Á fimmta hundrað gætu hafa sýkst Kjartan Hreinn Njálsson skrifar 20. október 2018 10:00 Alls opnuðu 956 manns sýkta vefslóð sem barst með tölvupóstinum. Vísir/Getty Tölvur 419 manns gætu hafa sýkst í umfangsmiklum vefveiðum hakkara fyrr í þessum mánuði þegar fjöldi fólks var boðaður í skýrslutöku hjá lögreglunni á höfuðborgarsvæðinu með svikapósti. Alls opnuðu 956 manns sýkta vefslóð sem barst með tölvupóstinum. IP-tala tölvuþrjótanna heimsótti fyrst vefsíðu lögreglunnar 30. september síðastliðinn. Í gögnum sem Fréttablaðið hefur séð kemur bersýnilega fram hversu margbrotin tilraun hakkaranna var. IP-tala þeirra, sem hýst er í Amsterdam í Hollandi og er að líkindum varin af VPN-sýndarneti og Proxy-vefseli, heimsótti vefsíðu lögreglunnar fyrst klukkan 20.53 sunnudaginn 30. september. Tæplega viku seinna barst fjölda fólks svikapóstur um boðun í skýrslutöku. Til að nálgast frekari gögn var vísað á eftirmynd af síðu lögreglunnar þar sem fólk var beðið um að skrá sig inn og hala niður þjappaðri skrá sem innihalda átti gögnin. Í skránni var að finna spilliforrit sem innihélt kóða úr öðru forriti sem veitir öðrum aðila fjaraðgang að tölvu viðkomandi. Hugbúnaðurinn er yfirleitt kallaður REMCOS (e. remote control and surveillance software). Spilliforritið innihélt einnig kóða sem safnar saman upplýsingum um það sem slegið er inn á lyklaborði viðkomandi. Þessum upplýsingum er safnað saman og hlaðið upp á netþjóna í Þýskalandi og Hollandi. Ljóst er að atlagan beindist fyrst og fremst að notendum Windows-stýrikerfisins.IP-tala hakkaranna 109.202.107.147 Hýst í Amsterdam í Hollandi í gegnum þjónustuveituna Global Layer. Virðist vera VPN/Proxy sem felur hina raunverulegu IP-tölu. Með því að kanna vitjanaskrá (e. access-log) vefsíðu lögreglunnar má rekja heimsóknir IP-tölvu netþrjótanna. 30 september - Sunnudagur kl. 20:53 Fyrst heimsókn IP-tölunnar á vef lögreglunnar, logreglan.is. Vefsíðan opnuð í gegnum Google leit. IP-talan er skráð í Amsterdam í Hollandi. Lénið logregian.is er stofnað með kennitölu íslenskrar konu. 1 október - Mánudagur kl. 05:47 Logreglan.is skoðuð ítarlega og ýmsar greinar opnaðar. kl. 06:13 Hakkarar gera prufanir með útlit vefsíðunnar. Samræma útlit hinnar raunverulegu vefsíður við eftirmyndina, logregian.is kl. 06:30 Hakkarnir gera prófanir á öðrum slóðum svikapóstsins. https://logregian.is/test/saekjagogn.php og http://logregian.is/test/tilbuid.php. kl. 07:50 Lokaslóðin sem send var á póstlistann tilbúin: https://rannsoknir.logregian.is/rannsoknir/skyrslutokur/malgogn 1 október til 6 október er lokaslóðin í prófunum. Bæði út frá IP-tölu hakkaranna og frá íslenskum IP-tölum í gegnum VPN og proxy-þjónustum hér á landi. 6 október - Laugardagur kl. 05:04 IP-talan opnar PDF-skjal á vef lögreglunnar. Skjalið, sem ber heitið 'Tölvu- og netglæpir 2016,“ er opnað eftir leit frá Google. Svikpósturinn sendur á póstlista sama dag með hjá forrits á skriftumáli. Haus kl. 21:47 Fyrst íslenska IP-talan opnar slóðina sem kom með póstinum. kl. 23:02 Lögreglan á höfuðborgarsvæðinu varar við svikapóstum sem eru látnir líta eins og boðun í skýrslutöku hjá rannsóknardeild lögreglunnar. 7 október - Sunnudagur rétt eftir miðnætti Síðasta heimsókn IP-tölu hakkaranna á vef lögreglunnarÞegar kóði spilliforritsins er skoðaður kemur í ljós að eitt af meginmarkmiðum hakkaranna var að komast yfir upplýsingar er varða netbanka fólks. Þannig skimar forritið sérstaklega eftir leitarorðunum Íslandsbanki, netbanki, landsbankinn, millifrsla, innskraning, arionbanki, einkabanki.is, pin o.fl. Samkvæmt upplýsingum frá bönkunum þremur hafa ekki borist tilkynningar frá viðskiptavinum um tjón. Landsbankinn hefur gefið út hugbúnað sem kannar hvort tölva hafi sýkst af óværunni sem hægt er að nálgast á heimsíðu bankans. Einnig blasir við að hakkararnir höfðu aðgang að þjóðskrá þar sem ekki var hægt að slá inn ranga kennitölu á svikavefnum. Sama dag og IP-tala hakkaranna heimsótti vef lögreglunnar fyrst, 30. september, var lénið logregian.is stofnað með kennitölu íslenskrar konu, Thelmu Daggar Guðmundsen. Thelma Dögg greindi frá því í samtali við Fréttablaðið 7. október að tölvurþrjótar hefðu tvívegis brotist inn á heimasíðu hennar. Þeir breyttu notandanafni hennar í „Skugga sál“ en það er einmitt nafnið á þremur tengingum óværunnar við netþjóna í Þýskalandi og Hollandi; the.shadesoul.online; iam.shadesoul.online og heis.shadesoul.online. Á þeirri viku sem leið frá fyrstu heimsókn hakkaranna á vefsíðu lögreglunnar og þangað til að fyrsta IP-talan opnaði svikapóstinn gerðu þrjótarnir ítarlega úttekt á vefsvæðinu. 1. október var vefsíðan skoðuð og útlit hennar og svikasíðunnar samræmt. Næstu daga fóru fram frekari prófanir, bæði í gegnum hollensku IP-töluna og IP-tölu í gegnum íslenskar VPN- og proxy-þjónustur. Athygli vekur að stuttu áður en svikapósturinn var sendur á póstlistann var IP-tala hakkaranna notuð til að opna PDF-skjal á vef lögreglunnar. Það skjal ber heitið „Tölvu- og netglæpir 2016“. Þessi skýrsla frá greiningardeild Ríkislögreglustjóra fjallar um helstu ógnir á sviði tölvu- og netglæpa. Í skýrslunni er að finna skilgreiningu á þessari aðferð hakkaranna: „Á síðastliðnum árum hafa háþróaðar tölvuárásir í mörgum tilvikum byggt á vefveiðum (e. spear phishing) en þær eru ákveðin tegund svika á netinu þar sem einhver reynir að fá notendur til að gefa upp viðkvæmar upplýsingar á borð við aðgangsorð eða kreditkortaupplýsingar. Vefveiðar fara oft fram í gegnum tölvupóst, auglýsingar eða önnur samskipti.“ Tæknifyrirtækið Netheimur hýsir vef lögreglunnar. Fyrirtækið var beðið um að kanna umferð um vefinn í aðdraganda svikasendingarinnar. „Við sáum fljótt að þarna var óeðlileg hegðun hjá þessari IP-tölu,“ segir Guðmundur Ingi Hjartarson, framkvæmdastjóri Netheims. „Og af því að þeir voru ekki að hylja slóð sína nógu vel þá var hægt að rekja þessa umferð.“ Netveiðar og óværur eru hluti af internetinu og verða það í fyrirsjáanlegri framtíð. Því ríður á að fólk sé ávallt á varðbergi, að mati Guðmundar. Athuga þurfi lén áður en smellt er á hlekki. Þá sé sérstaklega mikilvægt að hugsa sig tvisvar um áður en maður er beðinn um að samþykkja eitthvað eða hala einhverju niður, eins og í tilfelli svikapóstsins. Guðmundur telur að óværan hefði getað náð til miklu fleiri einstaklinga hefði lögregla ekki varað við svikapóstinum. Það hjálpaði til að netþrjótarnir völdu afar slæma tímasetningu fyrir sendingu skilaboðanna. Líklega hefðu mál þróast með öðrum hætti hefðu skilaboðin borist á virkum degi. „Þeir sem hafa sýkst verða að skipta um lykilorð og uppfæra vélarnar sínar, vera með öryggis- og vírusvarnir í lagi,“ segir Guðmundur og vísar til hugbúnaðar á borð við Sophos sem veitir vörn gegn óværum eins og þeim sem komu með svikapóstinum. Birtist í Fréttablaðinu Tækni Tengdar fréttir Segir að sá sem sendi svikapóstana hafi einblínt á heimabanka fólks Málið er litið alvarlegum augum innan lögreglunnar 7. október 2018 19:30 Notaði kennitölu áhrifavalds til að kaupa lénið undir svikapóstana Óprúttinn aðili sem sendi svikapósta út í gær þar sem fólk var boðað í skýrslutöku til lögreglu notaði persónulegar upplýsingar Thelmu Daggar Guðmundsen sem heldur úti vinsælum Instagram reikningi. 7. október 2018 20:19 Segir mikilvægt að komast að því hvort hakkararnir náðu í umrædd gögn "Þetta er mjög alvarlegur hlutur“ 30. september 2018 19:45 Mest lesið Á bak við auglýsingarnar um Dag en skráður í Samfylkinguna Innlent Boeing þota hrapaði í garð íbúðarhúss Erlent Dagur hvetur alla Sjálfstæðismenn til að strika sig út Innlent Kosningavaktin: Íslendingar ganga að kjörborðinu Innlent Frægasti köttur landsins týndur Innlent Þrír menn handteknir eftir að þeir ruddust inn á heimili Innlent Ræktar banana í Hafnarfirði með góðum árangri Innlent „Árleg æfing í vonbrigðum“ Innlent Enginn drukkinn jólasveinn í jólaþorpi Hafnarfjarðar Innlent Óvæntar niðurstöður í fyrri umferð kosninga í Rúmeníu Erlent Fleiri fréttir Góður árangur af hraunkælingu við varnargarðana Dagur hvetur alla Sjálfstæðismenn til að strika sig út Vara við gosmengun á nærliggjandi svæðum í dag Þrír menn handteknir eftir að þeir ruddust inn á heimili „Árleg æfing í vonbrigðum“ Fyrstu lotu læknaverkfalls aflýst Á bak við auglýsingarnar um Dag en skráður í Samfylkinguna Ræktar banana í Hafnarfirði með góðum árangri Frægasti köttur landsins týndur Enginn drukkinn jólasveinn í jólaþorpi Hafnarfjarðar Engar ruslatunnur í Grindavík Kapphlaup við tímann í Karphúsinu og eggjaskortur í aðdraganda jóla Í símanum undir stýri og bíllinn mikið skemmdur Læknar á lokastigi og nýr taktur hjá kennurum Biskup fagnar hækkun sóknargjalda Sundhnúksgígaröðin að verða búin Vinstrið muni bera sigur úr býtum að öllu óbreyttu Breyting á eldgosinu og stór dagur í Karphúsinu Ögurstund runnin upp í Karphúsinu Fjölskyldan brást vel við nýju húðflúri þingmannsins Kæla öll „hraunaugu“ og loka þeim Minni virkni í miðgígnum Vextir og kosningar í Sprengisandi Réttindalausir stútar á ferðinni Engar sýnilegar breytingar á hraunflæði eða krafti Ók á ljósastaur við Grensásveg Eldur kviknaði í bíl í Mosfellsbæ Læknar fara þokkalega bjartsýnir inn í morgundaginn Viðreisn stærst samkvæmt nýrri kosningaspá en mjótt á munum Sjálfstæðisflokkurinn hafi lagt til niðurskurð á hverju ári Sjá meira
Tölvur 419 manns gætu hafa sýkst í umfangsmiklum vefveiðum hakkara fyrr í þessum mánuði þegar fjöldi fólks var boðaður í skýrslutöku hjá lögreglunni á höfuðborgarsvæðinu með svikapósti. Alls opnuðu 956 manns sýkta vefslóð sem barst með tölvupóstinum. IP-tala tölvuþrjótanna heimsótti fyrst vefsíðu lögreglunnar 30. september síðastliðinn. Í gögnum sem Fréttablaðið hefur séð kemur bersýnilega fram hversu margbrotin tilraun hakkaranna var. IP-tala þeirra, sem hýst er í Amsterdam í Hollandi og er að líkindum varin af VPN-sýndarneti og Proxy-vefseli, heimsótti vefsíðu lögreglunnar fyrst klukkan 20.53 sunnudaginn 30. september. Tæplega viku seinna barst fjölda fólks svikapóstur um boðun í skýrslutöku. Til að nálgast frekari gögn var vísað á eftirmynd af síðu lögreglunnar þar sem fólk var beðið um að skrá sig inn og hala niður þjappaðri skrá sem innihalda átti gögnin. Í skránni var að finna spilliforrit sem innihélt kóða úr öðru forriti sem veitir öðrum aðila fjaraðgang að tölvu viðkomandi. Hugbúnaðurinn er yfirleitt kallaður REMCOS (e. remote control and surveillance software). Spilliforritið innihélt einnig kóða sem safnar saman upplýsingum um það sem slegið er inn á lyklaborði viðkomandi. Þessum upplýsingum er safnað saman og hlaðið upp á netþjóna í Þýskalandi og Hollandi. Ljóst er að atlagan beindist fyrst og fremst að notendum Windows-stýrikerfisins.IP-tala hakkaranna 109.202.107.147 Hýst í Amsterdam í Hollandi í gegnum þjónustuveituna Global Layer. Virðist vera VPN/Proxy sem felur hina raunverulegu IP-tölu. Með því að kanna vitjanaskrá (e. access-log) vefsíðu lögreglunnar má rekja heimsóknir IP-tölvu netþrjótanna. 30 september - Sunnudagur kl. 20:53 Fyrst heimsókn IP-tölunnar á vef lögreglunnar, logreglan.is. Vefsíðan opnuð í gegnum Google leit. IP-talan er skráð í Amsterdam í Hollandi. Lénið logregian.is er stofnað með kennitölu íslenskrar konu. 1 október - Mánudagur kl. 05:47 Logreglan.is skoðuð ítarlega og ýmsar greinar opnaðar. kl. 06:13 Hakkarar gera prufanir með útlit vefsíðunnar. Samræma útlit hinnar raunverulegu vefsíður við eftirmyndina, logregian.is kl. 06:30 Hakkarnir gera prófanir á öðrum slóðum svikapóstsins. https://logregian.is/test/saekjagogn.php og http://logregian.is/test/tilbuid.php. kl. 07:50 Lokaslóðin sem send var á póstlistann tilbúin: https://rannsoknir.logregian.is/rannsoknir/skyrslutokur/malgogn 1 október til 6 október er lokaslóðin í prófunum. Bæði út frá IP-tölu hakkaranna og frá íslenskum IP-tölum í gegnum VPN og proxy-þjónustum hér á landi. 6 október - Laugardagur kl. 05:04 IP-talan opnar PDF-skjal á vef lögreglunnar. Skjalið, sem ber heitið 'Tölvu- og netglæpir 2016,“ er opnað eftir leit frá Google. Svikpósturinn sendur á póstlista sama dag með hjá forrits á skriftumáli. Haus kl. 21:47 Fyrst íslenska IP-talan opnar slóðina sem kom með póstinum. kl. 23:02 Lögreglan á höfuðborgarsvæðinu varar við svikapóstum sem eru látnir líta eins og boðun í skýrslutöku hjá rannsóknardeild lögreglunnar. 7 október - Sunnudagur rétt eftir miðnætti Síðasta heimsókn IP-tölu hakkaranna á vef lögreglunnarÞegar kóði spilliforritsins er skoðaður kemur í ljós að eitt af meginmarkmiðum hakkaranna var að komast yfir upplýsingar er varða netbanka fólks. Þannig skimar forritið sérstaklega eftir leitarorðunum Íslandsbanki, netbanki, landsbankinn, millifrsla, innskraning, arionbanki, einkabanki.is, pin o.fl. Samkvæmt upplýsingum frá bönkunum þremur hafa ekki borist tilkynningar frá viðskiptavinum um tjón. Landsbankinn hefur gefið út hugbúnað sem kannar hvort tölva hafi sýkst af óværunni sem hægt er að nálgast á heimsíðu bankans. Einnig blasir við að hakkararnir höfðu aðgang að þjóðskrá þar sem ekki var hægt að slá inn ranga kennitölu á svikavefnum. Sama dag og IP-tala hakkaranna heimsótti vef lögreglunnar fyrst, 30. september, var lénið logregian.is stofnað með kennitölu íslenskrar konu, Thelmu Daggar Guðmundsen. Thelma Dögg greindi frá því í samtali við Fréttablaðið 7. október að tölvurþrjótar hefðu tvívegis brotist inn á heimasíðu hennar. Þeir breyttu notandanafni hennar í „Skugga sál“ en það er einmitt nafnið á þremur tengingum óværunnar við netþjóna í Þýskalandi og Hollandi; the.shadesoul.online; iam.shadesoul.online og heis.shadesoul.online. Á þeirri viku sem leið frá fyrstu heimsókn hakkaranna á vefsíðu lögreglunnar og þangað til að fyrsta IP-talan opnaði svikapóstinn gerðu þrjótarnir ítarlega úttekt á vefsvæðinu. 1. október var vefsíðan skoðuð og útlit hennar og svikasíðunnar samræmt. Næstu daga fóru fram frekari prófanir, bæði í gegnum hollensku IP-töluna og IP-tölu í gegnum íslenskar VPN- og proxy-þjónustur. Athygli vekur að stuttu áður en svikapósturinn var sendur á póstlistann var IP-tala hakkaranna notuð til að opna PDF-skjal á vef lögreglunnar. Það skjal ber heitið „Tölvu- og netglæpir 2016“. Þessi skýrsla frá greiningardeild Ríkislögreglustjóra fjallar um helstu ógnir á sviði tölvu- og netglæpa. Í skýrslunni er að finna skilgreiningu á þessari aðferð hakkaranna: „Á síðastliðnum árum hafa háþróaðar tölvuárásir í mörgum tilvikum byggt á vefveiðum (e. spear phishing) en þær eru ákveðin tegund svika á netinu þar sem einhver reynir að fá notendur til að gefa upp viðkvæmar upplýsingar á borð við aðgangsorð eða kreditkortaupplýsingar. Vefveiðar fara oft fram í gegnum tölvupóst, auglýsingar eða önnur samskipti.“ Tæknifyrirtækið Netheimur hýsir vef lögreglunnar. Fyrirtækið var beðið um að kanna umferð um vefinn í aðdraganda svikasendingarinnar. „Við sáum fljótt að þarna var óeðlileg hegðun hjá þessari IP-tölu,“ segir Guðmundur Ingi Hjartarson, framkvæmdastjóri Netheims. „Og af því að þeir voru ekki að hylja slóð sína nógu vel þá var hægt að rekja þessa umferð.“ Netveiðar og óværur eru hluti af internetinu og verða það í fyrirsjáanlegri framtíð. Því ríður á að fólk sé ávallt á varðbergi, að mati Guðmundar. Athuga þurfi lén áður en smellt er á hlekki. Þá sé sérstaklega mikilvægt að hugsa sig tvisvar um áður en maður er beðinn um að samþykkja eitthvað eða hala einhverju niður, eins og í tilfelli svikapóstsins. Guðmundur telur að óværan hefði getað náð til miklu fleiri einstaklinga hefði lögregla ekki varað við svikapóstinum. Það hjálpaði til að netþrjótarnir völdu afar slæma tímasetningu fyrir sendingu skilaboðanna. Líklega hefðu mál þróast með öðrum hætti hefðu skilaboðin borist á virkum degi. „Þeir sem hafa sýkst verða að skipta um lykilorð og uppfæra vélarnar sínar, vera með öryggis- og vírusvarnir í lagi,“ segir Guðmundur og vísar til hugbúnaðar á borð við Sophos sem veitir vörn gegn óværum eins og þeim sem komu með svikapóstinum.
Birtist í Fréttablaðinu Tækni Tengdar fréttir Segir að sá sem sendi svikapóstana hafi einblínt á heimabanka fólks Málið er litið alvarlegum augum innan lögreglunnar 7. október 2018 19:30 Notaði kennitölu áhrifavalds til að kaupa lénið undir svikapóstana Óprúttinn aðili sem sendi svikapósta út í gær þar sem fólk var boðað í skýrslutöku til lögreglu notaði persónulegar upplýsingar Thelmu Daggar Guðmundsen sem heldur úti vinsælum Instagram reikningi. 7. október 2018 20:19 Segir mikilvægt að komast að því hvort hakkararnir náðu í umrædd gögn "Þetta er mjög alvarlegur hlutur“ 30. september 2018 19:45 Mest lesið Á bak við auglýsingarnar um Dag en skráður í Samfylkinguna Innlent Boeing þota hrapaði í garð íbúðarhúss Erlent Dagur hvetur alla Sjálfstæðismenn til að strika sig út Innlent Kosningavaktin: Íslendingar ganga að kjörborðinu Innlent Frægasti köttur landsins týndur Innlent Þrír menn handteknir eftir að þeir ruddust inn á heimili Innlent Ræktar banana í Hafnarfirði með góðum árangri Innlent „Árleg æfing í vonbrigðum“ Innlent Enginn drukkinn jólasveinn í jólaþorpi Hafnarfjarðar Innlent Óvæntar niðurstöður í fyrri umferð kosninga í Rúmeníu Erlent Fleiri fréttir Góður árangur af hraunkælingu við varnargarðana Dagur hvetur alla Sjálfstæðismenn til að strika sig út Vara við gosmengun á nærliggjandi svæðum í dag Þrír menn handteknir eftir að þeir ruddust inn á heimili „Árleg æfing í vonbrigðum“ Fyrstu lotu læknaverkfalls aflýst Á bak við auglýsingarnar um Dag en skráður í Samfylkinguna Ræktar banana í Hafnarfirði með góðum árangri Frægasti köttur landsins týndur Enginn drukkinn jólasveinn í jólaþorpi Hafnarfjarðar Engar ruslatunnur í Grindavík Kapphlaup við tímann í Karphúsinu og eggjaskortur í aðdraganda jóla Í símanum undir stýri og bíllinn mikið skemmdur Læknar á lokastigi og nýr taktur hjá kennurum Biskup fagnar hækkun sóknargjalda Sundhnúksgígaröðin að verða búin Vinstrið muni bera sigur úr býtum að öllu óbreyttu Breyting á eldgosinu og stór dagur í Karphúsinu Ögurstund runnin upp í Karphúsinu Fjölskyldan brást vel við nýju húðflúri þingmannsins Kæla öll „hraunaugu“ og loka þeim Minni virkni í miðgígnum Vextir og kosningar í Sprengisandi Réttindalausir stútar á ferðinni Engar sýnilegar breytingar á hraunflæði eða krafti Ók á ljósastaur við Grensásveg Eldur kviknaði í bíl í Mosfellsbæ Læknar fara þokkalega bjartsýnir inn í morgundaginn Viðreisn stærst samkvæmt nýrri kosningaspá en mjótt á munum Sjálfstæðisflokkurinn hafi lagt til niðurskurð á hverju ári Sjá meira
Segir að sá sem sendi svikapóstana hafi einblínt á heimabanka fólks Málið er litið alvarlegum augum innan lögreglunnar 7. október 2018 19:30
Notaði kennitölu áhrifavalds til að kaupa lénið undir svikapóstana Óprúttinn aðili sem sendi svikapósta út í gær þar sem fólk var boðað í skýrslutöku til lögreglu notaði persónulegar upplýsingar Thelmu Daggar Guðmundsen sem heldur úti vinsælum Instagram reikningi. 7. október 2018 20:19
Segir mikilvægt að komast að því hvort hakkararnir náðu í umrædd gögn "Þetta er mjög alvarlegur hlutur“ 30. september 2018 19:45