Í gögnum sem Fréttablaðið hefur séð kemur bersýnilega fram hversu margbrotin tilraun hakkaranna var. IP-tala þeirra, sem hýst er í Amsterdam í Hollandi og er að líkindum varin af VPN-sýndarneti og Proxy-vefseli, heimsótti vefsíðu lögreglunnar fyrst klukkan 20.53 sunnudaginn 30. september. Tæplega viku seinna barst fjölda fólks svikapóstur um boðun í skýrslutöku. Til að nálgast frekari gögn var vísað á eftirmynd af síðu lögreglunnar þar sem fólk var beðið um að skrá sig inn og hala niður þjappaðri skrá sem innihalda átti gögnin.
Í skránni var að finna spilliforrit sem innihélt kóða úr öðru forriti sem veitir öðrum aðila fjaraðgang að tölvu viðkomandi. Hugbúnaðurinn er yfirleitt kallaður REMCOS (e. remote control and surveillance software). Spilliforritið innihélt einnig kóða sem safnar saman upplýsingum um það sem slegið er inn á lyklaborði viðkomandi. Þessum upplýsingum er safnað saman og hlaðið upp á netþjóna í Þýskalandi og Hollandi. Ljóst er að atlagan beindist fyrst og fremst að notendum Windows-stýrikerfisins.
Einnig blasir við að hakkararnir höfðu aðgang að þjóðskrá þar sem ekki var hægt að slá inn ranga kennitölu á svikavefnum.
Sama dag og IP-tala hakkaranna heimsótti vef lögreglunnar fyrst, 30. september, var lénið logregian.is stofnað með kennitölu íslenskrar konu, Thelmu Daggar Guðmundsen. Thelma Dögg greindi frá því í samtali við Fréttablaðið 7. október að tölvurþrjótar hefðu tvívegis brotist inn á heimasíðu hennar. Þeir breyttu notandanafni hennar í „Skugga sál“ en það er einmitt nafnið á þremur tengingum óværunnar við netþjóna í Þýskalandi og Hollandi; the.shadesoul.online; iam.shadesoul.online og heis.shadesoul.online.
Á þeirri viku sem leið frá fyrstu heimsókn hakkaranna á vefsíðu lögreglunnar og þangað til að fyrsta IP-talan opnaði svikapóstinn gerðu þrjótarnir ítarlega úttekt á vefsvæðinu. 1. október var vefsíðan skoðuð og útlit hennar og svikasíðunnar samræmt. Næstu daga fóru fram frekari prófanir, bæði í gegnum hollensku IP-töluna og IP-tölu í gegnum íslenskar VPN- og proxy-þjónustur.
Athygli vekur að stuttu áður en svikapósturinn var sendur á póstlistann var IP-tala hakkaranna notuð til að opna PDF-skjal á vef lögreglunnar. Það skjal ber heitið „Tölvu- og netglæpir 2016“. Þessi skýrsla frá greiningardeild Ríkislögreglustjóra fjallar um helstu ógnir á sviði tölvu- og netglæpa. Í skýrslunni er að finna skilgreiningu á þessari aðferð hakkaranna: „Á síðastliðnum árum hafa háþróaðar tölvuárásir í mörgum tilvikum byggt á vefveiðum (e. spear phishing) en þær eru ákveðin tegund svika á netinu þar sem einhver reynir að fá notendur til að gefa upp viðkvæmar upplýsingar á borð við aðgangsorð eða kreditkortaupplýsingar. Vefveiðar fara oft fram í gegnum tölvupóst, auglýsingar eða önnur samskipti.“
Tæknifyrirtækið Netheimur hýsir vef lögreglunnar. Fyrirtækið var beðið um að kanna umferð um vefinn í aðdraganda svikasendingarinnar. „Við sáum fljótt að þarna var óeðlileg hegðun hjá þessari IP-tölu,“ segir Guðmundur Ingi Hjartarson, framkvæmdastjóri Netheims. „Og af því að þeir voru ekki að hylja slóð sína nógu vel þá var hægt að rekja þessa umferð.“
Netveiðar og óværur eru hluti af internetinu og verða það í fyrirsjáanlegri framtíð. Því ríður á að fólk sé ávallt á varðbergi, að mati Guðmundar. Athuga þurfi lén áður en smellt er á hlekki. Þá sé sérstaklega mikilvægt að hugsa sig tvisvar um áður en maður er beðinn um að samþykkja eitthvað eða hala einhverju niður, eins og í tilfelli svikapóstsins. Guðmundur telur að óværan hefði getað náð til miklu fleiri einstaklinga hefði lögregla ekki varað við svikapóstinum. Það hjálpaði til að netþrjótarnir völdu afar slæma tímasetningu fyrir sendingu skilaboðanna. Líklega hefðu mál þróast með öðrum hætti hefðu skilaboðin borist á virkum degi.
„Þeir sem hafa sýkst verða að skipta um lykilorð og uppfæra vélarnar sínar, vera með öryggis- og vírusvarnir í lagi,“ segir Guðmundur og vísar til hugbúnaðar á borð við Sophos sem veitir vörn gegn óværum eins og þeim sem komu með svikapóstinum.