Polisen varnar användare av Crime as a Service-tjänster - överbelastningsattacker är kriminella

Polisen i Finland har, som en del av en gemensam internationell PowerOFF-operation för judiciella myndigheter, tagit ur bruk webbplatser som erbjuder olagliga booter- och stressertjänster. Detta berör även hundratals användare i Finland.

Operationen PowerOFF riktar sig mot kriminella verktyg som är tillgängliga på det allmänna internet. I den gemensamma internationella operationen som inleddes 2018 beslagtar och stänger judiciella myndigheter runtom världen webbplatser som erbjuder brott som köpta tjänster (Crime-as-a-Service) och riktar brottsutredning och förebyggande åtgärder mot dem som administrerar och använder tjänsterna. Verksamheten leds av Federala utredningsbyrån FBI och samordnas av Europol i Europa.

I de två första faserna av operationen tog utländska myndigheter i beslag sammanlagt 63 av de webbplatser som anses som världens största leverantörer av bootertjänster. Booters är tjänster för belastningstestning som finns på internet och används för att göra överbelastningsattacker. Bland de tjänster som tagits ur bruk fanns bland annat Ipstresser, Stresserapp och Bootyou. Beslagen har utomlands lett till brottsutredning och administratörer för webbplatserna har åtalats. Bland dem som registrerat sig i tjänsterna som omfattas av den internationella polisoperationen finns även hundratals användare från Finland.

Riktat varningsmeddelande till användare

Som en del av operationen kontaktar de judiciella myndigheterna i deltagarländerna användare av de stängda tjänsterna med riktade varningsmeddelanden, såsom e-post eller brev. Centralkriminalpolisen kontaktar per e-post användare av tjänsterna som registrerat sig i Finland. I varningsmeddelandet skriver polisen att personen registrerat sig på en webbplats som tillhandahåller olagliga tjänster och som tagits i beslag av polisen. Användarna varnas för att webbplatsen är olaglig samt uppmanas sluta använda tjänsten och ta bort data och program som laddats till användarens enheter för ändamålet. 

Genom riktade kontakter vill polisen på ett förebyggande sätt påminna dem som använder webbplatserna att det är olagligt att använda booter- och stressertjänster. Booter- och stresserwebbplatser kan påstå att de säljer produkter som lämpar sig för att testa informationssäkerhet. I verkligheten erbjuder tjänsterna dock olagliga verktyg som gör det möjligt att utföra överbelastningsattacker varifrån och vart i världen som helst. 

– I attackerna utnyttjar bootertjänsterna olagligt beslagtagna nätverksenheter som kapats och gjorts tillgängliga för brottslingar genom dataintrång. Personen som använder tjänsten kan inte nödvändigtvis själv heller på förhand vara säker om attackens verkliga konsekvenser, och de verkliga skadorna som attacken orsakar kan vara en överraskning också för den som utför attacken, säger Mikko Rauhamaa vid Centralkriminalpolisen.

Att utföra en överbelastningsattack är ett brott

Polisen tar cyberbrottslighet på allvar. Det är straffbart enligt strafflagen att utföra en överbelastningsattack, och gärningen kan ha långtgående konsekvenser såväl för den som utför attacken som attackens offer. Brottsrubriceringar som kan komma i fråga är till exempel systemstörning eller störande av post- och teletrafik. 

– Överbelastningsattacker ses ofta som något harmlösa, liksom en digital trafikstockning. Som värst kan överbelastningsattacker dock orsaka allvarlig skada för individer eller företag, och de kan till och med inverka på verksamheten vid funktioner som är kritiska för hela samhället, till exempel nödcentralen, säger Rauhamaa.

Överbelastningsattacker orsakar huvudbry för organisationer. Det kräver ofta omfattande och dyra skyddsåtgärder för att avvärja cyberattacker, och att återställa en webbtjänst som kraschat på grund av en attack till normalläget kan kräva mycket tid och resurser. För konsumenter kan överbelastningsattackerna få sitt uttryck i att dagliga tjänster, såsom internetbanken eller butikens betalterminaler, inte fungerar. Användningen av bootertjänster är beklagligt vanligt i synnerhet bland unga, och överbelastningsattacker på spelplattformar är ofta de ungas första kontakt med cyberbrott. Polisen påminner om att det också är ett brott om brottet begås med ett automatiserat verktyg. 

De som kontaktats per e-post misstänks för närvarande inte för brott och meddelandet förutsätter inga åtgärder av mottagaren. De som fått ett meddelande kan vid behov kontakta Centralkriminalpolisen per e-post på poweroff.krp@poliisi.fi för att få mer information.