Criminelen gebruiken software Bunq voor misbruik

Bij de fraude met nep sms'jes uit naam van bijvoorbeeld de Belastingdienst kom je na klikken op de link in het sms-bericht terecht op een nagemaakte website van de Belastingdienst waar je ‘boete’ klaar staat om te betalen op een website die er uit ziet als de echte site van de Belastingdienst. Je hoeft vervolgens echter niet in te loggen bij je bank (of bij een phishing-website van je bank) maar kunt de nep-boete via iDEAL op de nagemaakte website van de Belastingdienst betalen. Op de manier zoals je gewend bent bij een webshop te betalen; je kiest je eigen bank in het menu, en vervolgens kom je automatisch in je eigen bankieren app om de betaling te bevestigen. Dit draagt volgens ethisch hackers Wesley en Erik, die vanaf hun Zolder Internetcriminaliteit in de gaten houden, bij aan de geloofwaardigheid van het phishingbericht. Zij wezen Bunq hier daarom maanden geleden al op. Maar zonder resultaat, negen maanden later gebeurt het nog steeds.

De betaling op die nepsite blijkt te kunnen worden gegenereerd met de software van Bunq bank, die de bank voor iedereen openstelt om te gebruiken (de zogeheten API). Iedere klant van Bunq krijgt bij het openen van een rekening direct een API-sleutel om de software zelf te kunnen gebruiken op een eigen website. Hiermee blijkt het mogelijk om op een nagemaakte website van de Belastingdienst een betaalmenu te maken dat eruitziet als een betaalmenu van iDEAL op een webshop, terwijl het niet de zakelijke iDEAL versie van iDEAL is die normaal gesproken bij een webshop wordt gebruikt. Daar heb je namelijk een contract voor nodig met een bank of tussenpartij zoals Mollie, die controleren of jij betrouwbaar genoeg bent om iDEAL te mogen aanbieden.

Kassa neemt zelf de proef op de som en opent twee keer een rekening bij Bunq, met onze vinger op het BSN (Burger Servicenummer) op het identiteitsbewijs. Het lukt, en ook krijgen we bij beide rekeningen direct de sleutel om de Bunq-software te kunnen gaan gebruiken. En inderdaad, we kunnen redelijk eenvoudig een iDEAL betaalvenster op een zelfgemaakte website plaatsen, gekoppeld aan een van de rekeningen. Dus zonder dat je een webshop bent en ook zonder dat je aan de voorwaarden hebt moeten voldaan die horen bij het mogen aanbieden van iDEAL als zakelijke partij. Bunq heeft ons BSN-nummer dus niet en we krijgen 90 dagen de tijd om die nog aan te leveren. Maar in de tussentijd krijgen we wél direct toegang voor gebruik van de software.

Ethisch hackers Wesley en Erik, die deze fraude al langere tijd in de gaten houden en dit ook bij Bunq gemeld hebben, zien constant nieuwe nepsites in de lucht komen met deze constructie. Daarmee kunnen professioneel uitziende betaalpagina’s kunnen worden gemaakt terwijl het verhaal eromheen nep is. Het bedrag dat het slachtoffer betaalt komt direct terecht op de Bunq-rekening die gekoppeld is aan de gebruikte API sleutel. De criminelen die dit doen zijn dus Bunq-klant of gebruiken een Bunq-rekening van iemand anders (geldezel).

Currence, het bedrijf waar iDEAL onder valt, bevestigt dat met gebruik van de Bunq-software (API) een betaling tussen twee consumenten eruit kan zien als een betaling aan een bedrijf:
“Met deze API kan een voorgenomen iDEAL C2C-betaling aan een particulier op een website inderdaad zodanig worden getoond dat het lijkt of er met een iDEAL C2B-betaling aan een bedrijf of instelling betaald gaat worden.” Currence vindt zelf niet dat er misbruik wordt gemaakt van iDEAL en benadrukt dat er vooral misbruik plaatsvindt voordat de betaling wordt gedaan. De complete reactie van Currence lees je hier.

Ali Niknam, oprichter en CEO van Bunq, reageert in de studio. Volgens Niknam heeft de Bunq-software niet te maken met de phishingfraude. Volgens Niknam is dit een functionaliteit die zij openstellen voor alle klanten en waar klanten recht op hebben. Niknam benadrukt dat Bunq veel doet om misbruik tegen te gaan, en er samenwerking tussen meer betrokken partijen nodig is om dit soort Internetoplichting sneller op te kunnen sporen en te stoppen. Currence stelt dat Bunq heeft toegezegd de API aan te passen, dat ligt volgens Niknam echter ingewikkelder en dit zou niet zomaar mogelijk zijn.

Michel van Eeten, hoogleraar Cybersecurity aan de TU Delft, reageert ook in de studio. Volgens van Eeten is het feit dat dit systeem geautomatiseerd betalingen via de geschetste methode kan verwerken ervoor dat hier een opening voor misbruik ontstaat.