Penyerang phishing sangat sukses di Bunq: ‘Keamanan bukan masalah’

Artikel ini terakhir diperbarui pada Mei 27, 2024

Penyerang phishing sangat sukses di Bunq: ‘Keamanan bukan masalah’

Penyerang phishing sangat berhasil Bunq: ‘Keamanan tidak menjadi masalah’

Penipu phishing menargetkan pelanggan bank online Bunq, sering kali berhasil mencuri sejumlah puluhan ribu euro per korban. Hal ini terbukti dari penelitian NOS dan NRC.

Menurut para ahli, metode penyerang kemungkinan besar tidak akan berhasil di bank lain, dan jumlah uang yang berhasil disita juga mengejutkan. Langkah-langkah keamanan yang dimiliki bank lain masih kurang, dan nasabah umumnya tidak diberi kompensasi.

NOS dan NRC memverifikasi cerita 28 korban penipuan dalam tujuh bulan terakhir. Jika digabungkan, mereka kehilangan lebih dari 1,6 juta euro, rata-rata hampir 60.000 euro per kasus.

Dalam lima kasus, jumlah yang terlibat adalah 100.000 euro atau lebih. “Semuanya terjadi sangat cepat, dalam 45 menit seluruh tabungan saya habis,” kata Geraldine. Dia juga kehilangan lebih dari satu ton.

“Keamanan memiliki prioritas tertinggi di Bunq,” kata bank tersebut dalam tanggapan tertulisnya. “Itulah sebabnya kami menggunakan teknologi canggih seperti AI, keamanan biometrik, dan komunikasi yang aman. Satu-satunya cara untuk menjadi korban adalah dengan memberikan detail pribadi dan login Anda sendiri.”

Bank tersebut juga menyatakan bahwa “rata-rata jumlah penipuan di antara korban phishing di Bunq lebih rendah” dibandingkan di bank lain, namun bank tersebut tidak ingin membuktikan hal ini ketika ditanya.

Pengelabuan

Dengan phishing, penjahat menipu Anda agar memberikan detail login. Mereka melakukan ini dengan situs web palsu yang terlihat persis seperti situs asli, misalnya bank. Tautan ke mereka didistribusikan melalui SMS atau email, dengan panggilan seperti: “Konfirmasi akun Anda!”

Detail login yang dimasukkan dapat disalahgunakan untuk menjarah akun. Di Bunq, pelanggan juga harus mengkonfirmasi login, itulah sebabnya penjahat biasanya juga menelepon korban untuk mendorong mereka melakukan pemindaian wajah, misalnya.

Perusahaan asuransi biaya hukum juga melihat peningkatan jumlah kasus. Menurut sumber peradilan, jumlah situs phishing Bunq siap pakai yang ditawarkan di pasar gelap semakin meningkat, yang dapat dibuat oleh penjahat tanpa banyak usaha.

Bunq telah menawarkan rekening bank sejak tahun 2015 dan menampilkan dirinya sebagai alternatif kontemporer dari bank tradisional. Perusahaan ini tidak memiliki cabang fisik dan juga digambarkan sebagai perusahaan teknologi. Tahun lalu memperoleh banyak nasabah tabungan karena suku bunga yang relatif tinggi.

Tanpa disadari

Banklah yang harus disalahkan atas fakta bahwa penyerang dapat mencuri begitu banyak uang, kata para ahli. “Bank yang saya kenal dapat menghentikan hal ini,” kata pakar penipuan Pepijn Sklapdel dari DataExpert, yang mewakili beberapa bank.

Shairesh Algoe, yang bertanggung jawab memerangi penipuan di ABN Amro selama bertahun-tahun: “Ini bukanlah jenis serangan baru. Anda tidak dapat mencegah penipuan 100%, namun menurut saya bank pada umumnya dapat mendeteksi hal ini.”

“Kami tidak dapat membayangkan bahwa seorang ahli yang memahami fakta akan menarik kesimpulan seperti itu,” jawab Bunq.

Para penyerang terutama menggunakan dua metode. Setidaknya dalam delapan kasus yang diverifikasi oleh NOS, mereka berhasil membajak detail login dan pemindaian pengenalan wajah yang diperlukan pelanggan, mereka dapat membobol akun dan kemudian mentransfer sejumlah besar uang. “Itu benar-benar perilaku yang mencurigakan, dan itu seharusnya menjadi tanda bahaya,” kata Sklapdel.

Dengan metode lain, yang diakui NOS dalam setidaknya sembilan kasus, penyerang berhasil meyakinkan korban untuk menginstal perangkat lunak pada perangkat mereka, sehingga mereka dapat mengambil kendali. “Hal ini sedikit lebih sulit untuk dikenali, namun ada cara untuk melakukannya juga,” kata Sklapdel.

Keselamatan bukanlah topik yang mendorong Ali. Dia hanya ingin menawarkan produk terbaik kepada pelanggan.

Mantan karyawan Bunq

Dalam beberapa tahun terakhir, semua bank besar telah menerapkan periode tenang dalam memerangi phishing. Jika pelanggan ingin mentransfer lebih dari batas hariannya, ia harus menambahnya dan menunggu empat jam.

Bunq tidak pernah mengambil tindakan tersebut, namun tindakan serupa dilakukan: jika pelanggan memberikan akses ke perangkat baru, mereka harus menunggu 24 jam sebelum dapat mentransfer uang lagi.

Ini segera dipersingkat menjadi satu jam dan kemudian dihapuskan, menurut Bunq sebagai tanggapan atas keluhan pelanggan dan karena tidak ada perbedaan dalam praktiknya.

Korbannya adalah kerusakan tambahan, kata seorang mantan karyawan Bunq kepada NOS dan NRC. “Keselamatan bukanlah topik yang benar-benar mendorong Ali,” katanya tentang CEO Bunq Ali Niknam. “Dia hanya ingin menawarkan produk terbaik kepada pelanggan. Bukan berarti Anda harus menunggu berjam-jam jika ingin menaikkan batasnya.”

NOS dan NRC terus menyelidiki Bunq dan dengan senang hati berbicara dengan karyawan dan mantan karyawan. Apakah Anda ingin menghubungi kami? Ini dapat dilakukan melalui email (ellen.kamphorst@nos.nl) atau melalui Signal/Whatsapp: 06 84 61 39 16

Tiga mantan karyawan lainnya juga mengatakan bahwa bank tersebut mengutamakan keamanan dibandingkan kemudahan penggunaan, namun Bunq menyatakan bahwa hal ini “terbukti tidak benar”.

Hunian

Ke-28 nasabah yang terkena dampak umumnya lebih marah terhadap bank dibandingkan dengan penipu. Tidak ada satupun yang bisa menghubungi karyawan, semuanya dilakukan melalui chat di aplikasi.

Itu kebijakan di bank yang hanya ingin berkomunikasi secara digital. Rombongan korban yang berjumlah 28 orang mendapat undangan dari Bunq untuk wawancara pada Kamis sore.

‘Hilang sudah hilang’

Para korban juga mengeluhkan opsi SOS Bunq untuk kasus penipuan, yang dikatakan tidak berfungsi dengan baik. Mereka mengatakan bahwa penerapannya tidak membuat perbedaan apa pun.

Salah satu nasabah, Floor Hendriks, merasa bahwa dia menerima layanan yang sangat buruk di Bunq sehingga dia menelepon meja penipuan di banknya yang lain. “Saya memiliki rekening giro di Rabobank; mereka membantu saya mengajukan pengembalian pajak di sana pada tengah malam.” Dia tidak mendengar apa pun dari Bunq sampai sepuluh jam kemudian.

Bunq membantah bahwa pilihan tersebut tidak ada gunanya. “Ini mungkin persepsi para korban, namun terbukti tidak benar.”

Penanganannya juga berbeda. Bank lain memberikan uang kembali kepada korban penipuan dalam kasus serupa jika mereka memenuhi persyaratan tertentu.

Biasanya, korban tidak menerima imbalan apa pun dari Bunq. Hilang sudah hilang, begitulah mantra pendiri Bunq, Niknam. “Ini seperti memberikan kunci mobil Anda kepada seseorang di luar, di jalan. Lalu mobilmu hilang,” kata Niknam saat berbincang dengan korban.

Akuntabilitas

Untuk artikel ini, NOS berkolaborasi dengan jurnalis NRC Stijn Bronzwaer. Kami membagikan materi sumber kami, seperti laporan percakapan dan dokumen yang mendasarinya, dan bersama-sama mengajukan serangkaian 21 pertanyaan kepada Bunq untuk mendapatkan tanggapan. Bunq tidak mengomentari hal ini secara substansial, namun menanggapi bagian-bagian dalam artikel ini dan memberikan tanggapan umum.

Kami juga menghadiri pertemuan di Durgerdam dimana para korban penipuan di Bunq berkumpul. Kami memeriksa cerita 28 korban dan berbicara dengan sebagian besar dari mereka, secara fisik atau melalui telepon. Kami memverifikasi laporan 27 korban. Selain itu, para korban juga memberikan kami tangkapan layar percakapan chat dengan Bunq dan bukti lainnya.

Mengenai cerita ini, diskusi lebih lanjut diadakan dengan mantan karyawan Bunq, organisasi perdagangan, pakar keamanan, pengacara, dan perwakilan asuransi biaya hukum.

Untuk mengetahui secara pasti cara kerja para penipu, NRC dan NOS bersama-sama membeli apa yang disebut perangkat phishing Bunq, perangkat lunak ilegal yang dapat digunakan penjahat untuk menipu pelanggan Bunq. 275 euro dibayarkan untuk perangkat lunak tersebut.

Selain itu, NOS dan NRC, bersama dengan peneliti keamanan Matthijs Koot, menganalisis tautan phishing dan situs web di belakangnya dan kami menghubungi penipu phishing untuk menghubungi kami.

Dalam podcast De Dag, para korban menceritakan bagaimana pencurian itu terjadi. Mereka tidak hanya marah pada para penjahat, tapi juga pada Bunq. Mereka tidak menerima bantuan atau perawatan lanjutan dari bank, tidak ada kompensasi, dan mereka tidak pernah menerima telepon dari karyawan.

Bunq