Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 78, views: 27.761 •

Bij de recente uitbraak van het Dorifel-virus zijn geen honderden bankgegevens van ING-klanten buitgemaakt, maar enkele tientallen. Dit stelt de bank in een reactie tegenover Tweakers.net, na een analyse van eerder ontdekte loggegevens.

Afgelopen weekeinde bleek dat er op een in Oostenrijk gehoste server van de botnetbeheerders achter de Dorifel-aanval, publiek toegankelijke loggegevens waren geplaatst. Uit een analyse van beveiligingsfirma Digital Investigation bleek dat deze logs bankgegevens bevatten van in totaal 549 Nederlanders, waaronder 17 slachtoffers bij de Rabobank, 15 bij SNS, 49 bij ABN Amro en 468 bij ING.

Uit nieuwe gegevens zou blijken dat het inmiddels om 1606 accounts gaat, waarvan 102 van de Rabobank, 76 van SNS, 235 van ABN en maar liefst 1193 van ING. ING erkent in een reactie tegenover Tweakers.net dat het mogelijk is dat bepaalde klantgegevens via besmetting van pc's van die klanten in verkeerde handen kunnen zijn gevallen, maar dat het nog niet duidelijk is welke gegevens dan precies.

Wat volgens de bank al wel duidelijk is, is dat de soep niet zo heet wordt gegeten als dat deze wordt opgediend. "Afgelopen weekeinde hebben wij die logbestanden geanalyseerd en hieruit blijkt dat het zeker niet om gegevens van honderden klanten gaat", aldus zegsman Daan Heijbroek. "Het verschil wordt mogelijk verklaard door dubbele vermeldingen en het feit dat wij meer gegevens over onze klanten hebben dan de beveiligingsonderzoekers en dus beter kunnen matchen."

"Uit onze analyse blijkt dat het om gegevens van hooguit enkele tientallen klanten gaat", zegt Heijbroek. "Dit blijft uiteraard erg vervelend, maar de aantallen die wij zien liggen meer in lijn met waar de andere banken mee zijn geconfronteerd. We zijn nu aan het onderzoeken of deze klanten ook echt schade hebben geleden. Uit voorzorg zijn hun accounts wel geblokkeerd."

Volgens Digital Investigation lijkt het erop dat het Dorifel-virus, dat de afgelopen week voor grote problemen zorgde bij overheden en bedrijven, is ingezet om het Citadel/Zbot-botnet weer actief te maken door nieuwe zombie-pc's te activeren. Verder meldt het bedrijf dat er tienduizenden computers in Nederland met het virus besmet zijn geraakt; het Nationaal Cyber Security Centrum stelde vrijdag nog dat de uitbraak van het Dorifel-virus inmiddels onder controle is.

Maandagochtend bleek dat op verzoek van de Nederlandse overheid domeinnamen offline zijn gehaald die zijn gebruikt voor de verspreiding van de Dorifel-malware. Onvermeld blijft welke domeinnamen offline zouden zijn gehaald, maar een van de domeinnamen die aan Dorifel gerelateerd is, bank-auth.org, lijkt inderdaad niet meer te werken.

Update, 11.48 uur: Informatie over nieuwe gegevens toegevoegd

Reacties (78)

Dit lijkt mij meer op downplayen van een probleem, door een bank die al jaren achterloopt met zijn beveiliging op de meeste Nederlandse banken. Waarom zou Digital Investigation deze cijfers verzinnen?
ING staat momenteel negatief in de spotlight, wat anders kan je doen als grootbank dan je probleem niet te ontkennen maar te minimaliseren en de klant gerust te stellen
Ik zeg niet dat ik het marketingtechnisch niet (deels) begrijp (al vind ik het voor een bank, die grotendeels gebouwd is op vertrouwen van zijn klanten, erg onverstandig), maar dat ik er, mede gelet op de problemen van ING uit het verleden en tot op de dag van vandaag, geen snars van geloof.

De schade is toch al geleden, waarom niet zeggen dat het je nieuwe inzichten verschaft en je de gegevens gebruikt om je beveiliging aan te scherpen. Of dat het bij alle klanten zich tot enkele globale (beveiligings/server) problemen betrof/beperkte, en je die aan gaat pakken of beter nog, al gedaan hebt)? Als je dan gaat downplayen, doe het goed en geef mensen een technisch verhaal waar ze al snel ongeinteresseerd in raken, en/of niet (willen) begrijpen, en/of simpelweg de waarheid niet van kunnen achterhalen.

Nu tast het alleen de geloofwaardigheid van de bank maar aan, en juist vertrouwen is waar banken het voor een erg groot deel van moeten hebben.

[Reactie gewijzigd door Henk op 13 augustus 2012 11:18]

in dit artikel staat dan ook toch niet dat ze geen extra veiligheidsmaatregelen gaan nemen ze behouden hun strict tot het aanmelden dat om een aantal gevallen gaat, minder dan reeds naar buiten gebracht, ze willen gewoon ook een laag aantal zoals de andere banken, hier schieten ze nu wel negatief erboven uit, lijkt me logisch dit aantal via een officiŽle mail van tweakers te willen minimaliseren om gezichtverlies te vermijden en zo meer klanten te verliezen, al vraag ik me af hoeveel mensen nu eigenlijk vertrekken bij deze bank na lezen van dit bericht in de media.

om jou stelling te volgen zouden we de juiste vraag van tweakers naar ING moeten zien of het enkel een vraag was over het aantal of ook over de beveiliging
En dus als klant kan je telkens erachteraan en terug vragen ... als elke instantie zo te werk gaat dan heb je naast je full time baan nog eens full time tijd nodig om al die mislopende dingen op orde te stellen!

Wat niet veilig is moet men veilig maken, het is hun geld niet maar van de burgers.

En gezichtsverlies? dat krijg je pas echt als je elke keer de waarheid gaat verbergen tot op het moment het naar buiten lekt ... hoe willen ze dat dan verklaren?
Vertrouwen van de klant is altijd nog gebaseerd op waarheid, betrouwbaarheid.
Ik hoef geen bank die loopt te liegen want dan klopt er iets niet en is het domste wat je kan doen. Wat als klanten tegen de bank gaan liegen? dat mag namelijk ook niet.
Compleet misplaatste reactie in deze discussie. Dit gaat om gegevens die aan de klantzijde zijn gestolen, daar kan een bank weinig aan doen als een klant een virus opraapt door wat voor een reden dan ook.

Bank kan alleen zorgen dat ze de gevolgen voor die klant minimaliseren, daar springen ze in dit geval prima op in.
de bank kan zorgen dat het verkeer ťcht veilig wordt, door een sandbox te downloaden / activeren in de browser. dit is echter ingewikkelder, mogelijkerwijs platform afhankelijk en heeft waarschijnlijk meer supportvraag tengevolge. daardoor wordt het duurder.
het is kennelijk nu nog goedkoper uit coulance de "slachtoffers" schadeloos te stellen. maar hoe lang nog? ik denk dat die rekensom allang achter een buro is gemaakt!
Wat heeft een zandbak voor nut als je als trojan toegang hebt tot de hardware?
Je geeft zelf al aan dat dit niet gaat werken: zodra iets platformafhankelijk wordt is het geen goede oplossing.
Moeten er dan slachtoffers schadeloos worden gesteld?

Dat hun inlog gegevens zijn baat gemaakt omdat de klanten malware op de PC hadden staan betekent nog niet dat er ook schade is geleden.

Daarvoor heb je namelijk ook de TAN codes nodig, en daar kan malware die op de PC Staat niet bij.

Als je dan als gebruiker een klein beetje oplet of het bedrag klopt in het SMS-je met je TAN code, dan kun je op die manier geen schade krijgen.
Wat is een 'grootbank', uit welke taal komt dat?
De hele banksector heeft momenteel een slecht imago, niet alleen de ING.
Aan het bericht te zien geeft de ING informatie en is ze niets aan het ontkennen.
Met het geruststellen van klanten is niets mis, er is geen enkele reden om paniek te veroorzaken bij klanten die nergens last van hebben gehad.
Ik heb toch een ander beeld bij de Rabobank (en ABN Amro) dan als ik denk aan de ING. Dus er zit nog wel degelijk verschil in imago in de banksector.

ING is op dit moment de zwakste schakel qua imago, en dat weten zij ook.
Als je het meeste aantal klanten hebt, dan ben je wat betreft altijd het kwetsbaarste.

Er worden meer aanvallen op jou gericht, en in absolute getallen sta je ook altijd bovenaan.

Als ik naar de cijfers in dit artikel kijk valt SNS als klein bankje juist op.
Advertentie van Binck bank.
Is dus adverteerderstaal zeg maar ;)
Wat is een 'grootbank', uit welke taal komt dat?
Zuidafrikaans voor driezitsbank. ?

Slechter dan Scheringa kunnen ze het niet doen, dus het valt allemaal reuze mee.
Ik blijf rustig op mn TAN-codes vertrouwen.
Wat is een 'grootbank', uit welke taal komt dat?
Is gewoon een verbastering van 'grote bank'.
Wat is een 'grootbank', uit welke taal komt dat?
Het is een term die in BelgiŽ wordt gebruikt om de traditionele grote banken aan te duiden. De term wordt vooral in de advertenties van de kleinere spelers gebruikt om zichzelf positief te vergelijken met die grotere banken onder het mom van "kijk wat wij allemaal voor je doen, wanneer heb je voor het laatst een grootbank iets dergelijks zien doen".

De meeste van die 'kleine' banken zijn overigens zelf eigenlijk ook grote banken. Het gaat om buitenlandse banken (vanuit Belgisch standpunt bekeken) die hier in BelgiŽ een marktpositie proberen uit te bouwen.
Dat vraag ik me dus ook af. Als er 468 entries in de logfiles zijn die te maken hebben met ING-accounts, hoe kan ING dit dan plots herleiden naar "enkele tientallen"?
Dat zou er op duiden dat ze:
a) een duidelijk bewijs hebben dat een aantal van deze accounts niet gecompromiteerd zijn, ondanks dat ze in de logfiles voorkomen
b) het probleem publiekelijk proberen te minimaliseren.

Een andere verklaring lijkt me er niet zo direct te zijn...
Ik gok a). Misschien tientallen misbruiken bij ING via deze gegevens, dat er meer gegevens buit gemaakt zijn, betekend niet daadwerkelijk misbruik van gemaakt is.
Is het niet mogelijk dat sommige mensen iedere keer opnieuw op het mailtje gereageerd hebben? Daardoor kan je dan inderdaad een X aantal log files hebben van mensen wat er effectief maar tientallen hoeven te zijn...

Ik weet nog goed dat alle mails voorbij kwamen, voor ongeveer 3 weken lang kreeg ik er gemiddeld zo'n 400 per dag binnen op onze mailserver, heb dit zelfs nog teruggekoppeld naar een aantal banken (Bij sommige website stond de ftp helemaal open en kon ik doen wat ik wilde) van de banken heb ik alleen nooit reactie gehad helaas...

Bij ons is er in ieder geval niets door de MailMarshal gekomen gelukkig, ook weet iedereen hier dat ze nooit op zulke mail in moeten gaan.
De ing heeft het over klanten, de onderzoekers (waarschijnlijk) over bankrekeningen

dat kan al een verschil verklaren
Dit lijkt mij meer op downplayen van een probleem, door een bank die al jaren achterloopt met zijn beveiliging op de meeste Nederlandse banken.
Achterloopt? Op welke wijze?
Of heb jij liever zo'n calculator op zak anders kan je niet bankieren? Ook heerlijk als je die vergeet tijdens je vakantie. Kan je geen bal meer, terwijl ik gewoon TAN-codes krijg opgestuurd, waar ik ook zit.
En als ik mijn pinpas vergeet kan ik ook niks meer op vakantie. Bovendien heb je nog altijd (bij de rabobank iig) een app waarmee je saldo kan checken en zonder random reader geldtussen je spaar- en betaalrekening kan over boeken.
Dan kan je nog geld overmaken naar een lokale bank of postkantoor. Of je maakt geld over naar je vrienden die dan voor jou kunnen pinnen. Ik vind dat ADQ een punt heeft.
Ook niet handig als je in een land bent waar je telefoon niet op het plaatselijke netwerk kan. Zo had ik in Japan en Zuid Korea geen bereik met een Blackberry. Dan is zo'n calculator opeens een stuk handiger :)
Ooit eerder van Digital Investigation gehoord?

Verzinnen zullen ze wel niet maar ze hebben wel belang bij flink benadrukken/overdrijven.
Ooit eerder van Digital Investigation gehoord?

Verzinnen zullen ze wel niet maar ze hebben wel belang bij flink benadrukken/overdrijven.
http://www.digital-investigation.eu/
Inderdaad ook mijn gedachte, als ik zo reken kom ik op enkele honderdtallen
Op welke manier loopt de ING al jaren met zijn beveiliging achter?

Hoe hun interne beveiliging is, is voor de meeste outsiders (in elk geval voor mij) onduidelijk (banken hechten in het algemeen behoorlijk aan obscurity).

Mogelijk heb je het over het systeem met de TAN-codes dat qua veiligheid principieel vergelijkbaar is (wel andere sterke en zwakke punten) met de minder gebruiksvriendelijke systemen van andere banken? Dat de papieren TAN-lijst zijn langste tijd gehad heeft, is inderdaad een hele opluchting maar daarnaast kan ik maar 1 exploit bedenken die het beveiligingsniveau op dat punt reduceert tot dat van de andere banken (dus nog steeds niet slechter dan dat).

P.S. We hebben in onze rijke taal een veel mooier woord voor downplayen: bagatelliseren.

[Reactie gewijzigd door mae-t.net op 13 augustus 2012 13:03]

Tja, we zitten hier natuurlijk op Tweakers he?
En dan denken mensen snel dat alleen technisch complexe oplossingen goed zijn.

Terwijl het voor personen die echt verstand hebben van security duidelijk is dat TAN codes minimaal net zo veilig zijn.
(niet voor niets dat geheime diensten ook dergelijke systemen gebruiken)
Alleen is het voor de georganiseerde misdaad wel veel makkelijker om TAN lijsten via de post of TAN berichten via SMS te onderscheppen dan dat het is om het onderliggende cryptografische algoritme te kraken. Dit in tegenstelling tot apparaatjes zoals de random reader v/d Rabobank, waar er geen alternatieve communicatie is en het enige middel is om het algoritme echt te kraken.

TAN kan al verslagen worden via een corrupte postbezorger of de apparatuur om GSM af te tappen (waarvan inmiddels wijd bekend is dat het zo lek is als een vergiet maar nog steeds gewoon gebruik van gemaakt wordt).


Trouwens ook behoorlijk knap dat de inloggegevens voor Rabobank klanten gepakt zijn; inloggen loopt daar ook via een cryptografische nonce die gegenereerd wordt via de random reader en dus elke keer anders is. Klinkt een beetje als een broodje aap verhaal, dus.

[Reactie gewijzigd door R4gnax op 13 augustus 2012 23:46]

Ik neem aan dat als je account geblokkeerd is, dat je bij het inloggen daarover een melding krijgt. Met de mededeling dat je nieuwe inloggegevens per post worden verstuurd. Of iets dergelijks in die trant
Tja, hoe het ook zij, toch eens tijd voor de banken (in t algemeen, maar zeker ING) om hun beveiliging eens na te lopen. Er staan wel verdacht vaak berichten op internet over fraude, gestolen gegevens en leeggetrokken bankrekeningen.
maar met een username en wachtwoord kan je nog niks behalve saldo inzien..
dat is dus gewoon veilig...
Als ze iedereen verplichten om een tan-code per sms te laten krijgen kan daar ook niet zomaar mee gefraudeerd worden, maar dan moet je afwegen wat je liever wilt: meer klantvriendelijkheid (papieren tan lijst aanhouden) of iets meer fraude bestendig (iedereen verplichten tancodes per sms te laten ontvangen)

Dan zit je alleen nog met Paypal machtiging.. maar mijn inziens ligt het probleem daarvan bij paypal (i.p.v. bewijzen dat je transacties kan zien, moet er worden geverifeerd of je transacties kan maken vanaf de betreffende rekening)
Toch zijn er hier en daar wel opmerkingen te maken over (oa) de systemen van ING.
Wat mij persoonlijk stoort is dat de klant niet (tijdig) geinformeerd wordt.

Laat ik het even vergelijken met Blizzard:
Blijkbaar heeft iemand mijn account proberen te hacken, en mijn account werd om die reden geblokkeerd, ik kreeg direct een mailtje en sms dat dit gebeurde.

Nu heb ik in het verleden wel eens per ongeluk mijn eigen account gelocked (3x verkeerde wachtwoord), en daarna niets... Ofwel als iemand anders (bv een hacker) mij probeert te hacken en mislukt zou ik er pas achter komen de volgende keer als ik inlog... waarom ook geen waarschuwingssysteem?

Nu is dit geen ING rant, want los van de bovenstaande wens vind ik het TAN-systeem prima werken (zeker icm de telefoon). Alleen updaten en je klanten blijven informeren vind ik persoonlijk iets wat er aan schort bij de ING.
Wat een onzin.
Een bank kan niks aan domme gebruikers doen welke hun pc niet goed beschermen.
Of gekraakte versies van Windows gebruiken welke niet geupdate worden.
Of een zeer slechte antivirus gebruiken, of zelfs geen omdat het bij hun toch nooit fout gaat....
Een bank kan er voor kiezen om gebruik te maken van een cryptografische nonce die afkomstig is uit een extern, afgesloten systeem. Wanneer dit systeem niet aan het internet verbonden wordt kan het ook niet gecompromiteerd worden door een trojan.

Banken doen dit al via TAN lijsten en random readers, maar veelal enkel voor transacties en niet voor het inloggen. Voor het inloggen wordt vaak nog steeds een combinatie van gebruikersnaam en wachtwoord gebruikt, welke op een geinfecteerde PC makkelijk buitgemaakt kan worden.

De Rabobank heeft dit bijvoorbeeld wel netjes voor elkaar; daar vereist het inloggen ook het gebruik van de bankpas en pincode om met de random reader een eenmalig toegangstoken te genereren. Daar is dus geen sprake van een statisch wachtwoord.

Zelfs als het crypto algoritme in de reader gekraakt zou worden, heeft men nog steeds de pincode als invoer voor het algoritme nodig. Dus zelfs dan is er nog niets aan de hand (tenzij ook je pincode, die je nooit op je PC in hoeft te voeren, al buitgemaakt is via skimmen o.i.d.)

[Reactie gewijzigd door R4gnax op 13 augustus 2012 23:47]

Voor het inloggen wordt vaak nog steeds een combinatie van gebruikersnaam en wachtwoord gebruikt
Waar heb jij die wijsheid vandaan? Bij de meeste banken log je in met je gebruikers/rekeningnummer en je digipass (waarin wat crypto zit en je een pincode nodig hebt om een toegangscode te genereren)? Voor zover ik weet, werkt dat bij de meeste banken zo. Of ben ik dan verwend bij de Rabo, Triodos, ABN en ING?
Tja, hoe het ook zij, toch eens tijd voor de banken om hun beveiliging eens na te lopen.
De gegevens schijnen van de computers der klanten te komen; daar heeft een bank niks mee te maken. Of geef jij gewoon de bank altijd de schuld.?
het aantal gegevens wat op straat ligt lijkt mij veel te weinig om van de bank af te komen. De ING heeft miljoenen klanten en dan zou er maar van een 100 tal klanten gegevens naar buiten komen? Het is veel waarschijnlijker dat het direct van de klanten afkomt. Als de bank gehacked wordt spreek je eerder in de 10.000 en.
het zal waarschijnlijk gaan om accounts die gebruikt werden in de besmette systemen..
als mensen (zakelijk of prive) daar inloggen kunnen je gegevens onderschept zijn..
Er wordt nergens gesproken over een bank die gehackt zou zijn
Waarom al die heisa?
watskeburt :z
Valt allemaal reuze mee als je ziet hoeveel klanten "slachtoffer" zijn geworden van dit virus.

Ik denk meer dat de klanten beter met hun gegevens moeten omgaan en zorgen dat de pc's veiliger zijn, dus update's van OS en Antispyware etc.
Ik denk meer dat de klanten beter met hun gegevens moeten omgaan en zorgen dat de pc's veiliger zijn, dus update's van OS en Antispyware etc.
Dit virus werd dus (nog) niet ontdekt door alle grote scanners. Toevallig was een oom van mij de dupe van deze criminele actie en zijn pc had ALLES op de laatste versies staan. Het was gelukkig zo dat hij zelf erachter kwam door checken van zijn rekening dat hij slachtoffer was.

Feit blijft dat beveiliging ALTIJD achter de feiten aan blijft lopen toch?
Helemaal mee eens, hoewel off-topic (ongewenst lijkt me overdreven, het gebruik van knipoog en aanhalingstekens maakt de toon prima vriendelijk verder en als je het gaat narekenen heb je waarschijnlijk gelijk). Ik heb momenteel maar 3 redenen om nog bij de ING te blijven:

1) kort rekeningnummer (maar dat wordt uitgefaseerd met de overgang naar IBAN)
2) gebruiksvriendelijk en relatief veilig internetbankieren (layout is wel slechter dan voorheen)
3) ze jatten relatief weinig

Wat opvalt is dat in onze buurlanden de banken vťťl goedkoper zijn (zelfs zakelijke rekeningen zijn soms gratis, en de meeste particuliere). Op het moment dat voordeel 1) vervalt, ga ik eens zien of er bijvoorbeeld in BelgiŽ wat te shoppen valt en ik mag hopen dat meer mensen dat doen.

[Reactie gewijzigd door mae-t.net op 13 augustus 2012 13:10]

Leuk, maar waar kan/mag ik controleren of een account van mij de pisang is?
het is toch helemaal niet nodig om te controleren? (of heb je een papieren tancode lijst?)
Desnoods wijzig je je wachtwoord
netneutraliteit heeft helemaal niks met het stelen van een domein te maken..
Netneutraliteit is inderdaad niet de juiste term. Hij heeft echter wel een punt: een overheid kan schijnbaar vragen domeinen te sluiten en dat is in dit geval ook toegestaan. Nu is onze overheid nog wel te vertrouwen maar er zijn landen waar dat anders is. Dit is toch een erg grijs gebied denk ik.
Over de veiligheid gaat men er bij ING echt niet lichtvoetig over. Het spijtige is gewoon dat het soms enige tijd kan duren alvorens er maatregelen genomen worden en dit doordat het op verscheidene niveaus moet gecontroleerd worden.

[Reactie gewijzigd door reaper_unique op 13 augustus 2012 12:18]

Dat er verschil zit in aantal bij de verschillende banken kan misschien iets zeggen over het aantal klanten dat de bank heeft. Dit hoeft nog niets te zeggen over een slechte beveiliging. En gezien de kleine aantallen lijkt het erop dat de virus bij de klanten zit en niet bij de banken zelf (dan zou volgens mij het aantal in de miljoenen moeten zitten).

Op dit item kan niet meer gereageerd worden.