Malware spredt til fire millioner computere: Udbyttet blev hvidvasket i danske banker

Illustration: Bigstock
Et udbytte på 80 millioner kroner fra et stort malware-angreb begået af estiske cyberkriminelle blev hvidvasket fra Nordea til Danske Bank i Estland.

Estiske cyberkriminelle inficerede fire millioner computere med malware for at kunne omdirigere brugere til falske hjemmesider med annoncer. Det samlede udbytte var på 80 millioner kroner, som blev beslaglagt af FBI i 2011, og som flød bl.a. fra Nordea til Danske Bank i Estland. Det skriver Børsen.

Sammen med sine medskyldige inficerede bagmanden Vladimir Tsastsin mere end fire millioner computere verden over med malware i perioden fra 2007 til 2011. De estiske cyberkriminelle havde oprettet flere virksomheder, der solgte online-annoncer, hvor afregningen skete efter antallet af klik på annoncerne.

Vladimir Tsastin blev anholdt i Estland i 2011 og blev dømt syv års fængsel ved en amerikansk domstol i 2016.

Læs også: Danske Bank-undersøgelse: Isoleret it-platform i Estland bidrog til manglende overvågning

Klik-svindel i stort omfang

I en udskrift af dommen kan man læse, at den ondsindede kode var designet til at ændre DNS-server-indstillingerne på de inficerede computere, så brugerne af de inficerede computere blev omdirigeret til DNS-servere, som de cyberkriminelle kontrollerede.

Malwaren blev lagt på pc'erne, når brugere besøgte bestemte hjemmesider og downloadede software for at se videoer online. Omdirigeringen bestod af henholdsvis 'click hijacking' og 'advertising replacement fraud', som tilsammen bliver kaldt for 'click fraud'.

»Når en bruger af en inficeret computer klikkede på et søgeresultat vist i en søgemaskine, fik malwaren re-routet computeren til en anden hjemmeside. I stedet for at blive sendt til den hjemmeside, som brugeren bad om, blev brugeren sendt til en hjemmeside skabt af de anklagede. Hvert klik gav betalinger til de anklagede i henhold til deres annonce-aftaler,« skriver anklagemyndigheden i New York.

Advertising replacement fraud - også kendt som annonce-erstatningssvindel - foregik ved, at de cyberkriminelle erstattede legitime annoncer på hjemmesider med falske annoncer.

»Så når en bruger af en inficeret computer besøgte eksempelvis The Wall Street Journal, så blev en annonce for American Express erstattet med en annonce for 'Fashion Girl LA', hvilket udløste en betaling til de anklagede fra andre annoncører,« skriver anklagemyndigheden.

Da de estiske cyberkriminelle blev anholdt, havde de omkring 50 DNS-servere i New York og et datacenter i Chicago. Hver server havde to harddiske: en stor, der kunne modtage op til 3.000 falske klik i sekundet, mens den mindre modtog flere hundrede i sekundet.

Læs også: Google kigger væk mens svindlere malker virksomheders reklamebudgetter

Nordea og Danske Bank reagerede ikke

Malwaren forhindrede samtidig de inficerede computere i at modtage antivirus-softwareopdateringer og operativsystemopdateringer, der ellers kunne have bremset den ondsindede kode, ligesom de inficerede computere var sårbare for andre typer malware.

Svindlerne havde også kapret annonceplads på hjemmesider tilhørende blandt andre Wall Street Journal, Apple, Netflix, Amazon og Nasa.

Så når computerbrugerne besøgte de pågældende sider, fik de vist annoncer, der ikke burde være der, men som banden tjente penge på at vise.

Hverken Nordea eller Danske bank reagerede på advarsler om hvidvask, selv da FBI indefrøs udbyttet fra kriminaliteten på konti i både Nordea og Danske Banks skandaleramte estiske filial.

Læs også: Malware-angreb invaderer Google Play

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere