Advarsel: Sådan lænser digitale tyve dig

150.000 danskere og flere tusind virksomheder ramt

Bølger af it-kriminalitet skyller lige nu ind over Danmark, og de digitale tricktyve og hackere tager mere og mere avancerede metoder i brug for at lænse myndigheder, borgere og virksomheder for penge eller værdifulde oplysninger.

Sidste år blev omkring 150.000 danskere ramt af it-kriminalitet, og i denne uge kom Nationalt Cyber Crime Center (NC3) under Rigspolitiet med en vurdering om, at ni ud af ti danske virksomheder har oplevet en eller anden form for angreb fra it-kriminelle.

Center for Cybersikkerhed under Forsvarets Efterretningstjeneste går derfor nu ud med en advarsel om hackernes mest effektive våben for tiden: Spear-phishing.

Claus' computer blev 'kidnappet'

– Det er en meget sofistikeret metode, hvor hackere via en ondsindet mail går målrettet efter at ramme en enkelt person for at skaffe eksempelvis fortrolige forretningsoplysninger, bruger-id eller information, der kan føre til et økonomisk tab. På forhånd har de kriminelle brugt tid på at undersøge vedkommende og fundet oplysninger, så henvendelsen virker meget troværdig og relevant.

– Og vi ser i øjeblikket bølger af spear-phishing-angreb, der rammer især danske myndigheder og virksomheder, men det kan i princippet også ramme private, og metoden er super-effektiv. Det lykkes rigtig ofte for de kriminelle at få held med angrebet, fordi spear-phishing-mails er svære at identificere for modtageren, siger Thomas Lund-Sørensen, chef for Center for Cybersikkerhed.

Angreb mod borgerne

Selv om det ifølge Center for Cybersikkerhed primært har været virksomheder og myndigheder, der har været udsat for de avancerede spear-phishing-angreb, er private heller ikke sluppet.

Her ses et eksempel fra Nets på en mail fra en it-kriminel, hvor den kriminelle har kendt til modtageres kortnummer og gået målrettet efter vedkommende.

Nets, der er ansvarlig for dankortet og NemID, har blandt andet set eksempler på mails, it-kriminelle har sendt ud til almindelige danskere, hvor de kriminelle har fået informationer om cifre i betalingskortet, så henvendelsen virker meget personlig og troværdig.

– Det er klart, at hvis en kriminel sidder med et kreditkort og vil lokke en pinkode ud eller have et nøglekort fra en borger, hvor de kender brugernavnet, så kan de informationer bruges til et målrettet angreb, hvis gevinsten vel og mærke er stor nok.

– Og vi må forvente, at antallet af målrettede angreb mod private på sigt kan stige, når metoden bliver mere udbredt og ryger ned igennem de kriminelles fødekæde, hvilket man også har set med andre hackerredskaber, siger Thomas Lund-Sørensen

De it-kriminelles abc

Herunder er nogle af de mest populære metoder hos it-kriminelle:

Ransomware: En virus, der vil forhindre brugen af computeren, internettet, eller specifikke programmer, og som kræver en løsesum for at give ejeren adgang igen.

Malware: Software, der skaffer sig adgang til computere og herfra kopierer personlige oplysninger eller udfører andre uønskede kommandoer.

Phishing: Her skyder de it-kriminelle med spredehagl typisk via en standard-mail for at franarre brugere personlige oplysninger som NemID og bankoplysninger med henblik på misbrug.

Spear-phishing: Er et målrettet angreb rettet mod enkeltindivider med en langt højere succesrate end et almindelig phishing-angreb. Målet er typisk at skaffe eksempelvis fortrolige forretningsoplysninger, bruger-id eller information, der kan føre til et økonomisk tab.

DDoS: Et angreb, hvor it-kriminelle via et stort netværk af computere sender så mange forespørgsler til et system, at det lukker ned.

Afpresning: Kan eksempelvis ske, hvis it-kriminelle kommer i besiddelse af kompromitterende billeder eller film, hvorefter de vil kræve penge eller for eksempel flere billeder eller seksuelle tjenester.

Kilde: informationsordbogen.dk, Europol, Center for Cybersikkerhed

I modsætning til kriminalitet, der begås i den fysiske verden, så kræver efterforskning af de cyberkriminelle nogle helt andre værktøjer og fremgangsmåder, hvis myndighederne skal have held til at fange dem.

– Dem, vi nu er oppe er imod, er velorganiserede kriminelle eller stater, der har ressourcer og tid til at skrue spear-phishing ordentligt sammen. Og de kan i princippet sidde over hele verden. Fordelen for denne type af hackere er jo, at de slipper for at være fysisk til stede der, hvor indbruddet sker, så det er en stor udfordring, siger Thomas Lund-Sørensen, Center for Cybersikkerhed.