Kontoopplysninger til salgs: hvordan gjør de det og hva brukes det til?
Artikkel - Maria Sharpova
Business Insider meldte den 14. april 2020 om sikkerhetsselskapet Cybles bekymringer over at innloggingsinformasjonen til over 500.000 Zoom-kontoer lå til salgs på et hackerforum på det mørke nettet. Innen den tid hadde hackere allerede rukket å «zoom-bombe» flere titalls videosamtaler. I følge Forbes advarte sikkerhetsselskapet kun få dager etter også om salget av ytterligere 267 millioner Facebook-kontoer. Kjøp og salg av konfidensielle kontoopplysninger er en vanlig praksis på det mørke nettet. Men hvordan får hackere tak i disse opplysningene, og hva skal de egentlig med dem?
Phishing, spoofing og drive-by angrep
I 2013 var det ett eneste feiltrykk som satte i gang et av historiens største digitale sikkerhetsbrudd, da en av Yahoos ansatte åpnet en hackers phishing-brev[1]. Phishing, eller nettfiske, er en digital svindel som lurer mottakeren til å gi fra seg kontoinformasjon “frivillig”. Phishing-brev utgir seg for å komme fra betrodde avsendere, som en tidligere hacket venn eller kollega. De ber ofte mottakeren om en reaksjon, som å åpne en fil eller nettside. Herfra kan angriperen ta kontroll over nettlivet ditt på minst to måter: du kan bli spoofet, eller bli truffet av et drive-by angrep.
En spoofet nettside kopierer et legitimt nettsted og utgir seg for å være ekte. Dette er falske sider, hvis eneste hensikt er å lure offeret til å gi fra seg sensitiv informasjon gjennom en falsk innlogging, eller en skript som avslører konfidensielle data, som sporings- og autentiseringskapsler. Et drive-by angrep, derimot, er en nedlastning som skjer ubemerket når mottakeren åpner den falske nettsiden. Slike nedlastninger inneholder ofte godt skjulte spionprogrammer som gir angriperen mulighet til både å overvåke og fjernstyre maskinen din.
Phishing kan være en enkel, men svært effektiv metode for anskaffelse av sensitiv informasjon, og skal angiveligvis være metoden som ble brukt da Clintons valgkampsjef, John Podesta, fikk epostene sine lekket ut på Wikileaks i 2016[2]. I Yahoos tilfelle var saken noe mer omfattende. Gjennom den ansattes konto fikk hackeren tilgang til Yahoos brukerdatabase, samt et administratorverktøy som tillot vedkommende å generere autentiseringskapsler for de tilhørende kontoene. Slik kunne hvem som helst logge inn på fremmedes brukerkontoer, helt uten passord. Antallet for hvor mange brukere som var berørt ble anslått til å ligge rundt en milliard, og flere av disse kontoene har i ettertid blitt funnet til salgs på det mørke nettet for så mye som opptil 200.000 amerikanske dollar[3].
Protect the cookies
Informasjonskapsler er datapakker som inneholder opplysninger om nettbruket vårt, som f.eks. sidene vi besøker (sporingskapsler) og innloggingsopplysningene vi bruker (autentiseringskapsler). Denne informasjonen blir kryptert før den sendes over nettet, men ved hjelp av gode kodingskunnskaper og riktig programvare kan en angriper dekode disse på overraskende kort tid. For å fange opp informasjonskapsler behøver ikke hackeren en gang å bruke phishing, det er tilstrekkelig bare å koble seg til et offentlig nettverk.
«Øktkapring» referer på IT-språket til en utenforstående som tilegner seg innsyn og kontroll over internettøkten din. Ved å skanne det trådløse nettverket kan hackere fange opp opplysninger vi sender fra oss i form av informasjonskapsler, som i verste utfall inneholder autentiseringsdata. Dette er opplysninger som setter angriperen i stand til å maskere seg som offeret sitt. Ved å kopiere informasjonskapslene dine, forteller angriperen til serveren at dere er identiske, til tross for at dere sitter på ulike maskiner. De kaprer rett og slett den virtuelle identiteten din.
På hackersjargongen kalles dette å bli eid. Har offerets identitet først blitt kapret, får hackeren full oversikt og kontroll over informasjonsflyten. Det utgjør en reell fare for ubemerket overvåkning og identitetstyveri. Men en slik kapring gir også angriperen mulighet til å dirigere offerets kommunikasjon gjennom egen maskin eller server. Offeret tror i dette tilfellet at kommunikasjonen skjer direkte mellom sender og mottaker, når den i virkeligheten først passerer et mellomledd hvor angriperen får mulighet til å manipulere flyten.
Selv med den nyeste sikkerheten er det gode grunner til å anta at personvern på nett er unntaket, og ikke regelen. Og jo mer man surfer og deler, jo mer utsatt blir man. I noen av de verste tilfellene har hackere brukt informasjon de tilegner seg til å tømme menneskers bankkontoer, drive utpressing, og for å utgi seg for å være offeret med hensikt om å lure flere. I andre tilfeller har informasjonen blitt solgt, slik at noen andre kan ta seg av den mest risikofylte jobben. Men sett bort fra økonomisk svindel og identitetstyveri, kan man undre hva som driver brukere på det mørke nettet til å kjøpe tusenvis av helt vanlige menneskers brukerkontoer for høye pengesummer.
Hva skal de med det, liksom?
Like før Cablegate avsløringene i 2010 stod Wikileaks ovenfor et massivt tjenestenektangrep. Angrepet førte til at nettstedet var nede i flere døgn, og måtte som følge endre publiseringsplanene sine[4]. Det er i slike angrep at et stort antall kaprede maskiner og brukerkontoer blir virkelig verdifullt.
Et tjenestenektangrep går ut på å overvelde et system med mest mulig forespørsler på kortest mulig tid, med den hensikt om å slå systemet ut av spill. Dette krever f.eks. at et stort antall brukere, eller maskiner, samkjører et stort antall innlogginger på svært kort tid. Et eksempel fra et av de største kjente tjenestenektangrepene var angrepet på utviklernettstedet GitHub, som ble truffet av 1.35 terabits i sekundet i over 15 minutter[5].
For å skaffe den slags datakraft, skaper hackere ofte «botnets»: sammenkoblede nettverk bestående av blant annet kaprede maskiner og brukerkontoer. I enkelte tilfeller består disse av brukere som av ideelle grunner låner ut datakraften sin frivillig. Men slike nettverk består stadig oftere av maskiner og kontoer som hackere har tilegnet seg på ulovlig vis, eksempelvis gjennom tidligere phishing og øktkapring. Og stadig oftere legges hele nettverk av kapret informasjon ut for salg, med cyberangrep i øyemed[6].
I seg selv utgjør ikke et tjenestenektangrep annet enn ren sabotasje, men det kan likevel fungere som et effektivt politisk middel så vel som et kriminelt verktøy. Wikileaks sitt tilfelle var et prakteksempel på et politisk motivert cyberangrep, og et forsøk på å hindre organisasjonen fra å dele avsløringene med offentligheten. Et annet middel i denne prosessen var det økonomiske boikott nettstedet ble ilagt fra en rekke finansielle aktører. Dette fikk hackergruppen Anonymous sin oppmerksomhet, som iverksatte flere motangrep på finansselskaper som Mastercard og PayPal[7].
Disse angrepene har i senere tid blitt omtalt som en del av en større cyberkrig, og ved hjelp av botnets gir det kanskje også mening å snakke om en hær – en hær av fjernstyrte zombie-maskiner og kaprede brukerprofiler. Kanskje er det nettopp dette cybergrøsset som ligger implisitt i Anonymous sin berømte linje: «We are legion»?
Kilder:
[3]: https://www.nytimes.com/2016/12/15/technology/hacked-yahoo-data-for-sale-dark-web.html
[4]: https://www.wired.com/2010/11/cablegate/
[5]: https://www.wired.com/story/github-ddos-memcached/
[7]: https://www.bbc.com/news/technology-11935539
Se også:
https://tv.nrk.no/serie/brennpunkt/2011/MDUP11001611/avspiller
https://nettvett.no/ddos-angrep/
https://nettvett.no/botnet/
https://nettvett.no/phishing/
https://www.politiet.no/rad/okonomisk-kriminalitet/nettsvindel/
https://www.politiet.no/rad/datakriminalitet/