Minder bankgegevens op server Dorifel dan gedacht

AMSTERDAM - De gegevens van internetbankieren die op de server van het Dorifelvirus gevonden zijn, treffen veel minder Nederlands dan gedacht.

Dat blijkt uit onderzoek van NU.nl naar de loginpogingen die waren geregistreerd op een server waar ook het Dorifelvirus contact mee onderhoudt.

Op die server was software actief om gebruikers van internetbankieren te verleiden in te loggen (phishing). In werkelijkheid werden de gegevens afgevangen en op de server opgeslagen. Die informatie was onbeveiligd toegankelijk.

De lijst in handen van NU.nl bestaat uit 1760 inlogpogingen. Rickey Gevers van beveiligingsbedrijf Digital Investigations scande de bestanden geautomatiseerd en vreesde dat er 1606 mensen waren getroffen. Daarbij waarschuwde hij al dat hier dezelfde personen meer dan eens kunnen voorkomen.

596 personen

NU.nl werkte het bestand door en ontdekte dat veel inlogpogingen inderdaad dubbel waren. Dat komt, omdat veel mensen die proberen in te loggen zonder succes het dan nogmaals proberen. Iedere poging komt vervolgens op de lijst.

De lijst met unieke inloggegevens bestaat uit 606 accounts voor internetbankieren. Tien daarvan vallen aan te merken als evident onjuist, waardoor het maximaal 596 mensen betreft. In totaal gaat het om 306 accounts van de ING, 152 van de Rabobank, 119 van ABNAMRO en 29 van de SNS-bank.

In het onderzoek valt niet te verifiëren of iedere inlogpoging ook daadwerkelijk bij een bestaande rekening hoort.

Dorifelserver

De lijst werd aangetroffen op één van de servers, die het Dorifelvirus bediende. Op deze computer was naast de nodige onderdelen voor het virus ook een reeks phishingwebsites gebouwd. Daardoor rijst de vraag of er een verband tussen het virus en phishing bestaat.

Dat is onzeker, omdat beide zaken niet meteen vergelijkbaar zijn. Dorifel richt zich vooral op bedrijfsmatige netwerken en phishing op internetbankieren. Digital Investigations ontdekte dat er in totaal vier domeinen in gebruik zijn voor phishing: auth-bank.org, bank-auth.org, auth-ebanking.org, auth-banking.org

Citadel

Ook beveiligingsonderzoekers twijfelen of Dorifel verantwoordelijk is voor de phishingwesbites. Waarschijnlijk hoort het stelen van bankgegevens eerder bij het Citadelvirus. Dorifel maakt gebruik van hetzelfde netwerk als Citadel, dat nog steeds actief is.

Daarom adviseert de Vereniging Nederlandse Gemeenten nu gemeenten de aandacht te richten op het verwijderen van eventuele Citadel-infecties.

Wat doet het Dorifelvirus en hoe kan het verwijderd worden?

Lees meer over:
Tip de redactie