Att bli bestulen på ett föremål kan vara nog så problematiskt på olika sätt, men rent ekonomiskt har vi system för att hantera det; det finns försäkringar. Att bli bestulen på sitt digitala privatliv eller digitala identitet är något helt annat och på många sätt mer skrämmande. En stulen digital identitet ger tjuven tillträde till den innersta sfären av ditt digitala liv; där du har din personliga integritet och digitala tillgångar. Ett stulet lösenord kan vara hela skillnaden.
En fråga som uppstår är vad din digitala identitet är värd, både för dig och för tjuven. Vad den är värd för dig kan egentligen bara du svara på, men det visar sig vara ganska lätt att ta reda på vad den är värd för tjuven.
– Lösenord är hårdvaluta för de kriminella. Det räcker att förövarna kommer över ett lösenord, så har de oftast lösenordet till flera olika tjänster eftersom folk ofta använder samma lösenord till olika tjänster, säger Jan O Olsson på Polisens Nationella it-brottscentrum.
– Ett enda lösenord kan ha ett jättestort värde, ändå säljs de för kronor eller till och med ören per styck.
It-säkerhetsföretaget Kaspersky Lab har gjort en djupdykning i den värld där din digitala identitet är till salu. När man lyfter på täcket till den här marknaden är bland det första som slår en den mängd av handelsplatser och säljare som finns där, och hur svårt det är att bilda sig en uppfattning om utbudet och kvalitén på varorna.
– Det var så otroligt enkelt att komma över de läckta uppgifterna, och att se vilka enorma databaser som finns. Det var även intressant att se att det som vi som individer värderar mycket högt, säljs till ett betydligt lägre värde på den svarta marknaden, säger David Jacoby, it-säkerhetsforskare på Kaspersky Lab.
En annan sak som slår en besökare är att om det är så många digitala identiteter till salu, måste det rimligtvis finnas massor av köpare. Här säljs lösenord och andra typer av personliga data från sociala medier, banker, inloggningsuppgifter till servrar och datorer, och populära tjänster som Uber, Netflix, Spotify, massor av spelsajter, dejtingtjänster och porrsajter.
Jan O Olsson på polisen säger att det är tre brott vi ser i dessa sammanhang.
– Det är stölden av digitala identiteter; det är häleriet att sälja stöldgodset, och det är definitivt ett brott att köpa och använda uppgifterna.
– Det enda man kan göra för att komma åt säljarna är att plocka ned sidorna.
Det vanligaste sättet att komma över dessa uppgifter är genom nätfiskekampanjer och genom att utnyttja sårbarheter på webbsajter, exempelvis med sql-injektioner. De databasdumpar som förövarna kommer över består oftast av användarnamn- och lösenordskombinationer för en speciell tjänst, men eftersom många återanvänder sina lösenord kan förövarna komma över inloggningsuppgifter till flera tjänster i ett svep.
Attackerna är sällan sofistikerade, men desto mer effektiva. Det visar också att cyberkriminella tjänar pengar på hackarna och hacktivister. Det är sannolikt sällan de som utfört stölderna som säljer stöldgodset, vilket visar på förekomsten av ett slags digitalt häleri.
Priserna är förvånansvärt låga; inloggningsuppgifter till de vanligaste onlinetjänsterna ligger runt en amerikansk dollar, och liksom på de flesta marknader kan man få mängdrabatter. Vissa säljare ger även livstids garanti. Om ett lösenord skulle sluta fungera, kan man få ett nytt till samma konto.
Kasperskys undersökning visar även andra typer av personlig information som är till salu. Här finns falska pass, körkort och id-kort, eller inskannade id-kort. Det är en sak att få sitt inlogg till en social mediatjänst stulet, det kan vara nog så problematiskt, men det är trots allt ingen identitetshandling i normal bemärkelse. En stulen digital identitet är å sin sida en inkörsport till problem även i den vanliga världen eftersom den öppnar för att teckna abonnemang, öppna bankkonton och som kan ställa till oerhörda problem.
Här finns ett exempel på ett svenskt pass till salu för 4 000 dollar, och samma säljare har pass till de flesta europeiska länder. Pass och id-kort till många länder kan beställas; skicka ditt foto, så skickar säljaren en falsk id-handling.
De flesta saker som säljs på den svarta marknaden är trots allt inga nyheter; det är ungefär vad vi ofta läser om och som man kan förvänta sig. Andra saker är desto mer förvånande. Det finns de som säljer till exempel elräkningar och andra typer av fakturor och informativa dokument. Det tycks som om vissa personer stjäl fysiska brev och skannar in dokumenten. Bedragare kan använda dessa för att försöka lura andra människor och företag.
Det intressanta är hur väl dessa dokument är organiserade; de är sökbara, och köparen kan filtrera på till exempel länder, kön, ålder eller branscher. Dokumenten kan även paketeras som en slags verktygslådor för bedragare.
Många människor är naiva när det kommer till deras konton hos olika online-tjänster. Det kanske inte gör så mycket att ett lösenord blir stulet. Men undersökningar och brottsutredningar har visat att kriminaliteten som omger stulna konton, och andra typer av cyberkriminalitet och dito bedrägerier, ofta är sammanflätat med annan typ av kriminalitet som narkotikahandel, trafficking och barnpornografi.
– Återanvänd inte samma lösenord, se till att ha unika lösenord. Testa dig själv, sök och se om just din profil har blivit exponerad, säger David Jacoby.
Kasperskys undersökning visar hur enkelt, användarvänligt och framför allt billigt det är att köpa kontoinformation och digitala identiteter. Dessa marknader, med kanske dina stulna lösenord, är den främsta drivkraften till att dataintrång, skadliga program och hacking sker. När man läser om att ett företag läckt ett otal konton, är det till slut på dessa marknader dessa "kap” hamnar.
– Till slut hamnar lösenord och identiteter bland annat hos utpressare. Kolla på de nya ”porrmejlen” - de som skickar mailen har köpt e-postadresser och lösenord. Sen skickar de mail till adresserna och skriver att ”titta, här har vi ditt lösenord, och vi har tagit över din kamera och filmat dig”. Sen pressar de dig på bitcoin, säger Jan O Olsson på Polisen.
– Min bästa rekommendation är att använda lösenordshanterare.
Läs också:
Nya hotet mot din dator – så skyddar du dig mot ransomware
Social engineering och dålig datahantering bakom ökning av bedrägerier
