Á fimmta hundrað gætu hafa sýkst

Tölvur 419 manns gætu hafa sýkst í umfangsmiklum vefveiðum hakkara fyrr í þessum mánuði þegar fjöldi fólks var boðaður í skýrslutöku hjá lögreglunni á höfuð­borgarsvæðinu með svikapósti. Alls opnuðu 956 manns sýkta vefslóð sem barst með tölvupóstinum. IP-tala tölvuþrjótanna heimsótti fyrst vefsíðu lögreglunnar 30. september síðastliðinn.

Í gögnum sem Fréttablaðið hefur séð kemur bersýnilega fram hversu margbrotin tilraun hakkaranna var. IP-tala þeirra, sem hýst er í Amsterdam í Hollandi og er að líkindum varin af VPN-sýndarneti og Proxy-vefseli, heimsótti vefsíðu lögreglunnar fyrst klukkan 20.53 sunnudaginn 30. september. Tæplega viku seinna barst fjölda fólks svikapóstur um boðun í skýrslutöku. Til að nálgast frekari gögn var vísað á eftirmynd af síðu lögreglunnar þar sem fólk var beðið um að skrá sig inn og hala niður þjappaðri skrá sem innihalda átti gögnin.

Í skránni var að finna spilliforrit sem innihélt kóða úr öðru forriti sem veitir öðrum aðila fjaraðgang að tölvu viðkomandi. Hugbúnaðurinn er yfirleitt kallaður REMCOS (e. remote control and surveillance software). Spilliforritið innihélt einnig kóða sem safnar saman upplýsingum um það sem slegið er inn á lyklaborði viðkomandi. Þessum upplýsingum er safnað saman og hlaðið upp á netþjóna í Þýskalandi og Hollandi. Ljóst er að atlagan beindist fyrst og fremst að notendum Windows-stýrikerfisins.

IP-tala hakkaranna 109.202.107.147 Hýst í Amsterdam í Hollandi í gegnum þjónustuveituna Global Layer. Virðist vera VPN/Proxy sem felur hina raunverulegu IP-tölu. Með því að kanna vitjanaskrá (e. access-log) vefsíðu lögreglunnar má rekja heimsóknir IP-tölvu netþrjótanna. 30 september - Sunnudagur kl. 20:53 Fyrst heimsókn IP-tölunnar á vef lögreglunnar, logreglan.is. Vefsíðan opnuð í gegnum Google leit. IP-talan er skráð í Amsterdam í Hollandi. Lénið logregian.is er stofnað með kennitölu íslenskrar konu. 1 október - Mánudagur kl. 05:47 Logreglan.is skoðuð ítarlega og ýmsar greinar opnaðar. kl. 06:13 Hakkarar gera prufanir með útlit vefsíðunnar. Samræma útlit hinnar raunverulegu vefsíður við eftirmyndina, logregian.is kl. 06:30 Hakkarnir gera prófanir á öðrum slóðum svikapóstsins. https://logregian.is/test/saekjagogn.php og http://logregian.is/test/tilbuid.php. kl. 07:50 Lokaslóðin sem send var á póstlistann tilbúin: https://rannsoknir.logregian.is/rannsoknir/skyrslutokur/malgogn 1 október til 6 október er lokaslóðin í prófunum. Bæði út frá IP-tölu hakkaranna og frá íslenskum IP-tölum í gegnum VPN og proxy-þjónustum hér á landi. 6 október - Laugardagur kl. 05:04 IP-talan opnar PDF-skjal á vef lögreglunnar. Skjalið, sem ber heitið 'Tölvu- og netglæpir 2016,“ er opnað eftir leit frá Google. Svikpósturinn sendur á póstlista sama dag með hjá forrits á skriftumáli. Haus kl. 21:47 Fyrst íslenska IP-talan opnar slóðina sem kom með póstinum. kl. 23:02 Lögreglan á höfuðborgarsvæðinu varar við svikapóstum sem eru látnir líta eins og boðun í skýrslutöku hjá rannsóknardeild lögreglunnar. 7 október - Sunnudagur rétt eftir miðnætti Síðasta heimsókn IP-tölu hakkaranna á vef lögreglunnar

Þegar kóði spilliforritsins er skoðaður kemur í ljós að eitt af meginmarkmiðum hakkaranna var að komast yfir upplýsingar er varða netbanka fólks. Þannig skimar forritið sérstaklega eftir leitarorðunum Íslandsbanki, netbanki, landsbankinn, millifrsla, innskraning, arionbanki, einkabanki.is, pin o.fl. Samkvæmt upplýsingum frá bönkunum þremur hafa ekki borist tilkynningar frá viðskiptavinum um tjón. Landsbankinn hefur gefið út hugbúnað sem kannar hvort tölva hafi sýkst af óværunni sem hægt er að nálgast á heimsíðu bankans.

Einnig blasir við að hakkararnir höfðu aðgang að þjóðskrá þar sem ekki var hægt að slá inn ranga kennitölu á svikavefnum.

Sama dag og IP-tala hakkaranna heimsótti vef lögreglunnar fyrst, 30. september, var lénið logregian.is stofnað með kennitölu íslenskrar konu, Thelmu Daggar Guðmundsen. Thelma Dögg greindi frá því í samtali við Fréttablaðið 7. október að tölvurþrjótar hefðu tvívegis brotist inn á heimasíðu hennar. Þeir breyttu notandanafni hennar í „Skugga sál“ en það er einmitt nafnið á þremur tengingum óværunnar við netþjóna í Þýskalandi og Hollandi; the.shadesoul.online; iam.shadesoul.online og heis.shadesoul.online.

Á þeirri viku sem leið frá fyrstu heimsókn hakkaranna á vefsíðu lögreglunnar og þangað til að fyrsta IP-talan opnaði svikapóstinn gerðu þrjótarnir ítarlega úttekt á vefsvæðinu. 1. október var vefsíðan skoðuð og útlit hennar og svikasíðunnar samræmt. Næstu daga fóru fram frekari prófanir, bæði í gegnum hollensku IP-töluna og IP-tölu í gegnum íslenskar VPN- og proxy-þjónustur.

Athygli vekur að stuttu áður en svikapósturinn var sendur á póstlistann var IP-tala hakkaranna notuð til að opna PDF-skjal á vef lögreglunnar. Það skjal ber heitið „Tölvu- og netglæpir 2016“. Þessi skýrsla frá greiningardeild Ríkislögreglustjóra fjallar um helstu ógnir á sviði tölvu- og netglæpa. Í skýrslunni er að finna skilgreiningu á þessari aðferð hakkaranna: „Á síðastliðnum árum hafa háþróaðar tölvuárásir í mörgum tilvikum byggt á vefveiðum (e. spear phishing) en þær eru ákveðin tegund svika á netinu þar sem einhver reynir að fá notendur til að gefa upp viðkvæmar upplýsingar á borð við aðgangsorð eða kreditkortaupplýsingar. Vefveiðar fara oft fram í gegnum tölvupóst, auglýsingar eða önnur samskipti.“

Tæknifyrirtækið Netheimur hýsir vef lögreglunnar. Fyrirtækið var beðið um að kanna umferð um vefinn í aðdraganda svikasendingarinnar. „Við sáum fljótt að þarna var óeðlileg hegðun hjá þessari IP-tölu,“ segir Guðmundur Ingi Hjartarson, framkvæmdastjóri Netheims. „Og af því að þeir voru ekki að hylja slóð sína nógu vel þá var hægt að rekja þessa umferð.“

Netveiðar og óværur eru hluti af internetinu og verða það í fyrirsjáanlegri framtíð. Því ríður á að fólk sé ávallt á varðbergi, að mati Guðmundar. Athuga þurfi lén áður en smellt er á hlekki. Þá sé sérstaklega mikilvægt að hugsa sig tvisvar um áður en maður er beðinn um að samþykkja eitthvað eða hala einhverju niður, eins og í tilfelli svikapóstsins. Guðmundur telur að óværan hefði getað náð til miklu fleiri einstaklinga hefði lögregla ekki varað við svikapóstinum. Það hjálpaði til að netþrjótarnir völdu afar slæma tímasetningu fyrir sendingu skilaboðanna. Líklega hefðu mál þróast með öðrum hætti hefðu skilaboðin borist á virkum degi.

„Þeir sem hafa sýkst verða að skipta um lykilorð og uppfæra vélarnar sínar, vera með öryggis- og vírus­varnir í lagi,“ segir Guðmundur og vísar til hugbúnaðar á borð við Sophos sem veitir vörn gegn óværum eins og þeim sem komu með svikapóstinum.