Samstarf milli ólíkra aðila er afar mikilvægt til að koma á betra netöryggi. Í þessari grein mun ég fara yfir þær tilkynningar sem eru að berast lögreglu nú og hvernig við teljum best að berjast gegn þeim hættum sem eru þeim samfara, nú og í framtíð.

Það má skipta þeim sem beita netbrotum í þrjá mismunandi hópa. Fyrst er hinn hefðbundni glæpamaður, sem stundar fjársvik, fjárkúganir o.fl. í þeim dúr. Síðan þeir sem kallaðir eru hakktívistar, en það eru þeir sem brjóta af sér af einhverri hugsjón en eru ekki í brotunum til að hagnast á þeim heldur til að valda usla hjá þeim sem þeir eru á móti eða líta á sem andstæðinga sína. Að lokum eru það ríki sem eru að njósna um önnur ríki. Þær árásir eru yfirleitt mjög háþróaðar og því getur verið erfitt að berjast gegn þeim. Ég mun mest fjalla um hinn hefðbundna glæpamann, enda flestar tilkynningar til lögreglu sem snúa að þeim hópi.

Tilkynningum til lögreglu um samskiptablekkingar (e. social engineering) sem beint er gegn einstaklingum eða fyrirtækjum hefur fjölgað undanfarið. Flestir innan tölvurannsóknadeildar lögreglu þekkja dæmi um tilvik þar sem einstaklingar tilkynna ekki um brot til lögreglu vegna þess að þeir vilja ekki viðurkenna að hafa fallið fyrir slíkum blekkingum. Þetta er ekki sér íslenskt fyrirbæri, heldur vel þekkt.

Það er mjög mikilvægt að almenningur og fyrirtæki tilkynni til lögreglu ef blekkt hefur verið með þessum aðferðum, bæði til að lögregla þekki betur umfang þessara brota og ekki síður til að geta varað aðra einstaklinga og fyrirtæki við í þeim tilgangi að koma í veg fyrir frekari brot. Þeir sem stunda brotin eru yfirleitt mjög færir og má í raun tala um að þeir séu sérfræðingar í blekkingum og því ástæðulaust að skammast sín fyrir að verða fyrir barðinu á þessum einstaklingum eða hópum. Lögregla nær síður að hafa hendur í hári þeirra ef ekki er tilkynnt um brotin því tilkynningar og vitneskja um brot eru forsenda þess að lögregla geti sinnt forvörnum á þessu sviði.

Svindl gegnum tölvupóst
Þekkt form samskiptablekkinga gagnvart fyrirtækjum er tölvupóstur sem sendur er á fyrirtækið. Þá er venjulega um að ræða að einhver greiðsla sem á að fara inná ákveðinn reikning endar á allt öðrum reikningi. Þetta er gert með því að senda póst á þann starfsmann sem á að greiða reikninginn og honum bent á að mistök hafi verið gerð og hann beðinn að senda greiðsluna á annan reikning. Pósturinn virðist koma frá sama fyrirtæki og á að fá greiðsluna og því áttar fólk sig ekki á þessu fyrr en of seint.

Dæmi eru um að brotin séu töluvert flóknari og þá fylgjast brotamenn meira með starfsmönnum fyrirtækja til að bæta gæði blekkinganna. Sumir eru iðnir á samfélagsmiðlum og glæpamennirnir nota þær upplýsingar til að sjá hvað fólk er að gera og hvar það er. Þannig hafa þeir jafnvel orðið áskynja um að forstjórar fyrirtækjanna eru erlendis og senda þá póst í nafni forstjórans með fyrirmælum um að breyta greiðslum eða þess háttar. Þetta eins og margar tegundir af svona brotum krefst einungis lágmarks tölvuþekkingar en snýst miklu frekar um gæði blekkinganna.

Samstarf og tilkynningar
Lögreglan á Íslandi vinnur náið með erlendum lögregluliðum í baráttunni gegn netglæpum og þannig þurfa brotamenn að svara fyrir sína glæpi hvaðan sem þeir eru að fremja brotin. Það sem mögulega getur komið upp um þá er t.d. notendanöfn, tölvupóstföng, IP tölur eða hvað annað sem notast er við af glæpamönnunum.

Tilkynning til lögreglu um að einhver hafi orðið fyrir samskiptablekkingu gerir lögreglu kleyft að senda út tilkynningu til almennings um hvaða svikastarfsemi er í gangi á hverjum tíma og getur þannig jafnvel komið í veg fyrir að aðrir verði fyrir barðinu á þessum blekkingum. Lögreglan er með virka Facebook síðu sem er vinsæl meðal almennings auk þess sem fjölmiðlar fylgjast vel með og birta þaðan fréttir. Þetta teljum við mjög mikilvægt í baráttunni gegn netglæpum.

Spilliforrit og lekar
Það sem við sáum fyrr á þessu ári þegar tvær stórar spilliforrits (e. malware) árásir áttu sér stað, annars vegar WannaCry og hins vegar Petya eða NotPetya, er að vitundarvakning virtist verða meðal almennings. Ekki ólík þeirri vitundarvakningu sem varð með þjófnaðinum á notendaupplýsingum frá Ashley Madison. Í Ashley Madison lekanum má segja að fólk sem var ekki mikið að spá í netöryggi hafi áttað sig á því að þær upplýsingar sem það skráir á netinu geta lekið út. Sumsé áttað sig á því að fara varlega með hvaða upplýsingar það skráir.

Þessar tvær spilliforrits árásir þar sem spítalar í Bretlandi og eitt stærsta skipaflutnings¬fyrirtæki í heiminum, Maersk, urðu illa úti var fjallað ítarlega um það í fjölmiðlum og fólk varð meðvitaðra um þessa hættu. Þetta er mikilvægt því það næst ekki árangur fyrr en sem flestir þekkja til þessara brota og verða skilja mikilvægi netöryggis.

Lögregla hefur fengið tilkynningar um svona gíslatökuforrit hér á Íslandi, þó að NotPetya hafi ekki verið eiginlegt gíslatökuforrit, og hafa einstaklingar og fyrirtæki orðið fyrir barðinu á slíkum óværum. Í þeim málum má segja að fólk hafi lært að taka reglulega öryggisafrit af gögnum sínum þannig að skaðinn af svona árás verði sem minnstur.

Kúganir og svik gegnum netið
Lögreglu hafa borist tilkynningar um að einstaklingar hafi verið að kynnast öðrum einstaklingum gegnum netið á rómantískan eða kynferðislegan hátt. Tilkynningarnar sem við höfum verið að fá einnig þær að einstaklingur sem býr erlendis en vill endilega koma til landsins og heimsækja brotaþolann. Viðkomandi einstakling vantar aftur á móti pening til þess að geta komið í heimsókn til brotaþolans og fær brotaþolann til að leggja inn á sig pening. Svona svik eru vel þekkt og nánast eina leiðin til að berjast gegn svona er að tilkynna fólki um þessa hættu í samskiptum við ókunnuga, þ.e. að fólk sé meðvitað um þess konar brot.

Þá hafa einnig borist tilkynningar um að einstaklingar hafi verið í einhverjum kynferðislegum athöfnum á netinu og ekki gert sér grein fyrir því að hinn aðilinn er að taka upp og eftir á fer handhafi upptökunnar að kúga hinn um fé. Það er sama með þessi brot. Við berjumst gegn þessu með vitundarvakningu og upplýsum fólk um þessi brot.

Sú flóra af tilkynningum sem lögreglan er að fá sýnir að flestar tegundir brotanna eru ekki endilega tæknilega flóknar. Stór hluti þeirra byggist á blekkingum en ekki innbroti í tölvukerfi eða sérfræðiþekkingu á tölvum.

Símasvindl
Þá eru að berast tilkynningar um símhringingar frá erlendum númerum til fólks sem það nær ekki að svara. Fólk hringir til baka en áttar sig ekki á því að númerið er gjaldskylt og það situr uppi með reikninginn. Almennt er fólk ekki að tapa stórum upphæðum en ef margir hringja í þessi númer þá er upphæðin sem brotamaðurinn fær í hendur umtalsverð.

Einnig hafa borist tilkynningar um öllu tæknilegri brot. Þá er brotist inná IP símkerfi og þegar vinna liggur niðri hjá því fyrirtæki sem á eða er með símkerfið þá er hringt erlendis í gjaldskyld númer sem brotamennirnir eiga og getur svona brot þess vegna staðið dögum saman, t.d. ef fyrirtækið er lokað um helgar.

Framtíðin
Við höfum séð að með svokölluðum IoT (e. Internet of Things) þá eru margir framleiðendur sem hafa ekki verið að hugsa um netöryggi. Á síðasta ári sáum við tvær stórar DDoS árásir framkvæmdar með hinu svokallaða Mirai yrkjaneti (e. botnet). Þar sem netöryggi var ekki haft að leiðarljósi við gerð margs búnaðar þá var hann einfaldlega opinn fyrir því að vera sýktur og notaður í svona árásir. Þegar fólk er meðvitað um þessa hættu bregst það vonandi við henni, þ.e. kemur sér upp vörnum þannig að búnaðurinn sé ekki opinn fyrir árásum.

Lögreglan vill og þarf að vera í nánu sambandi við almenning og fyrirtæki landsins til að geta upplýst um glæpi og helst komið í veg fyrir að hægt sé að fremja þá. Það verður hægt að hluta til með aukinni vitundarvakningu sem fæst með samhentu átaki allra aðila og að öll brot séu tilkynnt til lögreglu, þannig að í það minnsta sé til vitneskja að brot hafi átt sér stað.

Hægt er að senda tölvupóst með tilkynningum um netglæpi og aðrar fyrirspurnir á: dadi.gunnarsson@lrh.is eða cybercrime@lrh.is

Höfundur Daði Gunnarsson, rannsóknarlögreglumaður