De klant zei dat de enige keer dat ze haar bankgegevens gebruikte, was om via een QR-code in het filiaal te betalen(Afbeelding: PA)
Nando's klanten zeggen dat ze honderden ponden uit eigen zak hebben gelaten nadat ze het slachtoffer waren geworden van een cyberaanval.
Fans van de populaire restaurantketen zeggen dat hun accounts - inclusief gebruikersnamen en wachtwoorden - zijn gehackt en zijn gebruikt om ongelooflijk hoge bestellingen te plaatsen.
De alleenstaande moeder van drie, Sandy Warden, zei dat haar dochter, Mia, £ 114,50 verloor nadat criminelen toegang tot haar account hadden gekregen.
De 18-jarige uit Hertfordshire zei dat ze een week eerder haar bankgegevens had gebruikt om online een bestelling te plaatsen via een QR-code in haar lokale filiaal.
Mia was op 21 september thuis toen ze een e-mail ontving van Nando's waarin stond dat ze een bestelling had geplaatst.
'Er stond dat ze een enorme bestelling had geplaatst bij de vestiging in Kensington High Street,' vertelde Sandy aan NEWSAM Money.
Bent u getroffen door deze zwendel? Stuur in dat geval een e-mail naar webnews@trinityNEWSAM.com
De eerste bestelling bedroeg £ 53,75
'Ze controleerde onmiddellijk haar bank en er was £53,75 gestolen.
'Onmiddellijk ontving ze nog een e-mail met een tweede transactie voor een andere grote bestelling - dit keer voor een bedrag van £ 60,75.
'Ook dit was van haar bankrekening afgeschreven, dus stopte ze snel haar kaart.
'Uiteindelijk vonden we het telefoonnummer van de vestiging in Kensington High Street en na een tijdje slaagden we erin om met de manager te praten die bevestigde dat er een groep jonge mensen was die dezelfde bestellingen in de winkel had geplaatst.
'Ze zeiden dat ze talloze pogingen hadden geblokkeerd terwijl ze probeerden verdere bestellingen te kopen.
'Ze hadden net het filiaal verlaten met al het eten van de oorspronkelijke twee bestellingen. Hij zei dat hij camerabeelden had en dat we contact moesten opnemen met het hoofdkantoor om een terugbetaling te krijgen.'
Mia's bankgegevens zijn niet opgeslagen op haar Nando's account
James 5-sterrenhotel
Sandy - die het incident ook heeft gemeld bij Action Fraud - zei dat de bankgegevens van haar dochter niet waren geregistreerd op haar Nando's account.
'Het verontrustende is dat haar bank- en kaartgegevens nergens zijn opgeslagen, niet in de app van Nando of haar online account! Ze was nog nooit in het Kensington High Street-filiaal geweest,' zei ze.
'De laatste keer dat ze bij Nando's was geweest, was de week ervoor in Hemel Hempstead, ons dichtstbijzijnde filiaal, waar ze via hun QR-code online had besteld en haar kaartgegevens fysiek moest invoeren.
'Haar kaart is niet opgeslagen op haar account en ze hadden ook het mobiele nummer op het account gewijzigd, vermoedelijk zodat ze de bestellingen konden ontvangen die ze hadden geplaatst.
Nando's kon niet uitleggen hoe de hackers toegang kregen tot de bankgegevens van Mia
'We kregen vrij snel ons geld terug nadat we op Twitter hadden geklaagd, maar we hebben nog geen verklaring ontvangen over hoe de aanval is gebeurd.'
In een ander geval zei een klant dat ze £670 verloor, terwijl student verpleegkunde Ragan Burrows, 21, uit Sheffield £133 verloor.
De hackers gebruikten haar account om te smullen van 15 extra hete vleugels, een kippenvlinder, een halve kip plus twee lookbrood en -chips, weggespoeld met frisdrank.
'Ze moeten een groep vrienden zijn geweest of een gezin hebben gevoed - ze hebben heel veel gekocht,' vertelde Ragan De zon .
'Ik snap niet hoe mensen zo door het leven kunnen gaan om anderen te stelen. Het is verschrikkelijk.
Ragan Burrows, 21, verloor ook £ 133 (Afbeelding: Ragan Burrows)
Ontvang het laatste geldadvies, nieuws en hulp rechtstreeks in je inbox - meld je aan op NEWSAM.co.uk/email
Door Covid-19-maatregelen moeten de klanten van Nando een QR-code scannen met hun telefoon en online bestellen.
De boeven zouden een techniek hebben gebruikt die credential stuffing wordt genoemd, waarbij online beschikbare inloggegevens worden gestolen en gebruikt om de andere accounts van de slachtoffers te hacken.
Nando's verontschuldigde zich en zei dat het iedereen uit eigen zak zou terugbetalen.
'Onze klanten beschermen' informatie is ongelooflijk belangrijk voor ons.
'We kunnen bevestigen dat hoewel onze systemen niet zijn gehackt, helaas sommige individuele Nando-klantaccounts zijn geopend door een partij of partijen met behulp van een techniek genaamd 'credential-stuffing', waarbij het e-mailadres en wachtwoord van de klant zijn gestolen van ergens anders en, als ze dezelfde gegevens bij ons gebruiken, gebruikten om toegang te krijgen tot hun Nando's rekeningen.
'We ondernemen onmiddellijk actie om iedereen die is getroffen terug te betalen en de accounts van Nando te beveiligen.
'We hebben investeringen gedaan en blijven investeren om onze detectie en preventie van verdachte en kwaadaardige activiteiten te verbeteren. Onze excuses aan onze klanten die hierdoor zijn getroffen.'
