Gagnalekum fjölgar milli ára, sífellt fleiri kortanúmer ganga kaupum og sölu, illa fengnum lykilorðum er dreift sem aldrei fyrr og netþrjótar beita sífellt þróaðri aðferðum. Í þessari grein er fjallað um þróun netglæpa á árinu 2018.

3. janúar 2019

Áætlað hefur verið að hagnaður netþrjóta hafi numið jafnvirði 190.000 milljörðum króna á árinu 2018. Líklegt þykir að árið 2019 verði í fyrsta sinn meiri hagnaður af netglæpum en eiturlyfjaframleiðslu. Sumir telja raunar að þessum tímamótum hafi þegar verið náð.

Heildartjón samfélagsins vegna netglæpa er þó mun meira en sem nemur ábata glæpamannanna því vegna þeirra verða einstaklingar, fyrirtæki og opinberar stofnanir fyrir margvíslegum kostnaði, töfum og truflunum. Áætlað hefur verið að samfélagslegt tjón vegna netglæpa sé 3-4 sinnum meira en það sem þrjótarnir hafa upp úr krafsinu.

Helmingur vegna ólöglegrar dreifingar

Áætluð arðsemi netglæpa er hluti af niðurstöðum rannsókna dr. Michael McGuire sem hann kynnti á ársþingi öryggisfyrirtækisins RSA, samstarfsaðila Landsbankans. Eins og gefur að skilja eru hvergi til nákvæmar upplýsingar um arðsemi glæpastarfsemi og niðurstöður McGuire byggja á mælingum fyrri ára sem eru framreiknaðar út árið 2018. Athygli vekur að hagnaður af sölu ólöglegs efnis, einkum afþreyingarefnis er yfir helmingur af hagnaði allrar nettengdrar glæpastarfsemi:


Tegund Tekjur í milljörðum króna
Tekjur af sölu og dreifingu ólöglegs efnis 106.000
Tekjur af sölu iðnaðarleyndarmála og IP-talna 62.000
Tekjur af gagnasölu 20.000
Tekjur af sölu- og áskriftarþóknunum fyrir glæpahugbúnað, tekjur af þjónustuskilum og þjónustusamningum 2.000
Tekjur af lausnargjaldi gagna 1.200

(m.v. gengi í árslok 2018)

McGuire benti á að netglæpaiðnaðurinn hefur þróast á sama veg og annar iðnaður, þ.e. með áherslu á hagkvæmni í rekstri, gerð þjónustusamninga, innleiðingu heildsölu, smásölu, hagnýtingu þjónustuskila (e. platforms), útvistun undirverkefna til sérhæfðra aðila og þar fram eftir götunum. Netglæpir þróast hratt og því þurfa fyrirtæki og stjórnvöld sífellt að finna nýjar aðferðir í baráttunni gegn þeim.

Bitcoin auðveldar glæpamönnum að flytja fé

Í skýrslu McAfee um efnahagsleg áhrif netglæpa á þjóðir sem gefin var út 2018 er m.a. fjallað um hve hratt glæpamenn aðlagast nýjum aðstæðum og hve snöggir þeir eru að tileinka sér nýja tækni. Í skýrslunni kemur fram að um milljón netglæpir, eða tilraunir til þeirra, séu framdir á hverjum degi og eru þá ótaldir um 80 milljarðar ruslpósta sem sendir eru daglega. Skýrsluhöfundar benda á að með tilkomu bitcoin-rafmyntarinnar eigi hrappar auðveldara en áður með að skiptast á fjármunum, enda er ekki hægt að rekja greiðslur með bitcoin.

Geta keypt hugbúnaðarpakka með svikatólum

Líkt og í öðrum hagkerfum þurfa þátttakendur í netglæpaheiminum að geta átt örugg samskipti og traust viðskipti. Meginmunurinn er þó sá að þrjótarnir þurfa að geta rætt saman og stundað viðskipti sín á milli með hámarksleynd án þess að traustinu sé fórnað. Þessi áskorun hefur verið leyst með þar til gerðum tæknivettvangi (e. platform) þar sem framboð og eftirspurn mætast á rafrænu markaðstorgi með hagkvæmum hætti líkt og þekkist í heiðvirðum viðskiptum.

Á þessu rafræna markaðstorgi geta glæpamenn komið þjónustu sinni eða óskum um þjónustu á framfæri og skipt hver við annan. Í stað þess að glæpamaður þurfi að smíða eigin hugbúnað getur hann keypt íhluti í hann eða keypt tilbúinn hugbúnaðarpakka ásamt vönduðum leiðbeiningum og jafnvel ráðgjöf. Eins getur hann verið í reglulegri áskrift að hugbúnaði og tryggt sér nýjustu og snjöllustu glæpatól hvers tíma. Þá er vel þekkt að gerðir séu þjónustusamningar milli þjónustusala og þjónustukaupanda. Meira að segja eru til skilfletir fyrir óprúttnar þjónustur, eða einskonar svikaþjónustu (e. fraud as a service - FaaS) sem er ígildi hugbúnaðarþjónustu (e. software as a service - SaaS) í hefðbundinni hugbúnaðarvinnslu.

Milljón öpp fjarlægð vegna öryggisveikleika

Greint var frá því í skýrslu Symantech í mars 2018 að á meðal þess aragrúa appa sem til er í dag, séu lífsstílsöppin nú vinsælustu skotmörk netþrjóta. Þau eru öðrum öppum líklegri til að gera staðsetningu tækis aðgengilega öðrum og til að geyma símanúmer og aðrar viðkvæmar persónuupplýsingar, t.d. um heilsufar, en þess konar upplýsingar eru verðmeiri en almennari upplýsingar.

RSA metur stöðuna þannig að 60% netóværa berist um snjalltæki og af þeim fjölda berist 80% í gegnum öpp. Þetta er ekki tilviljun, hrapparnir hafa til margs að vinna með því að brjótast inn þessa leiðina; með aðgengi að símanum eiga þeir auðveldara með að brjótast inn í bankaöpp eða önnur öpp sem geyma fjárhagslegar upplýsingar. Þetta er ein meginástæðan fyrir innleiðingu mynsturs- og hegðunargreininga hjá Landsbankanum og öðrum þjónustuveitendum.

Afar erfitt er fyrir umsjónaraðila appmarkaða að sannreyna öryggi allra appa sem þar bjóðast. Fullvissan er einfaldlega of kostnaðar- og tafsöm. Athygli vakti síðastliðið sumar þegar öppum í Google Play Store fækkaði um milljón á fáeinum vikum. Sem stendur eru um 2,6 milljónir appa í Google Play Store en flest voru þau um 3,6 milljónir í mars 2018. Þessi mikla og hraða fækkun appa síðastliðið sumar er sprottin af mikilli hreinsun sem Google réðist í vegna grunsemda um alvarlega öryggisveikleika. Ekki hefur verið þörf fyrir viðlíka hreinsun í Apple App Store og er fjöldi appa þar núna áþekkur og í Google Play Store.

Færa sig yfir á samfélagsmiðla

Tölvuþrjótar beita ýmsum brögðum og fjársvikin beinast bæði gegn einstaklingum og fyrirtækjum. Samkvæmt skýrslu Verizon frá 2018 opnar þriðjungur Bandaríkjamanna tölvupósta með skilaboðasvikum og 12% þeirra opna einnig viðhengin. Landsbankinn hefur þegar fjallað um svik í gegnum tölvupóst og smáskilaboð, fyrirmælafölsun, peningaþvætti, falsfréttir um skjótfenginn gróða og hvaða upplýsingum öppin safna um þig. Þessar tegundir fjársvika á netinu eru einkennandi fyrir árin 2016, 2017 og 2018. Fátt bendir til annars en að sama verði uppi á teningnum árið 2019.

Þó hefur sú þróun átt sér stað undanfarin misseri að æ fleiri glæpamenn hafa fært sig yfir á samfélagsmiðlana til að ná betur athygli fólks og veiða það í gildrur. Sama gildir um falsfréttir á fölskum fréttasíðum sem lokka fólk til þátttöku með gylliboðum, líkt og gerst hefur nokkrum sinnum hérlendis. Fyrir þessu eru margar ástæður, m.a. sú að með þessum hætti geta tölvuþrjótar komist yfir greiðslukortanúmer með einföldum og ódýrum hætti.

Samkvæmt nýjustu skýrslu öryggisfyrirtækisins RSA hefur netsvikum á samfélagsmiðlum fjölgað um 70% á aðeins nokkrum mánuðum. Fjölmörg dæmi sýna hve auðvelt það er að fá fólk á Facebook til að gefa upp kortanúmer, CVC-númer, aðgangsupplýsingar fyrir netbanka, leyninúmer bankareikninga og svo framvegis. Í skýrslunni er m.a. gagnrýnt hve auðvelt það er fyrir óprúttinn aðila að komast í lokaða Facebook-hópa. Sambærileg inngöngubeiðni er mun flóknari í undirheimum; þar þarf glæpamaður m.a. tiltekinn fjölda meðmælenda til að eiga nokkra von um að geta komist á næsta stig í umsóknarferli um að komast í hópa þar sem glæpamenn skiptast á upplýsingum og aðferðum.

Því er spáð að á næstu árum muni glæpamenn finna aðferðir til að nýta sér öryggisveikleika nettengdra og snjallra heimilistækja og varnarleysi heimila almennt gagnvart netárásum. Fernt er nefnt þessu til stuðnings:

  • Flest tækin eru tengd beinum (e. routers) sem gjarnan hafa ófullnægjandi varnir
  • Sjaldnast er krafist reglulegrar endurnýjunar lykilorða eða lykilorða yfir höfuð
  • Líftími slíkra tækja er í lengri kantinum, til dæmis skiptir maður ekki út sjónvarpi eða ísskáp jafn oft og fartölvu eða síma
  • Hugbúnaðaruppfærsla (e. firmware update) er sjaldnast í boði

Fyrirséð er að fjárkúgunum og kröfum um lausnargjald fyrir endurheimt gagna muni fjölga. Á það jafnt við fyrirtæki og einstaklinga. Að mati Symantech er meðalfjárhæð lausnargjalds um 130.000 krónur nú um mundir. Sú fjárhæð er í takt við greiningu CSO Online sem spáir enn fremur að fjöldi slíkra atvika muni fjórfaldast til ársins 2020 og valda yfir 16.000 milljarða króna tjóni það ár, sem er ívið hærri fjárhæð en McGuire spáir í greiningunni sem vikið var að í upphafi.

Sala kortanúmera verður áfram vinsæll iðnaður

Í áðurnefndri skýrslu frá RSA er vitnað til gagna frá Facebook um vinsælustu orðin og orðasamböndin sem notuð eru í Facebook-færslum tengdum fjársvikum á netinu. Umfjöllun um greiðslukort, kortaseríur og þess háttar gnæfir yfir aðra umræðu í þessum þrönga ranni.

Í skýrslunni kemur einnig fram að fyrir einstök verkefni eða fáein skyld verk í knippi, fá hakkarar að meðaltali greiddar 3,7 milljónir króna. Þá er meðalþóknun fyrir sölu gnóttar kortanúmera (fyrir tugi eða hundruð þúsunda korta í einu) um 247 milljónir króna.

Einföld könnun á djúpvefnum sýnir að algengt verð fyrir íslensk debet- og kreditkortanúmer er á bilinu 850 - 6.000 krónur fyrir stykkið. Í lægri verðflokkum fæst einungis kortanúmerið og CVC númerið en í hærri verðflokkum fylgir PIN-númer korta og kennitala korthafa. Verð getur verið enn hærra, allt eftir leitarskilyrðum hverju sinni.

Skjámynd úr erlendri vefverslun með íslensk debet- og kreditkortanúmer. Landsbankinn leitast við að fylgjast með slíkum verslunum en ógerningur er að fylgjast með þeim öllum, allar stundir sólarhringsins.

Að óbreyttu mun gagnalekum fjölga milli ára

Almennt gildir að fólk hefur ríka tilhneigingu til að nota sama lykilorðið á mörgum stöðum. Þess vegna er gagnaleki eins fyrirtækis svo alvarlegur fyrir marga fleiri aðila. Auk þess notar fimmtungur netverja enn sömu lykilorðin og fyrir áratug. Þá er talið að helmingur netverja noti enn sömu lykilorðin og fyrir fimm árum.

Undanfarin ár hafa gagnalekar ekki endilega orðið stærri. Aftur á móti fjölgar þeim mikið og af því leiðir að áhrifin varða æ fleiri einstaklinga og fyrirtæki frá ári til árs. Sem dæmi má nefna að árið 2011 láku aðgangsupplýsingar 77 milljón PlayStation-notenda. Tveimur árum síðar láku aðgangsupplýsingar 70 milljón viðskiptavina verslunarinnar Target. Árið 2013 varð einn stærsti leki sögunnar sem snerti 1 milljarð Yahoo-notenda. Árið 2014 láku aftur aðgangsupplýsingar hjá Yahoo en þá hjá 500 milljón notendum. Sama ár láku aðgangsupplýsingar 76 milljón notenda hjá JP Morgan Chase bankanum og yfir 50 milljón notenda hjá The Home Depot. Árið 2016 láku aðgangsupplýsingar 57 milljón Uber-notenda og árið 2017 fjarlægði Google 300 öpp úr Play Store sem láku aðgangsupplýsingum. Í mars 2018 kom í ljós að aðgangsupplýsingar um 50 milljón Facebook-notenda láku til þriðja aðila. Ennfremur varð kunngjört að Cambridge Analytica hafði einmitt hagnýtt stolnar aðgangsupplýsingar til að flokka áhugasvið og pólitískar skoðanir Facebook-notenda og greina ýmsar aðrar kenndir þeirra. Í heildina var tilkynnt um leka aðgangsupplýsinga 87 milljón Facebook-notenda á árinu 2018.

Stærsti gagnalekinn árið 2018 var þegar upplýsingar um 500 milljón viðskiptavini hótelkeðjunnar Marriot komust í hendur óprúttinna aðila. Nokkru áður láku upplýsingar um notendanöfn og lykilorð 330 milljóna Twitter-notenda.

Þá er sérstakt umhugsunarefni að það tekur fyrirtæki að meðaltali 197 daga að uppgötva að gagnaleki hafi átt sér stað. Hrappar hafa því að meðaltali yfir sex mánuði til að endurtaka og fínstilla lekann og hagnýta þessar stolnu upplýsingar í eigin þágu eða koma þeim á markað. Það liggur í hlutarins eðli að fórnarlambið bregst ekki við gagnaleka fyrr en það veit af honum. Þetta er einmitt ástæða þess að samkvæmt nýjum persónuverndarlögum (GDPR) er fyrirtækjum skylt að tilkynna um öryggisbrest við meðferð persónuupplýsinga innan við 72 klukkustundum frá því að þau verða hans var.

Tjónið er meira en ávinningurinn

Framar er nefnt að ávinningur netglæpamanna (tekjur umfram gjöld) er áætlaður um 190.000 milljarðar króna á ársgrundvelli. Ekki skal því undra að innan glæpaiðnaðarins hafa netglæpir vaxið hraðast mörg undanfarin ár. Umfangið hefur vaxið það hratt frá árinu 2004 að sérfræðingar telja að á árinu 2021 muni efnahagslegt tjón vegna netglæpa á heimsvísu nema 700.000 milljörðum króna. Verði það raunin, er það helmings aukning frá árinu 2015. Samkvæmt þessu má ætla að tjón fórnarlamba sé 3-4 sinnum hærra en nettó ábati gerenda.

Greiningaraðilar hafa töluvert velt fyrir sér hvernig beri að mæla tjón fyrirtækja og stofnana af netsvikum. Almennt gildir að til tjóns er talinn margþættur kostnaður, s.s. laskað orðspor og ímyndarskaði, töpuð gögn, glataðir fjármunir, tjón af hugverkaþjófnaði, auðkennastuldur (nöfn, kennitölur, notandanöfn, lykilorð) og afleidd áhrif, truflun á starfsemi fyrirtækis eftir árásir, minni framleiðni, kostnaður við tilraunir til endurheimtar, kostnaður við rannsóknir, málaferli, töpuð markaðshlutdeild, efling öryggisfræðslu og þar fram eftir götunum. Þá er auðvitað ótalinn margvíslegur annar óþægindakostnaður, tilfinningalegt tjón og annar huglægur skaði.

Frá sjónarhóli einstaklinga er tjónið einkum mælt í töpuðum beinum fjármunum og óbeinu tjóni á borð við töpuð gögn, tapaðar persónuupplýsingar og brot gegn friðhelgi einkalífsins. En því fer fjarri að allt tjón sé tilkynnt. Ástæðan getur m.a. verið sú að fórnarlambið telur sig sjálft eiga sök á máli og ber vissa skömm innra með sér, iðulega að ósekju. Þetta gildir ekki síður um fyrirtæki sem vilja til dæmis ekki kunngjöra eigin veikleika eða láta það fréttast að hafa fallið í gildru á borð við t.d. fyrirmælafölsun. Önnur algeng ástæða er sú að fórnarlambið sér ekki ávinning í því að tilkynna atvikið. Þriðja ástæðan eru þeir mögulegu álitshnekkir sem einstaklingurinn eða fyrirtækið kann að verða fyrir ef upp kemst um atvik sem rekja má til veikleika eða ófullnægjandi varna. Við mat greiningaraðila á tjóni er leitast við að taka þessi atriði með í reikninginn.

Hvað er til ráða?

Hérlendis hefur vitundarvakning orðið um netöryggi og neytendur eru almennt orðnir varari um sig. Sú jákvæða þróun kann að tengjast sífellt auknum fréttaflutningi af margs konar fjársvikum á netinu, gagnalekum og öðrum nettengdum óværum. Vafalítið spilar hér inn í að netverslun Íslendinga hefur margfaldast frá árinu 2012. Á árinu 2017 jókst pakkainnflutningur um 60% frá fyrra ári en vöxturinn er þó líklega ívið minni árið 2018 miðað við bráðabirgðatölur. Af öllu þessu leiðir að neytendur eru meðvitaðri um mikilvægi heilbrigðrar skynsemi í meðferð viðkvæmra upplýsinga á netinu og fylgja hollráðum um góðar venjur í netverslun. Neytendur sjálfir hafa mikið um það að segja hvernig þeim vegnar, s.s. að leyfa ekki vefverslun að vista kortaupplýsingar, að nota ekki sama lykilorðið alls staðar, að versla aðeins á læstu neti, að muna að skrá sig alltaf út og fylgjast með færslum í netbankanum.

Víkur þá sögunni að þjónustuveitendum. Ein af meginniðurstöðunum í skýrslu Varonis um gagnaöryggi (2018) er, að almennt dulkóða fyrirtæki ekki tölvupósta þótt ástæða sé til. Þá er sérstaklega bent á þá víðtæku fyrirtækjamenningu að geyma viðkvæm gögn í opnum möppum á jafnvel ólæstu sameiginlegu drifi. Samkvæmt Varonis á þetta við í 21% tilvika þar sem um var að ræða jafnvel persónugreinanlegar upplýsingar. Að þessu leyti eru netglæpamenn til fyrirmyndar en um 90% af þeirra samskiptum eru dulkóðuð, gagnaleyndin er mikil og nýir leikendur á glæpamarkaði þurfa að hafa verulega fyrir því að fá aðgengi að læstum upplýsingum.

Síðastliðin 5-7 ár hafa fyrirtæki, stofnanir og aðrir sem reka læstar vefsíður (netverslanir, netbankar o.þ.h.) lagt vaxandi áherslu á aðra þætti en eingöngu lykilorð. Áhættumat sem byggir á hegðunarvenjum eða -mynstri notandans er orðið mun algengara en áður og er til marks um fyrirtaks þjónustu. Dæmi um slíkt áhættumat er ásláttareinkenni, þ.e. hve hratt notendur rita á lyklaborðið, hvaða stöfum þeir hafa tilhneigingu til að hika á og hve hratt þeir teygja eða færa fingur á milli stafa á lyklaborðinu. Þá færist einnig í aukana að bera umhverfisaðstæður notandans saman við fyrri aðstæður hans, s.s. vafrastillingar, vafraviðbætur, skjáupplausn, stýrikerfi, landfræðilega staðsetningu, á hvaða tíma sólarhrings aðgerð er framkvæmd og hundruð annarra þátta. Í þriðja lagi ber að nefna lífkenni sem byggja m.a. á fingrafaraskönnun, augnskönnun og raddgreiningu. Allt þrennt í sameiningu er sterkasta vopnið í þágu netöryggis - og erfiðasta viðfangsefni hakkara.