Sikkerhedsfirma udsat for spoofing: Kæmpe it-angreb på vej mod Danmark?

Illustration: leowolfert/Bigstock
Hackere vifter med rød klud foran næsen os, lyder det fra CSIS, i hvad der måske skal vise sig at være et kæmpe it-angreb på Danmark.

»Østeuropæiske it-kriminelle vifter en rød klud foran næsen på os. De gør det for at provokere og sige: ”Vi ved godt, I er der, men vi er ligeglade”,« lyder det fra Peter Kruse fra sikkerhedsfirmaet CSIS.

En masse danskere har i dag modtaget spammails omkring et gratis antivirusprogram fra sikkerhedsfirmaet CSIS. I første omgang kom mailen fra CSIS, men hen ad formiddagen kom mailen med Nordea som afsender. Men hverken CSIS eller Nordea har sat de mange mails i omløb; adresserne er spoofede og kommer højst sandsynligt fra østeuropæiske it-kriminelle.

Peter Kruse mener, det er meget påfaldende, at det lige er et sikkerhedsfirma, der er udsat for angrebet. CSIS er nemlig ikke bredt kendt i befolkningen, og derfor tror han, der ligger noget bag:

»Jeg ser det lidt som en rød klud foran vores ansigt. Jeg er ikke helt sikker på, hvorfor de smider den røde klud foran os. Det er måske lidt en krigserklæring, eller at de er ligeglade med, at vi er her,« siger Peter Kruse til Version2 og fortsætter:

»Angrebene kommer fra nogle servere i østlandene, hvor vi tidligere har haft nogle magtkampe med nogle af de it-kriminelle. Det kan sagtens være dem, der ligger og lurer på ny.«

Ifølge Peter Kruse kan man ikke afvise, at de it-kriminelle ikke har noget at gøre med det phishing-angreb, der var i sidste måned, rettet mod Nordea-kunder:

»Det er meget sandsynligt, at de kriminelle har gjort deres arbejde godt og derfor ved, at Nordea og CSIS har forbindelse. Det kan endda være, at de har læst vores blog eller har kigget med på Version2,« siger Peter Kruse og fortsætter:

»Men det ligner ikke deres metode. Der er nogle få ting, der godt kunne indikere et overlap. Men mange af de her grupper er kendt for at arbejde sammen.«

Troede, det var en practical joke

Da CSIS fik nys om de mange spammails, troede de, der var tale om en joke. De udgiver nemlig slet ikke antivirussoftware:

»Vi troede først, det var en practical joke. Men da vi begyndte at kigge i koden, kunne vi se, at der var referencer til et angreb på et andet firma i et andet land tilbage i juli måned. Så det er langt fra første gang, de kriminelle har prøvet det her,« siger Peter Kruse til Version2 og fortsætter:

»Der er gjort, hvad man kan, for at antivirusprogrammer ikke skal registrere programmet som en virus. De kriminelle har tjekket, at der ikke er nogen antivirusdetektion på koden. Det betyder, at de har kunnet satse på, at personer, der kender vores og Nordeas brands, stoler på de mails og herefter downloader og installerer programmet, fordi deres antivirusprogram ikke advarer dem om faren.«

Programmet kommer med navnet csis.exe, og installeret man det, får man ifølge Peter Kruse en keylogger og kode, der ser ud til også at gøre ens computer til en del af et botnet. Herefter sender programmet data til en række forskellige ip-adresser. Indtil videre har CSIS fundet seks forskellige ip-adresser, der bliver sendt data til: tre i Danmark, en i USA, en i Belgien og en i Letland. Sandsynligvis tilhører alle disse ip-adresser også inficerede computere, der er en del af et botnet.

Peter Kruse oplyser, at man allerede har fået splittet meget af koden til det ondsindede program ad, men at der stadig mangler en del arbejde. Hackerne har nemlig krypteret noget af koden, så det kræver noget arbejde for at se, hvad det præcist er programmet gør.

Det største angreb på danskere længe

Sådan en type angreb, hvor man går efter at inficere computere med keyloggere og gøre dem til botnets kommer sjældent alene, fortæller Peter Kruse. Oftest bruges denne slags angreb til at stjæle login- og kreditkortoplysninger. Herefter kan der bestilles varer på internettet eller overføres penge fra bankkonti.

Men det kræver muldyr, og mange af dem. Muldyr er betegnelsen for personer, der overfører varer til de kriminelle, oftest uden at være klar over, at de gør noget, der er ulovligt. Og det ser ikke ud til, at det bliver noget problem for de kriminelle at få sendt pakker fra webshops og penge fra pengeinstitutter ud af landet, hvis man spørger Peter Kruse:

»CSIS har aldrig set så stor en rekrutteringskampagne for muldyr blive spredt ud til Danmark. Vi har fået rigtig mange mails ind, og det repræsenterer kun en lille del af de spammails, der er sendt ud. Noget tyder på, at der godt kunne være et angreb på vej. Og hvis det viser sig, at gruppen, der i dag har sendt spammails ud også står bag muldyrsnetværket, er det noget, man skal tage meget seriøst og reagere hurtigt på,« siger Peter Kruse til Version2

Noget tyder på, at det langt fra er det sidste, vi har set til lige netop denne hackergruppe. CSIS har netop observeret en tredje spambølge fra samme afsendere, der denne gang misbruger Bullgard og ligeledes reklamerer med gratis antivirus. I den nyeste mail benytter hackerne sig ligefrem af den danske linkforkortelsestjeneste kortlink.dk – noget tyder altså på, at de er ved at have sat sig godt ind i de danske forhold.

Du kan læse mere om angrebet på CSIS’ sikkerhedsblog. Herunder følger de tre mails, der i dagens løb blev sendt ud for at snyde danskere til at installere et gratis antivirusprogram:

Mail fra "CSIS"

Fra: [Spoofet / forfalsket afsender adresse]Emnelinje: Anti-virus Fra CSIS Security Group A/SIndhold:Hej.
Vi vil godt tilbyde dig et gratis anti-virus.Et super godt anti-virus. daglig opdateringer, automatisk opdateringer, de nyeste metoder til at bekæmpe virus,spyware etc...Du kan hente programmet her [Link fjernet af Version2]
HilsenCSIS Security Group A/S

Mail fra "Nordea"

Fra: support@nordea.dk [mailto:support@nordea.dk]Emne: Nordea - Aktiver din konto Kære Nordea Kunde
Denne e-mail bekræfter, at du har oprettet et nyt Password og vælger det hemmelige spørgsmål Til din konto.
Hvis du ikke foretager disse ændringer, tryk på det link Nedenfor og få adgang til dine kontooplysninger. For at bekræfte, at du ikke i øjeblikket er fraværende. Du har 24 timer eller din konto vil blive låst.
Tryk på linket nede under[Link fjernet af Version2]
HilsenNordea Danmark

Mail fra "Bullguard"

Date: Wed, 12 Oct 2011 09:42:07 -0400 (EDT)Hej.
Du har mulighed for at få bullguard.com (anti-virus), gratis i 1 år.Du kan hente det gratis her[Link fjernet af Version2]
Venlig hilsenBullguard.com
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Sune Marcher

@UU.WW: ...men folk falder stadig for det, ligesom de falder for "gratis ipad fra steve" scammen.

Hvad er det, der gør det? Er folk så sprogligt dårlige at de ikke fatter mistanke? Er de generelt snotdumme? Er det en "jeg forstår ikke det er IT, så må hellere gøre hvad det bliver sagt"? Blind autoritetstro?

  • 4
  • 0
Niels Chr

Bullguard mailen er anderledes ind de andre - her er formuleringen mere korrekt uden åbenlyse fejl. De tidligere refferencer til de andre mails jeg har se, har ikke indeholdt danske bogstaver som postet her på version2.
I mine øjne har folkene bag bullguard phishing mailen enten taget et 5 dages lyn dansk kursus, fået nogle danske mulddyr til at oversætte eller også er der tale om danske kiddies som boltre sig i cyberspace (eller også har de været heldige med deres google translate) - uanset hvad, er det dog ikke godt, hvis der er tale om danskere håber jeg de bliver stoppet.

  • 0
  • 0
Michael Peters

Hvad er det, der gør det? Er folk så sprogligt dårlige at de ikke fatter mistanke? Er de generelt snotdumme?

Endnu en gang vil jeg henlede opmærksomheden på, at Danskere har forskellige værdier. Husk det næste gang din bil er hos mekanikeren. Han er ikke "snotdum", men genial til at lave din bil. Og så lige dit eget dansk - du glemte et komma efter "dårlige" - fejl kan altså opstå også hos de kloge hoveder.

Desværre staver mekanikeren ikke så godt som dig og derfor risikerer han at få sin PC inficeret.

Hvad jeg frygter mest, er faktisk, at Rejsekortet bliver hacket, for så er der mange af dem du kalder "snotdumme", der med helt andre værdier, bliver ofre. En ny undersøgelse viser, at mange unge læser dårligt og de vil aldrig opdage de små stavefejl, som vi andre opdager.

Men snotdumme kan man altså ikke kalde dem.

  • 1
  • 2
Allan S. Hansen

Hvilket jo også er hvorfor banke ofte er 'spoofet'. Men hvis en e-mail du ikke har efterspurgt vil have dig til at klikke på et link og indtaste personlige oplysninger, så i langt størstedelen af tilfældene er det en phising email.

Folk oplyser sjældent deres kontonummer og adgangskode, blot fordi de bliver stoppet af en fyr på gaden der siger han kommer fra deres bank, eller hvis telefonen ringer fra et hemmeligt nummer.
Nogle gør, men jeg tvivler på det er ret mange - de fleste har lært netop det.
Og det er den tankegang man skal have ind i sin håndtering af e-mail og oplysninger på internettet.

Derfor er det ligegyldigt hvad sprog en e-mail er skrevet i, om den er korrekt dansk eller ej. Hvis den vil have dig til at oplyse noget vigtigt - så er det folk skal lære at være mistroiske.

  • 1
  • 0
Log ind eller Opret konto for at kommentere