Tijdens de eerste coronagolf in maart maakte de bank bekend dat klanten het slachtoffer waren geworden van een grootschalige phishing-actie van criminelen. Klanten uit onder meer Heemskerk, IJmuiden, Haarlem en Haarlemmermeer kregen een valse e-mail en kwamen door op een link te klikken terecht op een website, lijkend op de site van de bank. Op die site konden klanten gegevens invoeren. Later werden de slachtoffers nog eens telefonisch benaderd met de vraag of ze een inlogsessie digitaal konden bevestigen. Op deze manier konden verdachten in de digitale bankomgeving van klanten komen en zo kon geld worden overgemaakt naar rekeningnummers van zogenoemde katvangers, mensen van wie hun bankrekeningen werden gebruikt voor illegale doeleinden. Vervolgens werd het geld van deze rekeningen gepind of op een andere manier geld ontvreemd. In een enkel geval is de bankpas van een slachtoffer opgehaald door iemand die zich voordeed als medewerker van een koeriersbedrijf. De bank deed aangifte van 54 gevallen van frauduleus handelen.
De politie kwam de verdachten op het spoor en stelde een onderzoek in. In de tien dagen dat de politie de telefoon van de 27-jarige afluisterde, werden 149 gesprekken gevoerd waarbij iemand zich voordeed als bankmedewerker. Op 7 mei doorzocht de politie een hotelkamer in Amsterdam van waaruit de verdachten hun werk onder meer zouden doen. Er werden twee laptops aangetroffen die alle software hadden voor grootschalige phishing-oplichting. Ook is een van de verdachten herkend als degene die na de oplichting een groot geldbedrag pinde in Amsterdam. In de woning van een van de verdachten werd bovendien een uniform van een koeriersbedrijf gevonden.