Baggrund
Læsetid: 4 min.

Hacking som finansiel forretningsmodel

En historisk stor sag om hacking af finansielle institutioner er ved at blive oprullet i USA. Tre personer er blevet sigtet i sagen, som viser, hvordan hacking kan bruges som forretningsmodel til markedsmanipulation via målrettet spamming af kunder i store banker
Indland
13. november 2015

Tre personer blev i denne uge sigtet i en meget omfangsrig sag om hacking og finansiel svindel i USA. Sagen involverer sikkerhedsbrister hos nogle af de centrale aktører på det finansielle marked – som JP Morgan Chase, Fidelity Investments og mediet Wall Street Journal – ud over en række andre virksomheder, som ikke er navngivet offentligt endnu. I alt er 12 firmaer ramt heriblandt syv finansielle institutioner, to finansielle medieinstitutioner, to softwarevirksomheder og et konsulentfirma.

Sikkerhedsbristen hos JP Morgan Chase involverede tabet af brugerdata på 76 millioner husstande og syv millioner virksomheder blandt bankens kunder og blev allerede kendt i 2014, men sigtelserne er altså først nu blevet klar. De tre anklagede består af to israelere, som i sommer blev fængslet i Israel, og en amerikaner, som stadig er på fri fod, mens også andre nævnes i anklageskriftet som sigtede i relaterede sager. Indtjeningen har ifølge anklageskriftet været flere hundrede millioner dollar, hvoraf 100 millioner af dem er forsøgt gemt på en konto i Schweiz.

»Adfærden i denne sag viser den fagre nye verden med hacking for profit,« sagde anklageren i sagen, Preet Bharara, på en pressekonference efter offentliggørelsen af sigtelserne.

»Det er ikke bare hacking for en hurtig udbetaling, men til støtte for et alsidigt kriminelt konglomerat. Det er hacking for at finde ofre, hacking for at spionere på konkurrenter, hacking for at maksimere profit. For at sige det kort: Det er hacking som forretningsmodel,« sagde han.

Anklagerne i sagen er omfattende og handler om alt fra at pumpe aktier op på falske forudsætninger, en ulovlig Bitcoin-børs, identitetstyveri, forfalskning af pas og hvidvaskning af penge gennem 75 skuffeselskaber rundt omkring i verden. Sagen er et af de mest tydelige eksempler på, at hacking af personfølsomme oplysninger ikke bare bruges i kortsigtede svindelnumre som falske kreditkort og simpelt identitetstyveri, men i årelange forløb til at understøtte millionsvindel. Hackingen bliver altså brugt konsekvent som en langsigtet strategi i en række forskellige svindelnumre med vidt forskellige ofre.

Selv mailadresser kan bruges

Det sker efterhånden flere gange om måneden, at virksomheder må gå til bekendelse omkring sikkerhedsbrister og tab af kundedata. Ofte er der dog tale om relativt banale oplysninger – e-mailadresser og navne – som det kan være svært at forstå, hvad hackere kan bruge til. Det giver denne sag delvist et svar på i beskrivelsen af en af svindlernes teknikker til manipulation af prisen på værdipapirer: Først begyndte svindlerne at opkøbe store mængder af værdipapirer i mindre virksomheder (såkaldte penny stocks). De mindre virksomheder er mere følsomme over for kursudsving, og derfor er det nemmere at påvirke prisen på værdipapiret til at gå opad ved koordinerede store opkøb. Efter en kursstigning på en aktie begyndte de så at spamme millioner af bankkunder med e-mails, der fortalte falske historier om, at der var ægte markedsrelaterede grunde til, at de pågældende aktier steg – og at der var udsigt til, at de ville stige endnu mere. Det fik mange til at gå med i handlerne, og når kursen så var steget yderligere, solgte svindlerne ud af deres beholdninger med milliongevinster til følge.

»Vi køber dem [aktierne] meget billigt, udfører manipulationer og så leger vi med dem,« som en af dem er citeret for i anklageskriftet. Eller som Preet Bharara opsummerede det på pressekonferencen »værdipapirsvindel på cybersteroider«.

»Firmaer bliver nødt til at blive bedre til at beskytte alle de informationer, de har. Fordi selv informationer som e-mailadresser og adresseoplysninger kan blive brugt til bedrageriske formål til skade for mange af deres kunder,« sagde Preet Bharara.

Svært at lade være

Ifølge anklageskriftet talte de sigtede også om at bruge hackingen af e-mails til andre former for aktiviteter på aktiemarkedet:

»Topcheferne i [firma 5], kan de have noget interessant information i deres mail? I forhold til arbejdet på aktiemarkedet etc. Det er jo et stort firma. Måske har de nogle hemmeligheder. Hvad tænker du?« skrev en, hvortil en anden svarede.

»Ja, det er en meget fed idé. Noget inside. Vi skal tænke over, hvordan vi kan gøre det.«

Anklageskriftet viser også, at kan man først finde ud af at hacke og bruge det til sin konkurrencefordel, er det svært at lade være. I forbindelse med driften af en række ulovlige onlinecasinoer havde den kriminelle gruppe to softwareleverandører som kunder, som de også hackede sig ind i for at øge deres kontrol over markedet. Ifølge anklageskriftet overvågede en af de sigtede topchefen i firmaets e-mails, for at »sikre sig at firmaets arbejde med [den sigtedes] konkurrenter« ikke »kompromitterede succesen for [sigtedes] ulovlige forretninger om internetgambling«.

I anklageskriftet står der ikke meget konkret om, hvordan svindlerne hackede sig ind i de mange selskaber, men i et af firmaernes tilfælde nævnes sikkerhedsbristen Heartbleed som en af metoderne. Heartbleed var en katastrofal usikkerhed i OpenSSL, som gjorde det muligt for en angriber at lytte på trafik, der ellers burde være krypteret, og dermed få adgang til loginoplysninger og passwords. Millioner af sider var omfattet af sikkerhedsbristen, som stod åben for de angribere, der kendte til den, i op til et halvt år, inden hullet blev lukket.

Følg disse emner på mail

Vores abonnenter kalder os kritisk,
seriøs og troværdig.

Få ubegrænset adgang med et digitalt abonnement.
Prøv en måned gratis.

Prøv nu

Er du abonnent? Log ind her