Som et andet marketingsnetværk skovler it-kriminelle data til sig, der kan bruges til personprofilering og målrettede angreb. Det foregår blandt andet ved at bryde ind i it-systemer i uddannelsessektoren, helt ned på børnehaveniveau.
»Nu begynder vi at se de slemme fyre gøre noget sejt - frygteligt, men sejt.«
Det sagde Richard Domingues Boscovich fra Microsofts Digital Crime Unit under sit indlæg på it-sikkerhedskonferencen Copenhagen Cybercrime Conference, der finder sted i Industriens Hus i København i dag.
»Vi begynder at se dem gå efter skoleoplysninger. Ikke på et universitetsniveau, men på børnehaveniveau og gymnasieniveau i USA,« fortsatte Boscovich.
I den forbindelse afviste han, at det skulle være eksempelvis elever eller forældre, der stod hackerangrebene i uddannelsessektoren, som han brugte som reference. Boscovich forklarede, at angrebene var for omfangsrige i forhold til indsamlede mængder data og for sofistikerede til, at det bare skulle være eksempelvis en utilfreds elev, der ville rette sin karakter eller sabotere et eller andet, lød forklaringen fra Boscovitch.
Han fortalte, at it-kriminelle i stigende grad indsamler data i stor stil fra blandt andet uddannelsessektoren, sundhedssektoren og detailsektoren, hvor diverse oplysninger om os bliver høstet i stor stil.
»De skaffer sig tonsvis af data, de udtrækker masser af informationer på daglig basis,« sagde han.
Og i den forbindelse kunne Boscovich også fortælle, at det firma, Microsoft har som leverandør af sundhedspleje, også var blevet hacket.
»Hvorfor ønsker de at vide, hvad min livvidde er? Hvorfor ønsker de at vide, hvad mit kolesteroltal er?,« lød spørgsmålene fra Boscovitch.
Kriminel big data-analyse
Det er ikke nogen hemmelighed, at marketingfirmaer via blandt andet cookies indsamler uanede mængder af informationer for at kortlægge forbrugernes gøren og laden for i sidste ende bedre at kunne målrette markedsføring mod den enkelte.
Og sådan er de kriminelle også begyndt at tænke, fortalte Boscovitch.
»De gør det samme. Det er big data-analyse. De gør det samme, som legitime forretninger gør, med det formål at målrette.«
Det er dog som sådan ikke reklamer for grilludstyr, de kriminelle håber at kunne ramme plet med. Det er derimod spearphishing-angreb. Altså målrettede hackerangreb.
Et simpelt eksempel i den sammenhæng er direktøren for en stor virksomhed, hvis åbne kalender måske ligger på virksomhedens hjemmeside, hvor det fremgår, at på fredag skal vedkommende ud at spille golf. Mandagen efter modtager direktøren en mail, hvor der står: 'Tak for snakken på greenen, her er det link, jeg lovede at sende dig.'
Direktøren fatter ikke mistanke, klikker på linket, og bam, så er computeren hacket. Alt sammen fordi en it-kriminel har kunnet udnytte en specifik og frit tilgængelig viden om personen til at få vedkommende til at gøre noget, han eller hun, måske, normalt ellers ikke ville gøre.
It-kriminelle kopierer legitime forretninger
Samme taktik forsøger it-kriminelle at udnytte i stor stil ved at skaffe sig adgang til personoplysninger i eksempelvis en børnehave, på en arbejdsplads eller i kartoteket hos en detailforretning, var Boscovitchs budskab.
»Hvis du skaffer nok information om nogen, så bliver et spearphishing-angreb så meget desto lettere. Hvis personen besøger visse butikker, køber visse produkter, så er de måske mindre årvågne, hvis de modtager en mail fra det firma eller den butik, de plejer at besøge.«
I forhold til sundhedsdata kan eksemplet være, at en person modtager en mail fra det, der ligner vedkommendes almindelige læge, med et link, som så viser sig at være skadeligt.
»Det understreger virkelig det store problem og den sofistikerethed, vi har med at gøre på den kriminelle side. Hvordan de grundlæggende efterligner legitime forretninger for at kunne målrette,« sagde Boscovitch.
Bag Copenhagen Cybercrime Conference 2015 står it-sikkerhedsvirksomheden CSIS, DI Itek og Erhvervs- og Vækstministeriet. Version2 er inviteret af CSIS.