Dorifel-virus treft ook banken

Het virus herbergt websites waar naar de klantgegevens van vier Nederlandse banken wordt gevist. Via het virus zijn de gegevens van 468 klanten bij ING verzameld, 49 klanten bij ABN Amro, 17 klanten van de Rabobank en 15 van de SNS Bank.

Het virus wordt sinds dinsdag verspreid en legde woensdag de gemeente Weert plat. Daarna volgden veel andere gemeenten, universiteiten en bedrijven.

Het is volgens Digital Investigation vooral belangrijk om de firewall te blokkeren voor inkomend en uitgaand verkeer van en naar de IP-adressen 158.255.211.28 en 184.82.107.86 en de hosts van het domein bank-auth.org. Het virus kan op afstand worden aangepast, daarom is het mogelijk dat later meer IP-adressen moeten worden geblokkeerd.

Volgens ING heeft het Dorifel-virus de systemen van de ING zelf niet getroffen. Wel is het mogelijk dat de computers van klanten besmet zijn geraakt, waardoor de gegevens van deze klanten “in verkeerde handen zouden kunnen zijn gekomen”.

Het Dorifel-virus is volgens Digital Investigation vooral gebruikt om het zogeheten Citadel/Zbot-botnet uit te breiden. Een botnet is een netwerk van besmette computers. Het krijgt van hackers opdracht om bijvoorbeeld inloggegevens te verzamelen, of een virus te verspreiden. Digital Investigation schat in dat in totaal zeker 30.000 computers met Dorifel geïnfecteerd zijn geraakt. Onder de gedupeerden zijn veel particulieren.

Het Nationaal Cyber Security Centrum (NCSC) is bezig met de bestrijding van het Dorifel-virus en het botnet Citadel. Daarbij wordt ook gekeken naar ‘malware’ die is bedoeld om bankgegevens te stelen. De verspreiding van het virus is volgens het NCSC een halt toegeroepen.

Bron: De Telegraaf, 13-08-2012