Corona-hastelov: Politiet kan nu lyn-blokere falske hjemmesider

Illustration: nicotombo / Bigstockphoto.com
Politiet behøver ikke længere at vente på en afgørelse fra retten, før der blokeres for de cyberkriminelles falske coronavirus-relaterede hjemmesider.

Politiet behøver nu ikke længere at vente på en afgørelse fra retten for at kunne bede interudbydere om at blokere for hjemmesider, som cyberkriminelle opretter for at udnytte coronakrisen til bl.a. phishing-kampagner, falske webshops og for at franarre danskere deres kreditkort- eller NemID-oplysninger.

Det indgår som en del af den samlede lovpakke, der skærper straffene for COVID-19-relateret kriminalitet, som Folketinget har vedtaget.

»Formålet med lovforslaget er at sætte ind over for lovovertrædelser, der har baggrund i eller sammenhæng med covid-19-epidemien i Danmark. Det gælder bl.a. kriminalitetsformer, hvor borgerens tillid til offentlige myndigheder i en krisesituation som den foreliggende udnyttes,« står der i lovforslaget.

Læs også: DK-Hostmaster samarbejder med Rigspolitiet mod Corona-svindlere

Politiet behøver altså ikke længere at vente på en dommer, men skal i stedet »snarest muligt og senest inden 24 timer fra indgrebets iværksættelse,« forelægge sagen for retten, står der i lovforslaget.

Politiet skal dog have »grund til at antage«, at hjemmesiden overtræder loven, og vurderingen skal foretages ud fra en samlet vurdering af bl.a. fremtoningen af domænenavnet og hjemmesiden.

»Det kan i den forbindelse bl.a. indgå, om domænenavnet eller hjemmesidens titel har stor lighed med en hjemmeside for en myndighed, organisation, koncessioneret virksomhed eller lignende, og om besøgende på hjemmesiden opfordres til at indtaste NEM-id oplysninger, cpr-nummer og/eller kreditkortoplysninger.«'

Læs også: Frygter ‘sovende’ infektion: Banedanmark investerer tungt i it-sikkerhed under Coronakrisen

Falske webshops og myndighedshjemmesider

Det fremgår af lovforslaget, at Center for Cybersikkerhed (CFCS) har konstateret et antal hjemmesider, der via phishing forsøger at udnytte situationen, og konstateret, at der er oprettet en række domænenavne, hvor navnet ligger tæt op ad forskellige myndigheders officielle domænenavne, herunder på sundhedsområdet.

For eksempel har CFCS fundet domænenenavne, der udgiver sig for at være Sundhedsstyrelsen, anvendes til at franarre borgere personlige oplysninger i form af NemID-nøglekort.

På baggrund af anmeldelser, som politiet indtil videre har modtaget, ligner det, at de COVID-19-relaterede phishing-kampagner oprettes på udenlandske domæner som '.net', '.com' og '.eu', som forsøger at få besøgende til at indtaste NemID-oplysninger, som kriminelle bruger til at hæve penge eller optage lån.

De falske webshops, som Rigspolitiet har kendskab til, er derimod primært oprettet med det danske domænenavn '.dk'. Her er der tale om webshops, som foregiver at sælge håndsprit, mundbind og engangshandsker mv.

Rigspolitiet har 23. marts vurderet, at 20 ud af 255 domæner med tilknytning til coronavirus er opsat som falske webshops eller falske myndighedshjemmesider med henblik på indtjening via reklamemidler eller med kriminelle hensigter.

Læs også: Europol advarer om øget trussel: Cyberangreb kan koste menneskeliv

DKCERT: »Det er katten mod musen«

Ifølge DKCERT (Danish Computer Security Incident Response Team) er hastighed for blokering af hjemmesider/domæner essentiel, da kriminelle arbejder med modus med ca. to dages oppetid for et site, hvorefter den kriminelle aktivitet bliver flyttet over til et andet domæne.

»Når en SOC eller et incident responsteam finder fjendtlige domæner, som er ved at blive startet op, vil man allerede her kunne gøre klar til blokering, og de kriminelle vil ikke få værdi ud af deres anstrengelser. Det vil dog være katten efter musen, men i de fleste tilfælde vinder katten,« skriver DKCERT på sin hjemmeside.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Benny Amorsen

Jeg forstår ikke helt det med at gøre alting på forventet efterbevilling. Det gøres også ofte ved f.eks. ransagninger.

Er det så svært at lave en dommervagt hvor politiet 24/7 kan skaffe en dommerkendelse på få minutter?

De gange hvor dommerne underkender f.eks. ransagninger har det ikke haft nogen konsekvenser. Domstolskontrollen er dermed næsten værdiløs.

  • 24
  • 2
Jan Ferré

DNS-blokering

Ved blokering forstås en ordning, der er rettet mod danske internetudbydere med henblik på direkte DNS-blokering fra udbyderens side af hjemmesiden med ulovligt materiale.

DNS-blokering medfører, at forsøg på at opnå adgang til siden automatisk afvises af internetudbyderen, fremgår det af lovforslag 157.

Denne tekst må være skrevet af DJØF'er - og fortolket af journalister. Den giver slet ikke mening!

"Hjemmesiden med ulovligt materiale" kunne være coronabeskyttelse.dk - fint nok. Vi vil gerne spærre adgang til denne side.

Typisk ligger denne slags sider på en form for webhotel (one.com eller hvad de nu ellers hedder). Og ja - ejeren af webhotellet kan manuelt forhindre at hjemmesiden tilgås.

Internetudbyderen kan også hjælpe med at spærre: Det kan se ved at nul-route IP-adressen for webhotellet (one.com f.eks.). Med nul-routing sendes al trafik i skraldespanden og ikke til den server, der normalt skulle have opkaldet. Desværre betyder det, at al trafik til webhotellet bliver spærret - inklusiv trafik til legitime forretninger, der prøver at hutle sig gennem krisen. Men det har altså ikke noget med DNS-blokkering at gøre.

DNS er et glimrende sted at spærre! Men DNS er ikke designet til at spærre. DNS er designet til at give IP-oplysninger så effektivt som muligt.

DNS består af to led: En autoritativ server, som kender det rigtige svar. Og en cache, der svarer brugere. Cachen vil så spørge den autoritative server om det rette svar første gang - og derefter svare ud fra de gemte oplysninger.

Så kan man vælge at spænde ben for cachen. Fint nok, men hvilken cache? Det kan være internetudbyderens egen cache, der er stillet op som en naturlig service på nettet. Og denne har internetudbyderen naturligvis mulighed for at sætte spærringer i. Men det kan også være 8.8.8.8 (Googles cache) eller 1.1.1.1 (One.coms cache). Rigtig mange brugere har valgt at skrive disse ind i deres Windows IP-oplysninger. Og disse er nok lidt sværere at få til at indsætte spærringer hos.

Cachen kan også være en service i firmaet - så når jeg tilslutter mig internet gennem min firma-VPN, så hentes DNS-oplysninger den vej.

Et bedre sted at spærre vil derfor være den autoritative navneserver - dem, der virkelig ved, hvor domænet coronabeskyttelse.dk holder til. Men allerede ved første opslag i DNS er informationen gemt i cache og skal ikke opdateres de første mange dage. Så når siden er blevet opdaget, anmeldt og verificeret, er adressen allerede distribueret (i bedste coronastil).

Så selv om jeg har den største sympati for lovforslag 157 tvivler jeg på, at det vil have andet end symbol-værdi.

  • 13
  • 0
Kjeld Flarup Christensen

Er det så svært at lave en dommervagt hvor politiet 24/7 kan skaffe en dommerkendelse på få minutter?

Enig, desværre er jura, politikere og IT som olie og vand. Førstevalget er altid at slække på retssikkerheden fremfor at lave en ordentlig løsning.

Og hvad er lige det Corona relaterede. OK der er noget der forsøger at udnytte situationen til at svindle, men øger det smitten? Der er igen grund til at gå på kompromis med retssikkerheden her.

Er der nogen som ved om denne funktion hos Politiet er central, eller om den også ligger ude i hver politikreds.

  • 7
  • 0
Christian Nobel

.. hvis der er tale om et .dk domæne, så er det rimeligt nok at DK-hostmaster sletter/nedlægger domænet på baggrund af en dommerkendelse (og sådan en burde under alle omstændigheder være en formssag inden for 24 timer i disse tider) og at domænejeren kontaktes, enten for advisering, eller forfølgelse for ulovligheder.

Men at fortsætte ned ad endnu en dns blokerings glidebane, i stil med tænk-på-børnene og den-stakkels -muzakmafia-har-det-så-hårdt, er og bliver ikke acceptabelt i et retssamfund, heller ikke under de givne omstændigheder, da det kan risikere at ødelægge uskyldiges legitime forsøg på at overleve, som Jan er inde på.

  • 12
  • 0
Mogens Bluhme

Jeg har aldrig helt forstået hvad private skal bruge håndsprit til - vand og sæbe er faktisk lidt bedre og almindelige rengøringsmidler ligeså.

Lad os lige kigge på de mennesker, der kunne finde på at tilgå sådanne sites - det er lige præcis nogle, almindelig oplysning ikke får fat i:

De vil ofte være inspireret af sociale medier, der opfordrer folk til nærmest at bære rustning.

Hvis nu politiet i stedet defacede hjemmesiden med beskeden:

Du har nu forsøgt at tilgå en svindlerside, som forsøger at sælge dig unødvendige remedier til beskyttelse. Du omstilles nu til en troværdig side, som fortæller om hvordan du bør forholde dig.

Det kunne være eksempelvis

https://videnskab.dk/krop-sundhed/praktiske-raad-hvordan-haandterer-jeg-...

Samtidig skulle man sørge for at at siden IKKE blev taget ned. Chancen for at ramme sådanne ville vokse med mængden - en slags honeypot for de uinformerede, kunne man kalde det.

Herved får man tre skud erkendelsesunits i ét hug:

1) større skepsis over for kloge-Åge'r på sociale medier 2) awareness for internettets faldgrupper 3) sober informationskilde af råd om hvordan man skal forholde sig

  • 1
  • 3
Benjamin Balder

Under omstændighederne, kan man godt være lettet over, at der ikke rulles tungere skyts frem end den klassiske DNS-blokering. Som sikkert også er effektiv mod at Hr og Fr Jensen udleverer deres Nem-ID for at handle ind på håndsprit.horse

Der er andre former for grotesk internet-censur, man kunne udnytte anledningen til at liste ind.

  • 3
  • 0
Henrik Schack

Cloudflare, som i øvrigt har nye DNS servere der blokerer malware og adult content. https://blog.cloudflare.com/introducing-1-1-1-1-for-families/

Har du i forvejen en Cloudflare konto (også de gratis konti) kan du også hoppe på deres Gateway product, det svarer til 1.1.1.2, men med mulighed for selv at konfigurere hvad der skal blokeres for. https://teams.cloudflare.com/gateway/index.html

  • 0
  • 0
Rune Larsen

Uanset om loven er fornuftigt eller ej, er det kritisabelt, at vedtage DNS-blokering som hastelov. IT politisk forening m. fl. har jo ikke en chance for at påpege eventuelle tåbeligheder, som det jo ikke plejer at skjorte på fra politikerne.

Det er langt ude at påstå, at færre bliver smittet med corona, af at give politiet magt til at bestemme hvilke hjemmesider vi må se og hvilke vi ikke må se.

  • 5
  • 0
Henrik Schack

Uanset om loven er fornuftigt eller ej, er det kritisabelt, at vedtage DNS-blokering som hastelov. IT politisk forening m. fl. har jo ikke en chance for at påpege eventuelle tåbeligheder, som det jo ikke plejer at skjorte på fra politikerne.

DNS blokering har vi jo allerede i forvejen i form af det såkaldte børnepornofilter der så sidenhen er blevet brugt til at blokere musikdownload og beskytte Danske Spils indtjening.

  • 4
  • 0
Knud Larsen

Det er ughyggeligt som det breder sig. - Politiet udskriver bøder for at overskride hastigheden 60 km på en morotrvej - uden bevis trods de monsterdyre fotovogne (men de duer vel Ikke). - Byretten blåstempler uden bevis. - Mange forhold kan nu iværksættes bare på mistanke eks. terror mistanke. - Terror er stadig et udefineret begreb, der bruges på alt muligt, som intet har med terror at gøre. - ANP er kommet for at blive? Nu kommer ansigtsgenkendelse snart, mobillogning er direkte forkert og i strid med EU regler. - DNA målinger er efter forældet metode. Metoden blev i udlandet ændret i 2012.

  • 1
  • 0
Kenn Nielsen

Lad aldrig en god krise gå til spilde.

Hvis det lykkedes - objektivt - at se tilbage på denne krise, vil jeg gætte på at handlingerne foretaget, viser sig at være ca 40% mod smittespredning, og 60% kontrol.

K

  • 2
  • 0
Log ind eller Opret konto for at kommentere