De cyberkriminella behöver infrastruktur och tjänster för att kunna utföra sina attacker. Den mörka webben med sina hemliga marknadsplatser, tjänster för penningtvätt och botnät får mycket uppmärksamhet, men faktum är att helt vanliga onlinetjänster som alla vi andra använder varje dag är minst lika viktiga för de kriminellas verksamheter.

Det är inte bara det att dessa tjänster för det mesta är mer pålitliga än de som tillhandahålls av andra brottslingar. En angripare kan dessutom lättare gömma sig om de försvinner i mängden av användare på de vanliga tjänsterna. Här är fem exempel på vanliga online-tjänster de kriminella använder för att genomföra sina attacker.

1. Stulna eller lagligt köpta molntjänster.

Kriminella kan ju som alla andra helt lagligt betala för normala molntjänster, till exempel att hyra serverkapacitet. Detta är extra attraktivt om verksamheten inte är uppenbart olaglig, och det gör det enklare för dem att gömma sig i mängden. Köpen kan förstås genomföras genom bulvaner och så kallade målvakter, eller med stulna kreditkort.

Det finns även molntjänster som accepterar betalningar i kryptovalutor, vilket ofta ökar möjligheterna för de kriminella. Många molntjänster går också att köpa genom återförsäljare av de stora tjänsteleverantörernas produkter, återförsäljare som inte alltid är så nogräknade med vilka som köper tjänsterna eller hur de betalas. I vissa fall kanske dessa återförsäljare bryter mot tjänsteleverantörernas villkor, utan att nödvändigtvis bryta mot lagen.

Men varför betala för molntjänster när man helt enkelt kan stjäla tillgång till dem, eller använda stulna kreditkort? De stulna kreditkorten kan vara svåra att använda, men de kriminella kan ha tillgång till många kortnummer och testar olika nummer tills de hittar ett som funkar.

Missa inte Sveriges viktigaste IT-säkerhetsevent, Next Generation Threats

Ännu bättre för de kriminella är att skaffa sig tillgång till molntjänster genom stulna användarkonton. Ett stort företag kan ha många konton hos en tjänsteleverantör och det är långt ifrån säkert att de upptäcker att ett av dessa konton är hackade. Och ärligt talat, hur många stora företag har full koll på när ett konto startar upp en ny virtuell server? När de cyberkriminella väl har tillgång till ett av dessa konton kan de gömma sig i mängden och skapa falska webbsidor, koordinera botnät, tillhandahålla servrar för nedladdning av skadlig kod, skapa tillfälliga lagringsplatser för stulna data eller driva nätfiskekampanjer.

Trafiken som kommer från infrastruktur skapad genom stulna konton ser dessutom ut att komma från legitima domäner, vilket de ju faktiskt gör, och kan lättare passera olika filter och andra typer av skydd.

2. Stulna eller illa validerade certifikat, och mindre nogräknade utgivare.

Många användare är uppmärksamma på ”hänglåset” när de besöker olika webbsajter, och vissa webbläsare eller andra filter implementerade på företagen kan till och med blockera osäkra sajter helt och hållet. Men det hänger på att man kan lita på hänglåset.

Certifikat används också för att signera mjukvara så att användarna kan verifiera att mjukvaran kommer från rätt avsändare och vara rimligt säkra på att den inte innehåller skadlig kod, och precis som med webbsidor är det förstår viktigt att det går att lita på certifikatet.

Men missbruk av certifikat blir tyvärr allt mer vanligt. I vissa fall har kriminella lyckats stjäla legitima certifikat, och i andra fall har certifikat utfärdats på felaktiga grunder eller svaga valideringsprocesser. Och faktum är att det är, och ska vara, enkelt att skaffa riktiga certifikat. Certifikatutfärdaren Letsencrypt har närmast revolutionerat användandet av certifikat, vilket bidragit till att allt fler sajter krypterar trafiken med https och generellt ökat säkerheten på nätet, men alla medaljer har sina baksidor och i detta fall är det att det blir lika enkelt för kriminella att skaffa certifikat.

Certifikaten i sig är dock det mindre problemet i detta sammanhang, det stora problemen uppstår när stulna certifikat används av kriminella för att de ska kunna utge sig för att vara några de inte är.

3. Säkerhetsforskning och offentlig information om sårbarheter.

Många verktyg och information är tveeggade svärd. Verktyg för penetrationstester, till exempel, används lika mycket av dem som vill skydda sig som av dem som försöker ta sig in. Samma sak gäller information om sårbarheter, där de som upptäcker sårbarheterna informerar allmänheten om sårbarheten, efter att det tagits fram patchar, så att systemägare kan uppdatera sina system, men givetvis får även de cyberkriminella samma information.

Oftast är de snabbare på att reagera på informationen och kan snabbt ta fram verktyg som utnyttjar sårbarheterna, medan systemägare, speciellt på större företag, behöver veckor eller månader på sig för att uppdatera sina system.

Utöver detta finns det gott om publika databaser och topplistor med de vanligaste sårbarheterna och annan liknande information. Detta ger god information om vilka sårbarheter företag och organisationer skyddar sig mot. Tjänster som Virus Total och Spamhaus är precis lika användbara för aktörer på bägge sidor om lagen. De kriminella har också mycket bra koll på vilka skydd de olika säkerhetsprodukterna, som anitivirus, ger och anpassar sig därefter.

4. Anonyma betalningstjänster.

Det finns hederliga anledningar till att använda anonyma betalningstjänster. En anledning kan vara att skydda sin betalningsinformation eftersom olika tjänster blir hackade och betalningsinformationen, som kreditkortsnummer, kan läcka ut, eller man kanske vill skicka presentkort anonymt. I Sverige och Europa är detta inte så vanligt, men i USA finns tjänster som Blur och Privay där det går att skaffa anonyma kreditkort.

Dessutom finns förstås hela världen av kryptovalutor som bitcoin, som i grunden har legitima syften, men som givetvis utnyttjas även av kriminella.

5. Smarta proxys och vpn-tjänster

Säkra proxy-tjänster, även kallade smarta proxys, gömmer användarens geografiska position. Det finns alla möjliga legitima användningsområden för dessa tjänster, som att skydda aktivister verksamma inom korrupta och ondsinta regimer eller halvlegitima anledningar som att undvika blockering av innehåll inom olika regioner, så kallad geofencing, men de kan lika väl användas för att dölja skadliga webbsidor. I praktiken används många proxy- och vpn-tjänster för att dölja den geografiska positionen för de kriminellas attacker.

De cyberkriminella kan också använda dessa nätverk för sina botnät. Nätverken kan sitta på tiotals miljoner ip-adresser från vanliga användare som inte sällan frivilligt deltar i nätverken eftersom de på olika sätt vill dra nytta av dem. Det är dock vanligt att de blir lurade i tron att de får en gratis vpn-tjänst, men istället blir en del av ett botnät.

Vissa nätverk kan bestå av så många som 32 miljoner proxys, men det är inte troligt att alla dessa ip-adresser kommer från frivilliga deltagare, istället består stora delar av nätverket av infekterade datorer, routrar och uppkopplade prylar som webbkameror som får sin ip-adress från en vanlig hemanvändare. Botnäten kan sedan användas för att till exempel simulera att miljontals vanliga användare försöker logga in på en viss tjänst, alla från olika ip-adresser med olika inloggningsuppgifter.

Läs också:
Bluffdomänerna allt fler – 96 procent av företagen har en ond tvilling
Hänglåset säger inte allt – https ökar bland nätfiskesajter