Forskere ved den kanadiske sikkerhetsgruppen Information Warfare Monitor utga fredag en rapport om det kriminelle nettverket bak Koobface, dataormen som i over to år har herjet på Facebook.
Etter et halvt års etterforskning har de avdekket hvordan russiske hackere svindler brukere med et infløkt kriminelt økosystem.
Hackingen av pc-er er svært innbringende og ofte merker ofrene ingenting. Samtidig skal faren for å bli tatt være forsvinnende liten.
Fremgangsmåten er like kjent som den er effektiv. Du får en lenke til en video det er fristende å klikke på. Det kan for eksempel være en filmsnutt der du selv angivelig fremstår i en kompromitterende situasjon.
De som klikker ledes til ondsinnet programvare og kan bli infisert. Deretter spres ormen videre til vedkommendes Facebook-kontakter.
- Slik ledes du rett inn i tentaklene til Koobface-nettverket. Det er som en digital amøbe, et snyltedyr som utnytter våre delevaner og tilbøyelighet for å klikke på lenker, heter det i rapporten.
På denne måten har bakmennene klart å sikre seg kontroll over mellom 400.000 og 800.000 pc-er verden over, ifølge tall fra sikkerhetsselskapet Kaspersky Labs. Det gjør Koobface til et av verdens mest omfattende botnett, et nettverk av infiserte maskiner som kriminelle operatører kan bruke til hva de vil.
«Etikk og sjarm»
Men Koobface stjeler ikke penger direkte, slik for eksempel banktrojaneren Zeus gjør. Dette fremstår som et bevisst valg.
I stedet har Koobface-gjengen en «viss sjarm og etisk tilbakeholdenhet», ifølge rapporten. De kunne loppet ofrene for alt de har av opplysninger, men velger en annen metode for å tjene raske penger:
Mange bekker små
Hver eneste av de kaprede pc-ene brukes til å klikke på annonser, uten eierens viten og vilje. I tillegg lures eller skremmes ofrene til å kjøpe falsk programvare som antivirus med liten eller ingen sikkerhet.
Information Warfare Monitor fant at aktørene bak Koobface samlet drar inn over 2 millioner dollar i året på praksisen.
- Inntjeningen skapes av mange tusen individuelle mikrotransaksjoner på brøkdeler av noen øre.
Det pekes på to forhold som har gjort det nær umulig å stoppe svindelen. Hvert enkelt offer taper så lite at politiet ikke prioriterer å etterforske saken. I tillegg er infrastrukturen de rår over spredt over hele verden.
- Elektroner kan bevege seg med lysets hastighet, men det juridiske systemet beveger seg med farten til byråkratiet, særlig på tvers av landegrenser.
Sikkerhetsforskerne hevder at de har sporet det kriminelle nettverket bak Koobface til St. Petersburg i Russland.
- De kunne like gjerne bodd på Mars. Mekanismene for et internasjonalt politisamarbeid er så dårlig utviklet, skriver Ron Deibert og Rafal Rohozinski i rapporten.
Gjennom overvåkingen skal de ha sikret seg kopier av skadevaren, programvare og databasene som brukes for å operere botnettet. På samme måte hevder de å vite hvem bakmennene er og hvor de bor. Likevel møter de døra.
Svindlerne går fri
- Vi har overlevert hele Koobface-databasen som bevis til kanadisk politi, inkludert bevis som identifiserer bakmennene, men av de nevnte grunnene er vi ikke overrasket over at ingen er arrestert eller etterforsket.
Videre skal forskerne ha samarbeidet med det øvrige IT-sikkerhetsmiljøet, blant annet ved å melde fra til webhosting-selskaper og tjenesteoperatører som misbrukes av Koobface. Dette inkluderer minst en halv million falske Gmail-kontoer og 20.000 Facebook-kontoer.
- Å stenge disse kontoene vil kun ha en midlertidig effekt. Koobface vil fortsette å herje så lenge bakmennene fortsatt går fri, slår rapporten fast.
Koobface dukket opp på Facebook første gang i mai 2008 og har siden vært en vedvarende trussel på verdens største sosiale nettverk. Det dukker stadig opp nye varianter, skapt for å unngå hindringer som Facebook iverksetter.
Facebook har selv bekreftet at de kjenner identiteten til aktørene bak Koobface, og at de samarbeider med lokalt politi. De ønsker imidlertid ikke å gå nærmere inn på detaljene i saken, fordi det er en pågående etterforskning, ifølge New York Times.
Les også:
- [19.01.2012] Facebook henger ut nettbande
- [30.06.2011] Forskere fant «uovervinnelig» botnett
- [24.09.2009] Botnett omfatter 100 millioner maskiner
- [01.08.2008] Nye ormer på MySpace og Facebook
