_//: HACKERNE ER LANDET //

Transkript

1 _//: HACKERNE = Kriminaliteten på internettet stiger kraftigt. Ganske almindelige menneskers kreditkort bliver diskret drænet for millioner af kroner af organiserede it-kriminelle. Bagmanden bag et internationalt netværk, viste det sig, var ikke en amerikansk eller russisk slyngel, men en ung dansker fra Nordjylland. Otto Lerche Kristiansen fandt ham. Illustration Goñi Montes ER LANDET // > 82 EUROMAN Oktober 2010 Oktober 2010 EUROMAN 83

2 K evin Mørk Thomsen fører musemarkøren over computerskærmen og dobbeltklikker på en tekstfil. Et dokument med et komplet sæt kreditkortoplysninger popper frem på skærmen. Han kopierer kortnummeret. Copy. Paste. Udløbsdato. Copy. Paste. Sikkerhedskode. Copy. Paste. I løbet af få sekunder har han hævet svenske kroner fra kreditkortet. Thomsen sidder foran sin computer. Han er i gang med at optage videoen Poker Cashout Video with Misterrichard. Misterrichard er hans dæknavn. I videoen viser han, hvordan man overfører penge fra et hacket kreditkort til en bankkonto. Det er nemt. Først overfører han pengene til en pokerkonto på nettet. På skærmen kan man se et ovalt bord med grøn filtdug og midt på bordet nogle kort. Han er logget ind med to spillere. Den ene satser de svenske kroner og taber med vilje til den anden. Den anden spiller trækker pengene ud og overfører dem til en konto i en bank. Så sletter han tekstfilen med et specielt program, som overskriver filen på harddisken, så den ikke kan gendannes. Thomsen har flere hundrede gange overført penge fra stjålne kreditkort til sine egne konti. Stort set hver dag sidder han foran computeren, ryger smøger og hører techno. Nogle gange til langt ud på natten. Han har indrettet et lille hjørne af lejligheden med skrivebord og en ergonomisk kontorstol med høj ryg. Det er ligesom et almindeligt fuldtidsarbejde, synes han. Men det er det ikke. Kevin Mørk Thomsen er kriminel computerhacker, der stjæler almindelige menneskers penge. Han organiserer et internationalt netværk af flere end Quake et 3-D-skydespil, som Thomsen spillede, lærte at hacke, og det forum, hvor han kom i kontakt med andre hackere, der blev starten til det kriminelle netværk. hackere og netsvindlere. Og han er kun 23 år gammel. Men politiet har været på sporet af ham i mere end et år. Hacking og it-kriminalitet er blevet et stadigt større og mere alvorligt problem. Fra 2008 til 2009 er antallet af sager om phishing (kreditkortsvindel) fordoblet, mens antallet af sager om hacking steg fra omkring 300 til over I samme periode overgik mængden af skadelig software for første gang mængden af legitim software. Vi har set en stigning både i antallet af angreb og økonomiske tab. Og den stigning vil fortsætte i fremtiden, siger lederen af den danske afdeling af det internationale sikkerhedssamarbejde CERT, Shehzad Ahmad. Ifølge vicepolitiinspektør Søren Thomassen er samfundet i det 21. århundrede rykket ind i den virtuelle verden. Og det samme er kriminaliteten, siger han. Søren Thomassen var med til at oprette Rigspolitiets Nationale IT-Efterforsknings Center (NITEC) i Indtil for ganske nylig har han stået i spidsen for efterforskningen og fulgt udviklingen af it-kriminalitet i Danmark. Ifølge ham og flere andre eksperter er netforbryderne blevet mere målrettede og professionelle, både herhjemme og ikke mindst i USA og Østeuropa. Her organiserer nogle kriminelle grupper sig som virksomheder med mellemledere, ansatte og bonusordninger og arbejder ofte tæt sammen med mafiaen. Det mærker vi i Danmark. Sidste år lykkedes det en gruppe russiske kriminelle at hacke danske netbankbrugere. Det er gået op for mange kriminelle, at det er noget lettere at bryde ind i en bank virtuelt end at begå røveri i en bank med risiko for, at der først springer en farvepatron, og at man bagefter bliver skudt i ryggen, siger it-sikkerhedsekspert Peter Kruse fra sikkerhedsvirksomheden CSIS, som leverer sikkerhedsløsninger til banker i bl.a. Danmark, England og USA. De danske banker mistede i 2009 knap 10 mio. kr. som følge af misbrug af kreditkortoplysninger fra hackede databaser. Det lyder måske ikke af så meget, men der er tale om en fordobling i forhold til I samme periode tredobledes misbruget som følge af indbrud i netbankerne. Dertil kommer svindel med Visa og Mastercard, som angivelig er langt større. Hvor meget vil de internationale kreditkortselskaber ikke offentliggøre, men ifølge FBI er det årlige tab 67 mia. dollars alene i USA. Der er tale om en helt ny form for kriminalitet, siger special agent J. Keith Mularski fra FBI. Denne nye form for kriminalitet udgør en stor trussel for vores finansielle markeder. Der er millioner af dollars på spil. Og i takt med, at vores samfund bliver mere og mere afhængigt af internettet, vokser denne form for kriminalitet. Siden slutningen af folkeskolen havde Kevin Mørk Thomsen spillet skydespillet Quake og var derigennem kommet i kontakt med en gruppe af personer, som var mere end almindeligt optaget af computere. De interesserede sig for hacking og mødtes over inter- nettet i såkaldt Internet Relay Chat (IRC) for at diskutere forskellige hacks og lære af hinanden. I starten lærte Thomsen at hacke Quake, så hans spiller ramte modstanderen hver gang. Han blev hurtigt upopulær i det danske computerspilmiljø. Senere lærte han at bryde ind i fremmede computere. Mest for sjov. Men så begyndte han at købe stjålne kreditkortoplysninger af de andre fra gruppen. Det var simpelthen for nemt, syntes han. Så hvorfor ikke? Allerede i 2006 blev Thomsen anholdt første gang. Politiet fandt kortnumre fra hackede kort hos ham, så han senere blev dømt for kreditkortsvindel for omkring kr. og fik ti måneders fængsel. Men dommen fik ham ikke til at stoppe. Tværtimod. Han skiftede dæknavnet Zoomah ud med Misterrichard og gik i gang med at opbygge et kriminelt netværk, som var mere organiseret og professionelt. Med et smil på læben forklarede han til Ekstra Bladet, at han havde været en glad og uforsigtig amatør og havde efterladt dumme spor. Det skulle ikke ske igen. Interpols hovedkvarter i Lyon her fik dansk politi det tip, der ledte dem på sporet af den største dansk organiserede forbryderorganisation på nettet til dato. Det internationale kriminalpolitis betydning vokser, fordi forbrydelser i stadigt større omfang går på tværs af landegrænser. // SIKKERHEDSKODE. COPY. PASTE. I LØBET AF FÅ SEKUNDER HAR HAN HÆVET SVENSKE KRONER FRA ET HACKET KREDITKORT. DET ER NEMT. Thomsen havde skrevet til de omkring ti andre fra IRC-chatten og spurgt, om de ville være interesserede i at flytte aktiviteterne fra chatten, som ofte var kaotisk og svær at administrere, til et mere organiseret forum. Forummet skulle være en slags udvidelse til IRC-chatten og bygges efter amerikansk forbillede. De andre i gruppen var interesserede. I computerspilmiljøet havde han lært en canadier ved navn XO at kende. I foråret 2007 havde de to forberedt åbningen af deres nye cardingsite, carding.nu, som skulle være centrum for handel med hackede kreditkort på internettet. De kendte flere lignende amerikanske internetsider, men havde længe talt om at lave deres egen. Thomsen havde brugt en del tid foran computeren i weekenderne og om aftenen, når han var kommet hjem fra sit arbejde på en støbejernsfabrik, hvor han bl.a. programmerede industrirobotter. Nu var de klar. I løbet af de første måneder stiger antallet af brugere på carding.nu hurtigt. Så hurtigt, at Thomsen og XO har svært ved at følge med i strømmen af indlæg og kreditkort. De beslutter at opdele forummet i en lukket og en åben del. Det åbne forum er tilgængeligt for alle og organiseret med forskellige diskussionsgrupper som hacking and security og tools. Det lukkede forum er kun tilgængeligt for personer, som er godkendt af en af administratorerne, og det koster 29 dollars om måneden. På det lukkede forum bliver der dagligt handlet koder til betalingssystemer på nettet og kreditkort ofte tusindvis eller titusindvis ad gangen. Kortoplysningerne stammer typisk fra hackerangreb mod virksomheders it-systemer og kommer bl.a. fra USA. Derudover en del fra adgangskoder til betalingsporno på internettet. Handel med kreditkort er en af de mest udbredte former for kriminalitet på internettet. Handlen foregår i lukkede fora på internettet, cardingsites, hvor sælgere og købere mødes. De første cardingsites opstod omkring årtusindskiftet og viste den grænseløse kriminalitets skræmmende potentiale: For første gang kunne en person i Danmark købe CORBIS // Ordliste Botnet Et netværk af computere, som er inficerede med fjernstyringssoftware og kan kontrolleres af en hacker fra én central computer. Navnet kommer af robot og net. Ejerne af computerne ved ikke, at deres computer er inficeret og indgår i botnettet. Angriberen udnytter bl.a. sine robotter til at udsende spam og phishing-mails. Identitetstyveri Betegner brugen af personlige informationer til misbrug af en andens identitet, fx kreditkortinformationer. Personlige informationer indsamles og misbruges ved phishing, hacking eller infektion med trojanske heste. Malware Sammentrækning af ordene malicious (ondsindet) og software en samlebetegnelse for vira, orme, trojanske heste, keyloggere, spyware, software i botnet og lignende. Phishing Svindel, hvor en person forsøger at fiske fortrolige oplysninger ud af andre personers computere. Forsøg på phishing optræder ofte i s, der henviser til websider. Websiden angiver at tilhøre offerets bank eller kreditkortselskab eller lignende, men er i virkeligheden under svindlernes kontrol. Social Engineering Svindel, hvor en person bruger social manipulation til at franarre en anden person oplysninger. Den sociale manipulation kan fx bestå i, at personen udsender en skadelig kode via Facebook, hvor mange er tilbøjelige til at stole på indholdet i henvendelser. Trojansk hest Samme funktion som den klassiske trojanske hest, bare uden hest. I stedet et program, som foregiver at være en vigtig opdatering eller ny installation, men i virkeligheden er ondsindet og installerer fx en virus eller aflytning. Trojanske heste identificeres ofte af antivirus. Kilde: DK CERT. 84 EUROMAN Oktober 2010 Oktober 2010 EUROMAN 85

3 // Kortene leveres altid komplet med navn og adresse på kortholderen og alle nødvendige numre. Good service, skriver en af køberne. Prisen? Tre dollars pr. kort ELLER Ti For 25. et sæt amerikanske kreditkortoplysninger af en russisk hacker og bruge oplysningerne til at handle i en svensk netbutik. Med et par klik. Siden er cardingsites vokset både i antal og grad af professionalisering. Der findes ikke en opgørelse over antallet af cardingsites, men ifølge Affinion International, som samarbejder med bankerne om spærring af kreditkort, er identitetstyveri den hurtigst voksende kriminalitetsform i USA. Som med så mange andre trends kommer de fra USA til Europa i løbet af nogle år. Og jeg tror ikke, at de danske myndigheder er klar over, hvilke udfordringer vi kommer til at stå over for, siger Peter Ulrik Steenstrup, direktør i den danske afdeling af Affinion International. Fra 2000 til 2009 steg antallet af anmeldelser for databedrageri fra 135 til 694 i Danmark, mens det økonomiske tab som følge af misbrug af dankort på nettet fordobledes fra 2006 til Omsætningen med dankort på internettet stiger og misbruget følger desværre efter, siger Søren Winge, pressechef hos PBS, som står for sikkerhed med samtlige danske kreditkort. Han forklarer, at det bl.a. skyldes flere sager, hvor internationale bander har opsnappet Visa/dankort-oplysninger. Selv om det samlede tab på knap 10 mio. årligt er relativt lille set i forhold til den samlede dankortomsætning på 21 mia. eller i forhold til tal fra andre lande, er der grund til at tage det alvorligt, mener Søren Winge. Danmark har et højt sikkerhedsniveau og har i sammenligning med fx USA eller England været meget lidt udsat, men der er tale om en meget international kriminalitetsform, som rykker derhen, hvor sikkerheden er lavest, siger han. Den danske politimand Jan Frederiksen er it-specialist hos NITEC. Jan Frederiksen er midt i en kaffepause, da en mand fra det tyske High Tech Crime Center i Wiesbaden kommer hen til ham. De befinder sig i den højloftede forhal med store palmelignende indendørstræer i Interpols hovedkvarter i Lyon. Den internationale politiorganisations logo breder sig over gulvet i en lyseblå mosaik. Sammen med efterforskere og computereksperter fra hele verden er danskeren i Lyon for at deltage i en international konference om it-kriminalitet. Er du fra Danmark? spørger tyskeren. Han har set danskerens navneskilt med et lille dansk flag og forklarer, at han i sit arbejde for High Tech Crime Center i Wiesbaden er kommet på sporet af et internetforum for kriminelle. Forummet bliver sandsynligvis styret af en dansker. Den tyske politimand nævner Kevin Mørk Thomsens alias. Jan Frederiksen husker sagen om de kreditkort. Men han har ikke hørt noget til Thomsen i et stykke tid. Den tyske politimand fortæller om forummet. Om handlen med kreditkort. Om pengetransaktioner via internetbanker. Jan Frederiksen lytter. Efter kaffepausen går han tilbage til et af konferencelokalerne. Han sætter sig for at følge det næste i en række af foredrag, men kan ikke lade være med at undersøge de nye oplysninger om danskeren. Han åbner sin bærbare computer og taster oplysningerne ind på tastaturet. Return. En liste med søgeresultater kommer frem på skærmen. Den danske politimand søger igen. Og igen. Efter flere søgninger finder han frem til en person, der beskriver sig selv som ejeren af carding.nu. Forummet er oprettet i falsk navn og placeret på en svensk server. Der er noget helt galt. Umiddelbart efter konferencen skriver politiet i en intern rapport, at der er tale om en overtrædelse af straffelovens 301 stk. 2, som handler om besiddelse og videregivelse af betalingskort til en videre kreds under skærpende omstændigheder. Strafferammen er indtil seks års fængsel. Efterforskningen starter med det samme. Kevin Mørk Thomsen ved ikke noget om politiets møde i Lyon. Eller om efterforskningen. Han har travlt med at administrere forummet og med at hæve penge fra de tusindvis af gratis kreditkort, som hackere fra hele verden giver ham som betaling for at administrere forummet. Forummet styres ud over Thomsen af en håndfuld administratorer, som hjælper ham med at moderere diskussionerne og opretholde forummet som et troværdigt marked. XO fra Canada er med de første måneder. Der er også Loxyria, en arbejdsløs svensker, som skriver en del af reglerne. MisterAnonym, en 16-årig gut fra Kroatien. itrax fra Holland, som er gift og har børn. Noxel fra Marokko, som tidligere har arbejdet med it-sikkerhed i en bank og er opsat på at tjene nogle hurtige penge. Kevin Mørk Thomsen er den øverste af administratorerne. Ifølge eksperterne er computerhackere ikke længere uskyldige nørder. I 80 erne og 90 erne var de fleste optaget af at bryde koder og trænge ind i systemer. Ikke af at tjene penge. I dag er hackerne i mange tilfælde en del af organiserede kriminelle netværk og ifølge tidligere leder af NITEC, Søren Thomassen, langt mere professionelle end for bare få år siden. De går mange sammen om at lave et setup og hyrer folk med forskellige kompetencer til at løse forskellige dele af opgaven: Der skal transporteres nogle penge. Der skal en idé til. Der skal teknisk viden til. Der skal noget kapital til. Der skal hyres en masse mennesker. Alle de faktorer, som gør det organiseret og professionelt, siger han. Den vurdering bakkes op af den seneste rapport fra den danske afdeling af det internationale sikkerhedssamarbejde CERT, som hvert år udgiver en rapport om it-sikkerheden i Danmark. It-kriminaliteten bliver stadig mere professionel og kompleks, står der bl.a. i rapporten. Flere eksperter nøjes ikke med at sammenligne kriminelle netværk på internettet med organiserede kriminelle i den virkelige verden de minder i stigende grad om virksomheder, siger eksperterne. De har en høj grad af organisering og forsøger i modsætning til nogle andre kriminelle grupper at holde sig anonyme, siger Michael Dahl fra it-sikkerhedsvirksomheden F-Secure, som bl.a. arbejder sammen med FBI og den russiske efterretningstjeneste FSB. Samtidig har bagmændene ofte en lovlig virksomhed ved siden af, som kan dække over den ulovlige indtjening, siger han. Ifølge J. Keith Mularski fra FBI er der tale om en ny form for organiseret kriminalitet, som ikke kan sammenlignes med andre former for kriminalitet. Vi ser langsomt et crossover mellem traditionelt organiseret kriminalitet og netkriminalitet, men som oftest er kriminaliteten på nettet en ting for sig, siger Mularski, som for nogle år siden infiltrerede et af de mest organiserede cardingsites på nettet, DarkMarket. Det er tale om en helt ny type organiseret kriminalitet. På samme måde som den italienske mafia opererer anderledes end den russiske eller den asiatiske, ser vi, at de organiserede kriminelle på nettet har deres egen modus operandi, siger han. I Danmark er der ifølge eksperterne få eksempler på, at hackere har organiseret sig i netværk eller har samarbejdet med andre organiserede kriminelle. Langt de fleste herhjemme er amatørhackere dåsemadshackere, som vi kalder dem, siger sikkerhedsekspert Ulf Munkedal fra virksomheden FortConsult. Politiets og Jan Frederiksens efterforskning skrider frem. Han har fundet videoen Poker Cashout Video with Misterrichard hvor Kevin Mørk Thomsen som beskrevet overfører penge via et pokersite og en lang række andre indlæg skrevet af Thomsen. Frederiksen har oprettet en anonym bruger på hackerforummet og kan på den måde følge Thomsen. I perioden mellem april 2008 og juli 2009 skriver han sammen med kollegerne fra Nordjyllands Politi 181 rapporter om sagen og arkiverer en lang række indlæg for at samle materiale til en retssag: Amerikanske kreditkort sælges. Europæiske kort 95 procent garanti. Visa/Master US. Amerikanske kort er de mest populære. Kortene leveres altid komplet med navn og adresse på kortholderen og alle nødvendige numre. // De største hacker-sager 1 Gonzalez Den amerikanske hacker Albert Gonzalez blev i år dømt for tyveri af 170 millioner kreditkortoplysninger. I perioden mellem 2005 og 2007 hackede han sammen med tre venner og to russere omkring 250 virksomheder. De producerede falske kreditkort til brug i bankautomater i Miami. Men de fleste blev sendt til Ukraine, hvor en internetbank blev brugt til at vaske pengene hvide og overføre dem til bankkonti i Letland. Fra Letland blev kontanter derpå sendt med kurer til Florida. Gonzalez og hans venner scorede millioner, mens de festede igennem på luksushoteller i USA med stoffer, champagne, piger og et meget stort forbrug. Gonzalez nåede også at grave over en million dollars i plasticbeholdere ned i sine forældres baghave. De skulle bruges til at realisere hans drøm: at købe en rockklub i New York. Den 7. maj 2008 blev Gonzalez pågrebet og anholdt med to bærbare computere, en pistol og en masse kontanter. I marts i år blev han idømt 20 års fængsel. Albert Gonzalez Good service, skriver en af køberne. Prisen? Tre dollars pr. kort. Ti kort for 25 eller 100 for 150 dollars. Ikke specielt dyrt, hvis man tænker på de ofte tusindvis af kroner på kortet. Politiets efterforsker finder også et indlæg, hvor en bruger forsøger at sælge steroider, men der er mere salg i kreditkort. I september 2008 lukker den åbne del af forummet: For security reasons we have decided to permanently close the public forums, skriver Thomsen. Men på det tidspunkt har politiet allerede installeret overvågning af hans internetforbindelse og kan fra hovedkvarteret i København fortsat følge ham helt tæt. Jan Frederiksen finder bl.a. et indlæg, som er skrevet af Misterrichard og handler om udlejning af store netværk af hackede computere, såkaldte botnet. Thomsen er specielt glad for botnettet RX120, som kan bruges til at aflure bruger-id og passwords i fremme- 86 EUROMAN Oktober 2010 Oktober 2010 EUROMAN 87

4 // Albert Gonzalez hackede mellem 2005 og 2007 omkring 250 virksomheder med omkring 170 mio. kreditkortoplysninger. de computere eller til at anonymisere computerbrugere. På den måde kan en kriminel i eksempelvis Danmark gemme sig bag en amerikansk eller kinesisk adresse. Han finder lister over adgangskoder til personlige mailbokse og betalingssystemer og en række programmer designet til at begå it-kriminalitet, såkaldt crimeware. Udbuddet er stort: virusangreb, som kan inficere computere og samtidig opsnappe kreditkortoplysninger, programmer, som kan anonymisere en bruger på internettet, netværk af hackede computere og programmer til at omgå antivirus. Good shit, skriver en bruger om programmet til at omgå antivirus. Programmet koster 100 dollars og kan ud over at omgå antivirus også sløre sporene, hvis man ønsker at sprede en virus. Den slags små hjælpeprogrammer er gode til at begå kriminalitet med. De kriminelle har i mange år handlet med crimeware. Men de seneste år er programmerne blevet billigere og lettere at bruge. Programmerne leveres ligesom et almindeligt styresystem eller skriveprogram med support og opdateringer. På den måde kan personer uden særligt kendskab til programmering bryde ind i en fremmed computer og stjæle fx kreditkortoplysninger. Denne type kriminelle behøver ikke have særlig meget teknisk viden. Det hele er klar til brug ligesom når man køber et stykke lovlig software hos Microsoft, siger Peter Kruse fra sikkerhedsvirksomheden CSIS. Prisfaldet på crimeware har været medvirkende til, at antallet af angreb de seneste år er steget markant. I 2009 blev der på globalt plan registreret over 3 mia. hackerangreb og 107 mia. spam-mails alene af sikkerhedsfirmaet Symantec. Samme år fordobledes antallet af nye ondsindede programmer. Det bekymrer Shehzad Ahmad fra CERT: Når de dygtigste af de dygtigste ikke kun samarbejder og deler deres viden med hinanden, men også sælger deres viden, så er der ingen tvivl om, at vi kommer til at se både flere og mere komplicerede angreb i fremtiden. I Rusland er der eksempler på kriminelle franchises, hvor de dygtigste hackere sælger deres programmer og ideer til et netværk af kriminelle, som ikke selv kan hacke. Bagmændene lokker med bonusser og luksusbiler til de mest aktive franchisetagere, som tjener op mod 5 mio. kr. om året. I USA har superhackere forsøgt sig med storstilede kup, som i størrelse og professionalisme vækker mindelser om store bankkup i den virkelige verden. Den til dato største cyberkriminelle, Albert Gonzalez, og hans to medsammensvorne hackede i perioden mellem 2005 og 2007 omkring 250 virksomheder og skaffede sig adgang til bogholderier med omkring 170 mio. kreditkortoplysninger. Gonzalez modtog udbyttet fra sin kriminelle forretning i bundter a dollars, som han bla. brugte på en fødselsdagsfest til dollars, leasing af en BMW og et værelse på luksushotellet National Hotel i Miami. Resten over 1. mio. dollars gravede han ned i plasticbeholdere i sine forældres baghave. Det er vanvittigt, siger Peter Kruse fra CSIS om de udenlandske hackeres indtjening. De kriminelle tjener samlet mere på at angribe internetbrugerne, end it-sikkerhedsbranchen tjener på at sælge antivirus og firewalls. Det skaber jo en ubalance mellem de gode og de onde og et stort incitament til at blive ved med at begå kriminalitet. Albert Gonzalez blev i marts i år idømt 20 års fængsel. Kevin Mørk Thomsen har ingen plasticbeholdere med penge i baghaven og heller ingen BMW. Han har en blå Golf. Den unge dansker tjener omkring kr. om måneden ikke meget sammenlignet med indtjeningen for nogle internetkriminelle i udlandet. Og langtfra nok til at leve deres jetsetliv. Han har ganske vist købt en magnetkortlæser og avancerede programmer til hacking, men han er ikke nogen superhacker og kan i international sammenhæng måske bedst sammenlignes med administratoren fra forummet DarkMarket som var pizzabud. Thomsen har godt nok købt en ret stor fladskærm til stuen og indrettet det ene værelse med billardbord og hjemmebar, men lejligheden ligger i et gammelt hus med fugtskader på væggene. Han inviterer af og til vennerne op i lejligheden til et spil pool eller på druktur i Aalborg eller Brønderslev. Så betaler han det hele. Nogle gange har han betalt diskoteksejeren i Brønderslev for at holde åbent til klokken syv om morgenen. Thomsen var ligeglad med prisen. Andre gange tager han vennerne med ud at bowle. Der ryger ifølge Thomsen hurtigt kr. på sådan en aften, men det er bare ikke det samme som en fødselsdagsfest til næsten en halv million kroner i en penthouselejlighed i New York med udsigt over Manhattan. Fra lejligheden i Vester Hjermitslev må han nøjes med udsigt over et klassisk stykke udkantsdanmark med 50 huse og en købmand. Og så arbejder han i en periode på den lokale kro, hvor han bringer mad ud til pensionister. Mest frikadeller og medister og den slags. Kevin Mørk Thomsen, dansk hacker og kriminel bagmand. POLFOTO 88 EUROMAN Oktober 2010 Oktober 2010 EUROMAN 89

5 // Det er gået op for mange kriminelle, at det er lettere at bryde ind i en bank virtuelt end at begå røveri i en bank med risiko for, at der først springer en farvepatron, og at man bagefter bliver skudt i ryggen. Peter Kruse, it-sikkerhedsekspert Renukanth Subramaniam, en 33-årig srilankaner bosat i London, var manden bag DarkMarket, et kriminelt webforum hvor der blev handlet med stjålne identiteter og kreditkort. Den 25. marts 2009 er politiet klar til at slå til mod hackernetværket. En civil politibil glider ned ad den øde hovedgade. Den stopper et stykke væk fra det ældre hus, som de to civilklædte betjente er på vej hen til. Kevin Mørk Thomsens bopæl. Et par kilometer uden for byen holder to civile politibiler parkeret. I den ene sidder Jan Frederiksen med sin bærbare computer åben på sædet og følger med i aktiviteterne på carding.nu. Bortset fra lyden af de smækkende bildøre er der stille i byen denne onsdag eftermiddag, da betjentene stiger ud og begynder at gå. De kommer til betonfliserne foran huset, hvor ukrudtet stikker op mellem revnerne, og forbi vinduerne, hvor de hvide persienner er rullet ned, op til den røde hoveddør med matteret glas og tre trin op ad en gammel betontrappe. På første sal i huset sidder Thomsen med sin bærbare computer. Han har lige været ude i køkkenet for at lave mad og sidder nu med en portion kartofler og bearnaisesauce ved et skrivebord i hjørnet af stuen. På skærmen lyser det syregrønne logo for carding.nu. Så banker det på døren. Thomsen rejser sig fra sin kontorstol og stiller tallerkenen med mad fra sig på stuebordet. Han går hen til vinduet og kigger ned mod vejen. Ingen parkerede biler. Ingen mistænkelige personer. Det må være underboen, tænker han. For en sikkerheds skyld trækker han den lille USB-nøgle ud af computeren og lægger den oven på et skab i gangen. Så går han ned ad trappen. Døren står åben, og Kevin Mørk Thomsen kigger på de to civilklædte betjente. De præsenterer sig og viser ham en ransagningskendelse: Han er sigtet for overtrædelse af straffeloven for hacking og bedrageri. Han AP-IMAGES går et par skridt baglæns op ad trappen, men en af betjentene tager fat i ham ved skulderen. Han skal ikke nogen steder. Thomsen forklarer, at der vistnok ligger en klump gammel hash i lejligheden. Ellers ikke noget af betydning. Men betjentene fører ham op ad trappen og sætter ham i sofaen i stuen, hvor han sidder med ransagningskendelsen i hånden og læser, indtil de andre betjente ankommer. Betjentene begynder at gennemsøge lejligheden og hans blå Volkswagen Golf, som holder parkeret uden for huset. På et glasbord ved siden af hans billardbord finder de en iphone. I alt finder de tre. I et skab finder de en klump hash. I køkkenet roder en af betjentene køkkenskufferne igennem og finder syv simkort. Han leder videre. Roder skraldespanden igennem og finder et stykke papir, som er revet itu. Han sætter stykkerne sammen. Det er en banknota over nogle pengeoverførsler via internettet. På skrivebordet står en computer. Den er tændt. De forbinder den til deres egen computer med et kabel og begynder at undersøge den. I den øverste skuffe i en kommode finder de endnu en bærbar computer og en ansøgning til Webmoney med en falsk underskrift. I et skab en magnetkortlæser og en pung med 582 kr. og et blankt magnetkort. På reposen hænger hans jakke. I jakkens lomme finder politiet endnu et simkort. Efter omkring halvanden time pakker politiet de beslaglagte ting i papkasser og kører tilbage til politigården i Aalborg. Senere på aftenen finder teknikerne ud af, at han få minutter inden anholdelsen har trukket en USB-nøgle ud af computeren. De kører tilbage til huset og finder oven på skabet i gangen nøglen med kreditkortoplysninger. Kevin Mørk Thomsen blev tre måneder senere idømt tre års fængsel for databedrageri og hacking af særlig systematisk karakter. Han afsonede i et åbent fængsel i Nordjylland. I det åbne fængsel fortsatte han sine kriminelle aktiviteter fra sin mobiltelefon. I juni i år blev han idømt et år og ni måneders fængsel for hacking og databedrageri. Og flyttet til den lukkede del af fængslet. Historien om Kevin Mørk Thomsen er en journalistisk researchet rekonstruktion af virkelige begivenheder. Alle beskrivelser og detaljer bygger på kilder: aktindsigt i politiets efterforskning og rettens dokumenter i sagen, interview med politifolk fra NITEC og Nordjyllands Politi, interview med Kevin Mørk Thomsen og en række artikler og billeder. Jan Frederiksen er ikke politimandens rigtige navn, det rigtige er redaktionen bekendt. //De største hacker-sager 2 DarkMarket Handel med kreditkort er en af de mest udbredte former for kriminalitet på internettet, og det foregår i lukkede fora på internettet, cardingsites, hvor sælgere og købere mødes. De første cardingsites opstod omkring årtusindskiftet og viste den grænseløse kriminalitets potentiale. DarkMarkets flere end medlemmer var organiseret i et hierarki med en hård kerne af administratorer i toppen. Under administratorerne var moderatorerne, som overvågede handlen med stjålne kreditkortoplysninger og meldte tilbage til administratorerne, hvis der var nogle problemer. Under moderatorerne var anmelderne, som tog stikprøver af varerne og på den måde sørgede for, at spærrede og dermed ubrugelige kreditkort ikke blev sat til salg. Nederst i hierarkiet var de almindelige medlemmer, som købte og solgte. Ifølge FBI var det overraskende godt organiseret. DarkMarket var ansvarlig for svindel for et tocifret millionbeløb om året. I 2006 infiltrerede FBI forummet og blev en del af gruppen af administratorer. Under et angreb fra en konkurrerende gruppe kriminelle overtalte FBI s muldvarp de andre til at flytte forummet til hans servere. Serverne var FBI s. En af bagmændene nåede at kidnappe og torturere en af politiets informanter, før FBI i september 2008 arresterede de første af i alt 60 personer. En tyrkisk hacker, der også var informant til det lokale politi, blev taget til fange og gennembanket af en berygtet hacker, der gik under navnet Cha0. Senere dukkede dette foto fra tilfangetagelsen op på DarkMarkets hjemmeside. 90 EUROMAN Oktober 2010 Oktober 2010 EUROMAN 91