En gammel talemåde hedder, at hæleren er lige så 'god' som stjæleren.
Den frase er nok værd at bide mærke i, hvis du skulle føle trang til at begive dig ud på de hundredtusindvis - hvis ikke millionvis - af lyssky sites, hvor du med bitcoin, Ucash og andre virtuelle valutaer kan købe og bestille alt fra kreditkort-data til decideret industrispionage.
For strafferammen for at købe sig til ulovligt erhvervede oplysninger kan lyde helt op til otte år for køb eller bestillinger af it-kriminelle operationer og opgaver.
Det oplyser juraprofessor Lars Bo Langsted fra Aalborg Universitet til Computerworld.
"Hvis man bestiller konkrete oplysninger eller handlinger, er man selv 'stjæleren'. Hvis man køber oplysninger og andet, der allerede er fremskaffet ulovligt, har de fleste bestemmelser en "hælerregel". Denne regel giver mulighed for den samme straf som for 'stjæleren'," siger Lars Bo Langsted.
Med andre ord: Du er også it-kriminel, hvis du køber eller bestiller hackede oplysninger.
Køb DDoS-angreb for 12 kroner
Handlen med stjålne data og hacker-bestillinger foregår ofte på fora og professionelt udseende hjemmesider, som ifølge it-sikkerhedsekspert Jens Christian Høy Monrad fra sikkerhedsfirmaet FireEye fungerer lidt som dating-sites for it-kriminelle.
"Man kan oprette indlæg med bestillinger, eller man kan se, hvad andre udbyder af data. Jeg har set, at mange forsøger at få hacket eks-kæresters pc'er, men her er efterspørgslen ofte større end udbuddet. Den slags er vist kun interessant, hvis man er klar til at lægge flere tusinde kroner på bordet," siger han.
I takt med at de glatte hjemmesider for de ulovlige services vinder frem, vurderer sikkerhedseksperten også, at der har været en stigning i handlerne, som i de seneste år har fundet et stabilt niveau.
Ligesom i den lovlige internethandel afhænger priserne meget af, hvad man som kunde ønsker at købe eller sælge - og priserne og serviceniveauet kan variere markant fra site til site.
Eksempelvis er der på ét site muligt at købe et DDoS-angreb rettet mod virksomheder eller privatpersoner for 12 kroner, mens prisen stiger, hvis angrebet skal være stort og strække sig over flere timer.
Andre steder kan du købe 'friske' American Express-kortdata fra Danmark for godt 50 kroner, som er blevet hugget inden for et døgns tid eller to. Her er det ikke selve kortet, der er stjålet, men derimod de data, som er tilknyttet til et kortet, som man køber.
Med disse data i hånden kan hæleren herefter selv printe et American Express-kort ud til betaling i butikker uden brug af pinkode. Køberen kan også vælge at betale lidt ekstra og få pinkoden med, så kortet med de kopierede data virker ligesom det originale.
"Med mindre kortejerne frivilligt har afgivet disse informationer, hvilket man har svært ved at tro, så er køberen jo hæler," pointerer it-sikkerhedsekspert Jens Christian Høy Monrad.
Flere steder sælges disse kortdata fra udbydere som Visa og Mastercard i bundter med eksempelvis 50 nystjålne kortoplysninger, der kan erhverves for få tusinde kroner.
"Vi ser også en udvikling omkring, at folk sælger informationer om andre personer i én stor pose, som eksempelvis kan indeholde 20 gigabyte logfiler med alt fra kreditkortinformationer, login-oplysninger og certifikater, som kan give VPN-adgang til netværket hos ofrets arbejdsgiver," fortæller Jens Christian Høy Monrad.
Det beskidte arbejde i økosystemet
It-sikkerhedseksperten forklarer, at talrige bagmænd ligger på lur i hele økosystemet rundt om de mange dunkle netbutikker.
Mange af bagmændene er dem, der udfører det beskidte arbejde med at indsamle eksempelvis kreditkortinformationer.
"Kreditkort-data kan indhentes på mange måder. Det kan eksempelvis være ved at installere fup-software på en hæveautomat eller ved at få ofret til at installere malware, der kan høste og sende oplysninger til bagmændene," siger fortæller Jens Christian Høy Monrad fra FireEye.
I starten blev denne form for malware kendt som 'bank-trojanere'. Ifølge sikkerhedseksperten er det efterhånden et misvisende navn, da den ondsindede software også kan hugge meget mere end penge.
"Bank-trojanerne kan i dag stjæle alt fra CPR-numre, login-informationer, mailkorrespondancer, ja alt, hvad ofret taster ind og har liggende på sin computer," forklarer fortæller Jens Christian Høy Monrad.
Han fortæller også, at et relativt nyt fænomen er handel med ofre, hvor man kan købe adgang til intetanende folks webcams for en håndfuld hundredkronesedler.
"Det kunne måske dreje sig om en pige, der sjældent lukker sin computer, når hun tager et bad. Den slags koster typisk et sted mellem 500 og 5.000 kroner, alt efter hvem ofret er, og hvor svært det er at skaffe sig adgang," siger Jens Christian Høy Monrad.
Han tilføjer, at adgangen ikke nødvendigvis koster penge, hvis man har andre webcam-ofre at bytte med.
Et andet eksempel på offer-handel er adgangsnøglerne til navngivne personers netbanker, hvor man på forhånd kan se, hvor mange penge, ofret har sparet sammen på kontoen.
Er du derimod ude på at tilsværte andre personer, kan der bestilles en 'doxing', der er afsløringen af et offers mest intime detaljer i form af personlige billeder og tekster, der anskaffes via hacking og derefter smides ud på nettet.
Sådan en personlig stinkbombe koster ifølge Jens Christian Høy Monrad nok ikke mere end 500 kroner at bestille, hvis det drejer sig om en ikke-offentlig person.
"Vi har blandt andet set en tendens i gamingmiljøet på, at spillerne doxer hinanden. I disse miljøer er der mange anonyme personer, som mange åbenbart ønsker at demaskere. Det var blandt andet også doxing, der førte til afsløringen af hackergruppen LulzSec," forklarer Jens Christian Høy Monrad.
Historien om hævngerningerne mod LulzSec-medlemmer kan du læse mere om her.
Hvis du ikke ønsker at betale for adgang til data, nøgne folk i bad eller intetanende bankkunders konti, kan du købe et såkaldt remote access tool (RAT).
Sådan et RAT-værktøj giver dig med lidt fingerfærdigheder adgang til andre folks computere fra distancen.
Netop denne slags RAT-værktøjer som Black Shades til en pris på godt 250 kroner har været rambukken i den verserende sag mod en dansk hacker, der kører i retten i disse uger. Den sag kan du læse mere om her.
Køb og brug af RAT-værktøjer kræver dog, at du ikke er helt lysegrøn udi at konfigurere en computer, og du har en vis erfaring med social engineering herunder spear phishing-angreb for overhovedet at få spion-malwaren placeret på ofrets computer.
Læs også: Hackernes nye vidundervåben: 'Spear phishing'
Lykkes missionen med at få plantet malware, kan du til gengæld være fløjtende ligeglad med, om ofret benytter alle mulige former for kryptering på sin computer. For RAT-værktøjet giver adgang til alle tastetryk og aktivitetsloggen hos ofret.
"Helt firkantet sagt kan man enten købe den fulde pakke, hvor alt det beskidte arbejde er gjort, eller man kan den lille pakke, hvor brugeren selv skal rode med RAT-værktøjerne," siger it-sikkerhedsekspert Jens Christian Høy Monrad.
Han pointerer samtidig, at fænomenet med at købe sig til kriminelle services og stjålne produkter på nettet langt fra er nogen ny foreteelse, mens udbuddet af hackerværtøjer er i stigning.
"Jeg har da siddet på mit 56K-modem tilbage i 1990'erne og set på kreditkorthandler. Disse handler er inden for de seneste fem år blevet meget moderniseret og mere formaliseret på hjemmesider med døgnservice og chatsupport," forklarer Jens Christian Høy Monrad.
Crime-as-a-service er således blevet en strømlinet forretning med fokus på brugervenlighed, design og andet, som man normalt forbinder med etablerede it-selskaber som Apple og Amazon.
Tusindvis af milliarder på spil
Udbud og efterspørgsel driver de it-kriminelle fremad, og der er penge i ulovlighederne. Åbenbart mange penge, lyder det fra dem, der skal beskytte os.
it-sikkerhedsfirmaet McAfee vurderede sidste år, at nettets it-kriminalitet kostede 2,7 billioner kroner. Sikkerhedskollegaen Juniper anslår, at beløbet runder 13 billioner kroner i 2019.
Her indgår også de langt mere sofistikerede bestillingsopgaver på hacking og tyveri af forretningshemmeligheder hos store, globale virksomheder.
Den slags opgaver kan modsat mange af de andre bidrag til den samlede cybercrime-økonomi ikke erhverves for en slik.
Hvor meget et sofistikeret hackerangreb koster, varierer ifølge Jens Christian Høy Monrad meget fra opgave til opgave, da der ofte er lang forberedelsestid - ofte på flere måneder - og en høj risiko involveret.
"Der findes også mange folk, der sælger ting og services, som ikke findes i virkeligheden. Vi har jo her med it-kriminelle at gøre, så man kan ikke nødvendigvis stole på alt, hvad folk lover," lyder det fra it-sikkerhedseksperten.
Han har ikke noget endegyldigt bud på, hvordan vi kan få bremset hackertoget, som forlod perronen for flere årtier siden. Hidtil har et internationalt samarbejde været svært at stable på benene med især Rusland og Kina, som samtidig nok menes at stå bag hovedparten af klodens it-kriminalitet.
"De generelle råd om at holde sig opdateret og lade være med at klikke på links eller åbne vedhæftede filer gælder stadig," siger Jens Christian Høy Monrad fra FireEye.
Du kan her læse mere om, hvordan det internetkriminelles webbutikker i stigende grad kommer til at ligne de online-shops, hvor vi på daglig basis gladeligt lægger vores kreditkortinformationer.
Læs også:
Sådan vil bankerne passe på dine sparepenge: Her er de fire sikkerhedsmæssige hovedfjender lige nu
