Facebook kostet kvinne jobben

VG Nett, Norges største nettsted med over en million daglige lesere, er blitt hacket. Intetanende nettbrukere som gjør enkeltsøk på for eksempel Google, blir sendt til en side på VG Nett for reiser og reisebrev.

Herfra blir nettbrukerne automatisk videresendt til en nettside i USA styrt av kriminelle. Nettsiden har indisk domene. Når de norske nettbrukerne er sendt til nettsiden, få leseren en falsk virusalarm. Deretter blir de bedt om å laste ned ny antivirusprogramvare.

«Noen ganger blir man gledelig overrasket. Ihla Grande i Brasil var en slik overraskelse», heter det i artikkelen på VG Nett. For leserne er det trolig en enda større overraskelse at nettsiden er hacket, og brukes til å spre ondsinnet virus.

Hackingen ble oppdaget av det norske IT-sikkerhetsselskapet Watchcom, som har utviklet tjenesten GreyWolf for å avdekke om nettsteder er infisert. Tidligere har de avdekket at blant annet nettsider til Regjeringen.no var under kontroll av utenlandske kriminelle.

–Leseren lures på denne måten til å laste ned skadelig spionvare som av antivirusselskapene er klassifisert som en trojan, sier senior sikkerhetskonsulent i Watchcom, Preben Nyløkken. Han peker på at det så langt bare er to av antivirusprogrammene som kjenner til denne trojaneren, og dermed kan varsle brukerne.

«Det er dumt at vi gjør en slik feil, og vi rettet opp dette med en gang vi ble advart. Dette er likevel en liten sak» Audun Ytterdal, Driftsjef i VG Nett

Økende svindel på nettsamfunn

Avansert spionvare.

En leser som havner på reisesiden i VG og som svarer ja varselet, får dermed lastet ned den nye trojaneren «Antivirus2009». Dette er en avansert form for spionvare, som gir de kriminelle tilgang til informasjon på PC-en din. Spionvaren er så ny, at det foreløpig bare er to av de store antivirusprogrammene som kjenner til nettopp denne trojaneren og varsler sine brukere om faren, nemlig Panda og Microsoft. Nå kommer imidlertid trolig alle de store programmene legge inn advarsel mot viruset.

Selv om trojaneren er ny, er det en gammel og velkjent teknikk som er brukt til å hacke Norges største nettsted. Watchcom oppdaget hackingen på sitt operasjonssenter i ettermiddag, og varslet da VG.

– Dette er mulig ettersom VGs nettsider er sårbare for en angrepsteknikk som kalles SQL-injection. Det innebærer at hackerne har tilgang inn i minst én av VGs underliggende databaser. Denne sårbarheten anvendes til å sende besøkende videre til ønskede svindelsider – i dette tilfellet en side som infiserer PC-en ved å varsle om at PC-en angivelig allerede er infisert, sier Fred Habberstad, direktør i Watchcom. Selskapets søk viser at Google har mer enn 900 pekere til svindelsiden, hvor det egentlig skulle ha vært mulig å lese om reiser med tilhørende reiseskildringer fra leserne.

Beklager

VG beklager at en nettside ble hacket av datakriminelle. –Dumt at det skjer, men ingen stor sak, hevder VG.

- Det er dumt at vi gjør en slik feil, og vi rettet opp dette med en gang vi ble advart. Dette er likevel en liten sak, sier driftssjef i VG Nett Audun Ytterdal til Aftenposten.no.

VG ble i ettermiddag varslet om sårbarheten, og sørget derfor umiddelbart for å stoppe siden.

- Det som har skjedd, er at noen har lagt inn koder som gjør at andre blir sendt til denne adressen, og deretter videresendt til andre steder. Men dette er noe som ikke skal skje, sier Ytterdal.

- Hvordan kan du si at det er en liten sak at en nettside hos VG er blitt hacket?

- Den eneste måten å komme inn på denne siden, er å gå via Google og andre søkemotorer, og søke på spesielle ord. Du blir ikke linket direkte via VGs sider, sier Ytterdal.

VG utestenger TV 2-ansatte

Via Google

Om lag 10 prosent av nettrafikken til for eksempel VG, går via søkemotorene. De nettkriminelle har utnyttet sårbarheten til nettopp VG, siden de vet at norske nettbrukere anser VG som en seriøs nettside. Etter at VG rettet feilen i ettermiddag, opplevde Aftenposten likevel ved to anledninger virusangrep etter å ha klikket på den infiserte nettsiden i «hurtigbuffer». Ved å søke på for eksempel «VG, reise*, Chicago og select», ble Aftenposten først sendt til VGs reiseside, før vi ble videresendt til de kriminelles nettside. Deretter fikk vi opp en falsk melding fra «Windows Security Center», som ba oss laste ned antivirus. På nettsiden står det at siden er «lest og godkjent av VG Nett, slik at det oppfyller krav i Vær Varsom-plakaten og redaktøransvaret, mens språk, rettskrivning og grammatikk ikke nødvendigvis er korrigert og rettet». - Dette viser at vi har vært sårbare. Det er nok grunn til å frykte at det kan være flere av disse feilene. Det er dårlig programmeringsskikk å la dette skje. Vi har brukt et innleid konsulentselskap, og de har fått klar beskjed om at dette liker vi dårlig. Dette burde de har oppdaget. På den andre siden kunne konsekvensene av dette vært mye, mye verre, sier Ytterdal. Nettsiden hadde i går 313 treff, men de fleste treffene var fra Google.

Ytterligere problemer

Også senere på kvelden tirsdag hadde VG Nett problemer med siden. Men det hadde ingenting å gjøre med problemene tidligere på kvelden. - Vi har problemer med en bug i publiseringsverktøyet, men vi jobber med å få ordnet dette nå. Problemet er urelatert til det som skjedde tidligere i dag, sier Ytterdal til Aftenposten.no klokken 21.30 tirsdag kveld. Han regner med at VG Netts lesere får tilgang til siden i løpet av kort tid.

Les også: