Skip to content

Fällande dom i dataintrångsmål - tonåring slog ut Nordeas och Swedbanks hemsidor

Foto: Thomas Winje Øijord/NTB/TT

En 18-årig man har dömts för överbelastningattacker mot Swedbanks och Nordeas hemsidor för två år sedan. Han fastnade i ett tillslag med brittisk polis som i somras kunde hjälpa svensk polis med bevis mot honom.

 

Det var efter att den brittiska polisen gjort ett tillslag mot den överbelastningsapplikation som användes i attackerna som man i somras fick fram fällande bevisning mot den 18-åring som hösten 2015 slagit ut Swedbanks och Nordeas hemsidor. Även svensk polis kunde beslagta utrustning vid en husrannsakan hos honom.

På så sätt kunde man efter lång tid knyta hans aktiviteter till hemsidan för överbelastningsapplikationen som fanns i Storbritannien samt till de attacker som beställts där. Polisen hittade även chattkonversationer där han bland annat uppgav att han höll på att ”ddosa Nordea”.

Villkorlig dom
Hösten 2015 var mannen 16 år och visade ett stort intresse för så kallade "överbelastningsapplikationer". I oktober och november riktade han fyra attacker mot Swedbanks och Nordeas hemsidor som bland annat hindrade kunder från att logga in.

Skadorna ska enligt bankerna ha uppgått till flera hundratusen kronor och även drabbat andra sparbanker som är kopplade till storbankerna. Tingsrätten anser att det är ställt bortom rimligt tvivel att 18-åringen har utfört attackerna och dömer honom till villkorlig dom och samhällstjänst.

Oberoende kopplingar
Tingsrätten konstaterar att det finns ett flertal oberoende kopplingar till 18-åringen i olika applikationer och loggar, både i hans dator och i hans mobil.

Utredningen visar också att 18-åringen har haft ett stort intresse för just överbelastningsattacker. Bevisningen talar enligt domstolen för att han haft uppsåt och ett uttalat syfte att ”ta ned hemsidorna”.

Okända personer
Enligt tingsrätten är han sannolikt ensam ansvarig men han kan också ha tagit hjälp av andra. Han döms därför för att ha utfört attackerna "tillsammans och i samförstånd med okända personer".

Störningarnas omfattning och de kostnader de resulterat i gör att dataintrången ska bedömas som grova. Straffminimum för grovt dataintrång är sex månaders fängelse, men eftersom 18-åringen bara var 16 år vid gärningstillfället bestäms påföljden till villkorlig dom med 140 timmars samhällstjänst.

 

  • Alt-texten
    Isak Bellman

Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt

8 comments

Märkligt att detta rubriceras som dataintrång eftersom man faktiskt inte skaffat sig åtkomst till offren. Jag hade förväntat mig något mer i stil med egenmäktigt förfarande.

Brottsbalken 4 kap 9 c § lyder som följer:

"Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.

Är brottet grovt, döms för grovt dataintrång till fängelse i lägst sex månader och högst sex år. Vid bedömande av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art. Lag (2014:302)."

Jag tycker det är rätt tydligt att gärningen faller in under bestämmelsen även om han inte fått någon faktiskt åtkomst till några uppgifter.

Ska medge att jag bara tittade i wikipedia, där de inte har med biten om att allvarligt störa eller hindra användningen. Med hela lagtexten blir det uppenbart dataintrång.

Nåja, dagens lärdom för undertecknad är att inte lita på wikipedia utan att kolla källorna direkt.

Tror vi alla har gjort den missen någon gång, so don't beat yourself up. :)

Jag skulle (utan att ha läst förarbetena, ska erkännas) tro att "genom någon annan liknande åtgärd allvarligt stör eller hindrar" i lagtexten syftar på att faktiskt ta sig in i ett system och förstöra det.

Man döms väl inte för dataintrång om man exempelvis blockerar en telefonväxel med samtal (var ett sådant fall uppe för ett tag sedan) - något som är precis samma sak som gjorts här. Jag tvivlar på att det är lagstiftarens avsikt att olika rubriceringar ska gälla beroende på om trafiken kommer över PSTN, SIP eller HTTP.

I en dom i Finland nyligen dömdes för övrigt den tilltalade enbart för dataintrång i datorerna som utförde själva attacken (något som inte är relevant här eftersom han inte hackade dem själv) och för något annat (sabotage?) mot själva DDoS-offret.

Efter att ha läst FUPen i det här målet kan jag för övrigt konstatera att de IT-ansvariga på bankerna verkar totalt inkompetenta och helt oförberedda på ens en sådan här trivial attack. En av dem hade t o m så bristfälligt samarbete med sin Internetleverantör att de fick hela linan nerstängd under attacken. Sådant händer annars mest enskilda hemanvändare...
Valfri billig chat/spel-servertjänst har avsevärt mycket bättre DDoS-skydd och skulle klarat attacken galant. Varför samhällsviktiga tjänster är sämre än detta får någon gärna svara på...

Ovanstående är faktiskt intressant. Har han begått något egentligt dataintrång?

DDoS är att generera protokollmässigt legitim webbtrafik mot en specifik server i sådan skala att servern inte hinner med i tempot, men det är inte att penetrera samma server, dvs att tillskansa sig access till dess operativsystem, applikationer eller data. En analog liknelse är att ett gäng människor bestämmer sig för att ställa sig i kö utanför en butik i syfte att hindra legitima kunder att utföra sina ärenden då de inte orkar stå i kön. Men det är ju inte samma sak som inbrott.

"Hösten 2015 var mannen 16 år"
I andra sammanhang skulle en jämnårig person beskrivas som "ett utsatt barn som flyr från krig och förtryck" och hur kommer det sig att DJ helt plötsligt beskriver en person som per definition är ett barn,som "mannen" ?
Jag värjer mig (förgäves ) mot tanken att DJ har olika måttstockar för människors värde.

Skriv ny kommentar

Innehållet i detta fält är privat och kommer inte att visas publikt.