Hackare är inte längre motiverade av berömmelse och uppmärksamhet blott. Idag handlar allt om pengar. De brott som begås på webben utförs också alltmer sällan av den traditionella datanörden.
Idag är den typiska cyberbrottslingen välorganiserad och verksamheten på nätet är bara en bland många inkomstkällor – såsom drogförsäljning, hallickverksamhet och pengatvätt.
– Vi kan se ett tydligt trendbrott. Tidigare var det ”hacking for fame” som gällde, idag är det nästan uteslutande ”hacking for fortune”. Så gott som all skadlig verksamhet på webben görs med syftet att tjäna pengar, säger Per Hellqvist som är säkerhetsexpert på Symantec.
Organiserad bransch
Alla säkerhetsleverantörer och experter vi har talat med delar Per Hellqvists uppfattning. Visserligen ska man alltid ta leverantörernas utsago med en nypa salt, men vi måste nog alla inse att vi står inför en helt ny verklighet.
– E-brottslingarna har definitivt blivit mer affärsmässiga. De driver sina verksamheter precis som företag, eller som den klassiska maffian, säger Yuval Ben-Itzhak som är teknisk chef på det brittiska säkerhetsföretaget Finjan.
Hur påverkar då det här dig som CSO? Är det inte bara samma gamla vanliga överdrifter och skrämselpropaganda? Och är det övre huvud taget viktigt att veta exakt vilka som anfaller ditt företag och vad de har för syften? Svaret på alla dessa frågor är enligt experterna – ja!
Visserligen riktas den stora majoriteten cyberbrott mot privatpersoner, som ofta är lättare att lura och har sämre skydd än företag. Men det är inte ovanligt att brottslingarna i första vändan stjäl information från företag, för att i nästa steg komma åt privatpersonerna – det vill säga ditt företags kunder. Som CSO måste du således ta reda på vad och vilka som hotar ditt företag – och vad som motiverar dem.
De vanligaste brotten
Favoritbrottet för dagens cyberbrottslingar är utan tvekan kredit- och kontokortsbedrägerier. Det finns flera sätt att skaffa sig kontroll över ett kreditkort eller ett bankkonto, men den metod som växer snabbast är så kallad phishing, nätfiske, – där bedragaren genom ett falskt mejl lurar folk att gå in på en hemsida och lämna ifrån sig sina kort- och kontouppgifter.
Den som vill bedriva phishing behöver inte vara någon dataexpert. På nätet kan vem som helst, för några få dollar, köpa i princip allt som krävs för att genomföra ett fullskaligt kreditkortsbedrägeri – ett bedrägeribrev, en fejkhemsida på valfritt språk, en färsk spamlista, ett urval av externa mejlservrar som mejlar ut 100 000-tals mejl på några timmar, en hackad hemsida som ”hostar” fejksidan i några dagar och slutligen ett stulet men giltigt kreditkort att registrera domännamn med.
Sedan är det bara för cyberboven att vänta på att offren nappar på phishing-mejlen och börjar knappa in sina kontonummer och koder på deras fejkade hemsida.
Ett annat allvarligt brott är klassisk beskyddarverksamhet. I sin cybervariant börjar brottslingarna med att utföra tillgänglighetsattacker mot ett företag för att krascha deras servrar. Efter attackerna kräver de företaget på pengar för att det inte ska hända igen.
– Det fungerar precis som vanlig beskyddarverksamhet.
Brottslingarna säger bara ”ge oss pengar så försvinner problemet”. Företagen vågar inte chansa utan betalar oftast för att undvika att kunder och partners drabbas. Den här typen av brott drabbar alla företag, men allra känsligast är operatörer av olika slag, samt webbhosting-företag, säger Per Hellqvist på Symantec.
Ett annat brott som enligt Per Hellqvist numera har fått sin egen variant på webben är utpressning. Om brottslingarna lyckas komma över känslig information från ett företag – exempelvis konfidentiell information om företagets kunder – är det enklaste sättet för dem att få ut pengar att vända sig direkt till företaget och kräva ekonomisk ersättning som garanti för att inte informationsläckan ska offentliggöras.
– Det är stora pengar som står på spel för ett företag som har tappat känslig information. Det handlar om kundernas förtroende och företagets allmänna anseende. Ofta anser företagen att det är enklast att betala, säger Per Hellqvist.
Gamla brott i cyberskrud
Det som kännetecknar den nya brottsligheten på nätet är alltså att brottslingarna satsar på allt som kan generera pengar.
Ytterligare ett exempel på ett klassiskt brott i cyberskrud är olaglig påverkan på aktiekurser. På nätet går fenomenet under beteckningen ”pumpa och dumpa”: bedragaren köper en stor aktiepost i ett oansenligt litet företag, skickar ut ett mass-spam till 100 000-tals mottagare och får på så sätt folk att intressera sig för aktien. När aktien börjar säljas på bred front går kursen upp, varpå bedragarna kan sälja sina andelar med god vinst.
Enligt Per Hellqvist är det fler än man tror som agerar på den här typen av mejl och faktiskt köper aktien. Enligt Symantecs senaste rapport ”Internet Security Threat Report” är 30 procent av all skräppost kopplad till finansiella tjänster och andelen ”pumpa och dumpa”-mejl ökar kraftigt.
Listan på olika typer av brott som begås på nätet kan göras lång. Till de ovanstående kan vi också lägga saker som industrispionage och fejkade telefonräkningar. Men cyberbrottslingarna tjänar inte bara pengar på rena bedrägerier och utpressningsförsök i sig. Många lever dessutom gott på den marknad som har uppstått kring den stulna konfidentiella informationen.
Kort sagt – den som stjäl informationen använder den inte alltid själv för att komma åt pengar från offren. Ofta säljs informationen vidare i flera led, tills den slutligen hittar en användare som vet hur man får ut reda pengar från den.
På finansiella servrar på nätet – så kallade ”underground economic servers” – pågår dagligen regelerätt marknadshandel med konfidentiell information. På en sådan server är det exempelvis möjligt att köpa ett online-bankkonto med ett sexsiffrigt belopp och tillhörande pinkoder. Priset kan vara ett par dollar.
– Faktum är att det inte ens är särskilt svårt att komma till de här marknadsplatserna. Visst, mycket sker ganska dolt, men för att få upp en prislista på stulen konfidentiell information räcker det med att googla, säger Per Hellqvist.
Verktygslåda till salu
Det är inte bara konfidentiell information som är till salu på nätet. Den hugade kan även komma över färdiga virus och trojaner. De drivna utvecklarna av skadlig kod säljer sina tjänster till högstbjudande. Vad sägs om en hel hacker-verktygslåda, inklusive support och uppdateringar, för ett pris motsvarande en halv konsulttimme.
– Du behöver bara lägga runt 100 dollar och eftersom leverantören erbjuder support och uppdateringar måste du inte ha några som helst grundkunskaper, säger Yuval Ben-Itzhak på Finjan.
Just det faktum att nästan vem som helst kan köpa verktyg är en av orsakerna till att nätbrottsligheten ser ut som den gör idag. Och det är därför allt fler yrkeskriminella kan ta över.
– Det finns tjusiga hemsidor som erbjuder den här typen av produkter. Bland annat finns en rysk hemsida som är väldigt framgångsrik och som omsätter stora summor, säger Yuval Ben-Itzhak.
Peter Woollacott är teknisk chef på det australiensiska säkerhetsföretaget Tier-3 och även han bekräftar hotbilden. Han konstaterar att man idag kan köpa sig en trojan på webben – på exakt samma sätt som man köper en bok på Amazon.com.
– Hela affärsmodellen presenteras väldigt affärsmässigt och faktum är att hela den här verksamheten är ”nästan” laglig. De här organisationerna lever i en gråzon av lagen där ingen riktigt vet vad som gäller, och där dessutom lagen ser olika ut i olika länder, säger han.
I Symantecs Internet Security Threat Report listas de utannonserade priserna på de olagliga tjänster och produkter som finns att köpa. Bland annat framgår att det kostar mellan 14 och 18 dollar att köpa en fullständig stulen identitet, som inkluderar ett amerikanskt bankkonto, kreditkort, födelsenummer och ett personnummer (social security-number). En spamlista på 29 000 mejl-adresser kostar 5 dollar och en ofrivilligt kontrollerad dator, som man kan skicka spam ifrån, kan köpas för mellan 6 och 20 dollar.
Skurkarna utvecklar också allt mer sofistikerade metoder för att komma över pengar. Det behöver inte nödvändigtvis röra sig om nya tekniska lösningar. Tvärtom, cyberbrottslingarna utvecklar sällan ny teknik för att begå brott. Däremot kommer de på allt smartare sätt att använda befintlig teknik, som trojaner, virus och hackade värddatorer.
De brottsliga organisationerna har också effektiva strategier för att försvåra för myndigheter, rättsväsende och säkerhetsföretag att motarbeta dem. Ett exempel är de fejkade ICC-svartlistor som bedragarna skickar ut till företag för att förvirra dem.
ICC Comercial Crime Services är en avdelning av den internationella handelskammaren. Som en tjänst till hederliga företag har man de senaste åren låtit ta fram listor på hemsidor och företag som anses bryta mot lagen, så kallade svartlistor.
Tanken är att listorna ska underlätta för vanliga företag, så att de vet vilka det kan vara riskabelt att göra affärer med. Men nu har det alltså dykt upp vilseledande plagiat. I januari i år upptäckte man att någon hade skickat ut ett stort antal falska svartlistor i ICC:s namn. Syftet var uppenbart –att göra det krångligare att hålla reda på vilka som ägnar sig åt brottslighet.
Maffian tar över
Enligt experterna är det, som tidigare nämnts, allt vanligare att den traditionella organiserade brottsligheten tar över den kriminella verksamheten på nätet. En orsak till detta är helt enkelt att det numera finns mer pengar att tjäna på nätet än i den verkliga världen.
– Dessutom är det ofta mindre riskabelt att ägna sig åt cyberbrott än, låt oss säga, drogsmuggling, säger Peter Woollacott på Tier-3.
Därmed inte sagt att andra brott skulle minska i antal. Trots en ökad nätbrottslighet har man inte kunnat se någon motsvarande minskning på andra områden. Detta talar för att det snarast är så att brottslingarna expanderar på ett nytt område – inte att en typ av brott skulle ersätta en annan.
– Förmodligen är det så att skurkarna breddar sina affärer.
Man håller sedan länge på med prostitution och knark – nu utökar man med lite phishing, säger Per Hellqvist som däremot håller med om att riskexponeringen för brottslingarna blir betydligt lägre på internet. Allra minst risk blir det för de organiserade brottslingar som outsourcar sin verksamhet till u-länder. Något som inte är ovanligt idag.
– I bästa fall handlar det om lågavlönade arbetare. I värsta fall om människor som tvingas begå brotten under hot, säger Per Hellqvist.
Ett stort problem med brottsligheten på internet är att lagstiftarna inte hänger med. Eller rättare sagt, medan lagarna är lokala och skiljer sig åt från nation till nation är internet i högsta grad globalt. Brottslingarna kan alltså alltid välja att placera sig där lagstiftningen är mest flexibel.
– Skillnaderna mellan nationella lagar skapar ett stort gap som brottslingarna kan utnyttja. Tyvärr är det också så att inte ens de mest utvecklade länderna har särskilt väl utvecklade lagar vad det gäller cyberbrottslighet. Alla länder ligger efter. Under tiden passar brottslingarna på att njuta av sitt försprång, säger Yuval Ben-Itzhak på Finjan.
Ingen av våra experter är särskilt optimistisk när de talar om internationell lagstiftning. Det räcker inte heller med att stifta lagar, vad som också krävs är ett gränsöverskridande samarbete och koordinering mellan polisväsenden. Något som historiskt sett sällan lyckats särskilt bra.
Stor omsättning
Att räkna ut hur mycket världens företag och samhället förlorar mot cyberbrottslingarna är omöjligt. Det finns siffror, men enligt Per Hellqvist ska dessa tas med en nypa salt, då ingen bra metod har presenterats för räkna på de här sakerna. Dessutom anses mörkertalet vara enormt.
– Man får försöka uppskatta själv med hjälp av de fall som blir kända, säger han.
Förutom det välkända Nordea-bedrägeriet där Per Hellqvist hjälpte en journalist på vår systertidning Computer Sweden att spåra upphovsmakaren till den trojan som användes för att stjäla närmare åtta miljoner kronor, berättar han om ett uppmärksammat fall i Brasilien där de skyldiga bedragarna faktiskt åkte fast.
– Totalt hade de stulit uppemot 35 miljoner omräknat i svenska kronor från ett stort antal bankkonton. Det säger en del om storleksordningen på den här verksamheten. Det här var bara ett gäng som åkte fast, sedan är det bara att räkna uppåt därifrån, säger han.
Även om det inte går att räkna ut hur stora summor cyberbrottsligheten omsätter årligen går det att få en hyfsad bild av hur handeln med konfidentiell information och bedrägeriverktyg ser ut.
Guillaume Lovet, som titulerar sig ”Threat Response Team Leader” på säkerhetsföretaget Fortinet har räknat på vad de inblandade i handeln tjänar (se faktaruta). Allra mest tjänar de organiserade nätverk som lyckas genomföra de verkliga bedrägerierna. Som exempel nämner han en klassisk ”nätfisketrip”. Om man köper alla de verktyg som krävs för att skicka ut 100 000 phishing-mejl kostar det sällan mer än 60 dollar. En sådan här fisketrip generar minst 20 knäckta bankkonton med varierande saldon.
På svarta marknaden är dessa konton i sin tur värda mellan 200 och 2 000 dollar. I värsta fall får den här nätfiskaren alltså en return on investment på 300 procent, men det kan lika gärna bli tiofaldigt mycket högre, menar Guillaume Lovet.
– Väljer nätfiskaren att faktiskt tömma kontona och föra över pengarna till ett konto i exempelvis Bolivia kan förstås ROI:n bli hur hög som helst.
Privatpersonerna mest hotade
All statistik visar att det i första hand är privatpersoner och hemanvändare som är cyberbrottslingarnas måltavla. Hemanvändarna är nämligen de som är lättast att lura. Enligt Symantec Internet Security Threat Report var 93 procent av alla attacker under andra halvåret 2006 riktade mot hemanvändare – bara 7 procent av attackerna var riktade direkt mot företag.
Men det betyder som sagt inte att du som CSO kan slappna. Som vi nämnde inledningsvis går brottslingarna ofta via företag för att komma åt information om hemanvändarna. Jobbar du inom finanssektorn är det en självklarhet att skydda dina kunders information.
Men lika viktigt är det
inom den offentliga sektorn där en rad myndigheter hanterar känslig information – eller på vilket företag som helst som har sina kunder upplagda i ett kundsystem. För även om brottslingarna inte stjäl pengar direkt från ditt företag ser det ju ytterst illa ut om deutnyttjat ditt företags slappa säkerhetstänkande för att lura dina kunder.
– Det du ska tänka på är att all skadlig kod du upptäcker på ditt företag inte är avsedd att bara förstöra saker för skojs skull. Den skadliga koden är avsedd för att öppna upp dina nätverk så att brottslingar ska kunna använda din infrastruktur, säger Yuval Ben-Itzhak.
Skadorna på ditt företag i form av minskat anseende hos kunderna kan alltså bli omfattande.
– Som CSO ska du också tänka på att en hemanvändare kan bli smittad hemma och föra över problemen till företagets system.
Enligt Symantec är verksamheter inom den offentliga sektorn – det vill säga myndigheter, kommuner och landsting – allra mest utsatta för cyberbrottslighet. Därefter kommer den finansiella sektorn – banker och andra finanshus.
Sverige är i högsta grad involverad i cyberbrottsligheten. Globalt sett står USA för den största andelen illasinnade aktiviteter enligt Per Hellqvist och Symantec som listar de illasinnade aktiviteternas ursprung.
I EMEA-området ligger Sverige på nionde plats över länder där illasinnad aktivitet har sitt ursprung men beräknat per internet-användare hamnar Sverige på tredje plats. Det är alltså naivt att tro att man som ett svenskt ”litet” företag inte är intressant för den organiserade brottsligheten. Den organiserade cyberbrottsligheten söker dessutom över hela världen efter säkerhetsluckor som går att penetrera. Hittar man luckor i Sverige så attackerar man här.
Svårigheten att förutse skadan
Som CSO finns det flera sätt att skydda sig mot cyberbrott. Först och främst gäller det att ha ett effektivt mjuk- och hårdvaruskydd och att inte enbart förlita sig på skalskyddet. Lager på lager med antivirus, brandväggar, personliga brandväggar och transaktionsskydd är modellen.
– På strategisk nivå gäller det att inte bara ha koll på den inkommande trafiken, utan även på den utgående och att ha en genomtänkt policy för vilka som måste kunna ta emot exekverbar kod. Dessutom är det viktigt att ha en bra lösenordspolicy som verkligen tillämpas, säger Per Hellqvist.
Yuval Ben-Itzhak på Finjan påminner om effektiv patchhantering, god policy för de anställdas beteende på webben samt regelbunden revision av infrastrukturen.
Peter Woollacott på Tier-3 tycker att tekniken idag är relativt självklar för de flesta företag. De stora säkerhetsfrågorna enligt honom handlar om att ha grundläggande bra affärsprocesser samt bra processer för riskhantering och en förmåga att pressa upp säkerhetsfrågorna på ledningsgruppsnivå.
Beteendeanalys är hett
En annan sak som alla de experter vi talar med nämner är säkerhetsteknik som bygger på beteendeanalys. Det vill säga verktyg som ser den skadliga kodens beteende, inte bara upptäcker kodens namn eller signatur.
– Man måste ha teknik som också kan upptäcka de okända hoten – att lyckas upptäcka det oväntade, säger Peter Woollacott.
Beteendeanalys verkar alltså vara det allra hetaste inom säkerhetsbranschen just nu. Alla erbjuder det, eller så påstår att de kan erbjuda det.
En sak där experterna inte är riktigt överens är hur man som CSO ska agera om man upptäcker att företaget utsätts för något brottsligt. Framför allt har man en ganska skild syn på huruvida man ska polisanmäla brottsligheten eller inte.
– Polisanmäl direkt. Agera snabbt och logga och spara för att samla bevis, annars är det svårt att komma i efterhand och säga att du har sett något, säger Per Hellqvist om problemet.
Yuval Ben-Itzhak har en något mer pragmatisk syn på saken.
– Polisen kommer inte att lösa något åt dig. Kanske i efterhand, men då är det ju redan för sent, eller hur, säger han och slår fast att det först i andra hand gäller att ringa polisen.
– Men då ska du först ha tänkt igenom vad det får för konsekvenser för företaget.
I tredje hand är det sedan dags att gå igenom din säkerhetsstrategi och fråga dig varför det hela hände över huvud taget. Förstås.
Dags att skapa en krisberedskap
Per Hellqvist tycker att man i de allra flesta fall ska polisanmäla. Om man väljer att inte göra det ska det åtminstone finnas goda skäl till det. Dessutom anser han att det bästa är om man har en färdig strategi för de här sakerna redan innan.
– Det är bra om man redan från början bestämt hur man ska agera i olika lägen, säger han.
Det har alltså sagts att den teknik som cyberbrottslingarna använder inte har förändrats nämnvärt de senaste åren. Däremot har brottslingarna kommit på smartare sätt att använda tekniken. Precis likadant måste varje driven CSO tänka. När väl tekniken är på plats, gäller det att tänka smartare för att använda den på rätt sätt. Bara så har du en möjlighet att stävja de välorganiserade nätverk som vill komma åt ditt företags och företagets kunders pengar.
Av Jon Röhne
Illustration: Robert Hilmersson
Ur CSO 2-2007
Idag är den typiska cyberbrottslingen välorganiserad och verksamheten på nätet är bara en bland många inkomstkällor – såsom drogförsäljning, hallickverksamhet och pengatvätt.
– Vi kan se ett tydligt trendbrott. Tidigare var det ”hacking for fame” som gällde, idag är det nästan uteslutande ”hacking for fortune”. Så gott som all skadlig verksamhet på webben görs med syftet att tjäna pengar, säger Per Hellqvist som är säkerhetsexpert på Symantec.
Organiserad bransch
Alla säkerhetsleverantörer och experter vi har talat med delar Per Hellqvists uppfattning. Visserligen ska man alltid ta leverantörernas utsago med en nypa salt, men vi måste nog alla inse att vi står inför en helt ny verklighet.
– E-brottslingarna har definitivt blivit mer affärsmässiga. De driver sina verksamheter precis som företag, eller som den klassiska maffian, säger Yuval Ben-Itzhak som är teknisk chef på det brittiska säkerhetsföretaget Finjan.
Hur påverkar då det här dig som CSO? Är det inte bara samma gamla vanliga överdrifter och skrämselpropaganda? Och är det övre huvud taget viktigt att veta exakt vilka som anfaller ditt företag och vad de har för syften? Svaret på alla dessa frågor är enligt experterna – ja!
Visserligen riktas den stora majoriteten cyberbrott mot privatpersoner, som ofta är lättare att lura och har sämre skydd än företag. Men det är inte ovanligt att brottslingarna i första vändan stjäl information från företag, för att i nästa steg komma åt privatpersonerna – det vill säga ditt företags kunder. Som CSO måste du således ta reda på vad och vilka som hotar ditt företag – och vad som motiverar dem.
De vanligaste brotten
Favoritbrottet för dagens cyberbrottslingar är utan tvekan kredit- och kontokortsbedrägerier. Det finns flera sätt att skaffa sig kontroll över ett kreditkort eller ett bankkonto, men den metod som växer snabbast är så kallad phishing, nätfiske, – där bedragaren genom ett falskt mejl lurar folk att gå in på en hemsida och lämna ifrån sig sina kort- och kontouppgifter.
Den som vill bedriva phishing behöver inte vara någon dataexpert. På nätet kan vem som helst, för några få dollar, köpa i princip allt som krävs för att genomföra ett fullskaligt kreditkortsbedrägeri – ett bedrägeribrev, en fejkhemsida på valfritt språk, en färsk spamlista, ett urval av externa mejlservrar som mejlar ut 100 000-tals mejl på några timmar, en hackad hemsida som ”hostar” fejksidan i några dagar och slutligen ett stulet men giltigt kreditkort att registrera domännamn med.
Sedan är det bara för cyberboven att vänta på att offren nappar på phishing-mejlen och börjar knappa in sina kontonummer och koder på deras fejkade hemsida.
Ett annat allvarligt brott är klassisk beskyddarverksamhet. I sin cybervariant börjar brottslingarna med att utföra tillgänglighetsattacker mot ett företag för att krascha deras servrar. Efter attackerna kräver de företaget på pengar för att det inte ska hända igen.
– Det fungerar precis som vanlig beskyddarverksamhet.
Brottslingarna säger bara ”ge oss pengar så försvinner problemet”. Företagen vågar inte chansa utan betalar oftast för att undvika att kunder och partners drabbas. Den här typen av brott drabbar alla företag, men allra känsligast är operatörer av olika slag, samt webbhosting-företag, säger Per Hellqvist på Symantec.
Ett annat brott som enligt Per Hellqvist numera har fått sin egen variant på webben är utpressning. Om brottslingarna lyckas komma över känslig information från ett företag – exempelvis konfidentiell information om företagets kunder – är det enklaste sättet för dem att få ut pengar att vända sig direkt till företaget och kräva ekonomisk ersättning som garanti för att inte informationsläckan ska offentliggöras.
– Det är stora pengar som står på spel för ett företag som har tappat känslig information. Det handlar om kundernas förtroende och företagets allmänna anseende. Ofta anser företagen att det är enklast att betala, säger Per Hellqvist.
Gamla brott i cyberskrud
Det som kännetecknar den nya brottsligheten på nätet är alltså att brottslingarna satsar på allt som kan generera pengar.
Ytterligare ett exempel på ett klassiskt brott i cyberskrud är olaglig påverkan på aktiekurser. På nätet går fenomenet under beteckningen ”pumpa och dumpa”: bedragaren köper en stor aktiepost i ett oansenligt litet företag, skickar ut ett mass-spam till 100 000-tals mottagare och får på så sätt folk att intressera sig för aktien. När aktien börjar säljas på bred front går kursen upp, varpå bedragarna kan sälja sina andelar med god vinst.
Enligt Per Hellqvist är det fler än man tror som agerar på den här typen av mejl och faktiskt köper aktien. Enligt Symantecs senaste rapport ”Internet Security Threat Report” är 30 procent av all skräppost kopplad till finansiella tjänster och andelen ”pumpa och dumpa”-mejl ökar kraftigt.
Listan på olika typer av brott som begås på nätet kan göras lång. Till de ovanstående kan vi också lägga saker som industrispionage och fejkade telefonräkningar. Men cyberbrottslingarna tjänar inte bara pengar på rena bedrägerier och utpressningsförsök i sig. Många lever dessutom gott på den marknad som har uppstått kring den stulna konfidentiella informationen.
Kort sagt – den som stjäl informationen använder den inte alltid själv för att komma åt pengar från offren. Ofta säljs informationen vidare i flera led, tills den slutligen hittar en användare som vet hur man får ut reda pengar från den.
På finansiella servrar på nätet – så kallade ”underground economic servers” – pågår dagligen regelerätt marknadshandel med konfidentiell information. På en sådan server är det exempelvis möjligt att köpa ett online-bankkonto med ett sexsiffrigt belopp och tillhörande pinkoder. Priset kan vara ett par dollar.
– Faktum är att det inte ens är särskilt svårt att komma till de här marknadsplatserna. Visst, mycket sker ganska dolt, men för att få upp en prislista på stulen konfidentiell information räcker det med att googla, säger Per Hellqvist.
Verktygslåda till salu
Det är inte bara konfidentiell information som är till salu på nätet. Den hugade kan även komma över färdiga virus och trojaner. De drivna utvecklarna av skadlig kod säljer sina tjänster till högstbjudande. Vad sägs om en hel hacker-verktygslåda, inklusive support och uppdateringar, för ett pris motsvarande en halv konsulttimme.
– Du behöver bara lägga runt 100 dollar och eftersom leverantören erbjuder support och uppdateringar måste du inte ha några som helst grundkunskaper, säger Yuval Ben-Itzhak på Finjan.
Just det faktum att nästan vem som helst kan köpa verktyg är en av orsakerna till att nätbrottsligheten ser ut som den gör idag. Och det är därför allt fler yrkeskriminella kan ta över.
– Det finns tjusiga hemsidor som erbjuder den här typen av produkter. Bland annat finns en rysk hemsida som är väldigt framgångsrik och som omsätter stora summor, säger Yuval Ben-Itzhak.
Peter Woollacott är teknisk chef på det australiensiska säkerhetsföretaget Tier-3 och även han bekräftar hotbilden. Han konstaterar att man idag kan köpa sig en trojan på webben – på exakt samma sätt som man köper en bok på Amazon.com.
– Hela affärsmodellen presenteras väldigt affärsmässigt och faktum är att hela den här verksamheten är ”nästan” laglig. De här organisationerna lever i en gråzon av lagen där ingen riktigt vet vad som gäller, och där dessutom lagen ser olika ut i olika länder, säger han.
I Symantecs Internet Security Threat Report listas de utannonserade priserna på de olagliga tjänster och produkter som finns att köpa. Bland annat framgår att det kostar mellan 14 och 18 dollar att köpa en fullständig stulen identitet, som inkluderar ett amerikanskt bankkonto, kreditkort, födelsenummer och ett personnummer (social security-number). En spamlista på 29 000 mejl-adresser kostar 5 dollar och en ofrivilligt kontrollerad dator, som man kan skicka spam ifrån, kan köpas för mellan 6 och 20 dollar.
Skurkarna utvecklar också allt mer sofistikerade metoder för att komma över pengar. Det behöver inte nödvändigtvis röra sig om nya tekniska lösningar. Tvärtom, cyberbrottslingarna utvecklar sällan ny teknik för att begå brott. Däremot kommer de på allt smartare sätt att använda befintlig teknik, som trojaner, virus och hackade värddatorer.
De brottsliga organisationerna har också effektiva strategier för att försvåra för myndigheter, rättsväsende och säkerhetsföretag att motarbeta dem. Ett exempel är de fejkade ICC-svartlistor som bedragarna skickar ut till företag för att förvirra dem.
ICC Comercial Crime Services är en avdelning av den internationella handelskammaren. Som en tjänst till hederliga företag har man de senaste åren låtit ta fram listor på hemsidor och företag som anses bryta mot lagen, så kallade svartlistor.
Tanken är att listorna ska underlätta för vanliga företag, så att de vet vilka det kan vara riskabelt att göra affärer med. Men nu har det alltså dykt upp vilseledande plagiat. I januari i år upptäckte man att någon hade skickat ut ett stort antal falska svartlistor i ICC:s namn. Syftet var uppenbart –att göra det krångligare att hålla reda på vilka som ägnar sig åt brottslighet.
Maffian tar över
Enligt experterna är det, som tidigare nämnts, allt vanligare att den traditionella organiserade brottsligheten tar över den kriminella verksamheten på nätet. En orsak till detta är helt enkelt att det numera finns mer pengar att tjäna på nätet än i den verkliga världen.
– Dessutom är det ofta mindre riskabelt att ägna sig åt cyberbrott än, låt oss säga, drogsmuggling, säger Peter Woollacott på Tier-3.
Därmed inte sagt att andra brott skulle minska i antal. Trots en ökad nätbrottslighet har man inte kunnat se någon motsvarande minskning på andra områden. Detta talar för att det snarast är så att brottslingarna expanderar på ett nytt område – inte att en typ av brott skulle ersätta en annan.
– Förmodligen är det så att skurkarna breddar sina affärer.
Man håller sedan länge på med prostitution och knark – nu utökar man med lite phishing, säger Per Hellqvist som däremot håller med om att riskexponeringen för brottslingarna blir betydligt lägre på internet. Allra minst risk blir det för de organiserade brottslingar som outsourcar sin verksamhet till u-länder. Något som inte är ovanligt idag.
– I bästa fall handlar det om lågavlönade arbetare. I värsta fall om människor som tvingas begå brotten under hot, säger Per Hellqvist.
Ett stort problem med brottsligheten på internet är att lagstiftarna inte hänger med. Eller rättare sagt, medan lagarna är lokala och skiljer sig åt från nation till nation är internet i högsta grad globalt. Brottslingarna kan alltså alltid välja att placera sig där lagstiftningen är mest flexibel.
– Skillnaderna mellan nationella lagar skapar ett stort gap som brottslingarna kan utnyttja. Tyvärr är det också så att inte ens de mest utvecklade länderna har särskilt väl utvecklade lagar vad det gäller cyberbrottslighet. Alla länder ligger efter. Under tiden passar brottslingarna på att njuta av sitt försprång, säger Yuval Ben-Itzhak på Finjan.
Ingen av våra experter är särskilt optimistisk när de talar om internationell lagstiftning. Det räcker inte heller med att stifta lagar, vad som också krävs är ett gränsöverskridande samarbete och koordinering mellan polisväsenden. Något som historiskt sett sällan lyckats särskilt bra.
Stor omsättning
Att räkna ut hur mycket världens företag och samhället förlorar mot cyberbrottslingarna är omöjligt. Det finns siffror, men enligt Per Hellqvist ska dessa tas med en nypa salt, då ingen bra metod har presenterats för räkna på de här sakerna. Dessutom anses mörkertalet vara enormt.
– Man får försöka uppskatta själv med hjälp av de fall som blir kända, säger han.
Förutom det välkända Nordea-bedrägeriet där Per Hellqvist hjälpte en journalist på vår systertidning Computer Sweden att spåra upphovsmakaren till den trojan som användes för att stjäla närmare åtta miljoner kronor, berättar han om ett uppmärksammat fall i Brasilien där de skyldiga bedragarna faktiskt åkte fast.
– Totalt hade de stulit uppemot 35 miljoner omräknat i svenska kronor från ett stort antal bankkonton. Det säger en del om storleksordningen på den här verksamheten. Det här var bara ett gäng som åkte fast, sedan är det bara att räkna uppåt därifrån, säger han.
Även om det inte går att räkna ut hur stora summor cyberbrottsligheten omsätter årligen går det att få en hyfsad bild av hur handeln med konfidentiell information och bedrägeriverktyg ser ut.
Guillaume Lovet, som titulerar sig ”Threat Response Team Leader” på säkerhetsföretaget Fortinet har räknat på vad de inblandade i handeln tjänar (se faktaruta). Allra mest tjänar de organiserade nätverk som lyckas genomföra de verkliga bedrägerierna. Som exempel nämner han en klassisk ”nätfisketrip”. Om man köper alla de verktyg som krävs för att skicka ut 100 000 phishing-mejl kostar det sällan mer än 60 dollar. En sådan här fisketrip generar minst 20 knäckta bankkonton med varierande saldon.
På svarta marknaden är dessa konton i sin tur värda mellan 200 och 2 000 dollar. I värsta fall får den här nätfiskaren alltså en return on investment på 300 procent, men det kan lika gärna bli tiofaldigt mycket högre, menar Guillaume Lovet.
– Väljer nätfiskaren att faktiskt tömma kontona och föra över pengarna till ett konto i exempelvis Bolivia kan förstås ROI:n bli hur hög som helst.
Privatpersonerna mest hotade
All statistik visar att det i första hand är privatpersoner och hemanvändare som är cyberbrottslingarnas måltavla. Hemanvändarna är nämligen de som är lättast att lura. Enligt Symantec Internet Security Threat Report var 93 procent av alla attacker under andra halvåret 2006 riktade mot hemanvändare – bara 7 procent av attackerna var riktade direkt mot företag.
Men det betyder som sagt inte att du som CSO kan slappna. Som vi nämnde inledningsvis går brottslingarna ofta via företag för att komma åt information om hemanvändarna. Jobbar du inom finanssektorn är det en självklarhet att skydda dina kunders information.
Men lika viktigt är det
inom den offentliga sektorn där en rad myndigheter hanterar känslig information – eller på vilket företag som helst som har sina kunder upplagda i ett kundsystem. För även om brottslingarna inte stjäl pengar direkt från ditt företag ser det ju ytterst illa ut om deutnyttjat ditt företags slappa säkerhetstänkande för att lura dina kunder.
– Det du ska tänka på är att all skadlig kod du upptäcker på ditt företag inte är avsedd att bara förstöra saker för skojs skull. Den skadliga koden är avsedd för att öppna upp dina nätverk så att brottslingar ska kunna använda din infrastruktur, säger Yuval Ben-Itzhak.
Skadorna på ditt företag i form av minskat anseende hos kunderna kan alltså bli omfattande.
– Som CSO ska du också tänka på att en hemanvändare kan bli smittad hemma och föra över problemen till företagets system.
Enligt Symantec är verksamheter inom den offentliga sektorn – det vill säga myndigheter, kommuner och landsting – allra mest utsatta för cyberbrottslighet. Därefter kommer den finansiella sektorn – banker och andra finanshus.
Sverige är i högsta grad involverad i cyberbrottsligheten. Globalt sett står USA för den största andelen illasinnade aktiviteter enligt Per Hellqvist och Symantec som listar de illasinnade aktiviteternas ursprung.
I EMEA-området ligger Sverige på nionde plats över länder där illasinnad aktivitet har sitt ursprung men beräknat per internet-användare hamnar Sverige på tredje plats. Det är alltså naivt att tro att man som ett svenskt ”litet” företag inte är intressant för den organiserade brottsligheten. Den organiserade cyberbrottsligheten söker dessutom över hela världen efter säkerhetsluckor som går att penetrera. Hittar man luckor i Sverige så attackerar man här.
Svårigheten att förutse skadan
Som CSO finns det flera sätt att skydda sig mot cyberbrott. Först och främst gäller det att ha ett effektivt mjuk- och hårdvaruskydd och att inte enbart förlita sig på skalskyddet. Lager på lager med antivirus, brandväggar, personliga brandväggar och transaktionsskydd är modellen.
– På strategisk nivå gäller det att inte bara ha koll på den inkommande trafiken, utan även på den utgående och att ha en genomtänkt policy för vilka som måste kunna ta emot exekverbar kod. Dessutom är det viktigt att ha en bra lösenordspolicy som verkligen tillämpas, säger Per Hellqvist.
Yuval Ben-Itzhak på Finjan påminner om effektiv patchhantering, god policy för de anställdas beteende på webben samt regelbunden revision av infrastrukturen.
Peter Woollacott på Tier-3 tycker att tekniken idag är relativt självklar för de flesta företag. De stora säkerhetsfrågorna enligt honom handlar om att ha grundläggande bra affärsprocesser samt bra processer för riskhantering och en förmåga att pressa upp säkerhetsfrågorna på ledningsgruppsnivå.
Beteendeanalys är hett
En annan sak som alla de experter vi talar med nämner är säkerhetsteknik som bygger på beteendeanalys. Det vill säga verktyg som ser den skadliga kodens beteende, inte bara upptäcker kodens namn eller signatur.
– Man måste ha teknik som också kan upptäcka de okända hoten – att lyckas upptäcka det oväntade, säger Peter Woollacott.
Beteendeanalys verkar alltså vara det allra hetaste inom säkerhetsbranschen just nu. Alla erbjuder det, eller så påstår att de kan erbjuda det.
En sak där experterna inte är riktigt överens är hur man som CSO ska agera om man upptäcker att företaget utsätts för något brottsligt. Framför allt har man en ganska skild syn på huruvida man ska polisanmäla brottsligheten eller inte.
– Polisanmäl direkt. Agera snabbt och logga och spara för att samla bevis, annars är det svårt att komma i efterhand och säga att du har sett något, säger Per Hellqvist om problemet.
Yuval Ben-Itzhak har en något mer pragmatisk syn på saken.
– Polisen kommer inte att lösa något åt dig. Kanske i efterhand, men då är det ju redan för sent, eller hur, säger han och slår fast att det först i andra hand gäller att ringa polisen.
– Men då ska du först ha tänkt igenom vad det får för konsekvenser för företaget.
I tredje hand är det sedan dags att gå igenom din säkerhetsstrategi och fråga dig varför det hela hände över huvud taget. Förstås.
Dags att skapa en krisberedskap
Per Hellqvist tycker att man i de allra flesta fall ska polisanmäla. Om man väljer att inte göra det ska det åtminstone finnas goda skäl till det. Dessutom anser han att det bästa är om man har en färdig strategi för de här sakerna redan innan.
– Det är bra om man redan från början bestämt hur man ska agera i olika lägen, säger han.
Det har alltså sagts att den teknik som cyberbrottslingarna använder inte har förändrats nämnvärt de senaste åren. Däremot har brottslingarna kommit på smartare sätt att använda tekniken. Precis likadant måste varje driven CSO tänka. När väl tekniken är på plats, gäller det att tänka smartare för att använda den på rätt sätt. Bara så har du en möjlighet att stävja de välorganiserade nätverk som vill komma åt ditt företags och företagets kunders pengar.
Av Jon Röhne
Illustration: Robert Hilmersson
Ur CSO 2-2007
Håll koll med våra
I IDG:s stora pdf-shop kan du köpa artiklar och hela tidningar i digitalt format.
Som man bäddar får man ligga.... - (falde) 2007-04-20 22:36
Spam ... - (Canicus.) 2007-04-21 07:40
Spam ... - (Portnoy) 2007-04-21 21:49