Bemærk Denne artikel blev udgivet for over en måned siden

Har du også hørt om ’covid19-trackeren’? Hackere udnytter coronaepidemien

26. mar 2020 -
9 min læsetid
This describes the image

"Jeg har lige hørt, at der er lavet en app, der hedder ’covid19 tracker’. I skal IKKE downloade den i den tro, at den er en opdatering på coronasituationen! Downloader I den overtages jeres telefon af virus!"

Sådan lyder advarslen i et opslag på Facebook fra 19. marts. Dette og lignende opslag er samlet set vist til danske facebookbrugere mere end 700.000 gange, og over 70.000 har delt advarslen.

Men findes appen ’covid19 tracker’, og er det rigtigt, at den indeholder virus?

Det korte svar er, at TjekDet ikke har fundet en app med det ordrette navn ’covid19 tracker’, som indeholder virus, men mængden af phishing-mails, apps og computerprogrammer, der indeholder virusser eller forsøger at lokke personlige oplysninger eller bankdetaljer ud af dig, er eksploderet under coronaepidemien.

Artiklen fortsætter under billedet

Et af de mange opslag, som advarer mod den farlige app. Dette og lignende opslag er i alt vist mere end 700.000 gange til danske facebookbrugere. (Foto: Skærmbillede fra Facebook).

Der er altså ekstra grund til at være på vagt, når du færdes på internettet for tiden. Advarslen mod ’covid19 tracker’ vender vi tilbage til.

Center for Cybersikkerhed, der er en del af Forsvarets Efterretningstjeneste, ser "klart mere aktivitet end normalt", siger Thomas Lund-Sørensen, der er chef for centeret. Det er især danskernes higen efter information fra sundhedsmyndighederne, de kriminelle forsøger at udnytte.

"Vi forestiller os, at hackerne ser en meget gunstig lejlighed til at bruge danskernes efterspørgsel efter mere viden om corona og den nuværende sundhedskrise," siger han.

Som at bekæmpe muldvarper

Hos Center for Cybersikkerhed er der for tiden ekstra mandskab på opgaven med at bekæmpe de kriminelle. Og det er der brug for.

Thomas Lund-Sørensen kalder opgaven med at lukke falske hjemmesider ned for ’whack-a-mole' – smask en muldvarp – med henvisning til, at de kriminelles falske hjemmesider konstant dukker op nye steder og under nye falske navne, der minder om de danske myndigheders.

Artiklen fortsætter under billedet

Thomas Lund-Sørensen, chef for Center for Cybersikkerhed, der er en del af Forsvaret Efterretningstjeneste. (Foto: Niels Ahlmann Olesen/Ritzau Scanpix)

"Der er klart mere af det end normalt, især af den slags, der udgiver sig for at være danske myndigheder," siger han og giver eksempler på, hvordan bagmændene prøver at lægge sig tæt op af de rigtige hjemmesider ved eksempelvis at købe www-adressen sundhedsstyrelsen.eu eller indføre en bindestreg i Sundhedsstyrelsen, altså sundheds-styrelsen.

"Det er klart et forsøg på at lukrere på en dansk myndighed, som mange i den grad er interesseret i for øjeblikket, nemlig Sundhedsstyrelsen. De vil lokke personlige oplysninger ud af folk med henblik på økonomisk kriminalitet og misbrug," konstaterer han.

Svindlernes strategi er at give ofrene en forventning om, at de skal oplyse personlige data til eksempelvis en myndighed. Derfor er særligt såkaldte phishing-mails i fokus.

"Det handler om at sende en e-mail ud med et link til en hjemmeside, hvor man får lokket folk, der har en forventning om, at de skal indtaste nogle brugernavne og passwords, over."

Efterretningstjenesten hamstrer hjemmesider

Hos efterretningstjenesten gør de alt, hvad de kan, for at bekæmpe de kriminelle og samtidig advare danskerne mod truslen fra svindlerne.

De ansatte arbejder både med at fjerne de falske hjemmesider ved at bede de firmaer, der hoster dem, om at tage dem ned. Men de forsøger faktisk også at være et skridt foran de kriminelle.

"Mere proaktivt forsøger vi at opkøbe domæner, som man kunne tænke sig, kunne blive købt af en kriminel med henblik på misbrug. Det er klart, hvis vi har købt domænet inden, så kan det ikke bruges til kriminelle aktiviteter," siger Thomas Lund-Sørensen.

Det er dog lettere sagt end gjort. Der er et utal af muligheder for at opfinde navne på hjemmesider, der lægger sig tæt op ad danske myndigheders. Derfor beder efterretningstjenesten borgerne om hjælp.

"Vi vil gerne orienteres om den her slags hjemmesider fra danskere eller andre, der opdager dem," siger Thomas Lund-Sørensen.

Efterretningstjenesten kan tippes via deres twitterkonto og deres situationscenter. Vil du gerne have de advarsler om falske hjemmesider og andre svindelnumre, skal du downloade Forbrugerrådets app, Mit Digitale Selvforsvar, som sender konkrete advarsler ud, når efterretningstjenesten opdager nye digitale fælder.

’Lad nu være med at downloade noget som helst overhovedet!’

Det er ikke nok at have fokus på falske hjemmesider og mails, der vil lokke personlige oplysninger ud af dig. Du skal også være forsigtig med din telefon, siger Peter Kruse, der er it-sikkerhedsekspert for virksomheden CSIS Security Group, som udbyder cybersikkerhedsservices.

Artiklen fortsætter under billedet

Peter Kruse, it-sikkerhedsekspert for virksomheden CSIS Security Group, som udbyder cybersikkerhedsservices. (Foto: Pressefoto)

Han fortæller til TjekDet, at det vrimler med falske apps, som svindlere har lavet for at tjene penge på krisen.

"Der har været lidt over 50 – hvad vi ved af – ondsindede apps alene til Android, som har udnyttet situationen. Jeg ved, at Google gør, hvad de kan, men uden for Googles egen butik kan de ikke gøre noget," siger han.

Ifølge it-sikkerhedseksperten går det netop galt, når folk finder apps uden for Googles økosystem.

"Hvis folk søger uden for Google, og man tillader installationen af apps på sin mobiltelefon uden for den almindelige Google Play-butik, så er det klart, at man kan løbe ind i nogle rigtig grimme programmer."

Peter Kruse oplyser, at der er mange steder, man kan støde på ondsindede apps.

"Hackerne bruger såkaldt search engine optimization, så deres apps kan dukke op i søgeresultaterne på forskellige søgemaskiner, og så er der også den gængse måde, hvor folk sender hinanden links, det vi også kalder smishing og phishing." Derfor er det ikke kun på computeren, at man skal passe på med at klikke på links, der ser mistænkelige ud.

Peter Kruse har en klar bøn til alle, der i øjeblikket søger information om coronasituationen:

"Lad være med at downloade noget som helst overhovedet, medmindre det er anbefalet af kilder, man har tillid til. Det kan godt være, at der kommer nogle corona-relaterede apps på et tidspunkt, som giver mening, men det er der altså ikke på nuværende tidspunkt."

I samme ombæring henviser han til Sundhedsstyrelsens hjemmeside.

"Sundhedsstyrelsen har en dedikeret hjemmeside, og man har gjort meget ud af at fortælle alle, at man bør søge oplysninger der, hvor man ved, at oplysningerne er rigtige," siger Peter Kruse.

Tomme hylder i App Store, når man søger efter corona-apps

Der er altså ekstra meget grund til at være påpasselig for tiden. Med 70.000 delinger af en advarsel mod en konkret mobil-app, der angiveligt udgiver sig for at oplyse om coronasituationen, tyder alt da også på, at danskerne er oppe på dupperne og klar til at advare hinanden.

Meget tyder imidlertid på, at truslen fra ’covid19 tracker’, som de 700.000 danskere har set, ikke (længere) udgør nogen trussel.

Søger man efter ’covid19 tracker’ på Google Play finder man kun en læringsplatform, som WHO står bag. På Apple’s App Store får man fire resultater, hvoraf kun én app indeholder ordene ’covid’, ’19’ og ’tracker’.

Artiklen fortsætter under billedet

Søgeresultaterne fra Googles egen app store (til venstre) og Apples App Store (til højre). Søger man på 'covid19 tracker' i Googles butik, bliver man henvist til WHO's hjemmeside, mens den eneste app er en læringsportal udviklet i samarbejde med verdenssundhedsorganisationen. Til højre ser man de to øverste søgeresultater ud af fire på Apples App Store. Ingen af disse apps indeholder virus. (Foto: Skærmbilleder)

Men virussen kommer ikke fra denne app. Den er en af de få corona-relaterede apps, som Apple i øjeblikket lader komme gennem nåleøjet.

Apple såvel som Google fjerner i øjeblikket apps, som ikke kommer fra de relevante myndigheder eller velrenommerede sundhedsvirksomheder.

Af samme grund har den førnævnte app med det mundrette navn ’HealthLynked COVID-19 Tracker’ har fået lov at blive. HealthLynked er en amerikansk virksomhed, som specialiserer i kommunikationen mellem patient og sundhedsudbyder. Appen giver for eksempel mulighed for at meddele, om man er smittet med covid-19.

Men der er andre farlige apps på spil.

Svindlere udnytter anerkendt coronakort

Forbes og andre amerikanske medier beretter allerede den 18. marts i år om flere apps, der bruges til at få adgang til telefonens indhold såvel som kamera.

Truslen er afdækket af antivirusfirmaet Lookout, som blandt andet står bag en af de mest benyttede antivirusapp til Android-platformen. I et blogindlæg forklarer de, hvordan virussen fungerer.

Appen ved navn ’corona live 1.1.’ udgiver sig for at være en mobiludgave af et digitalt verdenskort, som konstant opdateres med coronaepidemiens udvikling. Kortet er udviklet af Johns Hopkins University’s Coronavirus Resource Center, hvis rigtige hjemmeside ikke er inficeret eller farlig. Og det er netop den hjemmeside som især medier verden over skæver til, når de skal hente nye oplysninger om antallet af bekræftede tilfælde, døde og så videre i alverdens lande.

Artiklen fortsætter under billedet

Skærmbillede af fupapp'en ’corona live 1.1.’ som viser informationer fra Johns Hopkins University’s coronakort, mens den overvåger telefonen i baggrunden. (Foto: Lookout.com)

Bag fup-app'ens ellers overbevisende overflade lurer såkaldt ’surveillanceware’ – en form for virus, hvis formål er at overvåge den inficerede enhed, forklarer antivirusfirmaet Lookout.

Ved at lokalisere serveren, som appen benytter, finder antivirusfirmaet frem til, at gerningsmændene formentlig står bag flere lignende apps. De seneste to relaterer sig til den verserende coronaepidemi, mens en lang række andre apps udgiver sig for at være medieafspillere og andre uskyldige programmer.

Artiklen fortsætter under billedet

Johns Hopkins University’s Coronavirus Resource Center har udviklet et verdenskort, som viser udviklingen i coronaepidemien i nær realtid. Medier verden over bruger informationerne på kortet, men kortets popularitet har fået hackere til at bruge kortet til at sprede virus af den digitale slags. (Foto: Skærmbillede fra Johns Hopkins University’s Coronavirus Resource Center)

Det er ikke første gang, at Johns Hopkins University’s coronakort udnyttes til at svindle folk, der søger informationer om coronaepidemiens udvikling. Denne gang rammer virussen en almindelig PC.

Shai Alfasi, researcher hos et andet antivirusfirma, Reason Cybersecurity, har analyseret virussen, som blandt andet stjæler browserhistorik, cookies, loginoplysninger og kryptovaluta.

Endnu engang er coronakortet blevet genskabt på troværdig vis, og data hentes da også fra det originale kort hos Johns Hopkins University.

Malwaren, som denne slags virus kaldes, bruger en proces, der gør, at den skjuler sig godt og ikke er til at finde på computeren.

Vil du også advares mod fup og spam på Facebook? Så følg vores facebookside Viralspiralen.

Mit digitale selvforsvar er Forbrugerrådet Tænk og TrygFondens gratis app, der hjælper dig med at være sikker online og holder dig opdateret på digitale trusler.

Artiklen er produceret af Mandag Morgen for TjekDet
Opdateret 12. aug 2020