Det var i oktober i fjor at sikkerhetsfirmaet Watchcom først ante at noe unormalt var i gjære.
Gjennom den egenutviklede programvaren Greywolf (se fakta) forsøker selskapet å ha en tilnærmet døgn-til-døgn-oversikt over sunnhetsgraden blant norske nettsider.
– Tallet over til enhver tid hackede norske nettsider har en stund nå ligget mellom 1500 og 3000. Høyt, men noenlunde stabilt. Fra oktober så vi et kraftig brudd i kurven, sier Watchcom-rådgiver Preben Nyløkken til Teknisk Ukeblad.
Enormt – og «ufarlig»
Kurven har fortsatt å vokse med stigende styrke, og antallet hackede sider passerte ved årsskiftet 18 000 – mer enn seks ganger det det var i oktober.
– Til sammen 16 000 hacks av norske nettsider har vi kunnet spore tilbake til én og samme bande, sier Nyløkken.
Spørsmålet som har tatt lengst tid å besvare, har vært «hvorfor?»
– Besøker du en av disse sidene, blir du ikke infisert med skadelig kode av noe slag. Ingen Viagra-reklame, ingen trojanere, ingenting. Det eneste hackerne har gjort, er å legge igjen et stort antall URL-linker til nettsider i utlandet – usynlig for både brukere og innehaverne av siden. Det var først da vi så at den norske angrepsbølgen var en forlengelse av et stort, internasjonalt angrep i mai, at vi skjønte sammenhengen, sier han.
Google-juks
Noen som derimot ser de usynlige lenkene er Google, Bing, Yahoo og AOL – for å nevne noen.
Søkemotorene bruker antallet lenker fra andre nettsteder som en indikasjon på hvor populært – og relevant – et nettsted er for gitte søkekriterier.
Og dersom 16 000 norske nettsteder lenker til deg, er du vanligvis populær. Som Microdel.com, en av tusenvis av nettsider som ble hacket av samme bande i det Preben Nyløkken kaller «angrepsbølge 1» – i utlandet i fjor vår.
– Også her var angrepet nesten umerkelig for brukere og webmastere. Det ble tilsynelatende ikke lagt inn skadelig kode her heller, bare en drøss med htm-filer samlet i to skjulte undermapper, sier Nyløkken.
Falsk antivirus
Hver av htm-filene (se over) inneholder populære søkeord- og fraser for forbrukere med både alminnelige og sære interesser.
Det narrer søkemotorene til å tro at Microdel.com, som virker å være umåtelig populær i Norge, har en egen side med informasjon om akkurat det du søkte etter.
Og først nå kommer sannheten fram, forklarer Nyløkken.
– Når du besøker eksemplet Microdel direkte, skjer det ingenting. Men om du havner der via en søkemotor, får du beskjed om at maskinen din er infisert – med tilbud om å ordne opp ved hjelp av en falsk antivirusprogramvare. Denne er selvsagt en trojaner som vil fiske etter passord, kredittkortopplysninger og så videre, sier han.
- Trolig mellommenn
Sikkerhetsguru Rik Ferguson i Trend Micro ser med interesse på angrepet i Norge.
– Dette er nok globalt i utstrekning, og slike operasjoner handler vanligvis om falske anti-malware-produkter. Trikset for de kriminelle er å få så mange nettsteder som mulig med godt rykte til å lenke opp mot «deres» nettsteder. Det store målet er å få siden opp på første- eller andreplass på Googles pagerank-system, sier Ferguson.
Han tror derimot ikke at samme bande nødvendigvis står bak både hackingen og selve den skadelige koden som til slutt infiserer brukerne.
– Det er mange grupper og individer som anvender forskjellige teknikker for tukling med søkeresultater. Det er en av grunnene til at den kriminelle distribusjonen av falsk antivirus er så effektiv og motstandsdyktig, sier han.
Ferguson tror banden som har hacket 16 000 nettsider i Norge kan være mellommenn, eller det han kaller «affiliates».
– Ved å rekruttere disse, trenger de kriminelle ikke selv å besørge infrastrukturen for å lede trafikk til sine sider. Disse medsammensvorne får i retur en viss prosentandel av hvert «salg», sier Rik Ferguson.
Narrer deg til å slappe av
Innbilt troverdighet er en av de viktigste handelsvarene for datakriminelle.
Sjansen for at de kriminelle får oss på kroken, er langt større når svineriet ligger i et vedlegg i en e-post fra en adresse vi tror vi kjenner eller en Facebook/MSN-link fra en bekjent. Eller en søkemotor vi stoler på.
For selv om metoden kanskje er ny, er ikke søkemotortukling – såkalt blackhat SEO (Search Engine Optimization) – noe nytt i seg selv.
– Eksempelet Microdel blir ikke lenket til lenger hos Google, så mye tyder på at i hvert fall de er i stand til å fange opp en del av svindelen underveis. For oss var det en vekker å se hvor kompliserte mekanismer nettkriminelle er i stand til – og ikke minst villige til – å sette i verk, bare for å tukle med søkeresultater. Det tyder på at dette er svært lønnsomt. Samtidig kan man jo tenke: Hva vil de kriminelle bruke de 16 000 norske nettsidene til, den dagen denne operasjonen slutter å betale seg? spør Preben Nyløkken.