Les attaquants de phishing ont remarquablement réussi chez Bunq : « La sécurité n’est pas un problème »

Cet article a été mis à jour pour la dernière fois le mai 28, 2024

Les attaquants de phishing ont remarquablement réussi chez Bunq : « La sécurité n’est pas un problème »

Bunq

Les attaquants de phishing ont remarquablement réussi à Bunq: « La sécurité n’est pas un problème »

Les fraudeurs par phishing ciblent les clients de la banque en ligne Bunq et parviennent souvent à dérober des montants de plusieurs dizaines de milliers d’euros par victime. Cela ressort clairement des recherches menées par NOS et le CNRC.

Selon les experts, il est peu probable que la méthode des attaquants réussisse dans d’autres banques, et le montant d’argent capturé est également surprenant. Les mesures de sécurité dont disposent les autres banques font défaut et les clients ne sont généralement pas indemnisés.

NOS et NRC ont vérifié les histoires de 28 victimes qui ont été victimes d’arnaques au cours des sept derniers mois. Ensemble, ils ont perdu plus de 1,6 million d’euros, soit une moyenne de près de 60 000 euros par cas.

Dans cinq cas, les montants en cause étaient de 100 000 euros et plus. « Tout s’est passé très vite, en 45 minutes toutes mes économies avaient disparu », raconte Géraldine. Elle a également perdu plus d’une tonne.

« La sécurité est la priorité absolue chez Bunq », a déclaré la banque dans une réponse écrite. « C’est pourquoi nous utilisons des technologies avancées telles que l’IA, la sécurité biométrique et la communication sécurisée. La seule façon de devenir victime est de fournir vous-même vos informations personnelles et de connexion.

La banque affirme également que « le montant moyen de la fraude parmi les victimes de phishing chez Bunq est inférieur » à celui des autres banques, mais ne veut pas le justifier lorsqu’on lui demande.

Hameçonnage

Avec le phishing, les criminels vous incitent à fournir vos informations de connexion. Ils le font avec un faux site Web qui ressemble exactement au site réel d’une banque, par exemple. Les liens vers ceux-ci sont distribués par SMS ou e-mail, avec des appels du type : « Confirmez votre compte !

Les informations de connexion saisies peuvent être utilisées à mauvais escient pour piller des comptes. Chez Bunq, les clients doivent également confirmer leur connexion, c’est pourquoi les criminels appellent généralement également la victime pour l’encourager à effectuer un scan facial, par exemple.

Les assureurs de protection juridique constatent également une augmentation du nombre de dossiers. Selon des sources judiciaires, le nombre de sites de phishing Bunq prêts à l’emploi proposés sur le marché noir est en augmentation, et les criminels peuvent les créer sans trop de travail.

Bunq propose des comptes bancaires depuis 2015 et aime se présenter comme une alternative contemporaine aux banques traditionnelles. Elle n’a pas de succursales physiques et a également été décrite comme étant principalement une entreprise technologique. L’année dernière, elle a gagné de nombreux clients épargnants en raison des taux d’intérêt relativement élevés.

Inaperçu

C’est la banque qui est responsable du fait que les attaquants peuvent voler autant d’argent, disent les experts. «Les banques que je connais peuvent arrêter cela», déclare Pepijn Sklapdel, expert en fraude de DataExpert, qui représente plusieurs banques.

Shairesh Algoe, responsable de la lutte contre la fraude chez ABN Amro depuis de nombreuses années : « Il ne s’agit pas d’un nouveau type d’attaque. On ne peut pas prévenir la fraude à 100 %, mais je pense que les banques la détectent généralement.»

« Nous ne pouvons pas imaginer qu’un expert connaissant les faits puisse tirer une telle conclusion », répond Bunq.

Les attaquants utilisent principalement deux méthodes. Dans au moins huit cas vérifiés par le NOS, ils parviennent à détourner les informations de connexion et l’analyse de reconnaissance faciale requise des clients, ils peuvent s’introduire dans le compte et ensuite transférer de grosses sommes d’argent. « C’est un comportement vraiment suspect, cela devrait être un signal d’alarme », déclare Sklapdel.

Avec l’autre méthode, reconnue par le NOS dans au moins neuf cas, les attaquants parviennent à convaincre les victimes d’installer sur leur appareil un logiciel qui leur permet d’en prendre le contrôle. « C’est un peu plus difficile à reconnaître, mais il existe également des moyens de le faire », explique Sklapdel.

La sécurité n’est pas un sujet qui motive vraiment Ali. Il souhaite simplement offrir le meilleur produit possible aux clients.

Ancien employé de Bunq

Ces dernières années, toutes les grandes banques ont introduit un délai de réflexion dans la lutte contre le phishing. Si un client souhaite transférer plus que sa limite quotidienne, il doit l’augmenter puis attendre quatre heures.

Bunq n’a jamais pris cette mesure, mais il a pris quelque chose de similaire : si les clients donnaient accès à un nouvel appareil, ils devaient attendre 24 heures avant de pouvoir à nouveau transférer de l’argent.

Cette durée a été rapidement réduite à une heure, puis supprimée, selon Bunq, en réponse aux plaintes des clients et parce que cela ne faisait aucune différence dans la pratique.

Les victimes sont des dommages collatéraux, a déclaré à NOS et NRC un ancien employé de Bunq. « La sécurité n’est pas un sujet qui motive vraiment Ali », dit-il à propos du PDG de Bunq, Ali Niknam. « Il veut simplement offrir le meilleur produit possible aux clients. Cela ne veut pas dire que vous devez attendre des heures si vous souhaitez augmenter une limite.

NOS et NRC continuent d’enquêter sur Bunq et sont heureux de parler aux employés et anciens employés. Vous souhaitez nous contacter ? Cela peut être fait par e-mail (ellen.kamphorst@nos.nl) ou via Signal/Whatsapp : 06 84 61 39 16

Trois autres anciens employés affirment également que la banque subordonne la sécurité à la convivialité, mais Bunq déclare que cela est « manifestement incorrect ».

Règlement

Les 28 clients concernés sont généralement plus en colère contre la banque que contre les escrocs. Aucun d’entre eux n’a pu contacter un collaborateur, tout s’est fait via le chat de l’application.

C’est la politique de la banque, qui veut communiquer uniquement par voie numérique. Le groupe de 28 victimes a reçu une invitation de Bunq pour un entretien jeudi après-midi.

« Parti est parti »

Les victimes se plaignent également de l’option SOS de Bunq pour les cas de fraude, qui fonctionnerait mal. Ils disent que cette application n’a fait aucune différence.

Une cliente, Floor Hendriks, a estimé qu’elle avait reçu un service si médiocre chez Bunq qu’elle a appelé le bureau des fraudes de son autre banque. « J’ai mon compte courant chez Rabobank ; ils m’ont aidé à faire une déclaration d’impôts là-bas au milieu de la nuit. Elle n’a eu aucune nouvelle de Bunq jusqu’à dix heures plus tard.

Bunq contredit que l’option est inutile. « C’est peut-être la perception des victimes, mais elle est manifestement incorrecte. »

La manipulation diffère également. D’autres banques remboursent les victimes d’escroquerie dans des cas similaires si elles remplissent certaines conditions.

En règle générale, les victimes ne reçoivent rien en retour de Bunq. Gone is gone, tel est le mantra du fondateur de Bunq, Niknam. « C’est comme donner les clés de votre voiture à quelqu’un dans la rue. Ensuite, votre voiture est partie », a déclaré Niknam lors d’une conversation avec une victime.

Responsabilité

Pour cet article, NOS a collaboré avec le journaliste du CNRC Stijn Bronzwaer. Nous avons partagé nos sources, telles que des rapports de conversations et des documents sous-jacents, et avons posé conjointement à Bunq une série de 21 questions pour y répondre. Bunq n’a pas fait de commentaires sur le fond, mais a répondu aux passages de cet article et a fourni une réponse générale.

Nous avons également assisté à une réunion à Durgerdam où se sont rassemblées les victimes de fraude à Bunq. Nous avons vérifié les récits de 28 victimes et avons parlé à la plupart d’entre elles, physiquement ou par téléphone. Nous avons vérifié les témoignages de 27 victimes. De plus, les victimes nous ont fourni des captures d’écran de conversations avec Bunq et d’autres preuves.

Pour cette histoire, d’autres discussions ont eu lieu avec d’anciens employés de Bunq, des organisations professionnelles, des experts en sécurité, des avocats et des représentants de l’assurance protection juridique.

Pour découvrir exactement comment les fraudeurs ont travaillé, NRC et NOS ont acheté conjointement une boîte à outils de phishing Bunq, un logiciel illégal avec lequel les criminels peuvent frauder les clients de Bunq. 275 euros ont été payés pour le logiciel.

En outre, NOS et NRC, en collaboration avec le chercheur en sécurité Matthijs Koot, ont analysé les liens de phishing et les sites Web qui les sous-tendent, et un escroc par phishing nous a appelé.

Dans le podcast De Dag, les victimes racontent comment le vol s’est produit. Ils ne sont pas seulement furieux contre les criminels, mais aussi contre Bunq. Ils n’ont reçu aucune aide ni suivi de la part de la banque, aucune compensation et ils n’ont jamais reçu d’employé au téléphone.

Bunq

Partager avec des amis

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*