Volgens journalist en onderzoeker Brenno de Winter wordt vanuit een aantal computers in het buitenland, waaronder Oostenrijk en Italië, op meerdere bankrekeningen van meerdere banken ingelogd. Het aantal inlogpogingen vanuit eenzelfde IP-adres is opvallend hoog, stelt hij. De Winter vermoedt dat die IP-adressen bij internetcafés behoren of een anderszins publiekelijk toegankelijke computer.

De Winter heeft de handen weten te krijgen op een logfile waarin hij in totaal 1760 inlogpogingen telt. In een artikel op NU.nl stelt hij dat bij ontdubbeling van het aantal inlogpogingen op hetzelfde bankaccount uiteindelijk 606 accounts overblijven, waarvan er 10 aan te merken zijn als evident onjuist. In totaal zou het nu gaan om 596 mensen, 306 klanten van ING, 152 van Rabobank, 119 van ABN Amro en 289 van SNS Bank. ING stelde eerder dat “voorlopig onderzoek" misbruik aantoonde van “enkele tientallen" bankrekeningen van klanten.

Mogelijk nog onontdekte domeinen

De server waar vanaf Dorifel is verspreid werd in eerste instantie gebruikt om via Dorifel het Citadelbotnet te vergroten. Daarnaast staat er allerhande malware op, naast bedrieglijk echte namaaksites van de vier grote Nederlandse banken. Vermoed wordt dat andere malware, waarschijnlijk Citadel zelf, gebruikt wordt in de bankenscam. Dorifel heeft zich vorige week voornamelijk verspreid op netwerken van bedrijven, instellingen en overheden.

Tot op heden zijn er vier domeinen gevonden waarmee de banking trojan verbinding maakt. Twee waren al eerder onbereikbaar, twee andere nog wel in de lucht. Zowel De Winter als Rickey Gevers, de onderzoeker namens Digital Investigations, vermoeden dat er nog meer domeinen gerelateerd zijn aan de banking trojan, maar dat die nog niet actief zijn of nog niet ontdekt.