Årets værste hacker? Inficerede sig selv med malware, så sikkerhedsforskere kunne se alt

Peter Kruse og Jan Kaastrup fortalte om ikke alt for smarte it-kriminelle på Security Analyst Summit. Manden på billedet (sløret af red.) blev udnævnt som den værste af de tre kandidater til Hall of Shame. Illustration: Jakob Møllerhøj/MI grafik
En formodet cyberkriminel inficerede sig selv med malware, så sikkerhedsforskere kunne følge de kriminelle aktiviteter nøje.

Cancun, Mexico. Hvis du planlægger en karriere som it-kriminel og gerne vil inficere dine ofre med malware, så lad være med selv at blive inficeret af malwaren.

Og overvej eventuelt om det er en god idé at prale med dine bedrifter på Facebook.

Det lyder måske som selvfølgeligheder, men ikke desto mindre er det faktisk eksempler fra den virkelige verden, som den danske it-sikkerhedsvirksomhed CSIS har observeret i 2017.

Det kunne Peter Kruse og Jan Kaastrup fra CSIS fortælle nærmere om under et indlæg på Kaspersky Lab-konferencen Security Analyst Summit, som fandt sted for nyligt i Cancun Mexico.

CSIS efterforsker blandt andet cybercrime og samarbejder i den forbindelse med politimyndigheder rundt om i verden.

Titlen for indlægget var 'The Criminal Hall of Shame'. Seancen bestod blandt andet af tre eksempler på formodede cyberkriminelle som CSIS mener, har fortjent en plads i denne 'hall of shame'.

Facebook

Der var en formodet cyberkriminel, som ifølge Peter Kruse blandt andet solgte betalingskortoplysninger via en online shop, og så skulle personen også stå bag phishing-angreb i forhold til finansielle institutioner i England og meget andet.

»Grundlæggende er han ikke en helt amatør, men han er heller ikke så god til operations security,« sagde Peter Kruse.

Operations security eller opsec vil kort fortalt sige, at man holder sig for øje, hvilke informationer man lækker og til hvem. Det gjorde personen i det eksempel CSIS havde medbragt ikke.

Faktisk fandt it-sikkerhedsvirksomheden frem til, at den formodede cyberkriminelle havde pralet med sine kriminelle aktiviteter på Facebook.

Her kunne de danske sikkerhedsfolk blandt andet se, hvordan han havde posted et screenshot af stjålne data inklusiv en afslørende ip-adresse.

Der var også en post af en bil med synlig nummerplade. Af nummerpladen fremgik det umiddelbart, at personen havde til huse i England.

»De efterlader sig altid et spor af brødkrummer, vi kan følge,« sagde Peter Kruse.

En anden person, som havde fundet vej til CSIS' 'hall of shame', havde ligesom det første eksempel ifølge Peter Kruse også aktiviteter med at sælge betalingskort, og personen skulle desuden være involveret i phishing.

Og så havde den formodede cyberkriminelle ifølge de danske sikkerhedsfolk også pralet med diverse ting på Facebook, hvor blandt andet en ip-adresse til bank-phishing-sitet var synlig i en post. Og også her var der en synlig nummerplade i en af posterne, fremgik det af indlægget fra CSIS.

En dårlig hacker

Det tredje eksempel på en formodet cyberkriminel, som Peter Kruse fortalte om, skilte sig lidt ud fra de to øvrige. Personens aktiviteter havde sikkerhedsfolkene kunne overvåge ganske nøje helt uden Facebook.

Det kunne lade sig gøre via malware, som den formodede cybrekriminelle havde fået fat på. Han havde nemlig ifølge Peter Kruse eksekveret den skadelige software på sit eget system, som ikke var patched tilstrækkeligt.

»Idioten her, måske den værste hacker nogensinde, inficerede sig selv. I løbet af de næste to dage, monitorerede vi nøje, hvad han foretog sig, og hvilke forretninger han kørte,« forklarede Kruse.

Den proces var godt hjulpet på vej af, at malwaren løbende tog screenshots fra den it-kriminelles computer og sendte billederne til en server.

I et efterfølgende interview med Version2, forklarede Jan Kaastrup, at CSIS havde fundet serveren, som malwaren uploadede billeder til, i en generel scanning. Serveren stod pivåben og dermed kunne sikkerhedsfolkene følge, hvad der foregik på på den formodede svindlers skærm.

Det vil blandt andet sige åbenlyse forsøg på phishing for at franarre folk deres oplysninger.

»Så jeg har tusindvis af billeder, hvor han arbejder sig gennem the criminal hall of shame,« fortalte Peter Kruse under indlægget.

CSIS har delt informationer fra efterforskningen af de cyberkriminelle aktiviteter med politimyndigheder.

Version2 er inviteret til Security Analyst Summit af Kaspersky Lab.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017