Ved hjelp av en etterligning av nettstedet til det islandske politiet, Lögreglan, og registreringen av et i forbifarten likt domenenavn, www.logregian.is, har kriminelle greid å overbevise mange islendinger til å logge seg på det falske nettstedet, hvor de har blitt narret til å laste ned skadevare.
Lögreglan advarte mot angrepet for over en uke siden. Senere har det kommet fram flere detaljer.
Den farlige eposten
Som vanlig har angrepet startet med at ofrene får tilsendt en epost. I eposten innkalles mottakeren til å møte opp til avhør hos politiet i «hovedstadsområdet». Det trues med at dersom mottakeren ikke møter opp på rett sted og tid, noe som er oppgitt i eposten, kan det bli utstedt en arrestordre.
_logo.svg.png){kind=logo}
Mottakeren oppfordres til å klikke på en oppgitt lenke for å få tilgang til dokumenter og meldinger relatert til den aktuelle saken. For å gjøre dette, måtte mottakerne oppgi personnummeret sitt, sammen med en autentiseringskode som var oppgitt i epostmeldingene.
Oppsiktsvekkende detalj
Så kommer det svært spesielle. Dersom mottakeren tastet inn et ugyldig personnummer, ble vedkommende vist en feilmelding. Dette, kombinert med at brukeren ble vist sitt faktiske navn så snart vedkommende hadde lykkes med å logge seg på, viser at angriperne faktisk hadde tilgang til en database med islandske innbyggeres navn og personnumre.
Sikkerhetsforskeren Magni Reynir Sigurðsson hos Cyren skriver i et blogginnlegg at det er uklart hvordan angriperne har fått tilgang til disse opplysningene, men at én teori er at de stammer fra en lekkasje som skal ha skjedd for flere år siden.
Sigurðsson skriver samtidig at politiet mistenker at det dreier seg om en innsidejobb, både på grunn av personopplysningene, men også bakgrunn av teksten i eposten og på nettstedet.
RAR-arkiv
Så snart offeret er innlogget på det falske nettstedet, tilbys vedkommende å laste ned en passordbeskyttet .rar-fil. Både passordet og instruksjoner om hvordan filen kan åpnes, er oppgitt på websiden.
Inne i arkivet er det en .scr-fil som ved hjelp av et langt filnavn er forkledd som et Word-dokument, i alle fall dersom man ikke har endret standardinnstillingene i Windows Utforsker. Filnavnendelsen .scr brukes av skjermbeskyttere i Windows og har mange ganger blitt brukt til å spre skadevare.
Når ofrene dobbeltklikket på denne filen, pakket den ut flere andre filer som ble lagt på strategiske steder på disken, inkludert én i mappen «AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\», noe som gjør at filen kjøres hver gang brukeren logger seg på pc-en.
Fjernstyring og keylogger
Den mest sentrale skadevaren som installeres, er egentlig et legitimt verktøy for å kunne fjernstyre pc-er. Men som så mange andre verktøy, kan det også misbrukes av ondsinnede.
I tillegg installeres det en keylogger, altså et verktøy som registrerer alt som blir skrevet på pc-ens tastatur. Dette ble deretter lastet opp til servere lokalisert i Tyskland og Nederland. Mye tyder på at det er bankinformasjon bakmennene skal ha vært ute etter.
Til islandske Vísir sier politirepresentanten Þórir Ingvarsson at mange har blitt narret av eposten fordi de tror eposten er fra politiet, som de stoler på.
Politietterforsker Daði Gunnarsson sier til islandske RÚV at innkallelse til forhør aldri gjøres via epost, men via telefon eller ved fysisk oppmøte.
Lögreglan er i utlandet kanskje mest kjent for å ha en veldig trivelig Instagram-konto.
Les også: Politiet skroter 70-tallets stormaskin. Nå skal de voksne Cobol-gutta få jobbe med nyere teknologi (Digi ekstra)
