Este artigo foi atualizado pela última vez em maio 28, 2024
Table of Contents
Atacantes de phishing obtiveram sucesso notável no Bunq: ‘Segurança não é um problema’
Os invasores de phishing obtiveram sucesso notável em Bunq: ‘Segurança não é um problema’
Os golpistas de phishing têm como alvo os clientes do banco online Bunq, muitas vezes conseguindo roubar quantias de dezenas de milhares de euros por vítima. Isto é evidente na pesquisa da NOS e NRC.
Segundo os especialistas, é pouco provável que o método dos atacantes tenha sucesso noutros bancos, e a quantidade de dinheiro capturada também é surpreendente. Faltam medidas de segurança que outros bancos possuem e os clientes geralmente não são compensados.
A NOS e o NRC verificaram as histórias de 28 vítimas que foram enganadas nos últimos sete meses. Juntos perderam mais de 1,6 milhões de euros, uma média de quase 60 mil euros por caso.
Em cinco casos os valores envolvidos eram iguais ou superiores a 100 mil euros. “Tudo aconteceu muito rápido, em 45 minutos todas as minhas economias acabaram”, diz Geraldine. Ela também perdeu mais de uma tonelada.
“A segurança tem a maior prioridade no Bunq”, disse o banco numa resposta por escrito. “É por isso que utilizamos tecnologias avançadas como IA, segurança biométrica e comunicação segura. A única maneira de se tornar uma vítima é fornecer você mesmo seus dados pessoais e de login.”
O banco afirma ainda que “o valor médio de fraude entre as vítimas de phishing no Bunq é inferior” ao de outros bancos, mas não quer comprovar isto quando questionado.
Phishing
Com o phishing, os criminosos enganam você para que forneça detalhes de login. Eles fazem isso com um site falso que se parece exatamente com o site real de, por exemplo, um banco. Os links para eles são distribuídos via SMS ou e-mail, com chamadas do tipo: “Confirme sua conta!”
Os detalhes de login inseridos podem ser usados indevidamente para saquear contas. No Bunq, os clientes também precisam confirmar o login, por isso os criminosos costumam ligar também para a vítima para incentivá-la a realizar um escaneamento facial, por exemplo.
As seguradoras de proteção jurídica também estão observando um aumento no número de casos. Segundo fontes judiciais, está aumentando o número de sites de phishing Bunq prontos oferecidos no mercado negro, que os criminosos podem configurar sem muito trabalho.
O Bunq oferece contas bancárias desde 2015 e gosta de se apresentar como uma alternativa contemporânea aos bancos tradicionais. Não possui filiais físicas e também foi descrita principalmente como uma empresa de tecnologia. No ano passado, conquistou muitos clientes de poupança devido às taxas de juros relativamente altas.
Despercebido
O banco é o culpado pelo fato de os invasores poderem roubar tanto dinheiro, dizem os especialistas. “Os bancos que conheço podem impedir isto”, afirma o especialista em fraudes Pepijn Sklapdel, da DataExpert, que representa vários bancos.
Shairesh Algoe, responsável pelo combate à fraude no ABN Amro durante muitos anos: “Este não é um novo tipo de ataque. Não é possível prevenir 100% a fraude, mas acho que os bancos geralmente detectam isso.”
“Não podemos imaginar que um especialista familiarizado com os factos chegaria a tal conclusão”, responde Bunq.
Os invasores usam principalmente dois métodos. Em pelo menos oito casos verificados pela NOS, conseguem sequestrar os dados de login e o necessário scan de reconhecimento facial dos clientes, podem invadir a conta e depois transferir avultadas somas de dinheiro. “Esse é um comportamento realmente suspeito e deveria ser um sinal de alerta”, diz Sklapdel.
Com o outro método, que a NOS reconheceu em pelo menos nove casos, os atacantes conseguem convencer as vítimas a instalar software nos seus dispositivos, com o qual podem assumir o controlo. “Isso é um pouco mais difícil de reconhecer, mas também existem maneiras de fazer isso”, diz Sklapdel.
Segurança não é um tema que realmente motiva Ali. Ele só quer oferecer o melhor produto possível aos clientes.
Ex-funcionário do Bunq
Nos últimos anos, todos os grandes bancos introduziram um período de reflexão na luta contra o phishing. Caso um cliente queira transferir mais do que seu limite diário, deverá aumentá-lo e depois aguardar quatro horas.
O Bunq nunca tomou essa medida, mas tomou algo semelhante: se os clientes dessem acesso a um novo dispositivo, teriam de esperar 24 horas antes de poderem transferir dinheiro novamente.
Logo foi reduzido para uma hora e depois abolido, segundo Bunq, em resposta às reclamações dos clientes e porque não fazia diferença na prática.
As vítimas são danos colaterais, disse um ex-funcionário do Bunq à NOS e ao NRC. “Segurança não é um tema que realmente motiva Ali”, diz ele sobre o CEO da Bunq, Ali Niknam. “Ele só quer oferecer o melhor produto possível aos clientes. Isso não significa que você terá que esperar horas se quiser aumentar um limite.”
A NOS e a NRC continuam a investigar o Bunq e têm o prazer de falar com funcionários e ex-funcionários. Você gostaria de nos contactar? Isso pode ser feito por e-mail (ellen.kamphorst@nos.nl) ou via Signal/Whatsapp: 06 84 61 39 16
Três outros ex-funcionários também afirmam que o banco subordina a segurança à facilidade de utilização, mas o Bunq afirma que isto é “comprovadamente incorreto”.
Povoado
Os 28 clientes afetados estão geralmente mais irritados com o banco do que com os golpistas. Nenhum deles conseguiu contato com funcionário, tudo foi feito pelo chat do aplicativo.
É política do banco, que só quer se comunicar digitalmente. O grupo de 28 vítimas recebeu convite do Bunq para uma entrevista na tarde de quinta-feira.
‘Foi-se, foi-se’
As vítimas também reclamam da opção SOS do Bunq para casos de fraude, que supostamente funciona mal. Dizem que a aplicação não fez diferença alguma.
Uma cliente, Floor Hendriks, sentiu que recebeu um serviço tão ruim no Bunq que ligou para o balcão de fraudes de seu outro banco. “Tenho minha conta corrente no Rabobank; eles me ajudaram a preencher uma declaração de imposto lá no meio da noite.” Ela não teve notícias de Bunq até dez horas depois.
Bunq contradiz que a opção é inútil. “Esta pode ser a percepção das vítimas, mas é comprovadamente incorreta.”
O manuseio também difere. Outros bancos devolvem o dinheiro às vítimas de golpes em casos semelhantes, desde que atendam a determinadas condições.
Regra geral, as vítimas não recebem nada em troca do Bunq. Foi-se, é o mantra do fundador do Bunq, Niknam. “É como dar a alguém as chaves do seu carro na rua. Então seu carro sumiu”, disse Niknam em conversa com uma vítima.
Responsabilidade
Para este artigo, a NOS colaborou com o jornalista do NRC, Stijn Bronzwaer. Compartilhamos nosso material de origem, como relatos de conversas e documentos subjacentes, e fizemos conjuntamente ao Bunq uma série de 21 perguntas para resposta. Bunq não comentou isso de forma substantiva, mas respondeu a passagens deste artigo e forneceu uma resposta geral.
Também participámos numa reunião em Durgerdam onde se reuniram vítimas de fraude no Bunq. Verificamos as histórias de 28 vítimas e conversamos com a maioria delas, fisicamente ou por telefone. Verificamos os relatos de 27 vítimas. Além disso, as vítimas nos forneceram capturas de tela de conversas com Bunq e outras evidências.
Para esta história, foram realizadas mais discussões com ex-funcionários do Bunq, organizações comerciais, especialistas em segurança, advogados e representantes de seguros de proteção jurídica.
Para descobrir exatamente como os golpistas trabalhavam, a NRC e a NOS adquiriram em conjunto o chamado kit de ferramentas de phishing Bunq, software ilegal com o qual os criminosos podem fraudar os clientes do Bunq. Foram pagos 275 euros pelo software.
Além disso, a NOS e a NRC, juntamente com o investigador de segurança Matthijs Koot, analisaram links de phishing e os sites por trás deles e um scammer de phishing nos ligou.
No podcast De Dag as vítimas contam como aconteceu o roubo. Eles não estão furiosos apenas com os criminosos, mas também com Bunq. Eles não receberam ajuda ou cuidados posteriores do banco, nenhuma remuneração e nunca receberam um funcionário ao telefone.
Bunq
Seja o primeiro a comentar