Så jobbar polisen mot komplexa cyberbrott
Bild: Lars Hedelin
Komplexa cyberbrott är brott där digital information eller verktyg som hanterar digital information antingen är brottsverktyg eller mål för brottet.
Det första grova dataintrånget i Sverige gjordes av en 16-åring hemma från pojkrummet i Växjö. Han åtalades för totalt fyra överbelastningsattacker, så kallades DDos-attacker, mot Swedbanks och Nordeas webbplatser som var utslagna under flera timmar. Åklagaren menade att attackerna orsakade bankerna allvarlig ekonomisk skada eftersom det gjorde det omöjligt för de två bankerna och deras kunder att komma åt sina banktjänster.
Gärningsmannen berättade att det bara var en slump att han genomförde attackerna och att han inte ville tjäna pengar.
– Syftet med intrånget var bara att få uppmärksamhet och visa att han kunde. Han skröt på Twitter och fick stort medialt utrymme, säger Martin Hemington som var utredare i fallet och numera är chef för gruppen som arbetar mot komplexa cyberbrott.
Men ett brott som till synes var enkelt att genomföra visade sig vara tekniskt komplicerat att utreda. Martin Hemington och hans kollegor behövde vända sig till Storbritannien, Nederländerna och Frankrike för rättshjälp.
I bevisningen ingick vittnesförhör med bankanställda och it-specialister men även spårning av ip-nummer, loggar, sökhistorik och skärmdumpar. Utredningen tog två år och gärningsmannen fälldes både i tingsrätt och hovrätt för grovt dataintrång och16-åringen som hunnit fylla 18 fick villkorlig dom i hovrätten.
– Det var jätteskönt att komma i mål, vi trodde på ärendet hela tiden men det var viktigt att få en dom i det första grova dataintrånget i Sverige. Jag lärde känna gärningsmannen ganska väl eftersom jag förhörde honom. Han tyckte att det var jättejobbigt, han var så ung och tänkte nog inte på konsekvenserna. Han satt framför sin dator varje dag och fattade inte att det skulle bli så stort, säger Martin Hemington.
Om vissa dataintrång görs för att få uppmärksamhet begås andra för att tjäna pengar, till exempel genom att infektera datorer med utpressningsvirus eller så kallat ransomware. Där handlar det om att på olika sätt få offrets dator att låsa sig eller förmå någon att öppna ett e-brev med en bilaga som är infekterad med skadlig kod.
Ett av angreppssätten går ut på injicera skadlig kod på webbplatser som offret surfar på. Datorn blir låst och på skärmen kommer det upp instruktioner om hur man ska gå tillväga för att låsa upp datorn. Om man vill det ombeds man att betala i någon form av kryptovaluta, vanligtvis bitcoin. När det är gjort får man en nyckel så att man kan låsa upp filerna. Martin Hemington är tydlig med att man inte ska betala, och att det är viktigt att säkerhetskopiera det material man är rädd om på en extern disk som inte är ansluten till datorn.
– Så länge man betalar kommer de att fortsätta. Det finns en hemsida som heter nomoreransom.org där alla kända nycklar till ransomware finns och med hjälp av en sådan nyckel kan man på egen hand låsa upp sin dator utan att betala brottslingarna, säger han.
Den tredje typen av dataintrång syftar till bedrägeri. Inkräktaren tar sig in med någon typ av skadlig kod för att förändra eller stjäla information, till exempel styra om utbetalningar till konton som inkräktaren förfogar över. Ett exempel på detta är det stora bedrägeriärendet "Homoki" där flera hundra företag, flera banker och finansinstitut samt Kriminalvården och Sverigedemokraterna drabbades. Dataintrånget var förutsättningen för bedrägeriet där gärningsmannen kunde lura till sig flera miljoner kronor.
– Huvudgärningsmannen infekterade datorer genom att skicka mejl med skadlig kod till utvalda funktioner hos målsägande, förkarar Martin Hemington.
Ärendet var nationellt prioriterat och ett 50-tal utredare, analytiker och it-forensiker var inblandade. Nationellt it-brottscentrum samordnade dataintrångsdelen medan utredningsarbetet i bedrägeriet och dataintrånget genomfördes i flera regioner.
– Utredningsarbetet var gigantiskt och vi jobbade med avlyssningar, spaning och analys av information från beslagtagna datorer. Inhämtning av andra digitala spår genomfördes både utomlads och i Sverige för att få fram hållbar bevisning. Detta arbete leddes av åklagare och region Syd, säger Martin Hemington
Rättegången pågick i fem månader och gärningsmännen dömdes till olika långa fängelsestraff. Huvudmannen fick sex år och sex månaders fängelse.
Många olika kompetenser måste samarbeta för att en utredning ska gå i mål. It-forensiker arbetar med att hitta digitala spår. Analytiker rensar och sammanställer gigantiska mängder av information. Internationella kontakter måste tas för rättshjälpsbegäran. Allt sådant tar tid.
– Dessutom krävs att utredarna ska kunna presentera materialet för åklagaren på ett begripligt sätt så att även tingsrätten kan ta till sig det, säger Martin Hemington.
Företag och myndigheter arbetar ständigt med att förbättra sin digitala säkerhet. Men också som privatperson måste man vara sunt skeptisk och försiktig i cybervärlden.
– Ett antivirus och en brandvägg betyder inte att din dator inte kan bli infekterad oavsett hur dyrt program du köper. Det är den mänskliga faktorn som gör att din dator blir infekterad. Det är du som öppnar mejlet, det är du som klickar på bilagan och då har du redan gett ditt godkännande till att ladda ner filen alternativt installera programvaran, säger Martin Hemington.