Kapansin-pansing matagumpay ang mga umaatake sa phishing sa Bunq: ‘Hindi isyu ang seguridad’

Huling na-update ang artikulong ito noong Mayo 27, 2024

Kapansin-pansing matagumpay ang mga umaatake sa phishing sa Bunq: ‘Hindi isyu ang seguridad’

Bunq

Kapansin-pansing matagumpay ang mga umaatake sa phishing sa Bunq: ‘Hindi isyu ang seguridad’

Ang mga phishing scammer ay nagta-target ng mga customer ng online na bangkong Bunq, na kadalasang namamahala upang magnakaw ng halagang sampu-sampung libong euro bawat biktima. Ito ay maliwanag mula sa pananaliksik ng NOS at NRC.

Ayon sa mga eksperto, ang pamamaraan ng mga umaatake ay malamang na hindi matagumpay sa ibang mga bangko, at ang halaga ng perang nakuha ay nakakagulat din. Ang mga hakbang sa seguridad na mayroon ang ibang mga bangko ay kulang, at ang mga customer ay karaniwang hindi binabayaran.

Na-verify ng NOS at NRC ang mga kuwento ng 28 biktima na na-scam sa nakalipas na pitong buwan. Magkasama silang nawalan ng higit sa 1.6 milyong euro, isang average na halos 60,000 euro bawat kaso.

Sa limang kaso ang mga halagang kasangkot ay 100,000 euros at higit pa. “Nangyari ang lahat nang napakabilis, sa loob ng 45 minuto nawala lahat ng ipon ko,” sabi ni Geraldine. Nawala din siya ng higit sa isang tonelada.

“Ang seguridad ay may pinakamataas na priyoridad sa Bunq,” sabi ng bangko sa isang nakasulat na tugon. “Iyon ang dahilan kung bakit gumagamit kami ng mga advanced na teknolohiya tulad ng AI, biometric security at secure na komunikasyon. Ang tanging paraan para maging biktima ay ang magbigay ng iyong personal at mga detalye sa pag-log in.”

Sinasabi rin ng bangko na “ang average na halaga ng pandaraya sa mga biktima ng phishing sa Bunq ay mas mababa” kaysa sa ibang mga bangko, ngunit ayaw itong patunayan kapag tinanong.

Phishing

Sa phishing, nililinlang ka ng mga kriminal sa pagbibigay ng mga detalye sa pag-log in. Ginagawa nila ito sa isang pekeng website na eksaktong kamukha ng totoong site ng, halimbawa, isang bangko. Ang mga link sa kanila ay ipinamamahagi sa pamamagitan ng SMS o email, na may mga tawag tulad ng: “Kumpirmahin ang iyong account!”

Ang mga detalye sa pag-log in na ipinasok ay maaaring gamitin sa maling paraan para sa pagdambong ng mga account. Sa Bunq, kailangan ding kumpirmahin ng mga customer ang pag-log in, kaya naman kadalasang tinatawag din ng mga kriminal ang biktima para hikayatin silang magsagawa ng facial scan, halimbawa.

Ang mga legal na gastos na tagaseguro ay nakakakita din ng pagtaas sa bilang ng mga kaso. Ayon sa mga hudisyal na mapagkukunan, ang bilang ng mga handa na Bunq phishing site na inaalok sa black market ay dumarami, na maaaring i-set up ng mga kriminal nang walang gaanong trabaho.

Nag-aalok ang Bunq ng mga bank account mula noong 2015 at gustong ipakita ang sarili bilang isang kontemporaryong alternatibo sa mga tradisyonal na bangko. Wala itong mga pisikal na sangay at inilarawan din bilang pangunahing kumpanya ng tech. Noong nakaraang taon, nakakuha ito ng maraming mga customer savings dahil sa medyo mataas na rate ng interes.

Hindi napapansin

Ang bangko ang dapat sisihin sa katotohanang ang mga umaatake ay maaaring magnakaw ng napakaraming pera, sabi ng mga eksperto. “Ang mga bangkong alam kong mapapahinto ito,” sabi ng dalubhasa sa pandaraya na si Pepijn Sklapdel ng DataExpert, na kumakatawan sa ilang mga bangko.

Si Shairesh Algoe, responsable sa paglaban sa pandaraya sa ABN Amro sa loob ng maraming taon: “Hindi ito bagong uri ng pag-atake. Hindi mo mapipigilan ang panloloko ng 100%, ngunit sa palagay ko, ang mga bangko ay karaniwang nakakakita nito.”

“Hindi namin maisip na ang isang eksperto na pamilyar sa mga katotohanan ay makakagawa ng ganoong konklusyon,” sagot ni Bunq.

Ang mga umaatake ay pangunahing gumagamit ng dalawang pamamaraan. Sa hindi bababa sa walong mga kaso na na-verify ng NOS, nagagawa nilang i-hijack ang mga detalye sa pag-log in at ang kinakailangang pag-scan ng pagkilala sa mukha ng mga customer, maaari silang makapasok sa account at pagkatapos ay maglipat ng malaking halaga ng pera. “Iyan ay talagang kahina-hinalang pag-uugali, iyon ay dapat na isang pulang bandila,” sabi ni Sklapdel.

Sa iba pang paraan, na kinilala ng NOS sa hindi bababa sa siyam na kaso, pinamamahalaan ng mga umaatake na kumbinsihin ang mga biktima na mag-install ng software sa kanilang device, kung saan maaari nilang kontrolin. “Iyan ay medyo mas mahirap kilalanin, ngunit may mga paraan din upang gawin iyon,” sabi ni Sklapdel.

Ang kaligtasan ay hindi isang paksa na talagang nagtutulak kay Ali. Gusto lang niyang mag-alok ng pinakamahusay na posibleng produkto sa mga customer.

Dating empleyado ng Bunq

Sa mga nakalipas na taon, lahat ng malalaking bangko ay nagpasimula ng panahon ng paglamig sa paglaban sa phishing. Kung gusto ng customer na maglipat ng higit sa kanyang pang-araw-araw na limitasyon, dapat niyang taasan ito at pagkatapos ay maghintay ng apat na oras.

Hindi kailanman ginawa ng Bunq ang panukalang iyon, ngunit nagkaroon ito ng katulad: kung ang mga customer ay nagbigay ng access sa isang bagong device, kailangan nilang maghintay ng 24 na oras bago sila makapaglipat muli ng pera.

Ito ay pinaikli sa lalong madaling panahon sa isang oras at pagkatapos ay inalis, ayon kay Bunq bilang tugon sa mga reklamo ng customer at dahil wala itong pagkakaiba sa pagsasanay.

Ang mga biktima ay collateral damage, sinabi ng isang dating empleyado ng Bunq sa NOS at NRC. “Ang kaligtasan ay hindi isang paksa na talagang nagtutulak kay Ali,” sabi niya tungkol sa CEO ng Bunq na si Ali Niknam. “Gusto lang niyang mag-alok ng pinakamagandang produkto sa mga customer. Hindi iyon nangangahulugan na kailangan mong maghintay ng mga oras kung gusto mong dagdagan ang isang limitasyon.”

Ang NOS at NRC ay patuloy na nag-iimbestiga sa Bunq at masaya silang makipag-usap sa mga empleyado at dating empleyado. Gusto mo bang makipag-ugnayan sa amin? Magagawa ito sa pamamagitan ng email (ellen.kamphorst@nos.nl) o sa pamamagitan ng Signal/Whatsapp: 06 84 61 39 16

Tatlong iba pang dating empleyado ang nagsabi na ang bangko ay nagpapasakop sa seguridad sa pagiging kabaitan ng gumagamit, ngunit sinabi ni Bunq na ito ay “makikitang hindi tama”.

Settlement

Ang 28 apektadong customer ay karaniwang mas galit sa bangko kaysa sa mga scammer. Wala sa kanila ang nakipag-ugnayan sa isang empleyado, lahat ay ginawa sa pamamagitan ng chat sa app.

Ito ay patakaran sa bangko, na nais lamang makipag-usap sa digital. Ang grupo ng 28 biktima ay nakatanggap ng imbitasyon mula sa Bunq para sa isang panayam noong Huwebes ng hapon.

‘Wala na’

Nagrereklamo rin ang mga biktima tungkol sa opsyon ng SOS ng Bunq para sa mga kaso ng pandaraya, na sinasabing hindi gumagana nang hindi maganda. Sinabi nila na ang aplikasyon ay hindi gumawa ng anumang pagkakaiba.

Nadama ng isang customer, si Floor Hendriks, na nakatanggap siya ng hindi magandang serbisyo sa Bunq kaya tinawagan niya ang fraud desk ng isa pa niyang bangko. “Mayroon akong kasalukuyang account sa Rabobank; tinulungan nila akong mag-file ng tax return doon sa kalagitnaan ng gabi.” Wala siyang narinig mula kay Bunq hanggang makalipas ang sampung oras.

Sinasalungat ni Bunq na walang silbi ang opsyon. “Maaaring ito ang pang-unawa ng mga biktima, ngunit ito ay maliwanag na hindi tama.”

Magkaiba rin ang handling. Ibinabalik ng ibang mga bangko ang mga biktima ng scam sa mga katulad na kaso ng kanilang pera kung natutugunan nila ang ilang mga kundisyon.

Bilang isang patakaran, ang mga biktima ay walang natatanggap na anumang pabalik mula sa Bunq. Wala na, ay ang mantra ng Bunq founder Niknam. “Ito ay tulad ng pagbibigay sa isang tao ng iyong susi ng kotse sa labas sa kalye. Tapos yung sasakyan mo wala na,” Niknam said in conversation with a victim.

Pananagutan

Para sa artikulong ito, nakipagtulungan ang NOS sa mamamahayag ng NRC na si Stijn Bronzwaer. Ibinahagi namin ang aming pinagmulang materyal, tulad ng mga ulat ng mga pag-uusap at pinagbabatayan na mga dokumento, at sama-samang nagtanong sa Bunq ng serye ng 21 tanong para sa sagot. Hindi nagkomento si Bunq tungkol dito, ngunit tumugon sa mga sipi sa artikulong ito at nagbigay ng pangkalahatang tugon.

Dumalo rin kami sa isang pulong sa Durgerdam kung saan nagtipon ang mga biktima ng pandaraya sa Bunq. Sinuri namin ang mga kuwento ng 28 biktima at nakausap ang karamihan sa kanila, pisikal o sa pamamagitan ng telepono. Na-verify namin ang mga ulat ng 27 biktima. Bilang karagdagan, ang mga biktima ay nagbigay sa amin ng mga screenshot ng mga pag-uusap sa chat kasama si Bunq at iba pang ebidensya.

Para sa kuwentong ito, nagsagawa ng karagdagang mga talakayan kasama ang mga dating empleyado ng Bunq, mga organisasyong pangkalakalan, mga eksperto sa seguridad, mga abogado at mga kinatawan ng insurance sa mga legal na gastos.

Upang malaman nang eksakto kung paano nagtrabaho ang mga scammer, ang NRC at NOS ay magkasamang bumili ng tinatawag na Bunq phishing toolkit, ilegal na software kung saan maaaring manlinlang ng mga kriminal ang mga customer ng Bunq. 275 euro ang binayaran para sa software.

Bilang karagdagan, sinuri ng NOS at NRC, kasama ang security researcher na si Matthijs Koot, ang mga link sa phishing at ang mga website sa likod ng mga ito at nagkaroon kami ng isang phishing scammer na tumawag sa amin.

Sa podcast, sinabi ng mga biktima ng De Dag kung paano nangyari ang pagnanakaw. Hindi lang sila galit sa mga kriminal, pati na rin kay Bunq. Wala silang natanggap na tulong o aftercare mula sa bangko, walang bayad, at hindi sila nakatanggap ng empleyado sa telepono.

Bunq

Ibahagi sa mga kaibigan

Be the first to comment

Leave a Reply

Your email address will not be published.


*