22 juni 2016

Plötsligt meddelande på skärmen: betala – annars förstörs alla dina filer. Jonathan Jogenfors, doktorand på ISY, fick ett uppdrag från media att spåra bitcoinflöden till utpressare.

I början av juni publicerade DN en artikelserie om attacker av utpressningsvirus, ransomware. Genom bluffmejl lurar kriminella nätverk tusentals privatpersoner, företag, myndigheter och organisationer runt om i världen att betala alltifrån några tusenlappar till sexsiffriga belopp för att få tillbaka sina kapade filer.

Jonathan Jogenfors, forskare på it-säkerhet och expert på bitcoinspårning, var behjälplig med spårning av kapitalflöden och faktagranskning av researchen.

Hur kändes det att se halva förstasidan på DN 9 juni och rubriken ”Utpressarna håller datorer som gisslan”?
– Väldigt bra. Det är på tiden att människor blir varse problemen med utpressningsvirus. Bland oss som jobbar med it-säkerhet har det här varit känt i flera år, men kunskapen har väl inte nått ut så här brett tidigare. Det är många som drabbas, säger han.

– Men jag måste på en gång säga att min del i jobbet var inte så stort. DN-journalisterna hade klarat det mesta på egen hand när jag kom in i bilden.

Och varför kom just du in i bilden?
– It-säkerhet och virtuella valutor tillhör min forskningsintressen och jag får nog kalla mig expert på bitcoin. Jag har följt utvecklingen länge och efter hajpen 2013, när handeln tog fart och växelkurserna rusade, blev virtuella valutor också en del av mitt forskningsarbete här på LiU. Det är en teknik med fantastiska möjligheter - men det finns som alltid en baksida. I det här fallet blev bitcoin en möjlighet för utpressare att få in stora summor till sina konton, det handlar om mångmiljonbelopp.

Att spåra kriminella penningflöden - det låter som rena rama detektivarbetet?
– Nja, det var mest som en vanlig dag på jobbet … spårat bitcoinflöden har jag gjort förr, det är ju en del i min forskning. Jag har verktygen och vet vad jag ska titta efter.

– Det är förstås alltid spännande när man börjar upptäcka mönster. Och jag tycker det är viktigt att vi kan spåra, kartlägga och lagföra de individer som missbrukar systemen.

Resultatet, då – vart gick pengarna i det här fallet med gisslantagna dator?
– När det gäller bitcoinflödena ligger de publikt, så vem som helst kan faktiskt följa dem. Men det här är kriminella närverk som vet hur de ska göra för att sopa igen spåren. Vad man kunde se ledde de bland annat till IP-adresser i östra Ukraina. Men de är också kunniga nog att se till att spåren helt rinner ut och inte går att följa alls.

När det gäller fuskmejl är det inte många som vill erkänna att de gått på en nit. I de här fallet har folk hellre betalt sina tusenlappar än gjort en polisanmälan.
– Så har de också utsatts för en slags gisslansituation. Plötsligt får du upp ett meddelande på skärmen att allt innehåll är låst med en krypteringsnyckel och går förlorat om du inte inom 72 timmar om du inte betalar lösen i bitcoin.

Hur vet den som drabbats hur det ska gå till?
– Det kommer upp en utförlig beskrivning på skärmen. Dessutom är angriparna smarta nog att lägga lösensummorna på en nivå som inte är omöjlig att få fram, för privatpersoner handlar det om tre-fyra tusen kronor. För företag betydligt större summor.

– Känslomässigt är det inte ett dugg bättre än om du skulle ha utsatts för ett fysiskt inbrott, men att ha lurats in i något sätter dessutom en skamstämpel över det hela.

En artikelserie som denna sätter sökarljuset på ett ganska vanligt fenomen. Bluffmejl med kapade adresser från Telia, Postnord, banker eller som varnar för överfulla mejlboxar finns det nog ingen som inte känner igen. Till och med i LiU-mejlen.

– Fast LiU har bra koll på mejlen och sätter stopp. Men i den här aktuella vågen av utpressningsvirus är det många på stora företag, myndigheter, kommuner och organisationer som aningslöst klickat sig in på falska sajter.

– Det blir också allt svårare att upptäcka bluffar. Angriparna har förstått hur viktigt det är att till exempel skriva god svenska. Det gjorde de inte för några år sedan och då gick det lättare att avslöja bluffarna.

Det gäller alltså att tänka it-säkert hela tiden. Hur skyddar man sig bäst?
– Back-up! Och då inte genom att ha back-upsystem som är ständigt uppkopplade mot datorn, då infekteras förstås även det.

– Det finns egentligen bara ett riktigt säkert sätt. Skaffa ett kraftfullt usb-minne! Lägg över bilder och annat värdefullt – och låt inte minnet sitta i datorn. Förvara det på ett helt annat ställe än där datorn står. Då går man säker också om det skulle blir inbrott eller om huset skulle brinna ned, säger Jonathan Jogenfors.

Foto: Gunilla Pravitz samt IStock