En person är misstänkt för brott i region Bergslagen efter att en illegal marknad stoppats och stängts ner i samband med en Europolinsats. Utredarna tipsar även om hur företag och allmänhet kan skydda sig mot cyberrelaterade brott.
Under ledning av FBI, Europol och nederländsk polis har Sverige deltagit i en omfattande operation tillsammans med 16 andra länder för att stänga ner och stoppa den illegala marknadsplatsen Genesis Market. Den digitala marknadsplatsen har under ett flertal år sålt information om användare och lösenord som de skaffat sig olovlig tillgång till.
I Sverige har det identifierats drygt 15 000 drabbade datorer innehållande ungefär 875 000 inloggningsuppgifter. Totalt har åtta misstänkta identifierats i regionerna Bergslagen (där Värmland, Örebro och Dalarna ingår), Stockholm, Öst, Väst och Syd. Polisen har identifierat att dessa individer har köpt tillgång till en del av den information som funnits på marknadsplatsen mellan 2018 till 2022.
– Inför tillslaget så hade vi flera nationella videomöten för att diskutera taktik och upplägg. Förutsättningen var att vi skulle genomföra tillslag mot alla misstänkta på en och samma dag, säger Ola Gripö i ett pressmeddelande. Han är förundersökningsledare på avdelningen för komplexa cyberbrott (KCB), hos polisen i region Bergslagen.
Förberedelse till dataintrång
I Bergslagen återfanns en misstänkt. Ett tillslag gjordes mot en adress och därefter genomfördes en husrannsakan i den misstänktes bostad.
– Det säkrades gods som nu undersöks av it-forensiker. Misstänkt sitter frihetsberövad för annan brottslighet och han satt frihetsberövad dagen för tillslaget. Brottet är förberedelse till dataintrång.
KCB är en regional resurs som verkar i samtliga polisområden i Värmland, Dalarna och Örebro. Motsvarande verksamhet finns även i övriga delar av landet. Den nationella motsvarigheten till gruppen har ett processledaransvar för verksamheten och är den internationella kontaktpunkten mot exempelvis Europol.
– Vid större och mer komplexa ärenden bygger vi team för att möta utmaningarna på bästa sätt. Teamen kan då bestå av flera kompetenser från olika delar av landet. Det kan vara kompetens kring kryptovaluta, it-säkerhet, it-forensik, analytiker men även poliser med gedigen utredarbakgrund, berättar Tobias Lord, chef för gruppen som utreder komplexa cyberbrott och bevissäkring på nätet i region Bergslagen.
Gruppen jobbar med ärenden kopplat till två olika typer av dataintrång. Överbelastningsattacker och ”ransomware”.
Vad är då en överbelastningsattack och ransomware?
Det har blivit allt vanligare att företag, kommuner och andra verksamheter drabbas av överbelastningsattacker och ransomware. Sker detta mot vår infrastruktur kan det få förödande konsekvenser, exempelvis om trygghetslarm eller sjukhussystem sätts ur spel under en längre period. Överbelastningsattacker kan även slå ut kreditkortsbetalningar, trafikövervakning, patientjournaler och samhällsviktiga funktioner så som el- och vattenförsörjning.
Gällande en överbelastningsattack (DDoS-attack vilket betyder distributed denial of service) så kan konsekvenser bli som följande:
- Driftstopp på webbplatsen. Webbplatsen blir överbelastad och otillgänglig.
- Problem med server och hosting.
- Sårbarhet på webbplatsen. En attack kan leda till att webbplatsen blir mer sårbar för hackning.
- Förlorad tid och pengar.
- Attacken kan även påverka allmänhetens förtroende för företaget eller kommunen genom att it-säkerheten ifrågasätts.
Lurar genom phishing
Gällande ransomware (utpressningsprogram) så är tillvägagångssättet att en gärningsperson gör en IT-attack och tar sig in i system eller dator. En vanlig metod är phishing. Det går ut på att lura användare att klicka på en bilaga med skadlig kod eller att plantera länkar som leder till skadlig kod. Sedan lämnar gärningspersonen ett meddelande om att informationen är krypterad och att det krävs en lösensumma för att få tillbaka den.
När gärningspersonen fått tillgång/ingång till en persons dator brukar tillvägagångssättet vara att målsägande får upp ett popup-fönster på sin dataskärm. Där kan det stå att datorn är låst och att man måste ringa till angivet nummer för att få den upplåst.
Det kan också stå att datorn har blivit utsatt för en trojan alternativt utsatt för ett bedrägeri. Även här uppmanas man att ringa angivet telefonnummer. Ibland ser också gärningspersonen till så att aktuell dator börjar tjuta.
– Om man ringer så kommer det svara en svensktalande och ofta väldigt trevlig person. Personen påstår att datorn är full med virus, men att företaget kan ta bort dessa om man betalar en summa pengar. Personen vill sedan få tillgång till datorn för att kontrollera virusskydd och eventuella virus. Personen vill med hjälp av TeamViewer ta över datorn och sedan fjärrstyra den. Så en målsägare kan sitta och titta på sin dator medan en okänd person styr den, förklarar Ola Gripö.
Personen påstår också att virusskyddet är för dåligt men att det finns att köpa. Konsekvenser kan bli att hela eller delar av verksamhetens IT-system med dess information blir krypterad och inte tillgänglig. Eller att informationen från datorn eller systemet kan läcka ut på internet.
Läs mer:
