Á fimmta hundrað gætu hafa sýkst Kjartan Hreinn Njálsson skrifar 20. október 2018 10:00 Alls opnuðu 956 manns sýkta vefslóð sem barst með tölvupóstinum. Vísir/Getty Tölvur 419 manns gætu hafa sýkst í umfangsmiklum vefveiðum hakkara fyrr í þessum mánuði þegar fjöldi fólks var boðaður í skýrslutöku hjá lögreglunni á höfuðborgarsvæðinu með svikapósti. Alls opnuðu 956 manns sýkta vefslóð sem barst með tölvupóstinum. IP-tala tölvuþrjótanna heimsótti fyrst vefsíðu lögreglunnar 30. september síðastliðinn. Í gögnum sem Fréttablaðið hefur séð kemur bersýnilega fram hversu margbrotin tilraun hakkaranna var. IP-tala þeirra, sem hýst er í Amsterdam í Hollandi og er að líkindum varin af VPN-sýndarneti og Proxy-vefseli, heimsótti vefsíðu lögreglunnar fyrst klukkan 20.53 sunnudaginn 30. september. Tæplega viku seinna barst fjölda fólks svikapóstur um boðun í skýrslutöku. Til að nálgast frekari gögn var vísað á eftirmynd af síðu lögreglunnar þar sem fólk var beðið um að skrá sig inn og hala niður þjappaðri skrá sem innihalda átti gögnin. Í skránni var að finna spilliforrit sem innihélt kóða úr öðru forriti sem veitir öðrum aðila fjaraðgang að tölvu viðkomandi. Hugbúnaðurinn er yfirleitt kallaður REMCOS (e. remote control and surveillance software). Spilliforritið innihélt einnig kóða sem safnar saman upplýsingum um það sem slegið er inn á lyklaborði viðkomandi. Þessum upplýsingum er safnað saman og hlaðið upp á netþjóna í Þýskalandi og Hollandi. Ljóst er að atlagan beindist fyrst og fremst að notendum Windows-stýrikerfisins.IP-tala hakkaranna 109.202.107.147 Hýst í Amsterdam í Hollandi í gegnum þjónustuveituna Global Layer. Virðist vera VPN/Proxy sem felur hina raunverulegu IP-tölu. Með því að kanna vitjanaskrá (e. access-log) vefsíðu lögreglunnar má rekja heimsóknir IP-tölvu netþrjótanna. 30 september - Sunnudagur kl. 20:53 Fyrst heimsókn IP-tölunnar á vef lögreglunnar, logreglan.is. Vefsíðan opnuð í gegnum Google leit. IP-talan er skráð í Amsterdam í Hollandi. Lénið logregian.is er stofnað með kennitölu íslenskrar konu. 1 október - Mánudagur kl. 05:47 Logreglan.is skoðuð ítarlega og ýmsar greinar opnaðar. kl. 06:13 Hakkarar gera prufanir með útlit vefsíðunnar. Samræma útlit hinnar raunverulegu vefsíður við eftirmyndina, logregian.is kl. 06:30 Hakkarnir gera prófanir á öðrum slóðum svikapóstsins. https://logregian.is/test/saekjagogn.php og http://logregian.is/test/tilbuid.php. kl. 07:50 Lokaslóðin sem send var á póstlistann tilbúin: https://rannsoknir.logregian.is/rannsoknir/skyrslutokur/malgogn 1 október til 6 október er lokaslóðin í prófunum. Bæði út frá IP-tölu hakkaranna og frá íslenskum IP-tölum í gegnum VPN og proxy-þjónustum hér á landi. 6 október - Laugardagur kl. 05:04 IP-talan opnar PDF-skjal á vef lögreglunnar. Skjalið, sem ber heitið 'Tölvu- og netglæpir 2016,“ er opnað eftir leit frá Google. Svikpósturinn sendur á póstlista sama dag með hjá forrits á skriftumáli. Haus kl. 21:47 Fyrst íslenska IP-talan opnar slóðina sem kom með póstinum. kl. 23:02 Lögreglan á höfuðborgarsvæðinu varar við svikapóstum sem eru látnir líta eins og boðun í skýrslutöku hjá rannsóknardeild lögreglunnar. 7 október - Sunnudagur rétt eftir miðnætti Síðasta heimsókn IP-tölu hakkaranna á vef lögreglunnarÞegar kóði spilliforritsins er skoðaður kemur í ljós að eitt af meginmarkmiðum hakkaranna var að komast yfir upplýsingar er varða netbanka fólks. Þannig skimar forritið sérstaklega eftir leitarorðunum Íslandsbanki, netbanki, landsbankinn, millifrsla, innskraning, arionbanki, einkabanki.is, pin o.fl. Samkvæmt upplýsingum frá bönkunum þremur hafa ekki borist tilkynningar frá viðskiptavinum um tjón. Landsbankinn hefur gefið út hugbúnað sem kannar hvort tölva hafi sýkst af óværunni sem hægt er að nálgast á heimsíðu bankans. Einnig blasir við að hakkararnir höfðu aðgang að þjóðskrá þar sem ekki var hægt að slá inn ranga kennitölu á svikavefnum. Sama dag og IP-tala hakkaranna heimsótti vef lögreglunnar fyrst, 30. september, var lénið logregian.is stofnað með kennitölu íslenskrar konu, Thelmu Daggar Guðmundsen. Thelma Dögg greindi frá því í samtali við Fréttablaðið 7. október að tölvurþrjótar hefðu tvívegis brotist inn á heimasíðu hennar. Þeir breyttu notandanafni hennar í „Skugga sál“ en það er einmitt nafnið á þremur tengingum óværunnar við netþjóna í Þýskalandi og Hollandi; the.shadesoul.online; iam.shadesoul.online og heis.shadesoul.online. Á þeirri viku sem leið frá fyrstu heimsókn hakkaranna á vefsíðu lögreglunnar og þangað til að fyrsta IP-talan opnaði svikapóstinn gerðu þrjótarnir ítarlega úttekt á vefsvæðinu. 1. október var vefsíðan skoðuð og útlit hennar og svikasíðunnar samræmt. Næstu daga fóru fram frekari prófanir, bæði í gegnum hollensku IP-töluna og IP-tölu í gegnum íslenskar VPN- og proxy-þjónustur. Athygli vekur að stuttu áður en svikapósturinn var sendur á póstlistann var IP-tala hakkaranna notuð til að opna PDF-skjal á vef lögreglunnar. Það skjal ber heitið „Tölvu- og netglæpir 2016“. Þessi skýrsla frá greiningardeild Ríkislögreglustjóra fjallar um helstu ógnir á sviði tölvu- og netglæpa. Í skýrslunni er að finna skilgreiningu á þessari aðferð hakkaranna: „Á síðastliðnum árum hafa háþróaðar tölvuárásir í mörgum tilvikum byggt á vefveiðum (e. spear phishing) en þær eru ákveðin tegund svika á netinu þar sem einhver reynir að fá notendur til að gefa upp viðkvæmar upplýsingar á borð við aðgangsorð eða kreditkortaupplýsingar. Vefveiðar fara oft fram í gegnum tölvupóst, auglýsingar eða önnur samskipti.“ Tæknifyrirtækið Netheimur hýsir vef lögreglunnar. Fyrirtækið var beðið um að kanna umferð um vefinn í aðdraganda svikasendingarinnar. „Við sáum fljótt að þarna var óeðlileg hegðun hjá þessari IP-tölu,“ segir Guðmundur Ingi Hjartarson, framkvæmdastjóri Netheims. „Og af því að þeir voru ekki að hylja slóð sína nógu vel þá var hægt að rekja þessa umferð.“ Netveiðar og óværur eru hluti af internetinu og verða það í fyrirsjáanlegri framtíð. Því ríður á að fólk sé ávallt á varðbergi, að mati Guðmundar. Athuga þurfi lén áður en smellt er á hlekki. Þá sé sérstaklega mikilvægt að hugsa sig tvisvar um áður en maður er beðinn um að samþykkja eitthvað eða hala einhverju niður, eins og í tilfelli svikapóstsins. Guðmundur telur að óværan hefði getað náð til miklu fleiri einstaklinga hefði lögregla ekki varað við svikapóstinum. Það hjálpaði til að netþrjótarnir völdu afar slæma tímasetningu fyrir sendingu skilaboðanna. Líklega hefðu mál þróast með öðrum hætti hefðu skilaboðin borist á virkum degi. „Þeir sem hafa sýkst verða að skipta um lykilorð og uppfæra vélarnar sínar, vera með öryggis- og vírusvarnir í lagi,“ segir Guðmundur og vísar til hugbúnaðar á borð við Sophos sem veitir vörn gegn óværum eins og þeim sem komu með svikapóstinum. Birtist í Fréttablaðinu Tækni Tengdar fréttir Segir að sá sem sendi svikapóstana hafi einblínt á heimabanka fólks Málið er litið alvarlegum augum innan lögreglunnar 7. október 2018 19:30 Notaði kennitölu áhrifavalds til að kaupa lénið undir svikapóstana Óprúttinn aðili sem sendi svikapósta út í gær þar sem fólk var boðað í skýrslutöku til lögreglu notaði persónulegar upplýsingar Thelmu Daggar Guðmundsen sem heldur úti vinsælum Instagram reikningi. 7. október 2018 20:19 Segir mikilvægt að komast að því hvort hakkararnir náðu í umrædd gögn "Þetta er mjög alvarlegur hlutur“ 30. september 2018 19:45 Mest lesið Spennan magnast fyrir fundi sem óvænt á að fresta Innlent Tíu ára drengur sagður látinn eftir bílslys á Ítalíu Erlent Leit við Meradali í snælduvitlausu veðri Innlent Innan marka að kalla fjárfesta „nútíma þrælahaldara“ Innlent Hætta leitinni í Meradölum Innlent Lögregla hafi hálfpartinn „hrökklast frá“ Innlent Lygileg atburðarás í Landsbankanum Innlent Skip úr skuggaflotanum hægði grunsamlega mikið á sér Erlent „Svarta ekkjan“ fannst látin Erlent Reyndu að ræna hraðbanka Innlent Fleiri fréttir Verið að athuga frekari þvingunaraðgerðir Sjálfstæðismönnum brugðið yfir mögulegri frestun landsfundar Lygileg atburðarás í Landsbankanum Rann á snjóruðningstæki og bíllinn ókökuhæfur Öryggisógn í Eystrasaltinu og óskiljanlegur „gjörningur“ lögreglu Tveir bílar rákust saman á brúnni við Fossála Veit vel að önnur kjör en laun þurfi að ræða Hætta leitinni í Meradölum Innan marka að kalla fjárfesta „nútíma þrælahaldara“ Súðavíkurhlíð opin á ný Leit við Meradali í snælduvitlausu veðri Búið að opna Holtavörðuheiði á ný Þungar vikur framundan Skilaréttur neytenda ríkari ef varan er keypt á netinu Lögregla hafi hálfpartinn „hrökklast frá“ Hæstiréttur fer beint í búvörulagamálið Spennan magnast fyrir fundi sem óvænt á að fresta Grímuskylda og ósáttir vínsalar Holtavörðuheiði enn lokuð Reyndu að ræna hraðbanka Komu hesti til bjargar úr gjótu Icelandair skoðar næstu skref í þróun flugflotans Áfram töluverð snjóflóðahætta á Vestfjörðum Áfengissala á helgidögum þjóðkirkjunnar stöðvuð af lögreglu Snjóflóðahætta á Vestfjörðum og frumsýning Yermu Holtavörðuheiðinni lokað aftur í kvöld Sex voru fluttir með þyrlunni Gamla ríkið falt og milljónir fylgja Telja skemmdir í Bláfjöllum minniháttar Súðavíkurhlíð opin til 16 Sjá meira
Tölvur 419 manns gætu hafa sýkst í umfangsmiklum vefveiðum hakkara fyrr í þessum mánuði þegar fjöldi fólks var boðaður í skýrslutöku hjá lögreglunni á höfuðborgarsvæðinu með svikapósti. Alls opnuðu 956 manns sýkta vefslóð sem barst með tölvupóstinum. IP-tala tölvuþrjótanna heimsótti fyrst vefsíðu lögreglunnar 30. september síðastliðinn. Í gögnum sem Fréttablaðið hefur séð kemur bersýnilega fram hversu margbrotin tilraun hakkaranna var. IP-tala þeirra, sem hýst er í Amsterdam í Hollandi og er að líkindum varin af VPN-sýndarneti og Proxy-vefseli, heimsótti vefsíðu lögreglunnar fyrst klukkan 20.53 sunnudaginn 30. september. Tæplega viku seinna barst fjölda fólks svikapóstur um boðun í skýrslutöku. Til að nálgast frekari gögn var vísað á eftirmynd af síðu lögreglunnar þar sem fólk var beðið um að skrá sig inn og hala niður þjappaðri skrá sem innihalda átti gögnin. Í skránni var að finna spilliforrit sem innihélt kóða úr öðru forriti sem veitir öðrum aðila fjaraðgang að tölvu viðkomandi. Hugbúnaðurinn er yfirleitt kallaður REMCOS (e. remote control and surveillance software). Spilliforritið innihélt einnig kóða sem safnar saman upplýsingum um það sem slegið er inn á lyklaborði viðkomandi. Þessum upplýsingum er safnað saman og hlaðið upp á netþjóna í Þýskalandi og Hollandi. Ljóst er að atlagan beindist fyrst og fremst að notendum Windows-stýrikerfisins.IP-tala hakkaranna 109.202.107.147 Hýst í Amsterdam í Hollandi í gegnum þjónustuveituna Global Layer. Virðist vera VPN/Proxy sem felur hina raunverulegu IP-tölu. Með því að kanna vitjanaskrá (e. access-log) vefsíðu lögreglunnar má rekja heimsóknir IP-tölvu netþrjótanna. 30 september - Sunnudagur kl. 20:53 Fyrst heimsókn IP-tölunnar á vef lögreglunnar, logreglan.is. Vefsíðan opnuð í gegnum Google leit. IP-talan er skráð í Amsterdam í Hollandi. Lénið logregian.is er stofnað með kennitölu íslenskrar konu. 1 október - Mánudagur kl. 05:47 Logreglan.is skoðuð ítarlega og ýmsar greinar opnaðar. kl. 06:13 Hakkarar gera prufanir með útlit vefsíðunnar. Samræma útlit hinnar raunverulegu vefsíður við eftirmyndina, logregian.is kl. 06:30 Hakkarnir gera prófanir á öðrum slóðum svikapóstsins. https://logregian.is/test/saekjagogn.php og http://logregian.is/test/tilbuid.php. kl. 07:50 Lokaslóðin sem send var á póstlistann tilbúin: https://rannsoknir.logregian.is/rannsoknir/skyrslutokur/malgogn 1 október til 6 október er lokaslóðin í prófunum. Bæði út frá IP-tölu hakkaranna og frá íslenskum IP-tölum í gegnum VPN og proxy-þjónustum hér á landi. 6 október - Laugardagur kl. 05:04 IP-talan opnar PDF-skjal á vef lögreglunnar. Skjalið, sem ber heitið 'Tölvu- og netglæpir 2016,“ er opnað eftir leit frá Google. Svikpósturinn sendur á póstlista sama dag með hjá forrits á skriftumáli. Haus kl. 21:47 Fyrst íslenska IP-talan opnar slóðina sem kom með póstinum. kl. 23:02 Lögreglan á höfuðborgarsvæðinu varar við svikapóstum sem eru látnir líta eins og boðun í skýrslutöku hjá rannsóknardeild lögreglunnar. 7 október - Sunnudagur rétt eftir miðnætti Síðasta heimsókn IP-tölu hakkaranna á vef lögreglunnarÞegar kóði spilliforritsins er skoðaður kemur í ljós að eitt af meginmarkmiðum hakkaranna var að komast yfir upplýsingar er varða netbanka fólks. Þannig skimar forritið sérstaklega eftir leitarorðunum Íslandsbanki, netbanki, landsbankinn, millifrsla, innskraning, arionbanki, einkabanki.is, pin o.fl. Samkvæmt upplýsingum frá bönkunum þremur hafa ekki borist tilkynningar frá viðskiptavinum um tjón. Landsbankinn hefur gefið út hugbúnað sem kannar hvort tölva hafi sýkst af óværunni sem hægt er að nálgast á heimsíðu bankans. Einnig blasir við að hakkararnir höfðu aðgang að þjóðskrá þar sem ekki var hægt að slá inn ranga kennitölu á svikavefnum. Sama dag og IP-tala hakkaranna heimsótti vef lögreglunnar fyrst, 30. september, var lénið logregian.is stofnað með kennitölu íslenskrar konu, Thelmu Daggar Guðmundsen. Thelma Dögg greindi frá því í samtali við Fréttablaðið 7. október að tölvurþrjótar hefðu tvívegis brotist inn á heimasíðu hennar. Þeir breyttu notandanafni hennar í „Skugga sál“ en það er einmitt nafnið á þremur tengingum óværunnar við netþjóna í Þýskalandi og Hollandi; the.shadesoul.online; iam.shadesoul.online og heis.shadesoul.online. Á þeirri viku sem leið frá fyrstu heimsókn hakkaranna á vefsíðu lögreglunnar og þangað til að fyrsta IP-talan opnaði svikapóstinn gerðu þrjótarnir ítarlega úttekt á vefsvæðinu. 1. október var vefsíðan skoðuð og útlit hennar og svikasíðunnar samræmt. Næstu daga fóru fram frekari prófanir, bæði í gegnum hollensku IP-töluna og IP-tölu í gegnum íslenskar VPN- og proxy-þjónustur. Athygli vekur að stuttu áður en svikapósturinn var sendur á póstlistann var IP-tala hakkaranna notuð til að opna PDF-skjal á vef lögreglunnar. Það skjal ber heitið „Tölvu- og netglæpir 2016“. Þessi skýrsla frá greiningardeild Ríkislögreglustjóra fjallar um helstu ógnir á sviði tölvu- og netglæpa. Í skýrslunni er að finna skilgreiningu á þessari aðferð hakkaranna: „Á síðastliðnum árum hafa háþróaðar tölvuárásir í mörgum tilvikum byggt á vefveiðum (e. spear phishing) en þær eru ákveðin tegund svika á netinu þar sem einhver reynir að fá notendur til að gefa upp viðkvæmar upplýsingar á borð við aðgangsorð eða kreditkortaupplýsingar. Vefveiðar fara oft fram í gegnum tölvupóst, auglýsingar eða önnur samskipti.“ Tæknifyrirtækið Netheimur hýsir vef lögreglunnar. Fyrirtækið var beðið um að kanna umferð um vefinn í aðdraganda svikasendingarinnar. „Við sáum fljótt að þarna var óeðlileg hegðun hjá þessari IP-tölu,“ segir Guðmundur Ingi Hjartarson, framkvæmdastjóri Netheims. „Og af því að þeir voru ekki að hylja slóð sína nógu vel þá var hægt að rekja þessa umferð.“ Netveiðar og óværur eru hluti af internetinu og verða það í fyrirsjáanlegri framtíð. Því ríður á að fólk sé ávallt á varðbergi, að mati Guðmundar. Athuga þurfi lén áður en smellt er á hlekki. Þá sé sérstaklega mikilvægt að hugsa sig tvisvar um áður en maður er beðinn um að samþykkja eitthvað eða hala einhverju niður, eins og í tilfelli svikapóstsins. Guðmundur telur að óværan hefði getað náð til miklu fleiri einstaklinga hefði lögregla ekki varað við svikapóstinum. Það hjálpaði til að netþrjótarnir völdu afar slæma tímasetningu fyrir sendingu skilaboðanna. Líklega hefðu mál þróast með öðrum hætti hefðu skilaboðin borist á virkum degi. „Þeir sem hafa sýkst verða að skipta um lykilorð og uppfæra vélarnar sínar, vera með öryggis- og vírusvarnir í lagi,“ segir Guðmundur og vísar til hugbúnaðar á borð við Sophos sem veitir vörn gegn óværum eins og þeim sem komu með svikapóstinum.
Birtist í Fréttablaðinu Tækni Tengdar fréttir Segir að sá sem sendi svikapóstana hafi einblínt á heimabanka fólks Málið er litið alvarlegum augum innan lögreglunnar 7. október 2018 19:30 Notaði kennitölu áhrifavalds til að kaupa lénið undir svikapóstana Óprúttinn aðili sem sendi svikapósta út í gær þar sem fólk var boðað í skýrslutöku til lögreglu notaði persónulegar upplýsingar Thelmu Daggar Guðmundsen sem heldur úti vinsælum Instagram reikningi. 7. október 2018 20:19 Segir mikilvægt að komast að því hvort hakkararnir náðu í umrædd gögn "Þetta er mjög alvarlegur hlutur“ 30. september 2018 19:45 Mest lesið Spennan magnast fyrir fundi sem óvænt á að fresta Innlent Tíu ára drengur sagður látinn eftir bílslys á Ítalíu Erlent Leit við Meradali í snælduvitlausu veðri Innlent Innan marka að kalla fjárfesta „nútíma þrælahaldara“ Innlent Hætta leitinni í Meradölum Innlent Lögregla hafi hálfpartinn „hrökklast frá“ Innlent Lygileg atburðarás í Landsbankanum Innlent Skip úr skuggaflotanum hægði grunsamlega mikið á sér Erlent „Svarta ekkjan“ fannst látin Erlent Reyndu að ræna hraðbanka Innlent Fleiri fréttir Verið að athuga frekari þvingunaraðgerðir Sjálfstæðismönnum brugðið yfir mögulegri frestun landsfundar Lygileg atburðarás í Landsbankanum Rann á snjóruðningstæki og bíllinn ókökuhæfur Öryggisógn í Eystrasaltinu og óskiljanlegur „gjörningur“ lögreglu Tveir bílar rákust saman á brúnni við Fossála Veit vel að önnur kjör en laun þurfi að ræða Hætta leitinni í Meradölum Innan marka að kalla fjárfesta „nútíma þrælahaldara“ Súðavíkurhlíð opin á ný Leit við Meradali í snælduvitlausu veðri Búið að opna Holtavörðuheiði á ný Þungar vikur framundan Skilaréttur neytenda ríkari ef varan er keypt á netinu Lögregla hafi hálfpartinn „hrökklast frá“ Hæstiréttur fer beint í búvörulagamálið Spennan magnast fyrir fundi sem óvænt á að fresta Grímuskylda og ósáttir vínsalar Holtavörðuheiði enn lokuð Reyndu að ræna hraðbanka Komu hesti til bjargar úr gjótu Icelandair skoðar næstu skref í þróun flugflotans Áfram töluverð snjóflóðahætta á Vestfjörðum Áfengissala á helgidögum þjóðkirkjunnar stöðvuð af lögreglu Snjóflóðahætta á Vestfjörðum og frumsýning Yermu Holtavörðuheiðinni lokað aftur í kvöld Sex voru fluttir með þyrlunni Gamla ríkið falt og milljónir fylgja Telja skemmdir í Bláfjöllum minniháttar Súðavíkurhlíð opin til 16 Sjá meira
Segir að sá sem sendi svikapóstana hafi einblínt á heimabanka fólks Málið er litið alvarlegum augum innan lögreglunnar 7. október 2018 19:30
Notaði kennitölu áhrifavalds til að kaupa lénið undir svikapóstana Óprúttinn aðili sem sendi svikapósta út í gær þar sem fólk var boðað í skýrslutöku til lögreglu notaði persónulegar upplýsingar Thelmu Daggar Guðmundsen sem heldur úti vinsælum Instagram reikningi. 7. október 2018 20:19
Segir mikilvægt að komast að því hvort hakkararnir náðu í umrædd gögn "Þetta er mjög alvarlegur hlutur“ 30. september 2018 19:45