FALSK POPULARITET: 16 000 norske nettsider synes tilsynelatende at nettsiden Microdel.com er så interessant at den bør linkes til. Microdel inneholder lite eller ingenting, menneskene bak er intetanende om populariteten, og siden er bare én av tusenvis av hackede nettsider involvert i én storstilt svindel, demonstrerer Watchcom-rådgiver Preben Nyløkken.

Massivt dataangrep mot Norge

  • IT

Greywolf

* Nettsveiperverktøy utviklet av Preben Nyløkken og Watchcom, designet for å avdekke om en nettside er blitt hacket eller ikke.

* Har prosjektstatus hos Forskningsrådet.

* Besøker alle. no-domener og andre nettsteder med server på norsk jord om lag én gang i døgnet.

* Registrerer blant annet endringer og alle forsøk på å opplaste filer til brukeren.

Det var i oktober i fjor at sikkerhetsfirmaet Watchcom først ante at noe unormalt var i gjære.

Gjennom den egenutviklede programvaren Greywolf (se fakta) forsøker selskapet å ha en tilnærmet døgn-til-døgn-oversikt over sunnhetsgraden blant norske nettsider.

– Tallet over til enhver tid hackede norske nettsider har en stund nå ligget mellom 1500 og 3000. Høyt, men noenlunde stabilt. Fra oktober så vi et kraftig brudd i kurven, sier Watchcom-rådgiver Preben Nyløkken til Teknisk Ukeblad.

HACKER-EKSPLOSJON i OKTOBER:  Utviklingen i antall hackede norske nettsider i 2009, ifølge sikkerhetsselskapet Watchcom.
– Tallet over til enhver tid hackede norske nettsider har en stund nå ligget mellom 1500 og 3000. Høyt, men noenlunde stabilt. Fra oktober så vi et kraftig brudd i kurven, sier Watchcom-rådgiver Preben Nyløkken til Teknisk Ukeblad. HACKER-EKSPLOSJON i OKTOBER: Utviklingen i antall hackede norske nettsider i 2009.





Enormt – og «ufarlig»

Kurven har fortsatt å vokse med stigende styrke, og antallet hackede sider passerte ved årsskiftet 18 000 – mer enn seks ganger det det var i oktober.

– Til sammen 16 000 hacks av norske nettsider har vi kunnet spore tilbake til én og samme bande, sier Nyløkken.

Spørsmålet som har tatt lengst tid å besvare, har vært «hvorfor?»

– Besøker du en av disse sidene, blir du ikke infisert med skadelig kode av noe slag. Ingen Viagra-reklame, ingen trojanere, ingenting. Det eneste hackerne har gjort, er å legge igjen et stort antall URL-linker til nettsider i utlandet – usynlig for både brukere og innehaverne av siden. Det var først da vi så at den norske angrepsbølgen var en forlengelse av et stort, internasjonalt angrep i mai, at vi skjønte sammenhengen, sier han.





Google-juks

Noen som derimot ser de usynlige lenkene er Google, Bing, Yahoo og AOL – for å nevne noen.

Søkemotorene bruker antallet lenker fra andre nettsteder som en indikasjon på hvor populært – og relevant – et nettsted er for gitte søkekriterier.

Og dersom 16 000 norske nettsteder lenker til deg, er du vanligvis populær. Som Microdel.com, en av tusenvis av nettsider som ble hacket av samme bande i det Preben Nyløkken kaller «angrepsbølge 1» – i utlandet i fjor vår.

– Også her var angrepet nesten umerkelig for brukere og webmastere. Det ble tilsynelatende ikke lagt inn skadelig kode her heller, bare en drøss med htm-filer samlet i to skjulte undermapper, sier Nyløkken.

UTSPEKULERT: Lille Microdel.com blir hacket, og får lagt til undermapper (tykk rød firkant) fylt med ulike søkekriterier. Et halvt år senere blir den lille siden raskt kjempepopulær i Norge - trodde Google.
UTSPEKULERT: Lille Microdel.com blir hacket, og får lagt til undermapper (tykk rød firkant) fylt med ulike søkekriterier. Et halvt år senere blir den lille siden raskt kjempepopulær i Norge - trodde Google.

Falsk antivirus

Hver av htm-filene (se over) inneholder populære søkeord- og fraser for forbrukere med både alminnelige og sære interesser.

Det narrer søkemotorene til å tro at Microdel.com, som virker å være umåtelig populær i Norge, har en egen side med informasjon om akkurat det du søkte etter.

Og først nå kommer sannheten fram, forklarer Nyløkken.

– Når du besøker eksemplet Microdel direkte, skjer det ingenting. Men om du havner der via en søkemotor, får du beskjed om at maskinen din er infisert – med tilbud om å ordne opp ved hjelp av en falsk antivirusprogramvare. Denne er selvsagt en trojaner som vil fiske etter passord, kredittkortopplysninger og så videre, sier han.

- Trolig mellommenn

Sikkerhetsguru Rik Ferguson i Trend Micro ser med interesse på angrepet i Norge.

– Dette er nok globalt i utstrekning, og slike operasjoner handler vanligvis om falske anti-malware-produkter. Trikset for de kriminelle er å få så mange nettsteder som mulig med godt rykte til å lenke opp mot «deres» nettsteder. Det store målet er å få siden opp på første- eller andreplass på Googles pagerank-system, sier Ferguson.

VISER HVORDAN MARKEDET FUNGERER: Rik Ferguson i Trend Micro tror Norge-angrepet er utført av mellommenn.
VISER HVORDAN MARKEDET FUNGERER: Rik Ferguson i Trend Micro tror Norge-angrepet er utført av mellommenn. Leif Hamnes

Han tror derimot ikke at samme bande nødvendigvis står bak både hackingen og selve den skadelige koden som til slutt infiserer brukerne.

– Det er mange grupper og individer som anvender forskjellige teknikker for tukling med søkeresultater. Det er en av grunnene til at den kriminelle distribusjonen av falsk antivirus er så effektiv og motstandsdyktig, sier han.

Ferguson tror banden som har hacket 16 000 nettsider i Norge kan være mellommenn, eller det han kaller «affiliates».

– Ved å rekruttere disse, trenger de kriminelle ikke selv å besørge infrastrukturen for å lede trafikk til sine sider. Disse medsammensvorne får i retur en viss prosentandel av hvert «salg», sier Rik Ferguson.





Narrer deg til å slappe av

Innbilt troverdighet er en av de viktigste handelsvarene for datakriminelle.

Sjansen for at de kriminelle får oss på kroken, er langt større når svineriet ligger i et vedlegg i en e-post fra en adresse vi tror vi kjenner eller en Facebook/MSN-link fra en bekjent. Eller en søkemotor vi stoler på.

For selv om metoden kanskje er ny, er ikke søkemotortukling – såkalt blackhat SEO (Search Engine Optimization) – noe nytt i seg selv.

– Eksempelet Microdel blir ikke lenket til lenger hos Google, så mye tyder på at i hvert fall de er i stand til å fange opp en del av svindelen underveis. For oss var det en vekker å se hvor kompliserte mekanismer nettkriminelle er i stand til – og ikke minst villige til – å sette i verk, bare for å tukle med søkeresultater. Det tyder på at dette er svært lønnsomt. Samtidig kan man jo tenke: Hva vil de kriminelle bruke de 16 000 norske nettsidene til, den dagen denne operasjonen slutter å betale seg? spør Preben Nyløkken.