Bankgegevens aangetroffen op nieuwe Dorifel-servers

Op enkele pas ontdekte command-and-controlservers van het Dorifel-botnet zijn gegevens van klanten van een aantal Nederlandse banken gevonden. In het geval van sommige ING-klanten is sprake van werkende logingegevens.

Zondag werd al bekend dat er op command-and-controlservers van het Dorifel-virus inloggegevens van Nederlandse bankklanten te vinden waren. Die servers zijn inmiddels offline gehaald, maar Nu.nl heeft twee nieuwe masterservers ontdekt. Uit een analyse van Tweakers.net blijkt dat op die server gegevens van klanten van onder meer ING, ABN Amro, Rabobank en diverse buitenlandse banken te vinden zijn.

In het geval van ABN Amro en Rabobank kan weinig met die gegevens worden gedaan, omdat voor het inloggen op internetbankieren een random reader vereist is. In het geval van ING kan echter wel met alleen gebruikersnaam en wachtwoord worden ingelogd. In een aantal gevallen kan dat ook daadwerkelijk met de gegevens op de nieuw ontdekte Dorifel-servers. Daaruit blijkt dat het om niet eerder ontdekte gegevens gaat: de eerder al uitgelekte accounts zijn door ING al geblokkeerd.

ING-woordvoerder Daan Heijbroek relativeert de ontdekking. "Er zijn al trojans die login-gegevens van bankklanten ontfutselen", zegt hij. "Het is belangrijk dat mensen hun computer goed beveiligen. Virussen als deze zijn een maatschappelijk probleem." Heijbroek zegt dat het onderzoek naar dit soort trojans 'eigenlijk altijd doorloopt'. "Het zou best kunnen dat er morgen weer gegevens opduiken."

Daarnaast stelt Heijbroek dat het niet gaat om nieuwe bankgegevens. "Deze accounts waren al bekend", aldus Heijbroek. "Daarom hebben we de betaalfunctie van deze accounts geblokkeerd. Uit voorzorg zullen we de toegang tot internetbankieren voor die accounts volledig blokkeren." Dat gebeurde niet direct, omdat ING de getroffen klanten de mogelijkheid wilde geven om hun saldo in te zien.

Trojans als Dorifel onderscheppen login-gegevens voordat ze naar de bank worden verstuurd; de banksites zijn dus niet gehackt. Overigens zijn login-gegevens in het geval van ING niet voldoende om geld over te kunnen maken; daartoe moet een kwaadwillende ook over de zogeheten tan-codes beschikken, die via papier of sms aan een klant worden verstrekt. Sommige malware slaagt er via social engineering echter in om tan-codes te onderscheppen en betalingen te doen. Teksten op de Dorifel-servers wijzen erop dat ook de in dit geval gebruikte malware daartoe in staat is.

Daarnaast kunnen met enkel gebruikersnaam en wachtwoord bij ING wel bankrekeningnummers worden ingezien, wat bijvoorbeeld zou kunnen worden gebruikt voor het uitvoeren van een automatische incasso. Ook is het mogelijk om een PayPal-account aan de rekening te koppelen en deze te bevestigen, waardoor er uiteindelijk zonder tancodes geld kan worden weggesluisd.

Vorige week werd bekend dat een ministerie, twee provincies, twee universiteiten, het RIVM en tal van gemeenten met de Dorifel-malware besmet waren. Het virus onthulde zichzelf door Word- en Excel-documenten te versleutelen, waardoor ze niet langer toegankelijk waren. Waarschijnlijk waren de instellingen echter al langer besmet.

Via het botnet waarmee Dorifel werd verspreid, werd later andere malware verspreid die bankgegevens kon onderscheppen. Om welke malware het daarbij gaat, is nog onduidelijk. Op de Dorifel-servers aangetroffen teksten, die worden gebruikt om ING-klanten om de tuin te leiden, worden ook door andere malware gebruikt. Mogelijk is er een kant-en-klaar framework ingezet.

Bekijk ook de demonstratie van Tweakers.net over de manier waarop trojans bankgegevens ontvreemden.

Update, 11:25: Nieuwe reactie ING in het artikel verwerkt. Volgens ING gaat het niet om nieuwe gegevens.