En person er mistenkt for IT-kriminalitet i Sverige etter at et ulovlig marked ble stoppet og stengt i forbindelse med en Europol-aksjon. Etterforskerne gir også råd om hvordan bedrifter og publikum kan beskytte seg mot cyberrelaterte kriminalitet.
Ledet av FBI, Europol og nederlandsk politi har Sverige deltatt i en omfattende operasjon sammen med 16 andre land for å stenge og stoppe den ulovlige markedsplassen Genesis-markedet. I flere år har den digitale markedsplassen skapt ulovlig tilgang til datamaskiner og påloggede kontoer over hele verden. Eiendelen er senere solgt videre.
Samtidig har imidlertid en Europol-koordinert operasjon jobbet med å undersøke markedsplassen. I den nå vellykkede operasjonen var målet å handle både mot markedsplassens infrastruktur (å gjøre den fortsatte kriminelle aktiviteten umulig) og samtidig handle mot de identifiserte brukerne av markedsplassen. Med andre ord, personer som har kjøpt seg tilgang til datamaskinene som er rammet av datainnbrudd og kontoene knyttet til dem.
I Sverige har omtrent 15 000 berørte datamaskiner som inneholder omtrent 875 000 påloggingsinformasjon blitt identifisert. Totalt åtte mistenkte er identifisert i Sverige. Politiet har identifisert at disse personene kjøpte tilgang til noe av informasjonen som var på markedsplassen mellom 2018 og 2022.
– Før nedslaget hadde vi flere nasjonale videomøter for å diskutere taktikk og planer. Premisset var at vi skulle gjennomføre razziaer mot alle mistenkte på en og samme dag, sier Ola Gripö, leder for forundersøkelsen ved KCB, kompleks nettkriminalitet, i Bergslagen-regionen.
Forberedelse av databrudd
En mistenkt ble funnet i den svenske regionen Bergslagen.. Det ble slått til mot en adresse og det ble deretter foretatt ransaking i den mistenktes hjem.
– Det ble sikret varer som nå undersøkes av IT-kriminalteknikere. Den mistenkte er varetektsfengslet for en annen forbrytelse, og han var varetektsfengslet dagen for angrepet. Forbrytelsen er forberedelse til et datainnbrudd.
KCB er en regional ressurs som opererer i alle politiområder i Värmland, Dalarna og Örebro. Tilsvarende virksomhet finnes også i andre deler av landet. Den nasjonale ekvivalenten til gruppen har prosesslederansvar for operasjonen og er det internasjonale kontaktpunktet med for eksempel Europol.
– For større og mer komplekse saker bygger vi team for å møte utfordringene på beste måte. Lagene kan da bestå av flere ferdigheter fra ulike deler av landet. Det kan være kompetanse rundt kryptovaluta, IT-sikkerhet, IT-etterforskning, analytikere men også politifolk med solid etterforskningsbakgrunn, sier Tobias Lord, leder for gruppen som etterforsker komplekse nettkriminalitet og bevissikring på nett i Bergslagen-regionen.
Gruppen jobber med saker knyttet til to ulike typer datainnbrudd: Overbelastningsangrep og «ransomware».
Så hva er et overbelastningsangrep og ransomware?
Det har blitt stadig mer vanlig at bedrifter, kommuner og andre virksomheter lider av overbelastningsangrep og ransomware. Hvis dette skjer med vår infrastruktur, kan det få ødeleggende konsekvenser, for eksempel hvis trygghetsalarmer eller sykehussystemer settes ut av drift over en lengre periode. Overbelastningsangrep kan også slå ut kredittkortbetalinger, trafikkovervåking, pasientjournaler og vitale funksjoner som strøm og vannforsyning.
Når det gjelder et overbelastningsangrep (DDoS-angrep som betyr distribuert denial of service), kan konsekvensene være som følger:
– Nedetid på nettsiden. Nettsiden blir overbelastet og utilgjengelig.
– Problemer med server og hosting.
– Nettstedsårbarhet. Et angrep kan gjøre nettstedet mer sårbart for hacking.
– Tapt tid og penger.
– Angrepet kan også påvirke publikums tillit til bedriften eller kommunen ved å stille spørsmål ved IT-sikkerheten.
Svindel gjennom phishing
Når det gjelder ransomware (utpressingsprogramvare), er tilnærmingen at en gjerningsmann gjør et IT-angrep og kommer seg inn i et system eller en datamaskin. Vanlig metode er gjennom phishing. Det innebærer å lure brukere til å klikke på et vedlegg med ondsinnet kode eller plante lenker som fører til ondsinnet kode. Da legger gjerningsmannen igjen en melding om at informasjonen er kryptert og at det kreves løsepenger for å få den tilbake.
For eksempel: Når gjerningspersonen har fått tilgang/inngang til en persons datamaskin, er tilnærmingen vanligvis at saksøker får et popup-vindu på dataskjermen sin. Der kan det stå at datamaskinen er låst og at du må ringe det angitte nummeret for å få den låst opp.
Det kan også stå at datamaskinen har blitt utsatt for en trojaner eller alternativt utsatt for svindel. Også her inviteres du til å ringe oppgitt telefonnummer. Noen ganger sørger også gjerningsmannen for at den aktuelle datamaskinen begynner å hyle.
– Ringer du vil en svensktalende og ofte veldig hyggelig person svare. Personen hevder at datamaskinen er full av virus, men at selskapet kan fjerne dem dersom du betaler en sum penger. Personen vil da ha tilgang til datamaskinen for å sjekke virusbeskyttelse og eventuelle virus. Personen ønsker å bruke TeamViewer til å overta datamaskinen og deretter fjernstyre den. Så en saksøker kan sitte og se på datamaskinen sin mens en ukjent person styrer den, forklarer Ola Gripö.
Personen hevder også at virusbeskyttelsen er for dårlig, men at den kan kjøpes. Konsekvensene kan være som følger:
– Hele eller deler av virksomhetens IT-system med dens informasjon blir kryptert og utilgjengelig.
– Informasjonen kan lekke ut på internett.
Tips til hvordan du kan beskytte deg selv
Hvis tilgjengelig, bruk antivirusprogramvare på alle elektroniske enheter.
Hold programvaren oppdatert, inkludert nettleser, antivirus og operativsystem.
Last kun ned programvare fra pålitelige nettsteder.
Vær forsiktig når du surfer på Internett og ikke klikk på mistenkelige lenker, popup-vinduer eller dialogbokser.
Tenk deg om to ganger før du klikker på lenker eller vedlegg i uventede e-poster.
Angi unike passord. Lag sterke passord eller passordfraser for hver enkelt nettside og tjeneste. Bruk for eksempel en passordbehandler.
Aktiver multifaktorautentisering når det er mulig for alle kontoene dine.
Ta regelmessige sikkerhetskopier og lagre sikkerhetskopiene offline.
Bygg et robust og robust IT-miljø med god overvåking.
Dersom du mot formodning skulle bli rammet, er det svært viktig å alltid kontakte politiet og anmelde. Enten ved å ringe 114 14 eller ved å gå inn på polisen.se for å lage en elektronisk melding.
– For at vi skal ha en sjanse til å handle, må du lage en politianmeldelse dersom du har blitt rammet. Hver melding og informasjon er ekstremt viktig for vår evne til å kartlegge og sette sammen puslespill. Vi jobber internasjonalt i sakene våre, så informasjon fra en av våre etterforskninger kan være avgjørende for en annen kriminell etterforskning rundt om i verden. Nettkriminelle jobber internasjonalt og både mot privatpersoner, bedrifter og myndigheter, avslutter Ola Gripö.
Tekst: Politiet, Sverige
Foto / Bilde: בר, CC BY-SA 3.0
