

Dit is een generiek probleem voor alle producten. Waarom is procuct B goedkoper dan product A. Daar zitten veel componenten in (R&D, marketing, marge, ingredienten, etc.) die het lastig maken een product te kiezen.
Voor pindakaas is dat eenvoudig, je probeert eenvoudig verschillende merken op basis van smaak en kiest degene die het beste bij je past qua smaak en prijs.

Maar bij heel veel andere producten is dat een stuk moeilijker. Kozijnen, zonnepanelen, CV ketels zijn voorbeelden waarbij het een stuk lastiger is. Datzelfde geldt voor diensten als banken, verzekeringen, etc.
Hoe weet je als leek wat je inlevert bij een lagere prijs. Daar kom je pas achter als het stuk/mis gaat en blijkt wat werkelijk de kwaliteit van het product/service.

Ergo, als Bunq goedkoper is, wat zit er dan niet/onvoldoende in hun servicepakket. Daar kom je pas achter als het mis gaat. Ze gaan natuurlijk niet adverteren met " We zijn goedkoper omdat onze beveiliging minder is".

ibmpc @haam • 7 juni 2024 19:45

Knab is ook goedkoop maar heeft wel een bepaalde basisbeveiliging die Bunq volgens het bovenstaande bericht pas net aan het implementeren is.

Verschil is trouwens dat Knab geen buitenlanders als klant accepteert. ABN Amro wel, onder voorwaarden. Daar zit het vermoedelijk het grootste verschil in kosten. Vermoedelijk accepteert Bunq ook geen buitenlanders als klant om kosten te besparen? Dan kunnen ze dat verschil in de WFT regels stoppen.

[Reactie gewijzigd door ibmpc op 22 juli 2024 15:18]

Aldy @DealExtreme2 • 7 juni 2024 14:22

De arrogantie vind ik ook wat vervelend, zelfs in hun mail waarin ze beginnen met een statistiek die toch duidelijk als doel heeft het opnieuw te downplayen. Los van de statistiek: je klanten zijn de dupe van je wens om hip en makkelijk te zijn en je hebt ze niet geholpen. Begin eens met je excuses.

Vandaag de tweede mail ontvangen (volgens mij de eerste keer ruim een week geleden) en zoals je stelde beginnen beide mails met een statistiek en het bagatelliseren van hun fouten. Bij beide mails staat een telefoonnummer en door dit telefoonnummer twijfel ik eraan of deze mail werkelijk van Bunq komt. In de afzender staat wel bunq, maar niet uitsluitend bunq, zodat er enige twijfel is ontstaan.

teek2

@DealExtreme2 • 7 juni 2024 12:39

Jij maakt dezelfde denkfout al heel veel mensen, want een extra apparaatje of wat dan ook had mensen niet geholpen. Iedereen heeft toegang verleent tot de rekening, dat hadden ze ook gedaan met een apparaatje.

Zeker het kon beter, en nu wordt het gelukkig ook beter, maar vergeet niet dat mensen bij andere banken ook gewoon hun rekening leeg gehaald zien worden. Ik denk dat het daar minder in het nieuws is omdat die banken snel terug betalen tegen imagoschade.

amigob2 @teek2 • 7 juni 2024 13:03

Jij weet niet hoe die apparaatjes werken. Zonder het ING kastje, kan ik niet in loggen kan ik niks over maken, kan ik de limiten niet verhogen, kan ik geen pasje aanvragen, Dus vele malen veiliger
want met alleen het kastje kun je ook niks.

teek2

@amigob2 • 7 juni 2024 13:12

Maar net zoals jij mij kan ompraten anydesk te installeren, of te helpen met bunq installeren op een foon die niet van mij is, kan iemand jou ook ompraten om de codes van die apparaatjes door te geven. Dat bedoel ik. Het voorkomt niets als de gebruiker meewerkt omdat hij/zij voor de gek gehouden wordt. Wat wel helpt zijn die afkoelperiodes, al is ook dat niet 100%. Die 24u waarbij het lijkt of je geld weg is bij bunq is ook zo gek nog niet, want je realiseert je pas dat er wat mis is als je je geld ziet verdwijnen.

johnbetonschaar @teek2 • 7 juni 2024 13:49

Ik denk dat dit inderdaad de crux is... De zwakke schakel bij al dit soort fishing schemes is niet het authenticatie & authorisatie mechanisme. De zwakke schakel is de combinatie van de klant + de hoeveelheid schade die een oplichter kan aanrichten voordat de klant doorheeft wat er aan de hand is.

Bunq heeft geen invloed op het eerste, maar wel op het tweede. Als ze willen opscheppen dat ze geen kastjes of limieten of afkoelperiodes hebben dan is dat prima, maar maak het dan optioneel en standaard veilig, met lage limieten, en tetter de gebruiker met enorme koeienletters in zijn oor dat ze nooit nooit nooit via de telefoon met 'Bunq medewerkers' gaan praten op het moment dat ze deze beveiligingen uit willen zetten of limieten verhogen. Desnoods laat je ze een niet te skippen auto-play video zien waarin wordt uitgelegd hoe zulke oplichterij werkt.

Los daarvan, persoonlijk vind ik (en sorry dat ik het zeg) het echt onbegrijpelijk dat er vandaag de dag nog mensen zijn die in dit soort trucs trappen, ik kan daar echt met mijn verstand niet bij en ik ben ook weinig gevoelig meer voor argumenten als 'ja maar oude mensen snappen dit niet' of 'oplichters zijn zo slim tegenwoordig' etc. Het is inmiddels 2024 en internetbankieren bestaat al zo'n 25 jaar, als je nu nog niet doorhebt dat inloggegevens weggeven via babbeltrucs ongeveer hetzelfde is als een random persoon even een kopietje laten maken van je huissleutels, dan gaat echt geen enkele beveilingsmethode goed genoeg zijn.

[Reactie gewijzigd door johnbetonschaar op 22 juli 2024 15:18]

teek2

@johnbetonschaar • 7 juni 2024 15:58

Onderzoek het maar eens, zelfs beveiligingsonderzoekers trappen er soms in. Mensen stoppen met goed nadenken als ze druk ervaren.

amigob2 @teek2 • 7 juni 2024 13:45

Er was een voorbeeld waarbij een oudere mevrouw 80 bankpasjes had aan gevraagd en die zijn allemaal gebruikt om de bank rekening te plunderen. Weer niet mogelijk bij ING. Want je moet bij ieder bankbasje het goed keuren met het kastje

J_van_Ekris @teek2 • 7 juni 2024 13:18

Jij maakt dezelfde denkfout al heel veel mensen, want een extra apparaatje of wat dan ook had mensen niet geholpen. Iedereen heeft toegang verleent tot de rekening, dat hadden ze ook gedaan met een apparaatje.

Ik denk dat je niet snapt hoe dit soort kastjes werken. Bij de ABN wordt op het kastje onderscheid gemaakt tussen inloggen en betalingen autoriseren. Met inlogcodes kun je geen transacties autoriseren en vice versa. En het kastje bepaalt welke code gegenereerd wordt. Dus zelfs als je een klant fopt om in te loggen, dan is de schade enorm beperkt (je kunt als je op de app inlogt alleen beperkte overmakingen naar reeds bekende rekeningnummers doen). Als je dus afwijkt, wat een scammer wel moet wil hij er aan verdienen, dan moet je de gebruiker overtuigen dat hij de optie op zijn kastje kiest waar heel expliciet op het scherm van datzelfde kastje staat dat je een transactie aan het autoriseren bent. Beetje pech heeft die gebruiker dat kastje niet eens bij de hand (want je gebruikt het alleen voor afwijkende zaken). Dat maakt mensen toch een stuk bewuster wat er gebeurt.

xFeverr @J_van_Ekris • 7 juni 2024 14:00

Er zijn ook zat scams die je vertellen dat je rekening actief wordt gebruikt door criminelen en dat je dus je geld moet wegzetten bij een beveiligde rekening van de bank. En dan loodsen ze je er zo wel doorheen. En ook daar trappen mensen met open ogen in. Of je nu kastjes, apps of watdanook hebt, maakt helemaal niet uit.

johnbetonschaar @J_van_Ekris • 7 juni 2024 14:11

Er zijn legio voorbeelden van mensen die gescamd zijn door babbeltrucs waarbij ze via de telefoon wordt verteld dat ze hun geld naar een 'kluisrekening' moeten overmaken of wat dan ook, omdat 'de bank' heeft vastgesteld dat er 'verdachte activiteit plaatsvindt' op hun rekening en ze daarom hun geld 'zo snel mogelijk veilig moeten stellen'. Dat moet de klant dan zelf doen want 'de bank mag dit niet zelf doen vanwege europese bank regelgeving' of wat dan ook. Je gelooft het haast niet maar mensen trappen er in... Er zijn er zelfs bij die willens en wetens hun pincode intoetsen op een fishing website en vervolgens hun pinpassen in een envelop meegeven aan 'een koerier' die ze aan huis komt ophalen zodat 'de bank ze kan onderzoeken op fraude'.

De kastjes zijn waarschijnlijk wel een soort filter waardoor er minder mensen intrappen, de vraag is hoe groot het verschil is in mensen die wel in een scam trappen zonder kastje, en niet in een scam met kastje. Ik vermoed kleiner dan je denkt...

J_van_Ekris @johnbetonschaar • 7 juni 2024 23:55

De kastjes zijn waarschijnlijk wel een soort filter waardoor er minder mensen intrappen, de vraag is hoe groot het verschil is in mensen die wel in een scam trappen zonder kastje, en niet in een scam met kastje.

Heel bot gezegd denk ik dat de opzet van een ABN (met alle hoepels waar je doorheen moet als je iets met grote bedragen doet) voldoende scammers afschrikt zodat ze een zwakkere (bunq...) bank als slachtoffer kiezen. Dat is de kern van het probleem. bunq is gewoon de slechtste leerling van de klas, en is daardoor structureel een prooi.

TheMak @teek2 • 7 juni 2024 16:51

Dat apparaatje maakt het wel moeilijker een geloofwaardig verhaal op te hangen. Ik begin me pas zorgen te maken op het moment dat iemand mij weet te overtuigen als het apparaatje omgewisseld is.

Odie @DealExtreme2 • 7 juni 2024 12:37

Bij ING heb ik al heel lang geen externe TAN/2FA codes meer en dat kan prima.

timvisee @DealExtreme2 • 7 juni 2024 15:16

Ik zie niet waarom dat wel zou helpen, en denk dat dit hetzelfde probleem heeft als de verificatiestappen die je nu ook al moet ondergaan.

Mensen zijn naïef. Wat houdt slachtoffers tegen om deze extra code niet ook over de telefoon door te geven? Als het belletje niet gaat rinkelen bij de huidige verificatie codes, waarom dan bij die wel?

[Reactie gewijzigd door timvisee op 22 juli 2024 15:18]

Tozz @DealExtreme2 • 7 juni 2024 16:03

je maakt een 2e/aanvullende code verplicht voor hoge bedragen

Als ik 't een beetje goed begrijp spelen de scammers daar op in. "Hallo u spreekt met uw bank. We hebben verdachte activiteit gezien. We willen graag samen met u uw geld veilig zetten door het over te boeken naar een interne veilige rekening van de bank"

DCG909 @DealExtreme2 • 7 juni 2024 16:21

Fwiw.
De ABN AMRO gaat z'n calculator ook volledig uitfaseren, via de app een overboeking doen boven je daglimiet kan niet meer met de authenticator, je moet dan je limiet eerst ophogen.
Ideal betalingen boven het limiet gebruiken wel de authenticator nog.

ibmpc @DCG909 • 7 juni 2024 19:49

Best jammer, want je kunt de USB aansluiting op de calculator prima toepassen voor phishing resistant. De calculator als losse device gebruiken is namelijk niet phishing resistant. Het wordt tijd dat we MFA een keertje helemaal de deur uit gooien, het is zo lek als een mandje. Het is tijd dat iedereen phishing resistant gaat.

[Reactie gewijzigd door ibmpc op 22 juli 2024 15:18]

WaarAnders 7 juni 2024 13:10

Hoe kunnen ze eigenlijk detecteren of er remote control software draait? Gaan ze voor elk ip alle poorten scannen in de 'hoop' dat er 1 zich vrij geeft als remote control software? Mag dat überhaupt?

3raser @WaarAnders • 7 juni 2024 13:53

Ik vraag me hetzelfde af. Ben geen klant bij Bunq maar installeren Bunq klanten misschien al client software om hun bankzaken te doen? Dan kan die software worden aangepast. De enige andere manier die ik me zo kan bedenken is dat Bunq je gaat vragen hun beveiligingstool te installeren. Dat zou overigens een heel rare zet zijn.

IP poorten scannen werkt niet voor Teamviewer en AnyDesk. Die zetten namelijk geen poorten open maar verbinding met de client naar een server van het desbetreffende bedrijf.

Lucb1e

@WaarAnders • 9 juni 2024 01:37

voor elk ip alle poorten scannen

Ah, dat zal het zijn! Ik vroeg me af hoe dit kon maar dit soort remote control software opent vaak poorten inderdaad. Ze zouden dan echter niet je IP maar gewoon op localhost scannen. Aangezien de JavaScript code in jouw browser draait, komen ze dan bij de software op jouw computer uit

Supercop 7 juni 2024 12:24

Wat ik wel mis in het artikel en waar ik zelf op triggerde was voornamelijk het feit dat ze vanaf nu actief transacties gaan pauzeren (tijdelijk on hold zetten). Dat is vooral het geval bij grote inkomende bedragen die ze tot 3 dagen vasthouden en pas dan vrijgeven, terwijl het wel bij de verstuurde partij is afgeschreven.

Ook bij het doen van betalingen houden ze het geld tot 24u vast wanneer het om een 'onbekend' rekening nummer gaat. Het is wel 'afgeschreven' maar kan dus tot 24u duren voor het geld is bijgeschreven bij de ontvangende partij. Jij kan dus tot 24u de transacties als nog cancelen.

Ik heb daar als zakelijke klant wel mijn bedenkingen bij. Het komt nog al eens voor dat ik grote bedragen ontvang of verstuur. Moeten we vanaf nu dan daar ook rekening mee gaan houden? Er wordt verder niets over vermeld

[Reactie gewijzigd door Supercop op 22 juli 2024 15:18]

Eupeodes

@Supercop • 7 juni 2024 12:35

Dat wordt wel een uitdaging met dingen (ver)kopen via marktplaats. Ik heb vaak genoeg iemand aan de deur geld laten overmaken voor ik het artikel mee heb gegeven, dat zou dan dus niet meer kunnen als de koper nu minimaal een dag de betaling kan annuleren. In de lokale verkoopgroepen op fb zie je nu al vaak 'Geen koeriers' in de advertentie staan, moet dat dan 'Geen koeriers of bunq klanten' worden?

Tozz @Eupeodes • 7 juni 2024 16:04

Als je betaald via Marktplaats gelijk oversteken is er niets aan de hand.
Zelfs een Tikkie werkt ook prima.

Bij beide heb je bevestiging dat er is betaald, zelfs al komt de daadwerkelijke betaling iets later.

J_van_Ekris @Eupeodes • 7 juni 2024 17:37

Dat wordt wel een uitdaging met dingen (ver)kopen via marktplaats. Ik heb vaak genoeg iemand aan de deur geld laten overmaken voor ik het artikel mee heb gegeven, dat zou dan dus niet meer kunnen als de koper nu minimaal een dag de betaling kan annuleren.

Ligt er helemaal aan hoe ze het implementeren.

Ik heb ooit via PayPal een vrij serieuze marktplaats aankoop ter plekke afgerekend, en het eerste wat er gebeurde was dat ik direct door PayPal gebeld werd met de vraag of dit klopte (lees: binnen 5 minuten). Na bevestiging leek het geld overgemaakt te worden, maar stond het nog in ESCROW: bij mij was het min of meer afgeschreven, en bij de ontvanger min of meer bijgeschreven. Maar het bedrag was aan beide kanten nog geblokkeerd. Ik kon, met een aangifte van fraude binnen 5 dagen, de transactie nog terugdraaien. Als ik niets deed, dan werd het vanzelf vrijgegeven en kreeg de ontvanger zijn geld. Dit is inmiddels meer dan 10 jaar geleden, maar het kan wel werken.

Ik weet niet of Bunq (en een ontvangende bank) dit ook kunnen. Binnen een enkel systeem zoals PayPal is kan het goed werken. Ik kan me voorstellen dat bij een transactie van Bunq naar een andere bank dit natuurlijk veel complexer wordt.

jpsch @Supercop • 7 juni 2024 23:46

Dus dan is de valutering weer terug. Lekker drie dagen rente pakken.

EvilWhiteDragon 7 juni 2024 13:15

Eigenlijk is het te triest voor woorden dan men zegt dat de klant zelf maar beter moet opletten etc. Kijk eens naar waar we vandaan komen.
In het verleden werd je aan de balie bij een bank geholpen door een medewerker. Die medewerker kon direct enige inschatting maken van de omstandigheid waarin je een overboeking wilde doen en eventueel een aantal kritische vragen stellen.
Koos je ervoor om via de post zaken met de bank te regelen, dan werd de opdracht door een medewerker in het systeem gezet (denk jaren 70-80) welke direct een belletje kon plegen als er ongebruikelijke transacties plaatsvonden.
Daarnaast werden je bankzaken op het lokale kantoor van je bank behandeld, waardoor het opviel als Zuinige Henk ineens geld overmaakte naar een onbekende van buiten het dorp. Of als Opa Piet ineens een grote overboeking per post deed, i.p.v. bij de bank zelf.

Alle automatisering en "verbetering van dienstverlening" met betrekking tot internetbankieren komt in de eerste plaats ten bate van banken zelf. Omdat we zelf alle overboekingsgegevens invoeren hoeft een medewerker dat niet meer te doen. Omdat we zelf voor identificatie zorgen, hoeft dat niet meer door een medewerker gedaan te worden. Omdat we veel meer bankzaken thuis kunnen doen, zijn er minder bankfilialen nodig. Omdat we meer zelf doen en er minder bankfilialen zijn, is er minder menselijke controle op een transactie. Het is in het belang van de banken dat internetbankieren goed werkt en in algemeen gebruik veilig is. Algemeen gebruik betekend veilig voor iedereen die door de bank geacht wordt te internetbankieren.

TheMak @EvilWhiteDragon • 7 juni 2024 17:20

Het grootste probleem is dat je een handtekening/code opgeeft zonder dat je kam zien waar die bij hoort. Maw de bank kan jou wel controleren, maar jij kan moeilijk de bank controleren.

GeeBee 8 juni 2024 11:51

Gaan ze detecteren op het geïnstalleerd hebben van (bv) AnyDesk op mijn PC terwijl ik daarmee inlog? Of gaan ze detecteren op het inloggen via (bv) AnyDesk?
Dat is nogal een privacy-verschil.

RoccoS 7 juni 2024 12:14

Ik vind dat Bunq onterecht volledig de schuld in de schoenen krijgt geschoven in de media. Er wordt veels te weinig gewezen op de verantwoordelijkheid die de eindgebruiker heeft zich te informeren en te gedragen naar de richtlijnen die tegenwoordig overal op de websites en apps van banken vermeld staan. Mensen zijn te lui om het te lezen, het interesseert ze niks, denken allemaal "het zal wel", totdat ze het ze overkomt dan schreeuwen ze allemaal moord en brand en wijzen ze direct naar de bank. Je hebt als gebruiker gewoon een verantwoordelijkheid, als je die niet neemt dan moet je dit soort diensten niet gebruiken.

SoftwareGert @RoccoS • 7 juni 2024 12:26

Helaas is dit de zorgplicht van Bunq die zij moedwillig verzaken. Het is goed dat Bunq aan de schandpaal hangt, vele jaren te laat.

Natuurlijk hebben mensen zelf ook de plicht om nergens in te tuinen, maar sommige phishing gaat zo ver dat de leek het verschil niet ziet. Bijv. Adres of nummer spoofing, data lekken met aanvullende informatie waardoor phisher dingen weet die niet bekend zouden moeten zijn, neppe linkedin profielen, en ga zo maar door.

Snapt jouw moeder of grootmoeder dit? En zou een bank als Bunq dus iets meer mogen doen, net als de andere banken?

BTW, er is een bankierseed waarin de zorgplicht geregeld is.

[Reactie gewijzigd door SoftwareGert op 22 juli 2024 15:18]

Anoniem: 454358 @RoccoS • 7 juni 2024 12:24

precies. als je AnyDesk of TeamViewer gaat installeren, of een vage apk via een niet google store dan vraag je er in 2024 gewoon om. Mensen moeten gewoon wat bewuster worden en niet maar denken dat ze toch wel worden beschermd.

GoEV6 @Anoniem: 454358 • 7 juni 2024 12:37

Hoeveel procent van de 65 plussers kent AnyDenk, TeamViewer en apk? Ik denk heel weinig.

WaarAnders @GoEV6 • 7 juni 2024 13:03

Precies!

Beste meneer, mevrouw,

"Vindt u het ook zo vervelend dat de persoonlijke service van het kantoor op de hoek niet meer bestaat? Wees gerust, wij van Bunkie hebben de oplossing. Als u deze software installeert ervaart u, gratis, dezelfde service en kunnen wij u persoonlijk helpen."

Een hoop mensen zullen dit ervaren als extra service van hun bank. Vroeger installeerde je immers ook software voor je bank om online te bankieren. Weten zij veel dat iemand zich voordoet alsof ze de bank zijn...

Anoniem: 454358 @WaarAnders • 7 juni 2024 13:12

dan wordt het maar eens tijd dat mensen leren niets te installeren als iemand daar om vraagt, dat is 100% scam. Ik heb nog nooit een legitiem bedrijf gezien die daarom vroeg.

Wij hebben een nieuwe service, iemand komt uw spaargeld halen, zodat u het niet naar de bank hoeft te brengen. Dat zal ook niemand zomaar geloven.

WaarAnders @Anoniem: 454358 • 7 juni 2024 14:06

20 jaar geleden was het heel gebruikelijk dat banken vroegen om software te installeren. Dus waarom zouden mensen die daarmee opgroeiden dit niet meer geloven?

De meeste mensen hebben overigens al geen significant, contant bedrag thuis liggen dus geld meegeven is al geen probleem meer

Maar iemand direct geld geven is voor veel mensen wat duidelijker dan software te installeren voor persoonlijke service.

Anoniem: 454358 @WaarAnders • 7 juni 2024 15:28

niet ja maar, ja maar ...
Gewoon niks installeren, dat moeten ze leren. En dat zou een bank in een email of app notificatie toch duidelijk kunenn maken? "Wij zullen u nooit vragen iets te installeren."

wooha @Anoniem: 454358 • 7 juni 2024 17:24

Behalve onze bankieren app?

P_Tingen @WaarAnders • 7 juni 2024 13:30

Voor heel veel mensen die wél wat technischer onderlegd zijn, ligt er hier ook een morele taak om de zwakkeren in hun omgeving (ouders, grootouders) hierin te ondersteunen. Mijn schoonmoeder drukt nergens op als ze het niet voor 100% vertrouwt. Als ze ook maar de geringste twijfel heeft, vraagt ze mij. Gevolg is dat ze zo ongeveer 1x per week wel iets heeft á la "ik kreeg dit, is dat veilig?" maar dat heb ik liever dan dat ze een lege bankrekening heeft

Aldy @Anoniem: 454358 • 7 juni 2024 14:31

Ben het met je eens dat het niet slim is om in opdracht software op je apparaat te installeren, maar je weet niet hoe het verhaal verpakt is. Verder denken mensen heus niet dat ze toch wel beschermd worden, dus dat ze daarom de boel de boel laten. En het blijkt dat ook mensen erin stinken waarvan je het niet zou verwachten. Ook jou kan het overkomen, geloof me.

PTR @RoccoS • 7 juni 2024 13:13

Je klinkt als Ali: "Want wat kan Niknam doen voor Geraldine Smink en de andere slachtoffers? Voor de groep die elkaar trof in de kerk in Durgerdam en graag met bunq om tafel wil om te bespreken wat er mogelijk is. Een voorstel om een afspraak te maken is door bunq nog altijd niet beantwoord.
„Niks”, zegt Niknam, in zijn kenmerkende harde, duidelijke stijl van spreken. „Het is alsof je buiten op straat iemand je autosleutels geeft. Dan is je auto weg.”

Ten eerste klopt de vergelijking niet die hij maakt (altijd weer die auto vergelijking...) en ten tweede heb je een zorgplicht als bankair instituut. Je geeft een deel van de verantwoordelijkheid voor je knaken aan de bank, dat zij daar goed voor zorgen, dus ook beschermen. Het eenzijdig neerleggen bij de klant kan en mag niet in Nederland. En dat is maar goed ook.

Het verbaast me dat mensen het goed willen praten dat een bank niet de juiste (en relatief simpele) maatregelen heeft genomen onder het mom 'eigen verantwoordelijkheid, jammer joh'.

Aldy @PTR • 7 juni 2024 14:57

Het eenzijdig neerleggen bij de klant kan en mag niet in Nederland.

Hoe kom je daarbij? Als iemand een fout maakt en daar zijn financiële consequenties aan verbonden, dan betaalt die persoon voor zijn of haar fout. Dat mag en kan in Nederland. Een ander verhaal is het dat de tegenpartij er alles aan moet doen om die kans op een fout zo klein mogelijk te maken en daar schort het aan bij Bunq.

PTR @Aldy • 7 juni 2024 17:52

Oke, je hebt een punt, dat had beter gekund in bewoording en context. Punt is dat het niet zomaar kan, het zou geen risico moeten zijn dat je je geld ergens stalt, zoals dat wel is met een investering. In een andere reactie citeerde ik Nickham waarin hij blunt zegt "jammer joh, jouw fout". Zo achteloos. Zo zouden we niet met elkaar om moeten gaan.
In het kader van bewoordingen, bunq is niet de tegenpartij, maar de partij die de zorg op zich neemt om je geld netjes te bewaren. Daar betaal je ze ook voor.
Zoals ze nu gedaan hebben, werken ze eigenlijk mee met de echte tegenpartij, de oplichters.

Aldy @PTR • 7 juni 2024 18:57

Ik erger mij op dit moment ook rot aan Bunq. Niet zozeer dat mensen in oplichting stinken, maar vooral hoe daarmee wordt omgegaan vanuit Bunq. Overigens is Bunq in dit geval de wederpartij, de partij waarmee je een overeenkomst hebt en als je daar mot mee hebt, wordt het de tegenpartij.
De reactie van Ali Niknam is de arrogantie ten top, maar ik betwijfel of hem dit klanten gaat kosten. Er zijn voorbeelden te over dat mensen dit een positief element vinden. Deze mensen vinden bijvoorbeeld dat je juist bij Bunq veilig je geld kunt neerzetten, omdat Bunq geen geld uitdeelt aan mensen die zich laten oplichten. Elke eigenschap van iemand valt positief en negatief uit te leggen.

Eupeodes

@RoccoS • 7 juni 2024 12:26

Het probleem is eerder dat de slachtoffers te goedgelovig zijn. De oplichters hebben helaas de neiging hun slachtoffers redelijk zorgvuldig uit te kiezen, en dus te gaan voor ouderen die zich minder bewust zijn van de gevaren. En dan hebben we het natuurlijk niet alleen over leegtrekken van bankrekeningen, maar ook beunhazen die zich melden bij een huis met de mededeling dat het dak er niet goed uit ziet en of ze voor 1000 euro per uur er 10 uur naar mogen kijken, of alarmbedrijven die veel te dure alarmen aansmeren omdat die mensen zo bang zijn.

En natuurlijk kunnen de banken die niet allemaal ondervangen, maar ik denk dat we allemaal dit met onze (groot)ouders moeten blijven bespreken en samen afspraken maken hoe we dit kunnen voorkomen (en zeker als de ouders echt op leeftijd zijn ze tegen zichzelf in bescherming nemen door te zorgen dat een kind toestemming moet geven voor grote betalingen).

WhatsappHack

Bunq
Bank
Beveiliging en antivirus

@Eupeodes • 7 juni 2024 13:08

Ik denk dat oplichters juist helemaal niet zorgvuldig zijn. Die bellen/smsen tig mensen en elke die hapt gaan ze verder op in. Het het niet voor niets "vissen". Ze discrimineren juist weinig.

Aldy @WhatsappHack • 7 juni 2024 14:43

Dat wat je schrijft, blijkt duidelijk als je ziet welke mensen er opgelicht zijn. Dat gaat dwars door alle leeftijdsgroepen. En voor enorme bedragen.

BCC @RoccoS • 7 juni 2024 12:21

Ik vindt juist dat de bank steeds meer verantwoordelijkheid afwentelt op gebruikers op deze manier - dat lijkt me niet wenselijk. Vergissen is menselijk.

Anoniem: 2022072 @BCC • 7 juni 2024 12:48

Vergissen is menselijk, maar in het artikel van NOS halen ze mensen aan die klikten op urls in sms-berichten nadat ze gebeld waren. Iemand gaf bijvoorbeeld aan:

Ik googelde zijn naam en hij werkte inderdaad bij de bank.

En een ander na gebeld te zijn door een ‘medewerker’:

En jawel, er werkt inderdaad iemand met zijn naam bij Bunq.

Dan ben je in mijn ogen zeer naïef en is het dus zeker terecht dat de bank de verantwoordelijkheid afwentelt op de gebruiker. Er zouden meer banken moeten zijn die niets meer vergoeden als je door eigen schuld je geld kwijtraakt. Nu draait elke klant op voor die coulance.

[Reactie gewijzigd door Anoniem: 2022072 op 22 juli 2024 15:18]

WaarAnders @Anoniem: 2022072 • 7 juni 2024 13:07

Vertrouwen in het banken systeem is van groot belang voor elke moderne economie. Helaas betekent het dat banken best veel moeten accepteren (risico management), ook consumenten die misschien een foutje maken en slachtoffer zijn van crimineel gedrag. De zorgplicht die bij een bank licentie komt kijken.

Mensen laten bankieren bij banken zonder zorgplicht, goedkoper maar meer risico is niet voor elke persoon een goed idee. Geld besparen ivm laag inkomen is verleidelijk, maar als de bank over de kop is ook dat kleine beetje spaargeld weg.

Sjaak098 @Anoniem: 2022072 • 7 juni 2024 14:48

Ik denk echt dat je de gemiddelde digitale zelfredzaamheid van de gemiddelde Nederlander echt zeer ernstig overschat. Niet iedereen zit op het tweakers forum he? Mensen die op internet op de naam gaan zoeken van diegene die met hen contact opneemt, dat is echt al een hele redelijke strategie voor de gemiddelde consument volgens mij.

Oplichters hanteren natuurlijk ook een beetje de sleepnet-strategie, er blijft altijd wel een makkelijk slachtoffer in de netten hangen. Het is in hoge mate dan ook de verantwoordelijkheid van de bank om de beveiliging op orde te hebben, mensen te beschermen en naar redelijkheid (en dat gaat in mijn ogen dus vrij ver) te compenseren als het mis gaat.

Anoniem: 2022072 @Sjaak098 • 10 juni 2024 08:49

Ik overschat niets, maar ik vind wel dat niet iedereen zomaar het internet op moet. Daar zitten nu eenmaal risico’s aan. Als je niet in staat bent om niet op willekeurig ontvangen url’s te klikken, kan je mijns inziens beter stoppen met het online gebeuren.

En ja, voordat iedereen zegt dat het onmogelijk is, het kan prima. Mijn broertje en zijn vrouw (beiden begin 30) doen privé al drie jaar niets meer online.

J_van_Ekris @Anoniem: 2022072 • 7 juni 2024 17:50

Er zouden meer banken moeten zijn die niets meer vergoeden als je door eigen schuld je geld kwijtraakt. Nu draait elke klant op voor die coulance.

Best joh. Maar dan ga ik als betalende klant wel weer eisen dat ik mijn groot dorp (+50.000 inwoners) gewoon weer een volledig bankfiliaal krijg en gekwallificeerde medewerkers die de tijd hebben om me te helpen.

Want de winst van die bezuinigingsoperatie is allang ingeboekt. Bijna alle banken hebben hun filialen en medewerkers eruit gegooid onder het mom van "de klant kan het zelf best online". En dat gaat best redelijk, maar de schaduwzijde is dat fraude meer geld kost en dat diegene die de winst pakt van die operatie ook die negatieve kosten moet dragen (omdat we anders echt terug willen naar dat kantoor met mensen in krijtstreepjes die mij nog bij naam kent).

Vergelijk het met supermarkten. Klanten regelen het scanproces nu ook zelf, en de fraude neemt toe. De winkel, die de kosten van de cassieres al ingeboekt heeft, die moet dit oplossen. Niet de klant.

klonic @BCC • 7 juni 2024 12:35

Vergissen is menselijk.

Zeker, daarom gaan mensen ook constant dood bij ongelukken. Of in dit geval verliezen mensen geld.

Ik ben ook 30k verloren in een fallisement van een Singaporees cryptobedrijf.

Soms zit het mee, soms zit het tegen. Maar als je een fout maakt, moet je op de blaren zitten.

Ik heb het gevoel dat heel Nederland vol komt te liggen met rubberen tegels, alles en iedereen moet beschermd worden en tegelijk vindt iedereen ook alles te duur. Wil je naar een rubberen tegel bank, ga dan naar meerdere banken en vooral de grootbanken. Praat met ze over hoe je dit soort ellende kan voorkomen. Zet je geld op slot in een deposito en geniet van je 1,5% rente.

Zelf kies ik voor 4% rente en vind ik het risico prima.

bw_van_manen @klonic • 7 juni 2024 13:15

Maar Bunq zegt niet dat ze een betonnen plaat bank zijn, ze presenteren zichzelf als rubberen tegel bank en als het misgaat blijken ze opeens een betonnen plaat.

klonic @bw_van_manen • 7 juni 2024 14:05

Waar zeggen ze dan dat ze je zullen compenseren als je iemand toegang verleent tot je bankrekening?

Volgens mij zegt niemand dat en zijn sommige banken hier iets coulanter in dan anderen.

Hoe presenteren ze zich dan als rubberentegelbank?

Het is in ieder geval duidelijk dat je niet met ze kan bellen en ook niet even langs een kantoor kan gaan, in die zin is het dus een betonnen tegel.

Aldy @bw_van_manen • 7 juni 2024 14:37

Afgezien dat geen enkele bank een rubberen tegel bank is, heb ik Bunq ook nog nooit als een rubberen tegel bank gezien. Gewoon een kwestie van gezond verstand.

Neyluzz @RoccoS • 7 juni 2024 12:21

Ja: eigen verantwoordelijkheid. Nee: niet beknibbelen op relatief makkelijk te implementeren geautomatiseerde beveiligingsmaatregelen en telefonische support. Al helemaal niet als je ziet wat je bij bunq voor een rekening betaalt.

[Reactie gewijzigd door Neyluzz op 22 juli 2024 15:18]

klonic @Neyluzz • 7 juni 2024 12:30

Bunq's hele model is dat ze zo min mogelijk support willen leveren. Als je daar als klant niet achter staat, moet je naar ABN Amro gaan ofzo.

Dit is marktwerking, de ene bank is duur, log, lomp, langzaam maar wel met allerlei ouderwetse diensten, en de anders is klantonvriendelijk, geautomatiseerd, goedkoop.

Kies wat je wil....

Aldy @klonic • 7 juni 2024 14:40

Support van de grote handelsbanken? Dat was vroeger, maar daar moet je nu ook niet meer mee aankomen.

Dit is marktwerking, de ene bank is duur, log, lomp, langzaam maar wel met allerlei ouderwetse diensten, en de anders is klantonvriendelijk, geautomatiseerd, goedkoop.

Precies, de drie grote handelsbanken. Wat is goedkoop? Weet je wat een rekening bij Bunq kost?

Sjaak098 @klonic • 7 juni 2024 14:52

Nee joh. Niet iedereen is een tweakers die zich beseft hoe de beveiliging van een bank in elkaar steekt en dat je daar dus gradaties in hebt. Iedere bank moet gewoon een bepaalde (vrij hoge) standaard aan beveiliging leveren zodat de gemiddelde consument, die hier echt totaal niet bezig is, veilig kan bankieren.

Kies wat je wil is echt veel te kort door de bocht natuurlijk.

watercoolertje @RoccoS • 7 juni 2024 12:22

Je hebt als gebruiker gewoon een verantwoordelijkheid, als je die niet neemt dan moet je dit soort diensten niet gebruiken.

Gewoon geen bank (online) gebruiken? Wat een advies

Uiteindelijk is vrijwel alles eigen verantwoordelijkheid, maakt niet dat diensten als dit het ook niet makkelijk moeten maken voor criminelen...

De media meette het breed uit omdat Bunq een Appletje deed, eerst alles ontkennen tot het niet meer te ontkennen was en nu moeten/gaan ze er dus alsnog wat aan doen dankzij druk uit de media. Ik ben daar juist wel blij mee.

[Reactie gewijzigd door watercoolertje op 22 juli 2024 15:18]

Jilburr @RoccoS • 7 juni 2024 12:27

Ik kwam hier eigenlijk om dit te typen maar jij hebt de woorden al uit m'n mond gehaald. Zie iedereen alleen maar wijzen naar de bank maar waar is inderdaad de verantwoordelijkheid voor de eindgebruiker gebleven.

pete4live @RoccoS • 7 juni 2024 12:29

Bunq draagt ook verantwoordelijkheid voor de klant en doet dat aangetoond opvallend minder dan andere banken. Het zou niet mogelijk moeten zijn dat klanten tonnen aan geld verliezen zonder compensatie door een enkele vergissing. Er bestaan veilige oplossingen om de kans op fraude te verminderen en die worden door andere banken wel toegepast, maar bij Bunq niet. Dat de media hier op wijzen is terecht.

CivLord

Bank

@RoccoS • 9 juni 2024 10:01

Ja de gebruikers hebben een eigen verantwoordelijkheid. De bank heeft echter ook een verantwoordelijkheid om de gevolgen van misbruik te beperken.

xxxMaverick 7 juni 2024 12:08

En nog steeds geen vast tegenrekeningnummer voor spaarders ? Bizar . Meest simpele en effectieve maatregel en voeren ze niet door . Tot die tijd neemt men beveiliging niet serieus

[Yellow] @xxxMaverick • 7 juni 2024 12:34

Inderdaad. Nog geen twee weken geleden kreeg ik nog een mail van Bunq waarin letterlijk de volgende zin staat:

Let op: wij bellen nóóit
Telefoon- en e-mailverkeer is inherent onveilig. Juist daarom hebben we bij bunq vanaf lancering gezegd: we bellen je nooit.

En nu gaan ze dat ineens wél doen. En daarover sturen ze weer geen email....

En precies dit is het probleem: de vele, vele wijzigingen in procedures zorgen ervoor dat je niet meer weet wat nu de procedure hoort te zijn... En ga je fouten maken.

En nu, na alle ophef en slechte reclame, gaan ze een aantal zaken aanpakken. Maar de meeste wijzigingen zijn in mijn ogen niet effectief. Detectie AnyDesk? Makkelijk te misleiden. Nieuwe gezichtsscan bij vermoeden fraude? Het gezicht van de fraudeur staat dan al op zijn naam dus die gaat het vanaf nu als eerste aanpassen.

De uitgestelde betalingen en de manier waarop ze het nu voorstellen lijkt me nog de beste maatregel.

Maar de volgende zouden ze ook zeker moeten doen:
- Een webpagina/in de app waar je kunt controleren of een Bunq medewerker je echt aan het bellen is
- Een vaste tegenrekening voor spaarrekeningen
- Maar wat ze in mijn ogen echt missen is een alarmnummer waar je naartoe kunt bellen bij 1) vermoeden fraude zodat alles geblokkeerd wordt en 2) hulp bij registratie

DeMolT. @xxxMaverick • 7 juni 2024 12:27

En dan is de tegenrekeningnummer van hetzelfde account de betaalrekening (zoals dat bij mij zou zijn), dan is het enkel een klein stapje extra voor de crimineel.
Je kunt het met techniek proberen op te lossen, maar het moet ook werkbaar blijven.
Het probleem zit hem in het menselijke aspect, dus opvoeden is daarbij belangrijk. En als ik kijk hoevaak ik mij al irriteer aan het aantal keren dat Bunq zegt "Pas op voor phishing aanvallen...Wij bellen niet", dan doen ze dat al aardig goed.

Ik kreeg vanochtend een e-mail van bunq:

In 2023 waren er maar liefst 10.000 gevallen van bankhelpdeskfraude en nog eens duizenden phishing-slachtoffers in Nederland (bron: NVB). Bij bunq waren dit er in totaal 85.

Dan denk ik, krijgen mensen die nu "massaal" opstappen bij bunq, statistisch gezien, dan niet een grotere kans dat ze slachtoffer worden?

Ik snap de hetze tegen bunq niet zo best, maar dat zal aan mij liggen.

WhatsappHack

Bunq
Bank
Beveiliging en antivirus

@DeMolT. • 7 juni 2024 12:56

Volgens de cijfers die Niknam citeerde in het FD, zou bunq met minder dan 1% marktaandeel wel verantwoordelijk zijn voor ~5% van alle fraudegevallen in Nederland. Dat is wel fors.

P_Tingen @DeMolT. • 7 juni 2024 13:37

Jazeker wel; als alle banken ongeveer evenveel last hadden van fraude, zou het percentage Bunq-fraude ongeveer net zo groot moeten zijn als hun marktaandeel, dus 1%. Maar het is 5%. Die 5% fraudegevallen is niet 5% van de Bunq-klanten of transacties, maar van alle transacties. Bunq is goed voor 1% van alle transacties en voor 5% van alle fraudes. Dat betekent dat Bunq in verhouding 5 keer zoveel last heeft van fraude als gemiddeld.

DeMolT. @P_Tingen • 7 juni 2024 14:12

Misschien denk ik helemaal verkeerd, maar het aantal fraude gevallen is toch niet evenredig verdeeld over de banken?
Het kan dus toch prima zijn dat, ik noem maar iets, de ING 35% van de fraude gevallen heeft en de Rabobank (net als Bunq) ook 5%?

Ik vind maar erg weinig cijfers hierover, alleen een Kassa onderzoek van 2021 waarbij met name de ING er slecht uit komt (kanttekening dat daar alleen de drie grote banken zijn meegenomen in het onderzoek, dus geen bunq).

Edit: even een hoger percentage als voorbeeld genomen, zodat duidelijk is dat ik snap dat als ING 10% fraude heeft bij een 34% marktaandeel, ze alsnog het een stuk beter doen dan bunq (statistisch gezien).

[Reactie gewijzigd door DeMolT. op 22 juli 2024 15:18]

P_Tingen @DeMolT. • 7 juni 2024 15:52

Nee, je snapt precies waar het pijnpunt zit; als alles evenredig verdeeld zou zijn en alle banken even goed beveiligd, zou een bank met een marktaandeel van 35% ook ongeveer 35% van de fraudegevallen moeten hebben. Scoor je als bank significant hoger met je fraude dan met je marktaandeel dan is dat een aanwijzing dat je iets minder goed doet dan je collega-banken.

En dat is bij Bunq dus precies aan de hand: 1% marktaandeel en 5% fraude-aandeel.
Stel dat de Rabobank ook 5% fraude heeft, maar 20% marktaandeel, dan doen die het een stuk beter, ook al hebben ze in absolute cijfers net zoveel fraudegevallen als Bunq

nelisc @DeMolT. • 7 juni 2024 14:50

Als dat zo zou zijn dan weet je twee dingen zeker: Bunq scoort niet best en een (of meer) andere banken ook niet.

DeMolT. @nelisc • 7 juni 2024 14:54

Precies, ik probeer niet bunq te verdedigen, maar ik challenge wel de gedachte dat bunq de enige bank is of de slechtste bank is, qua phishing / fraude slachtoffers.
Zonder die cijfers kun je dat niet zeggen en ik kan geen cijfers vinden, dus mocht iemand die wel hebben, dan ben ik oprecht geïnteresseerd.

J_van_Ekris @DeMolT. • 8 juni 2024 00:06

maar ik challenge wel de gedachte dat bunq de enige bank is of de slechtste bank is, qua phishing / fraude slachtoffers.

Ik deel je mening dat je op basis van deze cijfers niet kunt concluderen dat ze de slechtste zijn. In theorie kan een andere kleine speler het nog slechter doen. Maar, je kunt wel concluderen dat ze het qua fraudepreventie wel heel veel slechter doen dan het gemiddelde van alle banken omdat ze heel ver boven de verwachtingswaarde zitten.

David77 @DeMolT. • 7 juni 2024 13:50

Het is nochtans eenvoudig.

1% marktaandeel wil zeggen dat als ze het evengoed doen als andere banken, ze dan ook slechts 1% van de fraudegevallen hebben. Nu hebben ze maar liefst 5%! Ofwel, ze doen het dus 5 keer slechter dan de andere banken...

Jij zei:
Ik kreeg vanochtend een e-mail van bunq:
In 2023 waren er maar liefst 10.000 gevallen van bankhelpdeskfraude en nog eens duizenden phishing-slachtoffers in Nederland (bron: NVB). Bij bunq waren dit er in totaal 85.

Dan beweert Bunq dus wel dat ze slechts 0.85% van de fraudegevallen hebben. Wat dus beter zou zijn dan andere banken

m0ridin @DeMolT. • 7 juni 2024 12:35

Ligt een beetje aan de hoeveelheid klanten bij bunq vs de rest he... Als Bunq in totaal 100 klanten had en de rest van de banken 10.000.000 zijn 85 gevallen bij bunq er nog best veel en 10.000 bij de rest in verhouding een stuk minder

DeMolT. @m0ridin • 7 juni 2024 12:40

Goed punt, percentages waren beter geweest

[Yellow] @DeMolT. • 7 juni 2024 12:38

De 'hetze' is omdat de bank zegt: eigen schuld, dikke bult.
Het belangrijkste bezit van een bank is vertrouwen en door deze houding (en de interviews met Niknam) zijn ze dat toch een beetje aan het verliezen.

Strebor

@xxxMaverick • 7 juni 2024 12:47

De keerzijde daarvan (snel geld tussen Bunq spaarrekening en Bunq betaalrekening binnen hetzelfde pakket kunnen schuiven) is puur betaalgemak voor de houder van het account.

Gemak en beveiliging staan haaks op elkaar. Ik wist dat toen ik bij Bunq mijn rekeningen en geld parkeerde en heb dit absoluut meegenomen in de overweging Bunq te nemen.

Ik denk dat ze nu (gedwongen) een stap in de juiste richting nemen.

Zelf denk ik dat er in de app een waarschuwing moet komen met strenge 2FA validatie, als je relatief (voor jou) grote sommen geld van spaarrekening naar betaalrekening naar nieuwe/onbekende rekening gaat verplaatsen. De app zou je dan moeten vragen of je dit doet omdat je door iemand gebeld bent, of door iemand die met je meekijkt om je zogenaamd te helpen en je er heel duidelijk op te wijzen dat Bunq dit NOOIT zal doen.

xxxMaverick @Strebor • 7 juni 2024 14:13

Het gaat mij om de keuze. Dus als je alleen een spaarrekening hebt is er toch geen enkele reden om ook af te dwingen dat deze rekening naar iedereen kan terugboeken? I ksnap dat als je beide hebt je dit wellicht wel wil ofzo maar maak het optioneel!

bousix 7 juni 2024 12:04

Zo'n bericht had de bank best eerder kunnen uitsturen, dus waarom nu pas? Zou het aantal klanten (fors) aan het teruglopen zijn?

Vicje @bousix • 7 juni 2024 12:21

Puur omdat ze negatief in de media zijn gekomen. Ze waren overtuigd van hun gelijk. Maar de negatieve stroom aan berichten maakt dat ze toch eindelijk stappen hebben gezet.

SoftwareGert @bousix • 7 juni 2024 12:22

Na de houding op het eerdere nieuwartikel vermoed ik dat ze op de vingers zijn getikt door de AFM en/of de DNB.

En vanochtend kreeg ik een mail of ik een rekening wilde openen. Ben al ruim 5 jaar geen klant meer, had al aangegeven niets meer van ze te willen horen… dus ik gok dat ze op meerdere vlakken de plank misslaan.

En binnenkort komt DORA om de hoek voor de industrie.

WhatsappHack

Bunq
Bank
Beveiliging en antivirus

@bousix • 7 juni 2024 12:55

Als je de berichten op gathering ziet zijn er wel alleen hier al aardig wat mensen die hun geld hebben weggezet naar andere banken (soms ook tegen betere rente) n.a.v. a.) alle waarschuwingen in de media, b.) de bijzonder arrogante en koude e-mails van bunq (waarin slachtoffers geschoffeerd werden).

Ik denk dat media aandacht niet zoveel uitmaakt, volgens bunq hebben de experts het namelijk mis. Maar dat mensen begonnen hun geld weg te halen: ik denk dat dat heeft geleid tot actie. Maar die actie is behoorlijk minimaal en eigenlijk vooral marketing.

FrostyPeet 7 juni 2024 12:25

Ik vind het griezelig worden dat een bank nu snuffelsoftware gebruikt bij alle klanten.

Er zal er altijd eentje zijn die zegt voor phishing gevallen te zijn. Het maakt niet uit hoeveel veiligheid je inbouwt, face id, vingerafdrukken, pin calculators, drie keer op "are you sure" bevestigend klikken.

De man aan de telefoon zegt dat ze iets moeten doen en dan doen ze het. Dan maakt het niet uit of er 100 keer gewaarschuwd is, of dat er in grote letters op een rood vlak, met een gele driehoek en zwart uitroepteken, ze klikken toch.

Heedless @FrostyPeet • 7 juni 2024 12:35

Wat bedoel je met snuffelsoftware?
Het lijkt mij dat ze gaan proberen te herkennen of je inlogt via een bekend IP van AnyDesk, Teamviewer, etc. Meer kunnen ze niet echt doen vanuit de browser.

FrostyPeet @Heedless • 7 juni 2024 12:46

Snuffelsoftware omdat ze bijvoorbeeld AnyDesk moeten herkennen bij de klant. En met AnyDesk maak je gewoon gebruik van het ip adres van de klant die de bank benadert. Alleen zit er iemand mee te kijken via een Anydesk verbinding naar een ander ip adres.

Mensen die Anydesk installeren omdat het moet van die meneer aan de telefoon, installeren ook een pakket wat (nog) niet ontdekt is. Al dan niet met een gemaskeerde verbinding. Daar moet de bank op reageren en ook dat systeem ontdekken/blokkeren. Je krijgt uiteindelijk iets als een anti-cheat engine in de bekende games.

Heedless @FrostyPeet • 7 juni 2024 12:57

Je hebt gelijk wat het IP betreft, aangezien de klant natuurlijk aan de ontvangende kant van de remote access tool zit.

Maar nogmaals: wat bedoel je met snuffelsoftware? Denk je dat Bunq klanten gaat vragen om software te installeren op hun computer? Dat is hoe sommige anti-cheat software werkt inderdaad, maar dat installeer je dan samen met het spel. No way dat ze klanten gaan vragen wat Bunq software te installeren op hun computer.
Dit zal in de browser / server geïmplementeerd worden, met alle beperkende factoren van dien, dus hoe is dat dan griezelig?

Lucb1e

@Heedless • 9 juni 2024 01:32

Als je vanuit de browser opeens kan zien wat ik allemaal op mijn computer aan programma's heb draaien, dan klopt er iets niet.

Misschien dat ze detecteren dat de muis niet op 60 fps beweegt maar op 30 fps of zo, of dat er meer vertraging zit tussen het laden van de pagina en het begin van muisinvoer omdat er via internet makkelijk een kwart seconde bij komt. Maar dat zijn allemaal heuristics die ik op minder ervaren computergebruikers of bij draadloze muizen ook wel zie afgaan, dus kan dat wel betrouwbaar zijn?

Hoe dit werkt is wat ik in het artikel mis. Op z'n minst had er een bevestiging kunnen staan dat Bunq niet bekend heeft gemaakt hoe dit werkt maar dat het geen installatie vereist van een checker, bijvoorbeeld

Edit: kwam deze reactie tegen. Localhost op listening ports scannen klinkt logischer! Dat is een goede kanshebber om de techniek te zijn.

Heeft iemand een bunq-rekening om te checken in de netwerktools of het dat doet? Simpelweg druk op F12 en klik op de netwerktab om het netwerkverkeer te zien. Je zoekt dan naar iets dat naar een niet-standaardpoort gaat, dus waar het poortnummer in de URL staat à la http://localhost:3306/

[Reactie gewijzigd door Lucb1e op 22 juli 2024 15:18]

emeralda @FrostyPeet • 7 juni 2024 12:53

Alle banken doen dat. De belastingdienst kijkt mee.

Philo Melos 7 juni 2024 14:35

Hoe komen die boeven aan de telefoonnummers van de Bunq-klanten? Ik kreeg nl ook zo'n phisingsms'je. Vraag me af hoe ze wisten dat ik klant ben bij Bunq. (sms'je ongelezen gedelete, 2 maand terug gloof ik)

[Reactie gewijzigd door Philo Melos op 22 juli 2024 15:18]

satya @Philo Melos • 7 juni 2024 14:42

Dat proberen ze in het wild, ik heb er al twee gekregen terwijl ik geen bunq rekening heb.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Philo Melos • 7 juni 2024 15:34

Vaak is dat gewoon op de gok, gebaseerd op willekeurige nummers of nummers buitgemaakt uit een datalek. Ik ontvang berichten van banken en crypto platformen waar ik helemaal geen klant ben dat er 'toch echt iets heel erg belangrijks mis is' met mijn account, rekening, bankpas etc.

BertNL @Philo Melos • 7 juni 2024 17:07

Nee. De bunq app vraagt toestemming om je adresboek te mogen inzien. De mensen in je adresboek mét bunq account hebben vervolgens blauw vinkje. Een adresboek kan op een iPhone geloof ik 50.000 contacten bevatten. Het zal deels handwerk zijn maar op die manier kunnen kwaadwillenden wel gericht bunq klanten benaderen.

Lucb1e

@Philo Melos • 9 juni 2024 01:25

Keertje ergens betalen vanaf een bunq-rekening waar je telefoonnummer aan te koppelen is, vervolgens wordt die partij gehackt of werken ze samen met een partij die gehackt wordt...

Ik heb nog nooit phishing via SMS gekregen voor een andere bank dan waar ik bij zit (en daarvoor ook maar 2-3 keer ooit, allen in de afgelopen paar jaar). Als het volledig willekeurig was, is de kans klein dat ze mij toevallig steeds overslaan behalve bij de juiste, al kan het natuurlijk wel. Of misschien is een webshop waar ik wat besteld heb wel ooit gehackt en bij de anderen niet

[Reactie gewijzigd door Lucb1e op 22 juli 2024 15:18]

Op dit item kan niet meer gereageerd worden.

Bunq gaat remoteaccesstools detecteren om phishingaanvallen te stoppen

Lees meer

Reacties (161)

Sorteer op:

Weergave: