Det kræver få klik og koster under en halvtredser at blive it-kriminel
Salg: Med få klik og for ofte små beløb kan kriminelle købe sig til alt fra hackerværktøjer til stjålne kreditkortoplysninger. Europol advarer mod et stigende antal hjemmesider, hvor professionelle it-kriminelle sælger deres ekspertise videre.
Hackerangreb for 70 kr. i timen. Stjålne kreditkortoplysninger klar til at blive misbrugt. Færdigstrikkede virusprogrammer, som er bygget til at afpresse private borgere og virksomheder for tusindvis af kroner.
Det kræver hverken teknisk snilde eller mange penge at blive it-kriminel. Med bare få klik kan enhver bevæge sig ind på et stigende antal hjemmesider, hvor alt fra stjålne kreditkortoplysninger til overvågningsprogrammer og hackerværktøjer er billige hyldevarer.
Salget foregår typisk fra internetfora og professionelt udseende netbutikker, som til forveksling ligner lovlige netbutikker. Bag hjemmesiderne står professionelle it-kriminelle, som ofte lokker med både teknisk support, rabatordninger og ”pengene tilbage”garanti, hvis produkterne ikke virker efter hensigten.
Ifølge Sonny Olesen, politikommissær i Nationalt Cybercrime Center under Rigspolitiet, er der et stort marked for køb af ulovligheder på internettet.
»Der er rigtig mange penge i det, så de kriminelle kører det som professionelle forretninger. Der er ansat folk til at udvikle, til at styre pengene og til at hjælpe køberne med tekniske problemer,« siger han og forklarer, at salget er med til at gøre it-kriminalitet let tilgængelig.
»Ofte er produkterne meget billige, og de kræver ikke noget særligt teknisk kendskab hverken at erhverve eller bruge. Alle kan gå i gang med det, hvis man har den slags interesser«.
Billige kreditkort
I en nylig rapport advarer Europol mod opblomstringen af såkaldt ”crime as a service”, hvor organiserede itkriminelle sælger deres ekspertise og tjenester videre til andre kriminelle, som ikke selv har den tekniske formåen til eksempelvis at begå ittyveri eller til at iværksætte et hackerangreb.
Ifølge Peter Kruse, it-sikkerhedsekspert i firmaet CSIS Security Group, kræver det ikke mere end en Googlesøgning at finde frem til hjemmesider, hvor man kan købe alt fra færdigudviklede virusprogrammer til databaser med fortrolige kundeoplysninger. Han forklarer, at en stor del af hjemmesiderne stammer fra Rusland og Østeuropa.
»Det er et område, der er i kraftig vækst. Der findes blandt andet hjemmesider – ofte russiske – hvor kriminelle kan købe sig til et ransomware-angreb, der kidnapper og krypterer data på computere hos virksomheder og private borgere. Løsepengene deler de så med dem, der leverer den tjeneste. De tjenester har vi blandt andet set brugt i Danmark,« siger han og tilføjer, at priserne for produkterne som regel er meget lave:
Databaser med tusindvis af email-adresser og personlige oplysninger kan koste ned til 30 dollars, mens et såkaldt DDoS-angreb, der kan tvinge en hjemmeside i knæ, koster omkring 15 dollars om dagen. Stjålne kreditkortoplysninger bliver ifølge Peter Kruse typisk solgt for mellem én og fem dollars stykket.
»Det foregår som i enhver anden netbutik, hvor du går ind, lægger det i indkøbskurven, du vil have, betaler og går ud igen. Så har du alt lige fra kortnummer til udløbsdato og cvv2-nummer. Det betyder, at du kan gå direkte ud og juleshoppe,« siger Peter Kruse.
Anonym betaling
Ifølge Europol har det stigende salg af tjenester og hjælp til at begå ulovligheder på in- ternettet betydet, at stadig flere organiserede kriminelle er begyndt at bevæge sig over til it-kriminalitet.
I sin seneste rapport om organiseret kriminalitet på internettet skriver Europol, at it-kriminaliteten er stærkt stigende, og at forbryderne bag er blevet langt mere aggressive og organiserede i deres metoder.
Peter Kruse forklarer, at hjemmesiderne, der sælger de ulovlige tjenester, er attraktive blandt kriminelle, fordi de gør det nemt og billigt at begå it-kriminalitet.
»Det er meget let for en kriminel at se en forretning i det her, fordi investeringen er meget lav og det er meget nemt at komme af sted med et udbytte. Og det er meget mere risikofrit at begå den her type kriminalitet end at forsøge at bryde ind i et hus eller berige sig på en anden måde i den virkelige verden,« siger han og fortsætter:
»Internettet har jo den fordel, at man i modsætning til den virkelige verden kan glide uset rundt. Betalingen for tjenesterne foregår ofte anonymt med virtuelle valutaer som Bitcoins, og det er fuld kontaktløs kommunikation mellem køberen og sælgeren«.
I Danmark har der været Crime as a Service Ifølge bl.a. Europol er der et voksende marked for professionelle it-kriminelle, der sælger deres ekspertise og produkter videre til andre, der vil begå it-kriminalitet. Det kan være alt fra hackerangreb, færdigudviklede virusprogrammer og databaser med fortrolige kundeoplysninger til stjålne kreditoplysninger. Ifølge Europol tilbyder organiserede it-kriminelle også hjælp til at hvidvaske penge eller til at oversætte scammails til sproget i det land, de skal sendes til. Det store udbud af tjenester og services har ifølge Europol gjort it-kriminalitet let tilgængelig og attraktiv for kriminelle, der ellers ikke selv har de nødvendige tekniske færdigheder. flere eksempler på sager, hvor der er brugt ulovlige værktøjer og tjenester, som kan købes på internettet. Blandt andet blev en københavnsk mand tidligere i år idømt fire måneders fængsel for at have hacket i alt 117 personers computere og kopieret billeder og andet personligt materiale, som han efterfølgende gemte på sin egen computer. I retten forklarede han, at han havde benyttet sig af et hackerværktøj, som han havde købt via en hjemmeside.
Svære at spore
Ifølge politikommissær Sonny Olesen fra Nationalt Cybercrime Center er det ikke det eneste eksempel på, at personer, der har brugt sådanne tjenester mod andre, efterfølgende er blevet anholdt. Men handlen med de ulovlige tjenester er komplekse at efterforske, fordi de ofte er svære at spore, siger han – dels fordi handlen ofte foregår anonymt, dels fordi der ofte er tale om grænseoverskridende kriminalitet.
»Derfor støtter vi os op ad Europol, som arbejder mod crime as a service på flere fronter – både ved at gå efter bagmændene, som udvikler tjenesterne, og ved at gå efter slutbrugerne,« siger Sonny Olesen.