Crime-as-a-service: Sådan bliver hælervarer solgt som slik på nettet

De it-kriminelle har kronede dage på nettet, hvor deres webshops er blevet gennemprofessionelle. Online-forbryderne ved dog ikke, om den næste handel foregår med en sikkerhedsefterforsker.

Narko, lejemord og børnepornografisk materiale.

Der er nærmest ingen grænser for, hvilke varer der er til salg på it-undergrundens webshops.

Udover udbuddet af varer er steget markant, har de lyssky elementers online-butikker i stigende grad kopieret de strømlinede look og funktionalitet, som vi kender det fra eksempelvis Amazon. com.

Alt er blevet en service. Også kriminalitet.

Det fortæller Oren, der er efterretningschef for anti-svindelafdelingen i sikkerhedsselskabet RSA, som har en af sine døgnbemandede afdelinger placeret i udkanten af den israelske storby Tel Aviv.

Oren ønsker ikke sit fulde navn og billede frem, da RSA's israelske anti-svindelafdeling årligt er med til at forhindre store milliardbeløb i at skifte hænder fra uskyldige bankkunder til de hærdede online-bagmænd.

Dermed har Oren og hans kolleger også skabt sig en stor flok fjender blandt de it-kriminelle, som han arbejder på at overvåge for RSA's sikkerhedskunder, der blandt andet tæller store, internationale banker og detailkæder.

Han fortæller, at især én vare sælger som varmt brød på nettet.

"På nettet bliver der dagligt solgt 100.000-vis af kreditkort. Vi holder øje med fora og chatsteder, hvor kreditkortene sælge. Og de steder er grundlæggende som et frugtmarked, hvor det gælder om at råbe højst for at blive bemærket," forklarer Oren.

Informationer rådner som bananer
RSA's israelske cyber intelligence-afdeling har flere personer med forskellige sprogkundskaber ansat, da online-kriminalitet for længst er blevet en global forretning.
Især kommer mange af de stjålne kreditkort til salg på russiske websites, men også engelsk er et yndet salgssprog for de cyberkriminelle.

"Her er der en, der påstår, at han har dumps. Det er et andet ord for informationer på kreditkorts magnetstriber, så man kan foretage online-køb," forklarer Oren og peger på sin skærm, hvor IRC-chatten står og blinker.

Den slags informationer bliver stjålet via såkaldte skimmere eller fra magnetstribe-læsere i kompromitterede hæveautomater.

Kreditkortoplysningerne kan også indsamles fra malware, der sender oplysninger hjem til hackernes control-servere, når en person logger på noget, der ligner en netbank.

Denne malware bliver for eksempel installeret ved uforsigtig omgang med vedhæftede billeder i mails eller fra links til kompromitterede eller direkte skumle sites, hvor HTML-headeren indeholder en skadelig iframe, som brugeren dog ikke umiddelbart kan se.

"De informationer, vi får tilbudt her på chatten lige nu, er fra USA og Canada, og sælgeren siger, at informationerne er friske," lyder det fra Oren.

Pris afhænger af friskhed
Friske informationer betyder sandsynligvis få timer gamle kreditkortoplysninger, og det højner værdien.

For stjålne kortoplysninger rådner hurtigt som bananer på føromtalte frugtmarked. Efter blot nogle dage så er de ubrugelige, hvis eksempelvis kortets indehaver har fået spærret kortet.

"Friskheden afhænger også af oprindelsesland, da eksempelvis et dansk kort hos en sydamerikaner kan være frisk længe, mens et dansk kort hos en dansk sælger ikke vil være frisk i særlig lang tid. Slet ikke, hvis der er tale om et kreditkort med chip på," lyder det fra Oren.

"Friskheden og oprindelsen betyder stort set alt for prisen. Er informationerne mere end tre til fire dage gamle, så er prisen nede på få dollar, ellers gives informationerne simpelthen bare væk," siger han.

Prisen på kreditkort er således i de seneste år faldet fra flere hundrede kroner til småpenge for et helt bundt kort i takt med, at store virksomheder som Target er blevet hacket sønder og sammen.

Mere fremmedartede varer som eksempelvis kinesiske kreditkort går for omkring 200 dollar svarende til godt 1.000 danske kroner, da de sjældent bliver udbudt på nettet.

Priserne på kreditkort og -oplysninger bliver simpelthen strikket sammen efter udbud- og efterspørgselsmekanismer, som vi kender det fra 'det hvide marked'.

Tilfredshed eller pengene retur
RSA's anti-svindelafdeling i Israel finder i alt 50 millioner kompromitterede datasæts om ugen på forskellige chats og webfora, hvor der er mange gengangere blandt oplysningerne.

Derfor ønsker Oren ikke at gætte på, hvor mange folk, der får hugget deres informationer på daglig basis.

Og de mange stjålne kreditkort er sammen med mange nye kreditkort-sælgere på markedet med til at presse priserne nedad.

"Hvis kortet er udløbet eller ikke virker, er konkurrencen så hård, at sælgerne enten giver pengene retur eller bytter det. Det handler ligesom alle andre forretninger om at have et godt ry og en god kundeservice" lyder forklaringen fra RSA's anti-svindelafdeling i Israel.

Betalingsformen er dog markant anderledes, når de kriminelle og hælerne handler sammen online. For det foregår naturligvis ikke med (stjålne) kreditkort.

Derimod er det betalingsformer som Ukash, Perfect Money og senest Bitcoins som er i høj kurs, efter betalingsformen Liberty Reserve blev fjernet af det føderale amerikanske politi FBI for få år siden.

Betal depositum på 20.000 kroner
Designet af hjemmesiderne på det sorte online-marked er modnet kraftigt i de senere år.

Oren viser flere eksempler på, at hjælpetekster som 'Lager haves' på et site, hvor der blandt mange andre ting sælges pas til forfalskninger af ens online-identitet.

Ligesom det naturligvis også kan skrives anbefalende anmeldelser eller udtrykkes hård kritik over køb af tyvekosterne på diverse websites.

"Der er dog forskel på IRC-chats og de professionelle webshops. På chatten kan man anonymt hoppe ind og ud, og der skal den ene part på et tidspunkt bare stole på den anden," fortæller Oren.

Udover de anonyme chats og professionelt udseende websites er de it-kriminelle i stor stil til stede på diverse fora, hvor et medlemskab i visse tilfælde kan betyde betalinger af depositum på helt op mod 20.000 kroner.

RSA oplyser, at selskabet ikke selv har betalt for at komme ind, fordi selskabets agenter har været der fra starten af. Her gemmer agenterne sig bag aliaser, proxy-servere og VPN-tunneller for at skjule deres sande identitet.

I visse kriminelle online-fora kan du desuden kun opnå medlemsskaber, hvis to eller flere personer fra selvsamme forbryderiske forum kan sige god for dig.

Hvad med lidt plutonium?
Med et medlemsskab kan man købe kreditkort i bunkevis, mens eksempelvis et botnet til DDoS-angreb kan lejes i en uges tid for et par tusinde kroner.

Oren nævner desuden, at man på 'det dybe net' via eksempelvis Tor-browseren og IRC-chats også kan få tilbudt mere eksotisk gods.

For her er lejemord, børnepornografi og narkotika blandt hyldevarerne.

Direkte adspurgt om man også kan købe plutonium til konstruktionen af atombomber, svarer han således.

"Jeg er helt sikker på, at man kan få tilbudt plutonium, hvis du efterlyser det. Men jeg er langt fra sikker på, at sælgeren ikke bare vil tage dine penge og forsvinde sporløst igen. For det er altså forbrydere, der hænger ud på disse steder, og de er kun interesserede i penge."

Samtidigt kan du som handlende på de lyssky websites godt indstille dig på at blive jaget bytte døgnet rundt.

Jægerne består af en blanding af de kompromitterede virksomheder, en hel stak sikkerhedsselskaber og forskellige landes politimyndigheder, som overvåger de mistænkelige sites og har agenter plantet rundt på IRC-chats og i lyssky fora.

"Vi er som privatejet sikkerhedsselskab ikke en politimyndighed, så vi kigger umiddelbart kun efter de ting, som kunderne efterspørger. Og det er typisk, om deres produkter er blevet stjålet, eller om de bliver omtalt rigtig meget, så der muligvis har været et hack hos dem," forklarer Oren.

Han tilføjer, at hvis RSA efterforskningsenhed på sin vej gennem det dybe net opdager hackede websites eller store mængder af kompromitterede kreditkort fra samme kilde uden egentlige kunderelationer til RSA, vil de berørte parter blive kontaktet.

RSA oplyser også, at sikkerhedsselskaberne trods intern konkurrence i stigende grad arbejder sammen om at få krammet på cyberforbryderne.

Læs også:
Dansk sikkerhedsfirma udsat for hævnangreb: Fik 400.000 mails fra hackere

Sådan går det, når hackerne selv bliver hacket

Politichef lover: Danmark får cyberpoliti i verdensklasse



Premium
Nvidia RTX 3080 til test: Her sættes en ny standard – og trods prisen er det på mange måder et stærkt køb
Der er ikke nogen tvivl om, at der er krummer i Nvidias nye high-end grafikkort. Det ligner endda et særdeles godt køb trods den høje pris.
Computerworld
Ups!: Gammelt fjernsyn lagde internetforbindelsen ned i hel landsby i halvandet år
I halvandet år var en hel landsby i Wales plaget af elendig bredbåndsforbindelse, som begyndte hver dag klokken syv om morgenen. Teknikere kæmpede med at løse mysteriet, men lige meget hjalp det. Årsagen viste sig at være et brugt tv, som en af byens familier havde taget i brug.
CIO
Torben Fabrin og Arla måtte på få dage omstille hele deres produktion da coronaen ramte
Da coronaen ramte verden måtte mejerigiganten Arla på få dage omstille sin produktion. Samtidig voksede salget massivt til supermarkeder mens institutioner og restauranter gik næsten i stå. Hør hvordan Arla kom gennem krisen ved blandt andet være klar med realtime analytics.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
Vil du med på vej mod den moderne dataestate?
At gøre data tilgængelig, men hurtigst og med de færreste ressourcer, er de første og nødvendige skridt mod en moderne dataestate. Tiden er inde til, at du bevæger dig ned af den digitale landevej, der fører til hurtige og konsistente svar på simple forretningsspørgsmål. Vi giver her et bud på, hvordan du kommer igang.