Oppskriften på å bli dollarmillionær er skremmende enkel.

HELSINGFORS (Nettavisen): Nettavisen fikk som eneste norske pressemedium muligheten til å sette oss ned med sikkerhetslegenden Mikko Hyppönen i det finske sikkerhetsselskapet F-Secure.

Onsdag skrev vi om Hyppönens tanker rundt spam, og i dag tar vi for oss det kriminelle aspektet som driver nesten hele sikkerhetsutviklingen på nettet. Nederst i saken avslører vi også hvordan sikkerhetseksperten selv ville gjennomført svindel for å tjene mest mulig penger.

Bare kriminelle
- Fram til rundt 2003 var det bare personer på gutterommet som utviklet virus. De aller fleste ble bare laget for å få oppmerksomhet og gjøre mest mulig skade. Rundt 2003 begynte dette å forandre seg betydelig. Hobbyskribentene er borte nesten helt borte, og i stedet har vi sett renspikkede kriminelle som står bak. Det er nesten ingen som ser noe poeng i å lage skadelig programvare som bare ødelegger, og hvor de ikke får et eller annet tilbake, og det er ingen som vil at brukeren skal oppdage at de er infisert, da blir bare viruset oppdaget og stoppet, forteller Hyppönen til Nettavisen.

Sikkerhetsguruen er her inne på et svært viktig poeng. Det er i dag mange som går rundt og tror at virus og skadelig programvare er noe som bare rammer andre.

Årsaken er at det ikke lenger finnes virus som Melissa som infiserte 15-20 prosent av verdens bedrifter, og ødela mange Word-dokumenter, Loveletter-viruset som slettet alle bildene på harddisken din eller Blaster-ormen som infiserte datamaskinen din bare ved å være koblet til internett og sørget for at pc-en måtte startes på nytt mange ganger i timen.

Les også: Tidenes verste virus

De nettkriminelle ønsker rett og slett at du skal tro at du ikke er infisert – det skjer jo selvfølgelig bare alle andre.

Du skal ikke tro at du er infisert
Nesten all skadelig programvare i dag er laget for å det ene målet å tjene penger. Hvis de kriminelle lager et program som gir de tilgang til en annen datamaskin, vil det være dumt hvis brukeren blir klar over at kriminelle faktisk bruker maskinen til å sende ut spam. De nettkriminelle ønsker rett og slett at du skal tro at du ikke er infisert – det skjer jo selvfølgelig bare alle andre.

De som lager den skadelige programvaren sørger derfor også for at hvert enkelt virus skal få relativt liten spredning, slik at det ikke skal få mye oppmerksomhet. I stedet lager de utrolig mange nesten like versjoner av det samme viruset.

- Den store majoriteten av nye infeksjoner vi finner tilhører en eller annen virusfamilie som bare har en liten innpakningsforskjell, forteller Hyppönen.

Antall virus skyter til himmels
På grunn av dette så har antall nye virus skutt til himmels de siste årene. F-Secure regner med at det i 2007 kommer like mange unike former for malware som det totalt har dukket opp de 20 siste årene.

I onsdagens artikkel snakket vi om hvor mye penger det er i spam, men Hyppönen peker også på at det finnes mange andre former for nettkriminalitet hvor det er mye penger.

- Kjøp og salg av kredittkort på nett er noe av det virkelig store, sier han.

Han åpner flere nettsteder på pc-en sin som helt åpenlyst selger fullstendige kredittkortopplysninger. Prisene er svært varierte. Prisen på et europeisk kredittkort er på rundt fem euro, mens prisen på et amerikansk et på rundt to euro. Skandinaviske kredittkort er derimot veldig dyre. Årsaken er at disse kortene har mye høyere status og er enklere å benytte seg av.

Mesteparten av denne typen opplysninger stammer fra phishing-nettsteder og spionprogrammer som stjeler sensitive opplysninger fra pc-en din.

Hyppönen åpner en ny nettside og viser oss en bruker på et forum som har listet opp tolv forskjellige summer. Summene indikerer innskuddet til på forskjellige kontoer hos Wells Fargo. Innloggings- informasjonen er til salg. På listen er blant annet en konto med over 116.000 dollar.

Andre brukere selger innlogginsinformasjon til en rekke banker i USA, Australia, Storbritannia og Canada.

Selger rettede angrep
På et annet forum finner vi en helt annen form for salg. Her er det brukere som selger såkalte DDoS-angrep. Det er et angrep der brukerne benytter datamaskiner de har tatt kontroll over til å sende så mye trafikk til et spesielt nettsted at nettstedet blir utilgjengelig for andre brukere.

Vi ser en bruker som tilbyr å gjøre en hvilken som helst nettside utilgjengelig i en hel dag for 50 dollar. En annen bruker tilbyr en dags utilgjengelighet for det dobbelte, men han tilbyr til gjengjeld en times angrep for 2 dollar. Og bare for å bevise at han ikke farer med løgn, så tilbyr han 10 minutters gratis angrep bare for å vise at han kan gjøre det han påstår at han kan gjøre.

- Det finnes en rekke slike sider på nett. De lever som regel ikke så lenge av gangen, men søker du litt rundt på nettet så finner du helt sikker det du leter etter, forteller Hyppönen.

Men du lurer kanskje på hvorfor noen skulle ønske å gjøre et nettsted utilgjengelig over tid? I seg selv er dette svært ofte ikke ønskelig, men det er her utpressing kommer inn i bildet.

Det har ikke vært uvanlig at store nettbutikker får betydelig pengekrav fra nettkriminelle. Hvis de ikke betaler, så vil utpresserne angripe nettstedet og bedriften mister sitt inntektspotensial.

- Det var veldig mye av dette tidligere, men etter at de for et par år siden tok en svær ring i Russland har dette blitt et mye mindre utstragt problem, forteller han.

Slik får de tak i pengene
Det er ikke bare lett å tømme en bankkonto for penger, eller få tilsendt varer på nettet på et stjålet kredittkort. Problemet er selvsagt at det er veldig lett å spore deg opp hvis du gjør noe slik.

Hyppönen trekker derfor frem en sak med Tariq al-Daour. Han stod bak en kriminell gjeng som benyttet pokernettsteder til å tømme folks kredittkort for penger. De kriminelle styrte alle spillerne rundt et virtuelt pokerbord, og sørget for å spille som idioter med de kontoene som var finansiert med stjålne kredittkort. De vant derimot alltid med sine egne, legitime kontoer, og kunne dermed vise til store inntekter fra lovlige kilde.

Gjengen klarte å tappe kredittkort for flere millioner euro før de ble tatt, og pengene ble brukt til å finansiere opprørere og selvmordsbombere i Irak.

Bestemødre blir kriminelle
En annen måte å få ut pengene uten spor er å bruke såkalte «money mules», eller pengekurerer.

Dette er helt vanlige at det som ser ut som helt legitime bedrifter søker etter lokale representanter for deltidsarbeid. Det lokkes ofte må med svært godt betalt for bare noen få timers arbeid, hvor du kan jobbe hjemmenifra.

Brukere som biter på får ofte beskjed om at bedriftene ønsker å gå utenom normale finansielle kanaler for å spare penger på urimelig høye gebyrer og lignende. De trenger derfor personer som kan sette opp bankkontoer, og i noen tilfeller også frakte penger fysisk fra et land til et annet.

I Sverige var det nylig en svindel som ble avslørt der mer enn 200 pengekurerer var involvert i en operasjon der flere millioner kroner hadde forsvunnet ut av landet.

Slik ville eksperten selv svindlet
Med all sin kunnskap om markedet ville vi naturligvis vite hvordan Hyppönen selv ville gått frem for å tjene en million euro fortest mulig.

- Hmmm, sier han, mens han lener seg godt tilbake i stolen og begynner å tenke hardt.

- Jeg ville laget et veldig bra mobilspill som jeg ville gitt bort gratis. Jeg ville programmert det slik at det etter en måned eller to, når det hadde blitt populært og lastet ned av mange, ville begynne å sende SMS-meldinger klokken tre på natten til en kjempedyr teletorgtjeneste som jeg kontrollerte på en øy midt ute i Stillehavet. Da ville pengene rullet inn, sier sikkerhetseksperten.

Fordelen med å angripe mobiltelefoner er at den er koblet opp mot en betalingsmekanisme, noe en pc i utgangspunktet ikke er, og da er det mye enklere å lure folk for penger.

- Hvorfor er det ingen andre som har tenkt på dette før?

- Det var et lignende eksempel for en liten stund siden, men det fungerte ikke særlig godt, forteller han.

- Hvorfor ikke?

- Det var ikke et særlig bra og populært spill, sier han med et glis.

Det kan med andre ord være grunn til å være litt tilbakeholden med å laste ned spill på mobilen som du ikke vet hvor kommer fra.

I morgen tar vi for oss Mikko Hyppönens tanker om fremtidens store sikkerhetsutfordringer. Det du får lese vil trolig overraske deg stort.