Antispam-våbnet SPF begrænser dansk PBS-phishing

Tirsdagens phishing-angreb, hvor PBS blev forfalsket som afsender, ser ud til at være blokeret mange steder takket være antispam-teknologien Sender Policy Framework, SPF, vurderer sikkerhedsfirmaet CSIS.

Tirsdag morgen modtog mange danskere en e-mail, som så ud til at stamme fra PBS. Men heldigvis ser det ud til, at mailen også er blevet stoppet af mange spamfiltre takket være antispam-teknologien Sender Policy Framework, SPF.

**Læs også: **Pas på: Overbevisende fupmail fra 'PBS' vil stjæle dine kortoplysninger.

»Heldigvis bliver det stoppet af spamfiltrene hos mange virksomheder, fordi PBS har implementeret SPF på deres mailserver. Det er rigtig godt,« siger sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS til Version2.

SPF indebærer, at indehaveren af et domæne, i dette tilfælde 'pbs.dk', kan specificere i internettets navnesystem, DNS, hvilke servere der har lov til at afsende e-mails med pbs.dk i afsenderadressen.

Det er op til modtageren at implementere SPF ved at kontrollere, at en e-mail er afsendt fra en server, som er godkendt i forhold til SPF. E-mailprotokollen gør det muligt at angive en vilkårlig e-mailadresse som afsender, men med SPF kan man forhindre såkaldt spoofing ved at kontrollere, om afsenderserveren har lov til at bruge adressen.

CSIS oplyser, at det er muligt at få adgang til at se, hvilke IP-adresser der har besøgt den side, hvor kreditkortoplysningerne bliver sendt til, hvis modtageren udfylder den webformular, som er vedhæftet til phishing-mailen.

»Det er lidt over 100. Det er ikke voldsomt. Angrebet er også ret friskt, og mailen kan ligge, til folk kommer hjem fra arbejdet. Vi kommer til at se, hvor mange der bliver ramt op af dagen,« siger Peter Kruse.

Siden, som bruges i angrebet, er hostet hos internetfirmaet Yahoo, som nu er kontaktet for at få lukket den danske phishing-side. Ifølge CSIS ser angrebet i øvrigt ud til at være udført af den samme bande, som stod bag et næsten identisk phishing-forsøg sidste år.

»Det er 100 procent sikkert den samme bande. Det er helt de samme digitale fingeraftryk, og de brugte også Yahoo,« siger Peter Kruse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kjeld Flarup Christensen

Det er nok ikke helt problemfrit

Fra http://wiki.larsendata.dk/index.php/SPF "Mailforwards er I potentiel fare. "

Dertil kommer en del mailing lister som videresender mails med den originale afsender. Invitationer fra f.eks. Linked in sendes også på den måde.

Endnu værre bliver det med mere generelle domæner som deles af tusindvis af brugere. Her kan de pludselig ikke længere bruge en hvilken som helst SMTP server for udgående mail.

Men mange firmaer bør kunne bruge dette. Specielt de kendte bør gøre dette fordi de nyder en vis anseelse og derfor ofte udnyttes.

  • 0
  • 0
Jesper Lund

Denne gang har phisherne åbenbart sendt emails med afsenderadressen somebody@pbs.dk, hvilket et SPF check kunne have fanget (og har gjort det nogle steder).

Men de kunne lige så godt have valgt en anden adresse, og skrevet "PBS International" i afsendernavnet. Mange mail klienter viser kun navnet, ikke adressen. Meningen er ikke at der skal svares på mailen.

Hvis de kan narre folk til at gå til en falsk PBS side, kan de nok også narre dem til at tro at mail'en er fra PBS selv om domænet ikke er pbs.dk. Og SPF checker vist kun RCPT FROM domænet (?), så i princippet kunne der stadig stå pbs.dk i FROM headeren,

SPF er heller ikke ment som en erstatning for digital signering af emails, hvilket reelt er det som folk efterspørger når de siger "er denne mail virkelig fra PBS?". Men så vidt jeg ved sender PBS slet ikke emails til bankernes kunder, så det er lidt omsondt at bede PBS signere deres emails (når der ikke er nogen).

Forsvaret mod phishing er nok snarere sund fornuft end automatiske løsninger.

  • 0
  • 0
Martin Bøgelund

SPF er ikke tænkt som en komplet sikkerhedsløsning mod phishing.

SPF er tænkt som et enkelt tandhjul i et større sikkerhedsapparat - et sikkerhedsapparat hvor flere andre tandhjul stadig mangler.

SPF gør det det gør og er lavet til at gøre, og gør det godt. Og derfor har det i den aktuelle situation sendt en phishing-mail lige lukt i adskillige spam-foldere.

Hvis vi forventer at en enkelt sikkerhedskomponent kan klare hele sikkerheden selv og på én gang, får vi aldrig rigtig sikkerhed.

"Jeg har ikke brug for færdelsregler, airbag, ESP, ABS, nakkestøtter, deformerbare ratstammer, energiabsorberende karrosserizoner, osv. Jeg bruger nemlig sikkerhedssele!"

... Nej, vel?

Derfor er det ikke rimeligt at evaluere SPF på kriterier som SPF slet ikke er lavet til at opfylde.

  • 0
  • 0
Kristian Christensen

Jeg ville være tilfreds med enten et plugin til mailprogrammer som thunderbird eller måske til mailservere der automatisk flagger mails der ikke har samme afsender i FROM feltet som der står som originating sender. Det alene kunne tagge rigtigt meget spam. Jeg får 5-6 WoW Cataclysm beta invites der alle kommer fra kina. Den bruger også SPF men det kræver også at alle implementerer det.

  • 0
  • 0
Log ind eller Opret konto for at kommentere