Nederlandse bankgegevens gevonden op 'masterserver' Dorifel-virus

Op een server van de beheerders van het Dorifel-virus zijn logbestanden aangetroffen met bankgegevens van honderden Nederlanders. Ook is er een ssl-certificaat gevonden dat gebruikt kan worden voor het stelen van inloggegevens.

De beveiligingsfirma Digital Investigation meldt dat zij op de in Oostenrijk gehoste 'masterserver' van de botnet-beheerders loggegevens heeft aangetroffen. Deze publiek toegankelijke logs zouden bankgegevens bevatten van in totaal 549 Nederlanders, waaronder 17 slachtoffers bij de Rabobank, 15 bij SNS, 49 bij ABN Amro en 468 bij ING. Bovendien zou de betreffende server phishingsites bevatten die ingezet kunnen worden om bankgegevens buit te maken bij klanten van deze vier banken.

Volgens Digital Investigation lijkt het erop dat het Dorifel-virus, dat de afgelopen week voor grote problemen zorgde bij overheden en bedrijven, is ingezet om het Citadel/Zbot-botnet weer actief te maken door nieuwe zombie-pc's te activeren. Verder meldt het bedrijf dat er tienduizenden computers in Nederland met het virus besmet zijn geraakt; het Nationaal Cyber Security Centrum stelde vrijdag nog dat de uitbraak van het Dorifel-virus inmiddels onder controle is.

Inmiddels zijn er door beveiligingsonderzoeker Rickey Gevers ook aanwijzingen gevonden dat de beheerders van het Dorifel-malware gebruik maken van Fragus, een framework voor het construeren en aansturen van botnets. Deze 'crimeware' kan op zwarte markten gekocht worden. Verder zouden de beheerders op 1 augustus een ssl-certificaat geregistreerd hebben voor het domein bank-auth.org. Met behulp van dit domein zou kwaadaardige code in de browser geïnjecteerd worden als besmette klanten gaan internetbankieren. Diverse 'waarschuwingsteksten', die bezoekers van een banksite moeten lokken naar een server van de criminelen, zijn opgesteld in gebrekkig Nederlands.

Gevers stelt verder dat hij van de data op de slecht beveiligde masterserver een kopie heeft gemaakt en aan de 'juiste personen' heeft doorgegeven. Wel waarschuwt hij dat de beheerders naar alle waarschijnlijkheid meerdere command & control-servers in de lucht hebben en deze de komende weken nog kunnen inzetten om opnieuw malware te verspreiden.

Uit een ontleding van het Dorifel-virus blijkt dat de malware is geschreven in de programmeertaal Delphi en dat de code opvallend goed leesbaar is waardoor de werking vrij eenvoudig achterhaald kan worden, zo schrijft Webwereld. De malware beschikt over een mechanisme om nieuwe ip-adressen van c&c-servers op te halen. Hoewel de gebruikte RC4-versleuteling van Office-documenten weinig complex is, wordt voor communicatie met de masterservers sterkere rsa-encryptie gebruikt.

Door Dimitri Reijerman

Redacteur

Feedback • 12-08-2012 11:47131

12-08-2012 • 11:47

131 Linkedin

Lees meer

Onderzoekers waarschuwen dat rc4 in de praktijk snel te kraken is Nieuws van 16 juli 2015
Microsoft waarschuwt voor toename diefstal van certificaten Nieuws van 16 december 2013
Ict-storing SNS Bank zorgt voor vertraagde transacties Nieuws van 4 april 2013
Dorifel-virus verspreidt zich via Facebook Chat Nieuws van 30 maart 2013
'Overheid deed weinig met kennis over grote cyberaanval' Nieuws van 14 februari 2013
Pobelka-botnet bracht interne netwerkstructuren in kaart Nieuws van 24 december 2012
Pobelka-botnet bracht interne netwerkstructuren in kaart Nieuws van 23 december 2012
ING gaat klanten gratis antimalwarepakket leveren Nieuws van 8 oktober 2012
Nieuw Dorifel-virus richt nog geen schade aan in Nederland Nieuws van 2 oktober 2012
Hackers ondertekenen eigen malware via certificaatserver Adobe Nieuws van 28 september 2012
Nieuwe versie Dorifel-virus gesignaleerd Nieuws van 27 september 2012
Minister: aanpak Dorifel-uitbraak richtte zich op 60 domeinnamen Nieuws van 23 september 2012
Rabobank koopt dienst voor mobiel bestellen en betalen MyOrder Nieuws van 28 augustus 2012
Fraude mogelijk bij internetbankieren ABN Amro - update 2 Nieuws van 16 augustus 2012
Virus trof ook ministerie van Economische Zaken Nieuws van 14 augustus 2012
Bankgegevens aangetroffen op nieuwe Dorifel-servers Nieuws van 14 augustus 2012
ING: impact Dorifel-virus bleef beperkt tot tientallen klanten - update Nieuws van 13 augustus 2012
Domeinnamen Dorifel-botnet offline gehaald Nieuws van 13 augustus 2012
Overheid: virusuitbraak onder controle Nieuws van 10 augustus 2012
Nieuw virus infecteert ook ministerie Nieuws van 9 augustus 2012
Provincies en universiteiten besmet met nieuw virus - update 2 Nieuws van 9 augustus 2012
Kaspersky: 'overheidstrojan' richt zich op financiële transacties Nieuws van 9 augustus 2012
Nederlandse organisaties getroffen door onbekend virus - update 2 Nieuws van 9 augustus 2012
Trojan legt gemeentelijk netwerk van Weert plat Nieuws van 8 augustus 2012
Meer producten en artikelen
Privacy Netwerk en systeembeheer Beveiliging Malware

Reacties (131)

-Moderatie-faq
131
126
90
2
0
9
Wijzig sortering
gamezfreak
12 augustus 2012 12:35
Zou avg de Dorifel virus kunnen herkennen en een waarschuwing kunnen geven dat je met het virus bent besmet?
Brantje
@gamezfreak12 augustus 2012 12:52
De volgende virus scanners detecteren Dorifel

AhnLab-V3 (Dropper/Win32.Dorifel)
AntiVir (TR/Rogue.kdv.691754.7)
Avast (Win32:Trojan-gen)
AVG (SHeur4.ALGO)
BitDefender (Trojan.Generic.KDV.691754)
ByteHero (Trojan-Downloader.Win32.DlfBfkg.ln)
DrWeb (Trojan.MulDrop3.62566)
Emsisoft (Trojan-Dropper.Win32.Dorifel!IK)
ESET-NOD32 (Win32/Delf.NBG)
Fortinet (W32/Delf.NBG)
F-Secure (Trojan.Generic.KDV.691754)
GData (Trojan.Generic.KDV.691754)
GFI Vipre (Works for removal and cleaning, but renames .docx and .xlsx to .doc and .xls. They are working on that issue. Reported by Arno Rommens in the comment below.)
Ikarus (Trojan.SuspectCRC)
KasperskyTrojan-Dropper.Win32.Dorifel.hau)
McAfee (W32/XDocCrypt.a)
Microsoft (Virus:Win32/Quervar.B)
Norman (W32/BadBreak.A)
nProtect (Trojan.Generic.KDV.691754)
PCTools (Trojan.Exprez)
Sophos (Mal/Behav-104)
Symantec (Backdoor.Trojan)
TrendMicro (PE_QUERVAR.B) (as of 6:29 PM PST, they clean infected Office documents as well.)
TrendMicro-Housecall (TROJ_GEN.R47H1H8)
VIPRE (Backdoor.Generic (fs))
ViRobot (Backdoor.A.Dorifel.173080.A)

Interessante weetjes over dorifel:

http://www.damnthoseproblems.com/?tag=dorifel

Kijken of je het virus zelf hebt kan makkelijk:

According to McAfee there are two location the virus places itself (thus not the changed .doc and .xls files). These are:

C:\Documents and Settings\xxxxxx\Application Data\xxxxx\xxxx.exe
C:\Users\xxxxxx\AppData\Roaming\xxxxx\xxxxxx.exe

[Reactie gewijzigd door Brantje op 12 augustus 2012 12:54]

Bor
@Brantje12 augustus 2012 17:06
Het is apart dat sommige scanners als bitdefender met benamingen komen als "trojan / generic" wat min of meer het idee geeft dat de scanner het virus op zich detecteerd als zijnde malware maar er geen duidelijk onderscheid in kan maken. Het is hierbij ook erg onhandig dat vrijwel alle scanners en leveranciers zelf benamingen lijken te bedenken die zeer algemeen zijn in plaats van dat er een uniforme en gestandaardiseerde naamgeving komt.
Synthiman
@gamezfreak12 augustus 2012 12:43
Ja.

Bron: http://www.damnthoseproblems.com/?p=599
geenstijl
12 augustus 2012 12:02
Het kan en zal misschien totale toeval zijn, maar de ING springt er bovenuit qua aantallen.
Op de één of andere manier heb ik het systeem van de ING altijd onveilig gevonden, en die van de Rabobank het veiligst.
Het lijkt door deze cijfers ondersteund te worden.
Luno
@geenstijl12 augustus 2012 12:24
ING heeft de meeste klanten. Maar een sterker effect is denk ik dat Jan-met-de-pet vroeger altijd een girorekening had en nu bij ING zit. Rabo/ABN was toch iets meer voor ander publiek. Ik denk het klantenbestand van ING daardoor wat sneller in phising e-mails trapt. Just my 2 cents...
Katsunami
@Luno12 augustus 2012 15:22
Ach, veel te veel mensen zijn complete ezels als het op computers aankomt, en denken dat de machine maar alles voor hen doet.

Toen mijn moeder met haar eerste PC begon (een jaar of 8 terug ondertussen), toen heb ik maar één ding hoeven zeggen:

"Onthoud dat je nooit e-mails van de bank, van de gemeente, of wat dan ook krijgt. Deze instanties vragen nooit via e-mail om gegevens."
- "Oh, dus dan moet ik alle e-mails die zogenaamd van die instanties komen, of van onbekende mensen, gewoon weggooien zonder open te maken."

En UAC houdt de rest buiten, want ik heb d'r geleerd dat ze in dat schermpje alleen maar haar wachtwoord mag invullen in geval van het updaten van programma's zoals Firefox, of Windows Update zelf. Als het openen van een e-mail een UAC-melding triggered: annuleren, en alles weggooien.

Die computer is dus ook al 7 jaar brandschoon.

Het zou veel helpen als mensen zich eens zelf realiseren dat ze geen klap van computers afweten en dat ze er eigenlijk hulp bij nodig hebben, want zolang dat niet gebeurt, zullen trojans blijven bestaan. Je hoeft maar iemand te vinden die dom genoeg is om hem te installeren: en tegen mensen die zélf dingen installeren is geen enkele beveiliging gewassen.

Iedereen vindt het de normaalste zaak van de wereld dat je met een auto naar de garage gaat, maar vreemd genoeg is het op computergebied normaal om maar zelf met het apparaat te rotzooien.

[Reactie gewijzigd door Katsunami op 12 augustus 2012 16:29]

vinkjb
@Luno12 augustus 2012 14:10
Jij zegt daarmee dat Henk en Ingrid bij de ING zitten, de domoren onder de mensen....lekker dan
triskele10
@Luno12 augustus 2012 14:28
En Jan met de kar had de Boerenleenbank. Ik heb ING en ik trap niet in phishing mails.
F-O-C-U-Z
@geenstijl12 augustus 2012 12:09
Ik ben dan wel benieuwd hoeveel klanten elke bank heeft. Veel mensen om mij heen hebben ING. Denk dat die gegevens in verhouding gezien worden. Mogelijk dat ook ING klanten meer gebruik maken van het internet.
Ikke_Niels
@geenstijl12 augustus 2012 12:19
Ach je hebt altijd nog de tancodes nodig, alleen inlog gegevens is niet voldoende om overmakingen te maken.

Het feit is wel dat als je bij de ING zit je het "overal" kan gebruiken, immers je hebt alleen je TAN-codes nodig, en die kan je ook al krijgen via je telefoon.
Bij bv een rabobank heb je toch je raboreader nodig, iets wat veel personen niet (altijd) hebben. Een klant van de ING zal daarom eerder genegen zijn om ergens anders in te loggen (lees niet thuis) en dat is los van waar het is natuurlijk altijd een groter risico dan "veilig" thuis.
blouweKip
@geenstijl12 augustus 2012 14:27
Deze cijfers hebben geen relatie tot welke beveiliging bij de banken dan ook, de data is immers bij gebruikers buit gemaakt.

[Reactie gewijzigd door blouweKip op 12 augustus 2012 14:27]

stresstak
@geenstijl12 augustus 2012 16:30
Op de één of andere manier heb ik het systeem van de ING altijd onveilig gevonden,
En dat systeem heeft volgens jou geleid tot gevoeliger zijn voor het Dorifel virus dan andere systemen. ? Ongefundeerde onzin.

Het kan ook zomaar het gevolg zijn van meer klanten bij de ING dan bij de Boerenleenbank. Er zijn nou eenmaal meer burgers dan boeren.
demilord
12 augustus 2012 11:54
oeps :s

Kun je trouwens ergens terug zien of je eigen rekening nummer er tussen staat?

Ongewenst?

[Reactie gewijzigd door demilord op 12 augustus 2012 11:56]

klen_ghost
@demilord12 augustus 2012 11:59
vroeg ik me ook af., maar betwijfel dat het door publiek in te zien is ;)
airell
@klen_ghost13 augustus 2012 09:23
vroeg ik me ook af., maar betwijfel dat het door publiek in te zien is ;)
"...Deze publiek toegankelijke logs..."

Edit: Uitleg hier om zelf aan de slag te gaan: http://www.digital-invest...dse-banking-phishing.html

[Reactie gewijzigd door airell op 13 augustus 2012 09:27]

AW_Bos
@klen_ghost12 augustus 2012 13:53
Zodra er misbruik wordt ontdekt gooit de bank je rekening vanzelf wel op slot, en zal je worden geinformeerd. En de kans dat jij onder de paar honders Nederlanders valt is bijzonder klein...
poefel
@AW_Bos12 augustus 2012 15:29
Ook zullen deze rekeningnummers waarschijnlijk allemaal van mensen zijn die zich om de tuin hebben laten leiden door 'diverse waarschuwingsteksten in gebrekkig Nederlands'.
wica
@poefel12 augustus 2012 19:58
Volgens mij loop je een beetje achter de feiten aan.
Het is allang niet meer nodig, om mensen te lokken naar een nep site ofzo.

Door gebruik te maken in lekken van de gebruikte software, weten ze een een virus op je computer te zetten. Welke ingrijpt, wanneer je gaat bankieren. Voor jou en mij lijkt het in orde, maar onder water wordt er echter een ander bedrag over geboekt naar een andere rekening. Dit allemaal, terwijl de scherm blijven zoals je zou verwachten.
Durandal
@wica12 augustus 2012 21:15
Daarom moet je tegenwoordig ook het bedrag intypen in je key generator. Het bedrag is dan niet meer tewijzigen voor een succesvolle transactie.
Toff
@Durandal12 augustus 2012 22:04
Juist bij de ING zitten veel (voormalig Postbank) klanten die helemaal geen keygenerator hebben.
roodvuur
@Toff12 augustus 2012 23:32
Klopt helemaal. Maar ING-klanten (ik heb ook een rekening lopen bij ze) moeten wel een TAN code invoeren als bevestiging. Die TAN code komt over het algemeen binnen via sms, en in datzelfde smsje wordt ook het bedrag genoemd.

Toegegeven, het is een stuk vatbaarder voor misbruik. Ik betrap mezelf er ook vaak op alleen de code over te tikken, en de rest van het bericht te negeren. Het is echter niet per definitie minder veilig.

Wel vreemd overigens dat het merendeel van de getroffenen ING gebruikers zijn.
DrivinUCrazy
@Durandal13 augustus 2012 07:35
Klopt.

Echter, doe eens een paar transacties tegelijkertijd. Op je scherm staat het totaalbedrag (voor de komma) vermeld dat je moet intoetsen. Hoeveel mensen rekenen dat bedrag daadwerkelijk na?

Uiteraard, het verhoogt de veiligheid nog steeds. Maar vergis je niet; mensen zijn op deze manier nog steeds te foppen.
ATS
@DrivinUCrazy13 augustus 2012 11:22
Dat bedrag hoef je niet na te rekenen. Het staat op de site. Je hoeft het alleen maar te controleren.
DrivinUCrazy
@ATS17 augustus 2012 14:23
Precies mijn punt. Op het moment dat malware transacties ertussen kan smokkelen, is het ook wel mogelijk om dat bedrag aan te passen. En dát controleert dus bijna niemand meer.
Zunflappie
@demilord12 augustus 2012 12:21
Deze publiek toegankelijke logs zouden bankgegevens bevatten van in totaal 549 Nederlanders, waaronder 17 slachtoffers bij de Rabobank, 15 bij SNS, 49 bij ABN Amro en 468 bij ING.
Vraag is dan... waar?
Ben ook wel benieuwd als Rabobank-klant.
Alleen ING is verhoudingsgewijs wel veel... hoe zou dat komen?
pjottum
@Zunflappie12 augustus 2012 12:25
TAN codes (ING dus) maken het simpeler om toegang tot een rekening te krijgen.
Het mooiste zijn die vellen met éénmalige codes, bestaat dat nog?
niki_lauda
@pjottum12 augustus 2012 13:13
De Tan codes lijken me ook nu nog relatief veiliger dan de andere oplossingen.
Alleen man in the middle en fysieke inbraak zijn de zwakke plekken.

Toch maak ik me zorgen hierover want wie betalen dit soort fraude's, juist iedereen die klant is van een bank.
We kunnen ook niet meer terug. Een week niet kunnen internetbankieren legt dadelijk de gehele economie plat met miljarden aan schade.
Bor
@niki_lauda12 augustus 2012 16:50
TAN codes zijn zo ongeveer de minst veilige vorm. Het zijn allemaal stuk voor stuk ongecodeerde toegangscodes die ook nog eens gewoon op papier staan. Een TAN code word al jaren niet meer als echt veilig beschouwd maar voor de bank is het vooral een kwestie van kosten vs risico. Dat een bank iets gebruikt wil helaas niet per definitie zeggen dat het veilig is.
dutchatheist
@Bor12 augustus 2012 17:07
Onzin. Ten eerste zijn het geen toegangscodes, maar codes waarmee je per transactie akkoord geeft. Je zult dus eerst ingelogd moeten zijn (gebruikersnaam/wachtwoord), alvorens je überhaupt van TAN-codes gebruik maakt.

Ten tweede hoeft ongecodeerd zijn niet per se te betekenen dat iets onveilig is, dat hangt geheel af van wat die codes voor toegang geven, in dit geval 1 unieke transactie per code (zie ook punt 1), pas nadat je ingelogd bent.

Ten derde kun je afzonderlijke TAN codes ook laten sturen naar je mobiele telefoon, op het moment dat je een betaling gaat doen, nogmaals nadat je al ingelogd bent met een gebruikersnaam en wachtwoord.

Ten vierde is het inderdaad altijd een afweging van kosten en risico, en dat wil inderdaad niet per se zeggen dat iets veilig is, maar als je iets van security zou weten zou je ook inzien dat je altijd bezig bent het risico te beperken, niet te verwijderen.
Bor
@dutchatheist12 augustus 2012 18:23
Nee onzin is het niet. Inloggen met 1 factor, iets wat je weet (username en password) is niet veilig genoeg, dat weet de bank ook.

Ten tweede betekent ongecodeerd in dit geval wel dat het onveiliger is dan een gecodeerde oplossing. Het gaat in dit geval niet alleen om ongecodeerde codes maar ook om op voorhand bekende (pregenerated) codes. Ook minder veilig dat de andere bekende oplossingen. Ook al zijn het unieke codes (wat al niet mogelijk is met het beperkte aantal cijfers en letters waaruit de code bestaat) zijn deze op voorhand bekend, verzonden via een onveilig en onbetrouwbaar medium, en is het mogelijk de benodigde codes voor de volgende transacties zo af te lezen.

Ten derde: ook een mobiele telefoon is niet een de defacto veilig apparaat. Wederom een kwestie van afweging tussen beveiliging en gebruiksgemak. De mobiel is een vervanger / alternatief op de papieren lijst. Iets met de zwakste schakel enzo.

Het vierde punt klopt precies, je leest ook nergens dat ik anders beweer volgens mij.

[Reactie gewijzigd door Bor op 12 augustus 2012 19:01]

fiveagainstone
@pjottum12 augustus 2012 15:08
Jazeker die gebruik ik ook nog. Want: lekker handig als b.v. Vodafone er weer eens dagen uit ligt, (heel onwaarschijnlijk toch???), en je wilt een TAN code via je mobiel genereren. Of je mobiel is gejat of....
Papier is zo gek nog niet.

[Reactie gewijzigd door fiveagainstone op 12 augustus 2012 15:10]

Anoniem: 401186
@pjottum13 augustus 2012 08:08
Ik gebruik ze ook nog, maar ja ik woon in het buitenland en heb dus geen NL Mobiel

[Reactie gewijzigd door Anoniem: 401186 op 13 augustus 2012 08:08]

rikrik
@pjottum12 augustus 2012 12:29
Ja die vellen bestaan nog. Mijn vader gebruikt die nog steeds omdat hij geen mobiel heeft.
Atmosfeer
@pjottum12 augustus 2012 12:35
Ik gebruik die ook nog steeds :D
stresstak
@pjottum12 augustus 2012 16:16
Het mooiste zijn die vellen met éénmalige codes, bestaat dat nog?
Ik heb onlangs weer een nieuw maagdelijk velleke binnengekregen. En zou niet weten hoe het anders moest. ;)
Silvarro
@Zunflappie12 augustus 2012 15:24
Dat vond ik dus ook. ING doet in mijn ogen te weinig om klanten te behoeden voor dit soort praktijken. Ben ik ff blij dat ik bij de Rabobank zit. Rabobank haalt niet vaak negatief het nieuws en het aantal keren dat zij aangevallen zijn kan ik op 1 hand nog tellen. Dus ik hoop dat ING hier een wijze les uit kan trekken en es keer pro actief optreedt door klanten meer bewust te maken van de risico's van internetbankieren.
zovty
@Zunflappie12 augustus 2012 16:03
Misschien omdat het voormalig Postbank klanten zijn en gaat het om gegevens afkomstig van een uitkeringinstantie, niet zo gek als het voornamelijk gemeentes gaat.
stresstak
@zovty12 augustus 2012 16:17
Misschien omdat het voormalig Postbank klanten zijn
Sterker nog, ik ben een voormalig Gemeentegiro-klant. ;)
djwice
@demilord12 augustus 2012 16:21
Bij mijn werkgever kun je ook zulke certificaten vinden voor alle banken in Nederland. Vind het zelf raar en risicovol. Zelfs verzocht die niet te genruiken, maar mijn werkgever is bang dat banken malware bij ons binnen brengen via hun mijn.klant omgeving dus vinden ze dit een goede keuze om zelf certificaten uit te geven voor alle banken en deze automatisch op het hele netwerk als betrouwbaar aan te merken en vervolgens het bankverkeer inbetween te devrypten. Dit ook van ingehuurd en intern persoonneel welke niet op de hoogte zijn gebracht nog een clausule in hun contract hieromtrent hebben.

[Reactie gewijzigd door djwice op 12 augustus 2012 16:28]

BoringDay
@demilord12 augustus 2012 12:04
ik vind dat de overheid of betreffende instantie verplicht dit aan de getroffenen moet bekend maken plus met een oplossing komen (bijv. nieuwe bank gegevens ect. nieuwe persoons ID ...). En dit moet niet de taak van de burger zelf.
maxxware
@BoringDay12 augustus 2012 13:13
Sorry, maar je bent toch ook verplicht je deur op slot te doen ondanks dat inbreken bij wet verboden is? Je bent als burger verplicht zelf goed op te letten.
Veilig internetbankieren is overigens heel simpel: gebruik een live CD (bv. met Linux of FreeBSD) voor internetbankieren. Gebruik Windows alleen voor niet-kritische zaken.
ArjenIsM3
@maxxware12 augustus 2012 13:27
Veiliger zal het wel zijn, maar het is ook zeer onhandig. Daar komt nog bij dat de gemiddelde Nederlander niet eens weet waar je het over hebt als je "live CD" zegt..
En Linux? Is dat niet iets van software waar je "nerds" wel eens over hoort spreken? ;')
joeriz9
@maxxware12 augustus 2012 13:53
Je bent als burger niet verplicht je deur op slot te doen.

Als iemand die je niet kent, alsnog ongewenst binnenkomt valt dit onder huisvredebreuk inplaats van inbraak.
BoringDay
@maxxware12 augustus 2012 13:59
Wie beweerd deze gegevens bij de consument gelekt is en niet via instantie's? want dat is eerder het vermoeden wat ik in dit geval krijg.

Daarbij is het zo dat hun inzage hebben om te zien wie gedupeerd zijn.
Dan vind ik het ook dat ze een meldplicht hebben aan de getroffenen.

Of heb je liever dat heel Nederland zelf maar moet gaan bellen om na te gaan ze niet in de lijst staan? dat lijkt me wel de omgekeerde wereld als ze daar over de gegevens bezitten.
CH4OS
@maxxware12 augustus 2012 14:42
Sorry, maar je bent toch ook verplicht je deur op slot te doen ondanks dat inbreken bij wet verboden is? Je bent als burger verplicht zelf goed op te letten.
Hoewel logisch (en ik het met je eens ben) is het niet waar wat je hier zegt. Als iets in huis staat en iemand anders haalt er uit, ondanks dat de deur open staat, is het voor de wet nog altijd diefstal (in NL althans). Dat de verzekering niets vergoed is logisch, die wil het zekere voor het onzekere. ;)

[Reactie gewijzigd door CH4OS op 12 augustus 2012 14:42]

MneoreJ
@maxxware12 augustus 2012 13:29
Dat is inderdaad ontzettend simpel. Ik hoef alleen maar een vaste tijd van de dag in te ruimen waarop ik mijn machine reboot om bankzaken af te handelen. Het gemak dient warempel de mens. 8)7

Ja, je kunt natuurlijk een tweede machine aanhouden specifiek hiervoor, of zelfs gewoon helemaal overstappen op Linux. Dat laatste is minder veilig dan een live CD, al kan de live CD zelf ook weer onveilig worden als je niet regelmatig een nieuwe bakt met de laatste security updates (want dat je systeembestanden niet besmet kunnen worden met een virus betekent nog niet dat je systeem veilig is). Veiligheid voor gevorderden, zeg maar.

Persoonlijk vind ik up-to-date blijven, mijn virusscanner draaien, surfen met alles dichtgetimmerd en anderszins geen software van vreemde mannen aannemen goed genoeg, maar ik verkeer niet in de illusie dat ik absoluut veilig ben. Dat is sowieso niet aan te raden, want de bank zelf is vaak ook niet bepaald een onneembare digitale kluis.
Mathijs
@MneoreJ12 augustus 2012 15:07
Zolang jij er alles aan gedaan hebt om niet bestolen te worden, vergoed de bank de schade. Zelfs wanneer mensen wel naief zijn geweest doet de bank dat in veel gevallen nog, omdat ze iedereen aan het internetbankieren willen hebben en niet willen dat het de naam krijgt onveilig te zijn.

Wat hierboven beschreven staat is dus genoeg. Dat moet ook maar genoeg zijn, want je kunt niet van mensen gaan verlangen te rebooten met een livecd. Voor degenen die dat wel normaal vinden is dat ook niet echt nodig, want die hebben voldoende verstand van zaken om de boel gewoon dicht te timmeren. Worden ze dan nog bestolen, dan is de bank er altijd nog.
Sayko
@MneoreJ12 augustus 2012 13:43
Waar is de tijd van virtuele machines toch gebleven.
terror538
@MneoreJ12 augustus 2012 14:18
een man in the middle attack bij een ssl verbinding wordt toch vrij lastig.

Om dat te kunnen doen moet je ook de juiste ssl certificaten hebben, dat betekend dus of een gehackt root certificaat (aka diginotar) oftewel een self signed.
Bij een self-signed krijgen mensen nog een waarschuwing dat het om een onbekend root certificaat gaat, mensen zijn dus al meer gewaarschuwd.

Een aanval met een self signed certificaat kan je makkelijk minder effectief maken door browsers zo te configureren dat ze nooit self signed certificaten accepteren, je zou dan bijv 1 browser hebben voor alles wat veilig moet, en die puur alleen de hoognodige certificaten heeft. Gehackte root certificaten worden dan ook iets minder waarschijnlijk.

De meest realistische aanval op dit moment is nog steeds een client side aanval, bijv een plugin in firefox a la greasemonkey die extra betaalopdrachten hangt aan jouw opdrachten zonder dat je het zelf te zien krijgt. Je doet dan zelf al het login werk, en de verbinding is op dit moment al gedecrypt.

[Reactie gewijzigd door terror538 op 12 augustus 2012 14:21]

MneoreJ
@terror53812 augustus 2012 15:24
Nuttige uiteenzetting, maar vandaar ook mijn "bijvoorbeeld". Als de host-machine niet te vertrouwen is is de virtual dat ook niet. Weliswaar acht ik het zeer onwaarschijnlijk dat iemand exploits gaat schrijven die VMs targeten op een gecompromitteerde host, maar het principe blijft.

Als ik dat soort veiligheid wilde zou ik inderdaad een aparte fysieke bak gebruiken die niets anders doet dan internetbankieren, en die tussen sessies leeggeveegd wordt en van externe image hersteld. Dat is me alleen teveel tijd en moeite. Een virtual met Linux voegt naar mijn smaak te weinig toe.
maxxware
@terror53813 augustus 2012 08:59
@terror 538: Remember Diginotar?
demilord
12 augustus 2012 12:00
Inderdaad wel raar dat ze voor delphi hebben gekozen, wat ik ook raar vind is waarom de overheids instellingen zo slordig met beveiliging omgaat. En dat ze bank gegevens gecodeerd opslaan met een versleuteling.. Maak me toch wel steeds meer zorgen dat steeds meer via het internet moet.. Denk dat de regering toch echt moet gaan denken om te migreren naar een veiligere alternatief..
BoringDay
@demilord12 augustus 2012 12:10
"Denk dat de regering toch echt moet gaan denken om te migreren naar een veiligere alternatief.."

Niet denken maar doen.
Desnoods een eigen OS waarbij dit soort akkefietjes niet kunnen voorkomen.
CMD-Snake
@BoringDay12 augustus 2012 13:01
Want een zelf ontwikkeld OS heeft geen kwetsbaarheden? 8)7 Elk OS bevat kwetsbaarheden, dat is iets wat je gewoon moet realiseren. Bovendien lijkt me dat het vele malen goedkoper is om te investeren in AV producten, firewalls en gebruikers trainen, dan de kosten van een eigen OS maken en bijhouden. Vooral nog het gebruikers trainen, de meeste ellende wordt nog veroorzaakt door een gebruiker die lukraak elke attachment opent of op elke link klikt die hem/haar voor de neus komt.
d1ng
@CMD-Snake12 augustus 2012 13:34
"Want een zelf ontwikkeld OS heeft geen kwetsbaarheden? Elk OS bevat kwetsbaarheden, dat is iets wat je gewoon moet realiseren."

Dus is er geen ruimte voor verbetering ? |:(

"Bovendien lijkt me dat het vele malen goedkoper is om te investeren in AV producten, firewalls en gebruikers trainen, dan de kosten van een eigen OS maken en bijhouden."

Het is geen compromis die je zou moeten willen sluiten. Zulke dingen moeten gewoon _goed_ zijn en mag gerust geld kosten. Commerciele bedrijven willen je niet beschermen met hun 'goede' AV en firewalls. Die willen enkel geld verdienen. Daarin investeren is dus weggegooid geld.
stresstak
@BoringDay12 augustus 2012 16:25
"Denk dat de regering toch echt moet gaan denken om te migreren naar een veiligere alternatief.."
Regering, overheid en ict... En jij wil ons aan een door hen ontwikkeld nieuw OS hebben. ? Nou dan bankier ik wel weer in het gebouw om de hoek ipv per computer.
SG
@demilord12 augustus 2012 12:18
Dat moet allemaal via internet om simpele redenen de lage kosten.
Want dat scheel aardig aan filialen en de werkforce voor al die loketten.

Blijkbaar is die online service en beveiliging en vergoeding nog steed goedkoper.
Bacchus
@demilord12 augustus 2012 14:15
Delphi zou inderdaad niet het eerste zijn wat in mij opkomt voor het schrijven van trojans. Van de andere kant is de taal er op zich flexibel genoeg voor en maakt zeker een onervaren programmeur er minder makkelijk fouten mbt geheugenbeheer dan in standaard-C of C++, wat je trojan ook wat minder doet opvallen.
TheThomas
12 augustus 2012 11:57
Zijn er inmiddels virusscanners die dit virus kunnen ontdekken? En hoe zou je dit virus binnen kunnen krijgen, door middel van bijlagen bij mails of ook via sites?
CMD-Snake
@TheThomas12 augustus 2012 12:11
Kaspersky heeft een tool uitgebracht:
http://www.kaspersky.com/...reseller%3Ddorifel-banner

Surfright (makers van Hitman Pro) hebben ook een tool uitgebracht:
http://www.surfright.nl/nl/support/dorifel-decrypter

Beiden zijn gratis te downloaden.

Overigens hebben Kaspersky, McAfee en Symantec kort na de uitrbraak van het virus het nieuwe virus opgenomen in hun definities.

De manier waarop het virus verspreid staat al in het artikel hierboven.Via het Citadel/ZBot botnet. Je hebt dan al een bestaande infectie als je dorifel erbij krijgt.
blouweKip
@CMD-Snake12 augustus 2012 14:24
toch wel bijzonder dan dat die bestaande infectie op die windows pc's niet gevonden kon worden door al die scanners...
_Dune_
@TheThomas12 augustus 2012 12:03
De bekenste virussanners weten het inmiddels te onderscheppen b.v. Mcafee.
Fabian-NL
@TheThomas12 augustus 2012 12:12
Kaspersky detecteert het ook. Zowel in Office documenten (Word en Excel) als in besmette excute files (exe). Daarnaast kan Kaspersky besmette bestanden weer opschonen.
Blokker_1999
12 augustus 2012 11:57
Hoewel het zeer spijtig is dat men zo ver is geraakt met het virus hoop ik wel dat bij sommige mensen de ogen opengaan en men leert dat het niet enkel bij openbare instellingen misgaat, maar ook bij private ondernemingen.

Wel grappig dat de makers van het virus/botnet zelf hun zaakjes niet in orde hebben als het op beveiliging aankomt.
kjast
@Blokker_199912 augustus 2012 12:03
Ik vraag me ook af in hoeverre die logs echt publiek toegankelijk waren, dat zou wel een gigantische fout zijn van de servereigenaar. Terughacken mag niet bij wet, maar wat mij betreft in dit soort gevallen oogluikend toestaan.

Er is overigens geen reden om een virus / botnet goed te beveiligen als een van de doelen is niet ontdekt worden. Juist door extra die beveiligingslagen gaat je programmatuur weer opvallen.

Ik vraag me af bij hoeveel thuisgebruikers dit botnet ondertussen actief is, het zou me niks verbazen of dat is een veelvoud van het aantal geinfecteerde overheidscomputers.

EDIT: Het virus / botnet schijnt overigens via phisingmails geinstalleerd te worden, waarbij gebruik wordt gemaakt van 2 nieuwe, tot voor kort onbekende, java exploits. Het downloaden van de virussen loopt naar verluidt via TOR.

[Reactie gewijzigd door kjast op 12 augustus 2012 12:09]

Petervanakelyen
@kjast12 augustus 2012 12:24
Je kan alles nalezen op de blog van Rickey. Blijkbaar hadden ze directory listing aan staan waardoor alles inderdaad toegankelijk was.

[Reactie gewijzigd door Petervanakelyen op 12 augustus 2012 12:25]

PhilipsFan
@Blokker_199912 augustus 2012 12:13
Punt is dat we nog maar het topje van de ijsberg weten. Iedereen roept nu wel dat het 'onder controle' is, maar het blijft een feit dat het botnet dus al veel langer bestaat. Bergen pc's zijn dus al lange tijd geinfecteerd en dat komt nu pas boven water.

Wat mij betreft is er helemaal niks onder controle zolang we niet in z'n totaliteit weten wat dit virus nog meer doet, hoe groot het botnet is en hoeveel mogelijkheden het nog heeft om nieuwe malware binnen te hengelen. En daarmee weten we ook nog niet hoeveel en welke gegevens er zijn buitgemaakt. Nu zijn het toevallig een paar bankrekeningen, maar wellicht zijn er al veel meer (medische? financiele?) gegevens geharvest...

Wat ik mij afvraag is waarom dit virus in vredenaam Office-documenten versleutelt. De maker/exploitant van het botnet heeft hier niks aan, het draagt alleen bij aan ontdekking. Bugje?
Anoniem: 428797
12 augustus 2012 11:56
Ik raad iedereen ook aan, om deze domainen en ip's te blokkeren op de netwerk router. Ik heb dit hier inmiddels gedaan. Raar is dat sommige ip's verwijzen naar aol.com

edit: Waarom wordt dit als ongewenst gemod ?

[Reactie gewijzigd door Anoniem: 428797 op 12 augustus 2012 11:57]

Fabian-NL
@Anoniem: 42879712 augustus 2012 12:03
Verstandig om te doen idd. Alleen is het dweilen met de kraan open, want zodra je een IP adres blokkeert gaat het virus weer een andere gebruiken. Dus weet niet of je hiermee 100% zeker alles blokkeert...
Petervanakelyen
@Anoniem: 42879712 augustus 2012 12:16
Raar is dat sommige ip's verwijzen naar aol.com
De domain records verwezen niet naar AOL, je werd er volgens mij naar geredirect door de webserver. Na de publicatie van Rickey Gevers ligt de webserver plat:
Pretty fast after posting this blog both IP-adresses stopped displaying any html messages. Eventhough the servers themselves are still up. Which is an indiction of them just being proxies.

[Reactie gewijzigd door Petervanakelyen op 12 augustus 2012 12:25]

Kaninho
@Anoniem: 42879712 augustus 2012 13:08
Mischien een domme vraag, maar....hoe kan ik dit doen??
Source90
@Kaninho13 augustus 2012 10:10
IP-adressen 184.82.162.163 en 184.22.103.202 blokkeren, kan je in bijna alle firewalls wel instellen.

Lees ook dit artikel erop na:
http://www.kaspersky.com/nl/news?id=121
_BladE2k_
12 augustus 2012 12:01
Het kan niet vaak genoeg gezegd worden, maar ook hier wordt het belang van het up-to-date houden van je software weer eens duidelijk. Echter dit 'probleem' heeft een veel gevaarlijkere bron, de 'human error'.

Mailtjes van banken etc, klantgegevens die (vooral bij ING) worden ontfutseld is 100% doordat mensen de e-mails maar klakkeloos vertrouwen, het 'lijkt' betrouwbaar. Helaas is in bijna alle gevallen *erg* makkelijk te zien of het gaat om een authentieke e-mail of een fake. Het lijkt me derhalve ook zeer zinvol dat de banken (en dan in dit geval met name ING) wat meer voorlichting geven met betrekking tot de gevaren van het online bankieren, zodat de gebruikers in elk geval weten wat ze wel of niet kunnen verwachten.
jvd-nl
@_BladE2k_12 augustus 2012 12:23
True, al moet ik zeggen dat de branche de laatste tijd wakker lijkt te worden. Waarschijnlijk omdat het ze zelf steeds meer geld kost, maargoed.
De Nederlandse Vereniging van Banken voert in elk geval steeds meer campagne.
SG
@_BladE2k_12 augustus 2012 12:23
Het probleem is die Zombie PC dat is dat groep van de massa die hun beveiliging niet op orde hebben en zich er niet zo van bewust zijn. Ook volkstammen die in fishing trappen.

Dus deels is het ook laksheid van de consument zelf.

Daarnaast krijgt Windows constant veiligheids updates. Volkstammen die autoupdate op hun illigale Win OS uithebben staan krijgen die updates niet of handmatig veel later.

Dat probleem is niet zomaar oplosbaar gezien computer gebruik heel gewoon is geworden. Bij de massa.

Zo is backuppen ook niet iets dat men gedisiplineerd doet.
engelbertus
12 augustus 2012 14:46
De kosten van fraude wordt door de klant van de bank betaald..
Dan wil ik eindelijk wel eens zien hoeveel klanten de banken hebben, hoe veel kosten ze maken aan fraude, hoeveel fradezaken ze hebben en om hoeveel slachtoffers dat dan gaat, en ook noig een overxicht van de het totale saldo op betaal en spaarrekeninge.
Pas dan weet je hoe de kodsten op de klant wordt verhaald, en dat je bijvoorbeeld beter niet bij de ing moet bankieren, omdat die blijkbaar verreweg de meeste fraudezaken heeft.
Kun je eindelijk eens fatsoenlijk kiezen voor een bank die zijn zaakjes op orde heeft en die niet teveel kost.
Anoniem: 390382
@engelbertus12 augustus 2012 15:39
Zie het jaarverslag van de NVB daar wordt vermeld dat de schade van fraude met betrekking tot internetbankieren over 2011 voor de Nederlandse banken 35 miljoen euro bedroeg.
stresstak
@engelbertus12 augustus 2012 16:41
Twee euro per inwoner. Dat valt reuze mee. De Mediterrane bankencrisis is veel duurder.
manuarmata
12 augustus 2012 16:04
volgens mij kan je je best beveiligen door een oude laptop of netbook om te toveren tot bankterminal. Vervolgens zet je daar een zo exotisch mogelijk os en browser op. Pakweg freebsd met midori. Je kegelt er al de rest af sluit elke netwerkpoort die overbodig is, zet er een ad blocker op, een viruskiller(waarom ook niet), cookies blokkeren lastig wachtwoord kiezen enz...

Daar men zijn pijlen voornamelijk richt op de grootste groep gebruikers maak je ze het zo knap lastig. Een bsd of linux systeem kraken is zowiezo al geen cadeau maar op die manier is het onbegonnen werk. Veiligheid is een kwestie van de massa voor blijven, als de massa kiest voor windows + ie + mcafee. Dan mag je er zeker van zijn dat die setup het eerste doelwit is. Hoe veilig het op zich is als men het kan kraken heeft men ineens miljoenen systemen gekraakt. Dus het loont de moeite.
the-dark-force
@manuarmata12 augustus 2012 16:57
ja dat kan voor een kleine groep gebruikers, de meeste mensen zullen dit niet eens draaiend krijgen.

Veel weten gewoon niet wat de impact kan zijn van een geïnfecteerd systeem en besteden er daarom ook geen aandacht aan.

@ hierboven, ja alles is vast wel onder controle, ik betwijfel alleen of het onder controle van de nederlandse overheid is ;)

hij suggereert niet dat het door internetbankieren is ontstaan maar dat het veiliger is een minder gebruikt o.s. te gebruiken om te internetbankieren.
dit werkt jammergenoeg niet tegen phishing en mitm attacks.

[Reactie gewijzigd door the-dark-force op 12 augustus 2012 18:09]

stresstak
@manuarmata12 augustus 2012 16:46
volgens mij kan je je best beveiligen door een oude laptop of netbook om te toveren tot bankterminal.
Je suggereert nu dat infecties door het voornoemde virus zijn ontstaan door internetbankieren. Die bankgegevens zijn maar een klein onderdeel van de impact van het virus.

Maar 'alles is onder controle', waar maken we ons dan nog druk om. ? :)
Anoniem: 401186
@manuarmata13 augustus 2012 03:29
volgens mij kan je je best beveiligen door een oude laptop of netbook om te toveren tot bankterminal.
Zou het dan niet makkelijker zijn om voor internetbankieren een Live CD te gebruiken ?

[Reactie gewijzigd door Anoniem: 401186 op 13 augustus 2012 03:30]

1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee