Á fimmta hundrað gætu hafa sýkst Kjartan Hreinn Njálsson skrifar 20. október 2018 10:00 Alls opnuðu 956 manns sýkta vefslóð sem barst með tölvupóstinum. Vísir/Getty Tölvur 419 manns gætu hafa sýkst í umfangsmiklum vefveiðum hakkara fyrr í þessum mánuði þegar fjöldi fólks var boðaður í skýrslutöku hjá lögreglunni á höfuðborgarsvæðinu með svikapósti. Alls opnuðu 956 manns sýkta vefslóð sem barst með tölvupóstinum. IP-tala tölvuþrjótanna heimsótti fyrst vefsíðu lögreglunnar 30. september síðastliðinn. Í gögnum sem Fréttablaðið hefur séð kemur bersýnilega fram hversu margbrotin tilraun hakkaranna var. IP-tala þeirra, sem hýst er í Amsterdam í Hollandi og er að líkindum varin af VPN-sýndarneti og Proxy-vefseli, heimsótti vefsíðu lögreglunnar fyrst klukkan 20.53 sunnudaginn 30. september. Tæplega viku seinna barst fjölda fólks svikapóstur um boðun í skýrslutöku. Til að nálgast frekari gögn var vísað á eftirmynd af síðu lögreglunnar þar sem fólk var beðið um að skrá sig inn og hala niður þjappaðri skrá sem innihalda átti gögnin. Í skránni var að finna spilliforrit sem innihélt kóða úr öðru forriti sem veitir öðrum aðila fjaraðgang að tölvu viðkomandi. Hugbúnaðurinn er yfirleitt kallaður REMCOS (e. remote control and surveillance software). Spilliforritið innihélt einnig kóða sem safnar saman upplýsingum um það sem slegið er inn á lyklaborði viðkomandi. Þessum upplýsingum er safnað saman og hlaðið upp á netþjóna í Þýskalandi og Hollandi. Ljóst er að atlagan beindist fyrst og fremst að notendum Windows-stýrikerfisins.IP-tala hakkaranna 109.202.107.147 Hýst í Amsterdam í Hollandi í gegnum þjónustuveituna Global Layer. Virðist vera VPN/Proxy sem felur hina raunverulegu IP-tölu. Með því að kanna vitjanaskrá (e. access-log) vefsíðu lögreglunnar má rekja heimsóknir IP-tölvu netþrjótanna. 30 september - Sunnudagur kl. 20:53 Fyrst heimsókn IP-tölunnar á vef lögreglunnar, logreglan.is. Vefsíðan opnuð í gegnum Google leit. IP-talan er skráð í Amsterdam í Hollandi. Lénið logregian.is er stofnað með kennitölu íslenskrar konu. 1 október - Mánudagur kl. 05:47 Logreglan.is skoðuð ítarlega og ýmsar greinar opnaðar. kl. 06:13 Hakkarar gera prufanir með útlit vefsíðunnar. Samræma útlit hinnar raunverulegu vefsíður við eftirmyndina, logregian.is kl. 06:30 Hakkarnir gera prófanir á öðrum slóðum svikapóstsins. https://logregian.is/test/saekjagogn.php og http://logregian.is/test/tilbuid.php. kl. 07:50 Lokaslóðin sem send var á póstlistann tilbúin: https://rannsoknir.logregian.is/rannsoknir/skyrslutokur/malgogn 1 október til 6 október er lokaslóðin í prófunum. Bæði út frá IP-tölu hakkaranna og frá íslenskum IP-tölum í gegnum VPN og proxy-þjónustum hér á landi. 6 október - Laugardagur kl. 05:04 IP-talan opnar PDF-skjal á vef lögreglunnar. Skjalið, sem ber heitið 'Tölvu- og netglæpir 2016,“ er opnað eftir leit frá Google. Svikpósturinn sendur á póstlista sama dag með hjá forrits á skriftumáli. Haus kl. 21:47 Fyrst íslenska IP-talan opnar slóðina sem kom með póstinum. kl. 23:02 Lögreglan á höfuðborgarsvæðinu varar við svikapóstum sem eru látnir líta eins og boðun í skýrslutöku hjá rannsóknardeild lögreglunnar. 7 október - Sunnudagur rétt eftir miðnætti Síðasta heimsókn IP-tölu hakkaranna á vef lögreglunnarÞegar kóði spilliforritsins er skoðaður kemur í ljós að eitt af meginmarkmiðum hakkaranna var að komast yfir upplýsingar er varða netbanka fólks. Þannig skimar forritið sérstaklega eftir leitarorðunum Íslandsbanki, netbanki, landsbankinn, millifrsla, innskraning, arionbanki, einkabanki.is, pin o.fl. Samkvæmt upplýsingum frá bönkunum þremur hafa ekki borist tilkynningar frá viðskiptavinum um tjón. Landsbankinn hefur gefið út hugbúnað sem kannar hvort tölva hafi sýkst af óværunni sem hægt er að nálgast á heimsíðu bankans. Einnig blasir við að hakkararnir höfðu aðgang að þjóðskrá þar sem ekki var hægt að slá inn ranga kennitölu á svikavefnum. Sama dag og IP-tala hakkaranna heimsótti vef lögreglunnar fyrst, 30. september, var lénið logregian.is stofnað með kennitölu íslenskrar konu, Thelmu Daggar Guðmundsen. Thelma Dögg greindi frá því í samtali við Fréttablaðið 7. október að tölvurþrjótar hefðu tvívegis brotist inn á heimasíðu hennar. Þeir breyttu notandanafni hennar í „Skugga sál“ en það er einmitt nafnið á þremur tengingum óværunnar við netþjóna í Þýskalandi og Hollandi; the.shadesoul.online; iam.shadesoul.online og heis.shadesoul.online. Á þeirri viku sem leið frá fyrstu heimsókn hakkaranna á vefsíðu lögreglunnar og þangað til að fyrsta IP-talan opnaði svikapóstinn gerðu þrjótarnir ítarlega úttekt á vefsvæðinu. 1. október var vefsíðan skoðuð og útlit hennar og svikasíðunnar samræmt. Næstu daga fóru fram frekari prófanir, bæði í gegnum hollensku IP-töluna og IP-tölu í gegnum íslenskar VPN- og proxy-þjónustur. Athygli vekur að stuttu áður en svikapósturinn var sendur á póstlistann var IP-tala hakkaranna notuð til að opna PDF-skjal á vef lögreglunnar. Það skjal ber heitið „Tölvu- og netglæpir 2016“. Þessi skýrsla frá greiningardeild Ríkislögreglustjóra fjallar um helstu ógnir á sviði tölvu- og netglæpa. Í skýrslunni er að finna skilgreiningu á þessari aðferð hakkaranna: „Á síðastliðnum árum hafa háþróaðar tölvuárásir í mörgum tilvikum byggt á vefveiðum (e. spear phishing) en þær eru ákveðin tegund svika á netinu þar sem einhver reynir að fá notendur til að gefa upp viðkvæmar upplýsingar á borð við aðgangsorð eða kreditkortaupplýsingar. Vefveiðar fara oft fram í gegnum tölvupóst, auglýsingar eða önnur samskipti.“ Tæknifyrirtækið Netheimur hýsir vef lögreglunnar. Fyrirtækið var beðið um að kanna umferð um vefinn í aðdraganda svikasendingarinnar. „Við sáum fljótt að þarna var óeðlileg hegðun hjá þessari IP-tölu,“ segir Guðmundur Ingi Hjartarson, framkvæmdastjóri Netheims. „Og af því að þeir voru ekki að hylja slóð sína nógu vel þá var hægt að rekja þessa umferð.“ Netveiðar og óværur eru hluti af internetinu og verða það í fyrirsjáanlegri framtíð. Því ríður á að fólk sé ávallt á varðbergi, að mati Guðmundar. Athuga þurfi lén áður en smellt er á hlekki. Þá sé sérstaklega mikilvægt að hugsa sig tvisvar um áður en maður er beðinn um að samþykkja eitthvað eða hala einhverju niður, eins og í tilfelli svikapóstsins. Guðmundur telur að óværan hefði getað náð til miklu fleiri einstaklinga hefði lögregla ekki varað við svikapóstinum. Það hjálpaði til að netþrjótarnir völdu afar slæma tímasetningu fyrir sendingu skilaboðanna. Líklega hefðu mál þróast með öðrum hætti hefðu skilaboðin borist á virkum degi. „Þeir sem hafa sýkst verða að skipta um lykilorð og uppfæra vélarnar sínar, vera með öryggis- og vírusvarnir í lagi,“ segir Guðmundur og vísar til hugbúnaðar á borð við Sophos sem veitir vörn gegn óværum eins og þeim sem komu með svikapóstinum. Birtist í Fréttablaðinu Tækni Tengdar fréttir Segir að sá sem sendi svikapóstana hafi einblínt á heimabanka fólks Málið er litið alvarlegum augum innan lögreglunnar 7. október 2018 19:30 Notaði kennitölu áhrifavalds til að kaupa lénið undir svikapóstana Óprúttinn aðili sem sendi svikapósta út í gær þar sem fólk var boðað í skýrslutöku til lögreglu notaði persónulegar upplýsingar Thelmu Daggar Guðmundsen sem heldur úti vinsælum Instagram reikningi. 7. október 2018 20:19 Segir mikilvægt að komast að því hvort hakkararnir náðu í umrædd gögn "Þetta er mjög alvarlegur hlutur“ 30. september 2018 19:45 Mest lesið Stuðningsmenn Assad drápu 14 ráðuneytisstarfsmenn Erlent Grímuskylda á Landspítalanum Innlent Sæstrengur milli Eistlands og Finnlands rofinn Erlent Töldu að ævilöng vesælmennska biði „barnanna á mölinni“ Innlent Búið að opna Hellisheiði og Holtavörðuheiði Innlent Strætó rann á bíl og ruslaskýli Innlent Girnist Panama-skurðinn, Grænland og Kanada Erlent Erfiður tími þegar dóttirin kom út sem trans Innlent Þau kvöddu á árinu 2024 Erlent Dregur úr vindi en áfram vetrarveður Veður Fleiri fréttir Snjóflóð féll á Súðavíkurhlíð og rólegt í Kvennaathvarfinu Skógaskóli verður hótel Grímuskylda á Landspítalanum Búið að opna Hellisheiði og Holtavörðuheiði Strætó rann á bíl og ruslaskýli Töldu að ævilöng vesælmennska biði „barnanna á mölinni“ Jólakindin Djásn á Stokkseyri Standa vaktina á jóladag: „Þetta er bara eins og hina dagana“ Standa vaktina við lokunarpósta á jóladag Flugferðir hafnar að nýju í Keflavík Þak fauk nánast af hlöðu Fagna jólunum í Betlehem í skugga stríðs Hellisheiði og Þrengsli opna ekki fyrr en á morgun Aðeins ein flugvél lent í Keflavík í dag Útköll víða vegna óveðurs Erfiður tími þegar dóttirin kom út sem trans Gott að geta sagt „þú ert hjartanlega velkominn“ Appelsínugular viðvaranir og jólaboð hjá Hjálpræðishernum Á vaktinni við lokunarpósta alla jólanótt Tveir vörðu jólanótt í fangaklefa Gleðileg jól, kæru lesendur Vegir víða um land gætu lokast með litlum fyrirvara Varað við ferðalögum víða um land Margir á síðasta snúningi með jólapakkana Í sumum tilfellum eina hátíðlega stund dagsins Men Tolla komið í leitirnar: „Sannkölluð jólasaga“ Vonskuveður og þau sem eru á síðasta snúningi Fjúgandi hálka í kirkjugörðum Reykjavíkur Stolið hálsmen Tolla dúkkaði upp tuttugu árum síðar Nóg að gera hjá slökkviliðinu í nótt Sjá meira
Tölvur 419 manns gætu hafa sýkst í umfangsmiklum vefveiðum hakkara fyrr í þessum mánuði þegar fjöldi fólks var boðaður í skýrslutöku hjá lögreglunni á höfuðborgarsvæðinu með svikapósti. Alls opnuðu 956 manns sýkta vefslóð sem barst með tölvupóstinum. IP-tala tölvuþrjótanna heimsótti fyrst vefsíðu lögreglunnar 30. september síðastliðinn. Í gögnum sem Fréttablaðið hefur séð kemur bersýnilega fram hversu margbrotin tilraun hakkaranna var. IP-tala þeirra, sem hýst er í Amsterdam í Hollandi og er að líkindum varin af VPN-sýndarneti og Proxy-vefseli, heimsótti vefsíðu lögreglunnar fyrst klukkan 20.53 sunnudaginn 30. september. Tæplega viku seinna barst fjölda fólks svikapóstur um boðun í skýrslutöku. Til að nálgast frekari gögn var vísað á eftirmynd af síðu lögreglunnar þar sem fólk var beðið um að skrá sig inn og hala niður þjappaðri skrá sem innihalda átti gögnin. Í skránni var að finna spilliforrit sem innihélt kóða úr öðru forriti sem veitir öðrum aðila fjaraðgang að tölvu viðkomandi. Hugbúnaðurinn er yfirleitt kallaður REMCOS (e. remote control and surveillance software). Spilliforritið innihélt einnig kóða sem safnar saman upplýsingum um það sem slegið er inn á lyklaborði viðkomandi. Þessum upplýsingum er safnað saman og hlaðið upp á netþjóna í Þýskalandi og Hollandi. Ljóst er að atlagan beindist fyrst og fremst að notendum Windows-stýrikerfisins.IP-tala hakkaranna 109.202.107.147 Hýst í Amsterdam í Hollandi í gegnum þjónustuveituna Global Layer. Virðist vera VPN/Proxy sem felur hina raunverulegu IP-tölu. Með því að kanna vitjanaskrá (e. access-log) vefsíðu lögreglunnar má rekja heimsóknir IP-tölvu netþrjótanna. 30 september - Sunnudagur kl. 20:53 Fyrst heimsókn IP-tölunnar á vef lögreglunnar, logreglan.is. Vefsíðan opnuð í gegnum Google leit. IP-talan er skráð í Amsterdam í Hollandi. Lénið logregian.is er stofnað með kennitölu íslenskrar konu. 1 október - Mánudagur kl. 05:47 Logreglan.is skoðuð ítarlega og ýmsar greinar opnaðar. kl. 06:13 Hakkarar gera prufanir með útlit vefsíðunnar. Samræma útlit hinnar raunverulegu vefsíður við eftirmyndina, logregian.is kl. 06:30 Hakkarnir gera prófanir á öðrum slóðum svikapóstsins. https://logregian.is/test/saekjagogn.php og http://logregian.is/test/tilbuid.php. kl. 07:50 Lokaslóðin sem send var á póstlistann tilbúin: https://rannsoknir.logregian.is/rannsoknir/skyrslutokur/malgogn 1 október til 6 október er lokaslóðin í prófunum. Bæði út frá IP-tölu hakkaranna og frá íslenskum IP-tölum í gegnum VPN og proxy-þjónustum hér á landi. 6 október - Laugardagur kl. 05:04 IP-talan opnar PDF-skjal á vef lögreglunnar. Skjalið, sem ber heitið 'Tölvu- og netglæpir 2016,“ er opnað eftir leit frá Google. Svikpósturinn sendur á póstlista sama dag með hjá forrits á skriftumáli. Haus kl. 21:47 Fyrst íslenska IP-talan opnar slóðina sem kom með póstinum. kl. 23:02 Lögreglan á höfuðborgarsvæðinu varar við svikapóstum sem eru látnir líta eins og boðun í skýrslutöku hjá rannsóknardeild lögreglunnar. 7 október - Sunnudagur rétt eftir miðnætti Síðasta heimsókn IP-tölu hakkaranna á vef lögreglunnarÞegar kóði spilliforritsins er skoðaður kemur í ljós að eitt af meginmarkmiðum hakkaranna var að komast yfir upplýsingar er varða netbanka fólks. Þannig skimar forritið sérstaklega eftir leitarorðunum Íslandsbanki, netbanki, landsbankinn, millifrsla, innskraning, arionbanki, einkabanki.is, pin o.fl. Samkvæmt upplýsingum frá bönkunum þremur hafa ekki borist tilkynningar frá viðskiptavinum um tjón. Landsbankinn hefur gefið út hugbúnað sem kannar hvort tölva hafi sýkst af óværunni sem hægt er að nálgast á heimsíðu bankans. Einnig blasir við að hakkararnir höfðu aðgang að þjóðskrá þar sem ekki var hægt að slá inn ranga kennitölu á svikavefnum. Sama dag og IP-tala hakkaranna heimsótti vef lögreglunnar fyrst, 30. september, var lénið logregian.is stofnað með kennitölu íslenskrar konu, Thelmu Daggar Guðmundsen. Thelma Dögg greindi frá því í samtali við Fréttablaðið 7. október að tölvurþrjótar hefðu tvívegis brotist inn á heimasíðu hennar. Þeir breyttu notandanafni hennar í „Skugga sál“ en það er einmitt nafnið á þremur tengingum óværunnar við netþjóna í Þýskalandi og Hollandi; the.shadesoul.online; iam.shadesoul.online og heis.shadesoul.online. Á þeirri viku sem leið frá fyrstu heimsókn hakkaranna á vefsíðu lögreglunnar og þangað til að fyrsta IP-talan opnaði svikapóstinn gerðu þrjótarnir ítarlega úttekt á vefsvæðinu. 1. október var vefsíðan skoðuð og útlit hennar og svikasíðunnar samræmt. Næstu daga fóru fram frekari prófanir, bæði í gegnum hollensku IP-töluna og IP-tölu í gegnum íslenskar VPN- og proxy-þjónustur. Athygli vekur að stuttu áður en svikapósturinn var sendur á póstlistann var IP-tala hakkaranna notuð til að opna PDF-skjal á vef lögreglunnar. Það skjal ber heitið „Tölvu- og netglæpir 2016“. Þessi skýrsla frá greiningardeild Ríkislögreglustjóra fjallar um helstu ógnir á sviði tölvu- og netglæpa. Í skýrslunni er að finna skilgreiningu á þessari aðferð hakkaranna: „Á síðastliðnum árum hafa háþróaðar tölvuárásir í mörgum tilvikum byggt á vefveiðum (e. spear phishing) en þær eru ákveðin tegund svika á netinu þar sem einhver reynir að fá notendur til að gefa upp viðkvæmar upplýsingar á borð við aðgangsorð eða kreditkortaupplýsingar. Vefveiðar fara oft fram í gegnum tölvupóst, auglýsingar eða önnur samskipti.“ Tæknifyrirtækið Netheimur hýsir vef lögreglunnar. Fyrirtækið var beðið um að kanna umferð um vefinn í aðdraganda svikasendingarinnar. „Við sáum fljótt að þarna var óeðlileg hegðun hjá þessari IP-tölu,“ segir Guðmundur Ingi Hjartarson, framkvæmdastjóri Netheims. „Og af því að þeir voru ekki að hylja slóð sína nógu vel þá var hægt að rekja þessa umferð.“ Netveiðar og óværur eru hluti af internetinu og verða það í fyrirsjáanlegri framtíð. Því ríður á að fólk sé ávallt á varðbergi, að mati Guðmundar. Athuga þurfi lén áður en smellt er á hlekki. Þá sé sérstaklega mikilvægt að hugsa sig tvisvar um áður en maður er beðinn um að samþykkja eitthvað eða hala einhverju niður, eins og í tilfelli svikapóstsins. Guðmundur telur að óværan hefði getað náð til miklu fleiri einstaklinga hefði lögregla ekki varað við svikapóstinum. Það hjálpaði til að netþrjótarnir völdu afar slæma tímasetningu fyrir sendingu skilaboðanna. Líklega hefðu mál þróast með öðrum hætti hefðu skilaboðin borist á virkum degi. „Þeir sem hafa sýkst verða að skipta um lykilorð og uppfæra vélarnar sínar, vera með öryggis- og vírusvarnir í lagi,“ segir Guðmundur og vísar til hugbúnaðar á borð við Sophos sem veitir vörn gegn óværum eins og þeim sem komu með svikapóstinum.
Birtist í Fréttablaðinu Tækni Tengdar fréttir Segir að sá sem sendi svikapóstana hafi einblínt á heimabanka fólks Málið er litið alvarlegum augum innan lögreglunnar 7. október 2018 19:30 Notaði kennitölu áhrifavalds til að kaupa lénið undir svikapóstana Óprúttinn aðili sem sendi svikapósta út í gær þar sem fólk var boðað í skýrslutöku til lögreglu notaði persónulegar upplýsingar Thelmu Daggar Guðmundsen sem heldur úti vinsælum Instagram reikningi. 7. október 2018 20:19 Segir mikilvægt að komast að því hvort hakkararnir náðu í umrædd gögn "Þetta er mjög alvarlegur hlutur“ 30. september 2018 19:45 Mest lesið Stuðningsmenn Assad drápu 14 ráðuneytisstarfsmenn Erlent Grímuskylda á Landspítalanum Innlent Sæstrengur milli Eistlands og Finnlands rofinn Erlent Töldu að ævilöng vesælmennska biði „barnanna á mölinni“ Innlent Búið að opna Hellisheiði og Holtavörðuheiði Innlent Strætó rann á bíl og ruslaskýli Innlent Girnist Panama-skurðinn, Grænland og Kanada Erlent Erfiður tími þegar dóttirin kom út sem trans Innlent Þau kvöddu á árinu 2024 Erlent Dregur úr vindi en áfram vetrarveður Veður Fleiri fréttir Snjóflóð féll á Súðavíkurhlíð og rólegt í Kvennaathvarfinu Skógaskóli verður hótel Grímuskylda á Landspítalanum Búið að opna Hellisheiði og Holtavörðuheiði Strætó rann á bíl og ruslaskýli Töldu að ævilöng vesælmennska biði „barnanna á mölinni“ Jólakindin Djásn á Stokkseyri Standa vaktina á jóladag: „Þetta er bara eins og hina dagana“ Standa vaktina við lokunarpósta á jóladag Flugferðir hafnar að nýju í Keflavík Þak fauk nánast af hlöðu Fagna jólunum í Betlehem í skugga stríðs Hellisheiði og Þrengsli opna ekki fyrr en á morgun Aðeins ein flugvél lent í Keflavík í dag Útköll víða vegna óveðurs Erfiður tími þegar dóttirin kom út sem trans Gott að geta sagt „þú ert hjartanlega velkominn“ Appelsínugular viðvaranir og jólaboð hjá Hjálpræðishernum Á vaktinni við lokunarpósta alla jólanótt Tveir vörðu jólanótt í fangaklefa Gleðileg jól, kæru lesendur Vegir víða um land gætu lokast með litlum fyrirvara Varað við ferðalögum víða um land Margir á síðasta snúningi með jólapakkana Í sumum tilfellum eina hátíðlega stund dagsins Men Tolla komið í leitirnar: „Sannkölluð jólasaga“ Vonskuveður og þau sem eru á síðasta snúningi Fjúgandi hálka í kirkjugörðum Reykjavíkur Stolið hálsmen Tolla dúkkaði upp tuttugu árum síðar Nóg að gera hjá slökkviliðinu í nótt Sjá meira
Segir að sá sem sendi svikapóstana hafi einblínt á heimabanka fólks Málið er litið alvarlegum augum innan lögreglunnar 7. október 2018 19:30
Notaði kennitölu áhrifavalds til að kaupa lénið undir svikapóstana Óprúttinn aðili sem sendi svikapósta út í gær þar sem fólk var boðað í skýrslutöku til lögreglu notaði persónulegar upplýsingar Thelmu Daggar Guðmundsen sem heldur úti vinsælum Instagram reikningi. 7. október 2018 20:19
Segir mikilvægt að komast að því hvort hakkararnir náðu í umrædd gögn "Þetta er mjög alvarlegur hlutur“ 30. september 2018 19:45