Criminelen gebruiken software Bunq voor misbruik

Criminelen blijken relatief eenvoudig de software van de Bunq bank te kunnen gebruiken om een nepboete te incasseren. Dat gaat gewoon via iDEAL, zo bleek zaterdag in het consumentenprogramma Kassa.

De betaling op nepsites van bijvoorbeeld van Belastingdienst kan worden gegenereerd met de software van Bunq bank. Iedere klant van Bunq krijgt bij het openen van een rekening direct een zogeheten API-sleutel om de software zelf te kunnen gebruiken of testen op een eigen website.

Zo kun je een betaalmenu maken dat eruitziet als een betaalmenu van iDEAL op een webshop, terwijl het niet de zakelijke iDEAL versie van iDEAL is die normaal gesproken bij een webshop wordt gebruikt. Daar is namelijk een contract voor nodig met een bank of tussenpartij zoals Mollie.

Het bedrag dat het slachtoffer betaalt komt dan ook direct terecht op de Bunq-rekening die gekoppeld is aan de gebruikte API sleutel. De criminelen die dit doen moeten wel Bunq-klant zijn of gebruikmaken van geldezels.

Pas nadat in werkelijkheid een iDEALbetaling via de Bunq API daadwerkelijk is opgestart, kan de betaler bij zijn eigen bank zien dat hij of zij goedkeuring moet geven voor een betaling aan een particuliere rekeninghouder van Bunq en niet aan een bedrijf of instelling.

Bunq heeft toegezegd dat ze de API zodanig aanpassen dat de betaler altijd duidelijk het werkelijke bedrag, het echte Bunq-IBAN en de volledige naam van de ontvanger kan zien, vóórdat de betaling wordt opgestart en voordat betaler bij zijn of haar bank goedkeuring moet geven.

Bunq benadrukt verder dat het bedrag dat zo wordt betaald niet hoger is dan 150 euro.

Currence, het bedrijf achter iDEAL, vindt zelf niet dat er misbruik wordt gemaakt van iDEAL en benadrukt dat er vooral misbruik plaatsvindt voordat de betaling wordt gedaan. Desondanks heeft Currence gevraagd om de API aan te passen.