本文最后更新于 27 5 月, 2024
目录
网络钓鱼攻击者在 Bunq 取得了巨大成功:“安全不是问题”
网络钓鱼攻击者非常成功 邦克:“安全不是问题”
网络钓鱼诈骗者以在线银行 Bunq 的客户为目标,通常设法窃取每位受害者数万欧元的金额。 NOS 和 NRC 的研究表明了这一点。
专家表示,攻击者的方法在其他银行不太可能成功,而且捕获的资金数额也令人惊讶。其他银行缺乏安全措施,而且客户通常得不到补偿。
NOS 和 NRC 核实了过去 7 个月内 28 名受骗受害者的故事。他们总共损失超过 160 万欧元,平均每个案件损失近 6 万欧元。
其中五起案件涉案金额达10万欧元及以上。 “这一切发生得非常快,45 分钟内我所有的积蓄就花光了,”杰拉尔丁说。她还减掉了一吨多。
“Bunq 的安全是重中之重,”该银行在一份书面回应中表示。 “这就是我们使用人工智能、生物识别安全和安全通信等先进技术的原因。成为受害者的唯一方法是亲自提供您的个人和登录详细信息。”
该银行还表示,“Bunq 网络钓鱼受害者的平均欺诈金额”低于其他银行,但在被问及时不愿证实这一点。
网络钓鱼
通过网络钓鱼,犯罪分子会诱骗您提供登录详细信息。他们使用一个看起来与银行等真实网站一模一样的虚假网站来做到这一点。他们的链接通过短信或电子邮件分发,并发出诸如“确认您的帐户!”之类的电话。
输入的登录详细信息可能会被滥用来掠夺帐户。在 Bunq,顾客还必须确认登录,这就是为什么犯罪分子通常还会打电话给受害者,鼓励他们进行面部扫描等。
法律费用保险公司的案件数量也有所增加。据司法部门消息称,黑市上现成的Bunq钓鱼网站数量正在不断增加,犯罪分子无需太多工作就可以建立这些网站。
Bunq 自 2015 年以来一直提供银行账户服务,并喜欢将自己打造成传统银行的现代替代品。它没有实体分支机构,也被描述为主要是一家科技公司。去年,由于利率相对较高,它获得了很多储蓄客户。
未被注意到
专家表示,攻击者能够窃取如此多的资金,这要归咎于银行。 “我认识的银行可以阻止这种行为,”代表多家银行的 DataExpert 欺诈专家 Pepijn Sklapdel 说道。
多年来负责荷兰银行反欺诈工作的 Shairesh Algoe 表示:“这不是一种新型攻击。你无法 100% 防止欺诈,但我认为银行通常会发现这一点。”
“我们无法想象一位熟悉事实的专家会得出这样的结论,”邦克回应道。
攻击者主要使用两种方法。在 NOS 核实的至少 8 起案件中,他们设法劫持客户的登录详细信息和所需的面部识别扫描,他们可以闯入账户,然后转移大笔资金。 “这确实是可疑的行为,应该是一个危险信号,”斯克拉普德尔说。
通过 NOS 至少在九个案例中识别的另一种方法,攻击者设法说服受害者在其设备上安装软件,从而获得控制权。 “这有点难以识别,但也有办法做到这一点,”斯克拉普德尔说。
安全并不是真正驱动阿里的话题。他只想为客户提供最好的产品。
前Bunq员工
近年来,各大银行都在打击网络钓鱼方面引入了冷静期。如果客户想要转账超过每日限额,他必须增加限额,然后等待四个小时。
Bunq 从未采取过这种措施,但确实采取了类似的措施:如果客户允许使用新设备,他们必须等待 24 小时才能再次转账。
Bunq 在回应客户投诉时表示,这一时间很快就被缩短为一个小时,然后又被废除,因为这在实践中没有什么区别。
一名 Bunq 前员工告诉 NOS 和 NRC,受害者是附带损害。 “安全并不是真正推动 Ali 前进的话题,”他在谈到 Bunq 首席执行官 Ali Niknam 时说道。 “他只是想为客户提供最好的产品。这并不意味着如果你想提高限额就必须等待几个小时。”
NOS 和 NRC 继续调查 Bunq,并很乐意与员工和前员工交谈。您想联系我们吗?这可以通过电子邮件 (ellen.kamphorst@nos.nl) 或通过 Signal/Whatsapp 完成:06 84 61 39 16
另外三名前雇员也表示,该银行将安全性置于用户友好性之上,但 Bunq 表示,这“明显是错误的”。
沉降
28 名受影响的客户普遍对银行比对骗子更加愤怒。他们都无法联系员工,一切都是通过应用程序中的聊天完成的。
这是银行的政策,只想以数字方式进行沟通。周四下午,28 名受害者收到了 Bunq 的采访邀请。
‘走了就走了’
受害者还抱怨 Bunq 针对欺诈案件的 SOS 选项,据说效果不佳。他们说申请并没有产生任何影响。
一位名叫 Floor Hendriks 的顾客觉得 Bunq 的服务很差,于是她给另一家银行的反欺诈柜台打了电话。 “我在荷兰合作银行有活期账户;他们半夜帮我在那里提交了纳税申报表。”直到十个小时后,她才听到邦克的任何消息。
Bunq 反驳说这个选项毫无用处。 “这可能是受害者的看法,但这显然是错误的。”
处理方式也不同。在类似情况下,其他银行如果满足某些条件,就会向诈骗受害者退款。
一般来说,受害者不会从 Bunq 收到任何回复。走了就走了,这是 Bunq 创始人 Niknam 的座右铭。 “这就像在街上把你的车钥匙给别人一样。然后你的车就不见了,”尼克南在与受害者交谈时说道。
问责制
NOS 与 NRC 记者 Stijn Bronzwaer 合作撰写了本文。我们分享了我们的原始材料,例如对话报告和基础文件,并共同向 Bunq 提出了一系列 21 个问题以供回答。 Bunq没有对此做出实质性评论,但确实对本文中的段落进行了回应,并提供了一般性回应。
我们还参加了在 Durgerdam 举行的一次会议,Bunq 欺诈受害者聚集于此。我们查阅了 28 名受害者的故事,并与他们中的大多数进行了面对面或电话交谈。我们核实了 27 名受害者的报告。此外,受害者还向我们提供了与Bunq的聊天对话截图等证据。
对于这个故事,我们与Bunq前员工、行业组织、安全专家、律师和法律费用保险代表进行了进一步讨论。
为了查明诈骗者的具体运作方式,NRC 和 NOS 联合购买了所谓的 Bunq 网络钓鱼工具包,这是犯罪分子可以用来诈骗 Bunq 客户的非法软件。该软件支付了 275 欧元。
此外,NOS 和 NRC 与安全研究员 Matthijs Koot 一起分析了网络钓鱼链接及其背后的网站,我们接到了网络钓鱼诈骗者的电话。
在播客 De Dag 中,受害者讲述了盗窃事件是如何发生的。他们不仅对罪犯感到愤怒,也对邦克感到愤怒。他们没有得到银行的任何帮助或善后服务,没有任何补偿,也从未接到过工作人员的电话。
邦克
Be the first to comment