Sfeerfoto van Kassa
Kassa
Kassa

Elke zaterdag om 19:05 opnpo1

Het consumentenplatform van BNNVARA met Vraag & Beantwoord, dossiers en het laatste nieuws. Bekijk actuele onderwerpen en uitzending gemist online!
Kassa

Criminelen gebruiken software Bunq voor misbruik

3 apr 2021
  •  
leestijd 4 minuten
  •  
3747 keer bekeken
Je hebt misschien zelf wel eens een sms’je ontvangen uit naam van de Belastingdienst of het CJIB met het bericht dat je nog een boete moet betalen. En een link om de boete direct te betalen. Dit soort phishing komt veel voor in allerlei vormen, maar nu is er een nieuwe manier waarbij het nog lastiger is om nep van echt te onderscheiden. Criminelen blijken namelijk relatief eenvoudig de software van de Bunq bank te kunnen gebruiken om de nep-boete te incasseren…
Bij de fraude met nep sms'jes uit naam van bijvoorbeeld de Belastingdienst kom je na klikken op de link in het sms-bericht terecht op een nagemaakte website van de Belastingdienst waar je ‘boete’ klaar staat om te betalen op een website die er uit ziet als de echte site van de Belastingdienst. Je hoeft vervolgens echter niet in te loggen bij je bank (of bij een phishing-website van je bank) maar kunt de nep-boete via iDEAL op de nagemaakte website van de Belastingdienst betalen. Op de manier zoals je gewend bent bij een webshop te betalen; je kiest je eigen bank in het menu, en vervolgens kom je automatisch in je eigen bankieren app om de betaling te bevestigen. Dit draagt volgens ethisch hackers Wesley en Erik, die vanaf hun Zolder Internetcriminaliteit in de gaten houden, bij aan de geloofwaardigheid van het phishingbericht. Zij wezen Bunq hier daarom maanden geleden al op. Maar zonder resultaat, negen maanden later gebeurt het nog steeds.

Open software Bunq

De betaling op die nepsite blijkt te kunnen worden gegenereerd met de software van Bunq bank, die de bank voor iedereen openstelt om te gebruiken (de zogeheten API). Iedere klant van Bunq krijgt bij het openen van een rekening direct een API-sleutel om de software zelf te kunnen gebruiken op een eigen website. Hiermee blijkt het mogelijk om op een nagemaakte website van de Belastingdienst een betaalmenu te maken dat eruitziet als een betaalmenu van iDEAL op een webshop, terwijl het niet de zakelijke iDEAL versie van iDEAL is die normaal gesproken bij een webshop wordt gebruikt. Daar heb je namelijk een contract voor nodig met een bank of tussenpartij zoals Mollie, die controleren of jij betrouwbaar genoeg bent om iDEAL te mogen aanbieden.

Rekening open zonder BSN

Kassa neemt zelf de proef op de som en opent twee keer een rekening bij Bunq, met onze vinger op het BSN (Burger Servicenummer) op het identiteitsbewijs. Het lukt, en ook krijgen we bij beide rekeningen direct de sleutel om de Bunq-software te kunnen gaan gebruiken. En inderdaad, we kunnen redelijk eenvoudig een iDEAL betaalvenster op een zelfgemaakte website plaatsen, gekoppeld aan een van de rekeningen. Dus zonder dat je een webshop bent en ook zonder dat je aan de voorwaarden hebt moeten voldaan die horen bij het mogen aanbieden van iDEAL als zakelijke partij. Bunq heeft ons BSN-nummer dus niet en we krijgen 90 dagen de tijd om die nog aan te leveren. Maar in de tussentijd krijgen we wél direct toegang voor gebruik van de software.

Net echt

Ethisch hackers Wesley en Erik, die deze fraude al langere tijd in de gaten houden en dit ook bij Bunq gemeld hebben, zien constant nieuwe nepsites in de lucht komen met deze constructie. Daarmee kunnen professioneel uitziende betaalpagina’s kunnen worden gemaakt terwijl het verhaal eromheen nep is. Het bedrag dat het slachtoffer betaalt komt direct terecht op de Bunq-rekening die gekoppeld is aan de gebruikte API sleutel. De criminelen die dit doen zijn dus Bunq-klant of gebruiken een Bunq-rekening van iemand anders (geldezel).

iDEAL bevestigt probleem

Currence, het bedrijf waar iDEAL onder valt, bevestigt dat met gebruik van de Bunq-software (API) een betaling tussen twee consumenten eruit kan zien als een betaling aan een bedrijf:
“Met deze API kan een voorgenomen iDEAL C2C-betaling aan een particulier op een website inderdaad zodanig worden getoond dat het lijkt of er met een iDEAL C2B-betaling aan een bedrijf of instelling betaald gaat worden.” Currence vindt zelf niet dat er misbruik wordt gemaakt van iDEAL en benadrukt dat er vooral misbruik plaatsvindt voordat de betaling wordt gedaan. De complete reactie van Currence lees je hier.

Oprichter Bunq reageert

Ali Niknam, oprichter en CEO van Bunq, reageert in de studio. Volgens Niknam heeft de Bunq-software niet te maken met de phishingfraude. Volgens Niknam is dit een functionaliteit die zij openstellen voor alle klanten en waar klanten recht op hebben. Niknam benadrukt dat Bunq veel doet om misbruik tegen te gaan, en er samenwerking tussen meer betrokken partijen nodig is om dit soort Internetoplichting sneller op te kunnen sporen en te stoppen. Currence stelt dat Bunq heeft toegezegd de API aan te passen, dat ligt volgens Niknam echter ingewikkelder en dit zou niet zomaar mogelijk zijn.

Michel van Eeten, hoogleraar Cybersecurity aan de TU Delft, reageert ook in de studio. Volgens van Eeten is het feit dat dit systeem geautomatiseerd betalingen via de geschetste methode kan verwerken ervoor dat hier een opening voor misbruik ontstaat.

Praat mee

Heb je een vraag, suggestie of wil je gewoon iets kwijt? Dat kan hier. Lees onze spelregels.

avatar

Reacties (9)

Martien van Steenbergen
Martien van Steenbergen19 apr 2021 - 15:42

Beste Kassa,

Kassa vind ik een tof programma en Amber een fijne presentator. Ook de scherpe manier van vragenstelling stel ik bijzonder op prijs.

Maarrrr… soms is de manier van vragenstellen door Amber wel heel gekleurd en eenzijdig.

Bijvoorbeeld tijdens het interview met Ali Niknam van Bunq. De sfeer van vragenstellen lijkt erop gericht om Bunq onderuit te halen en in diskrediet te brengen. Dat is jammer, want je kunt ook scherp vragen blijven stellen die Bunq in de gelegenheid stellen uit te leggen wat de situatie is en wat ze er aan doen.

Bovendien vind ik het onhoffelijk en unfair om Bunq live op nationale tv te confronteren met nieuwe feiten die jullie niet eerst aan ze hebben voorgelegd zodat ze daar adequaat op kunnen reageren. Ik verwacht dat Bunq open en eerlijk met dergelijke situaties omgaat en samen met jullie de zaak onderzoek zodat jullie samen ons als Nedleranders goed kunne voorlichten.

Ik verwacht dat Bunq anders is dan de gevestigde banken en vind dat jullie ze dat voordeel van de twijfel moeten geven. Dat doen jullie niet. Jullie enten je houding op de gevestigde orde van de grote jongens ONG, Rabo en ABN.

Jammer. Wees verschillig.

Succes en plezier,

Martien van Steenbergen
06 53 54 59 60

Inemarie
Inemarie8 apr 2021 - 15:16

Aan de andere kant heeft Bunq ons geweldig geholpen. Als startende stichting konden we nergens terecht door strenge regelgeving (we zijn door alle banken geweigerd ons eerste jaar). Dus er is - als we maatschappelijke en publieke doelen belangrijk vinden - wel een middenweg gevonden worden tussen heel streng en te makkelijk voor criminelen.

1 Reactie
Inemarie
Inemarie8 apr 2021 - 15:17

https://www.linkedin.com/pulse/access-financial-services-starting-non-profit-part-2-inemarie-dekker

Youss
Youss5 apr 2021 - 10:34

Vingertje wijzen naar bunq.. lekker makkelijk. Van meneer aangeeft is helemaal terecht. Misschien moeten ze gaan kijken naar dat niet iedereen een domeinnaam kan maken. Of dat bepaalde domeinnamen niet gemaakt kunnen worden. Domeinen met belasting/overheid etc erin. Dan is het probleem al meteen een stuk kleiner. De betaalsystemen verantwoordelijk achten is heel simpel. Mensen klagen altijd snel als het mis gaat, maar de reden dat mensen kiezen voor zulke betaalsystemen is voor het gemak. Iedereen wilt gemak maar ook 100% veilig en dat gaat nooit samen. Je levert altijd iets. Of gemak of veiligheid. Dit is op te lossen met de hulp van banken maar zeker ook van domeinnaam verkopers.
En wel heel smerig om in het voorgesprek niks te zeggen over de overboeking van bunq en dan in de uitzending als verassing benoemen en dan afvragen waarom niet wilt aansluiten bij jullie. Terwijl als je hem wel ingelicht had, had hij het misschien kunnen uitzoeken of voorhand en de mensen helpen/voorzien van antwoord. Een duidelijke vorm van Kijkcijfers vs kijkers echt inlichten. Ook die 2 dingen gaan nooit 100% samen en we zien waar jullie je focus op leggen.

Anton van der Meijden
Anton van der Meijden4 apr 2021 - 13:38

Mijn anti phishing app’s melden mij de inbraak poging, dus poging blokkeerde.
Via Kaspersky Security cloud en ook de Safespot prog van Telenet, de Safespot app is wel de goedkoopste, maar alleen te zien op de Algemeen pagina. Maar Kaspersky die melde onmiddellijk de poging tot phishing meteen in de oplichter SMS zelf.

Bwet
Bwet4 apr 2021 - 11:49

Ik ben zelf opgelicht door bank bunq door WhatsApp fishing.

hvrom1
hvrom14 apr 2021 - 11:18

Hoe kan ik nu zien of het een echte webshop is of een crimineel.

1 Reactie
Redacteur
Redacteur6 apr 2021 - 8:02

Hallo hvrom1,

We hebben een artikel geschreven over hoe je malafide websites kunt herkennen. Het artikel vind je hier: https://www.bnnvara.nl/kassa/artikelen/artikel-7-tips-om-malafide-webshops-te-herkennen.

Met vriendelijke groet,
Danny

Henri Koppen
Henri Koppen4 apr 2021 - 7:29

Heel goed item, Zolder staat er mooi op, heldere informatie goed gesprek. In een voorgesprek iets cruciaals achterhouden voor tijdens het live gesprek levert wellicht sensatie op, maar tast je integriteit aan. Juist voor een programma als Kassa is dat een slechte zaak. Bovendien ontneem je de kijker nu waardevolle informatie omdat -als het wel in het voorgesprek op tafel kwam dat er meer dan 150 euro kon worden overgemaakt- Ali uitsluitsel had kunnen geven of dit een bug was, die zou worden opgelost. Dus wel een smet op zo'n goed en belangrijk item.

1 Reactie
Marcus Smit
Marcus Smit4 apr 2021 - 15:31

Helemaal mee eens. Ik vertrouw er dan ook op dat Ali komen de week de kans krijgt uit te leggen wat er gebeurd is en wat er eventueel aan gedaan kan worden of zelfs al gedaan is..

Ikzelf ben een blije bunq-gebruiker en ook ik heb wel eens smsjes ontvangen met een phishing-bericht. Aan de url is meteen duidelijk te zien dat het niet om de echte bunq-bank gaat.

De Belastingdienst
De Belastingdienst4 apr 2021 - 7:11

De naam van de feitelijke rekeninghouder naar wie je overmaakt staat er toch altijd?

Overigens is mijn naam niet De Belastingdienst.

bharmsen
bharmsen4 apr 2021 - 6:42

Ieder gezond denkend mens weet dat de belastingdienst je nooit een sms stuurt met een link maar dat je altijd moet inloggen met digid bij mijn overheid.

Dat u in het voorgesprek niet had gesproken met de Ali Nikman dat het bij jullie wel mogelijk was om grotere bedragen dan €150,- te storten en weer opnemen is een beetje erg achterbaks en daarom kon de beste man daar ook niet op antwoorden.