Bankbranche vil have fut på DMARC-udbredelse i Danmark

Finans Danmark mener, DMARC er den rigtige vej at gå, hvis der skal dæmmes op for problemet med phishing.

Der er godt gang i phishing-angrebene, ikke mindst i forhold til danske netbanker, det viser tal fra bankernes interesseorganisationer Finans Danmark. Men nu peger organisationen på en hel specifik teknologi, som kan dæmme op for problemet, og som Finans Danmark mener, bør implementeres over en bred kam i Danmark - altså også uden for banksektoren.

»Kigger man på tværs af al mulig cyberkriminalitet, så er kilden meget ofte enten mail eller sms. Og hvis man kan få gjort noget ved disse angrebsvektorer, så ville det gøre, at der ville være færre af disse skadelige ting i omløb ude i virkeligheden,« siger digitaliseringsdirektør i Finans Danmark Michael Busk Jepsen og fortsætter:

»Vi siger: Skulle vi ikke prøve at have en national ambition om at reducere dette her? Og i det billede, der ser vi DMARC som et godt værktøj lige nu.«

Wikipedia kan fortælle, at DMARC står for Domain-based Message Authentication, Reporting and Conformance og er et system til validering af mails. DMARC indeholder forskellige mekanismer i den forbindelse, der blandt andet gør det muligt at styre, hvornår indholdet af det FROM-felt, der er synligt i klientens mail-program, skal anses som værende gyldigt.

Så hvis DMARC er sat op til det, så kan svindelmails, der eksempelvis foregiver at komme fra tilfældigtnavn@danskebank.dk stoppes inden de dukker op i modtagerens indbakke. Netop Danske Bank er kommet langt i implementeringen af DMARC, oplyser Michael Busk Jepsen.

Læs også: DMARC advarer dig både mod phishing og glemte mailservere

Flere andre banker ifølge Michael Busk Jepsen være godt i gang med teknologien.

»Nu er vores medlemmer kommet relativt langt med det, og erfaringerne er, at det er noget, som ikke behøver at være komplekst eller enormt dyrt.«

Derudover peger han på, at der har været flere DMARC-tiltag i England, og at erfaringerne her foreløbigt lader til at have været gode. Han fremhæver i den forbindelse den britiske skattemyndighed Her Majesty's Revenue and Customs (HMRC).

Her har cybersikkerhedschef Ed Tucker i et blogindlæg fra november fortalt, hvordan mængden af phishing-mails skulle være blevet reduceret med 300 millioner sidste år på daværende tidspunkt via brugen af DMARC.

En skæringsdato

Et andet eksempel fra England, som Michael Busk Jepsen nævner, er et tiltag fra Government Digital Service (GDS). Version2 har flere gange tidligere omtalt GDS's arbejde med at få den britiske digitaliserings på skinner. I forhold til DMARC, så gik GDS i juni ud med et krav om, at myndigheder, der kører en tjeneste på service.gov.uk skal have implementeret DMARC fra 1. oktober 2016.

»Man har sat en dato for en række services, og det synes vi, man skal lade sig inspirere af i Danmark. Når man kigger ud på vores egen medlemsskare, så kan vi se, at man over hele linjen arbejder seriøst med DMARC.«

Michael Busk Jepsen mener, det vil være en god idé generelt med DMARC i relation til store digitale tjenester herhjemme, og altså ikke kun i forhold til den finansbranche, han selv repræsenterer.

»Hvis vi kan beskytte alle de domæner, der har meget borgerkontakt, så kan vi måske få de kriminelle til at gå helt uden om Danmark på en god dag,« siger han.

I den forbindelse peger Michael Busk Jepsen desuden på, at det også er et spørgsmål om, at en kæde ikke er stærkere end det svageste led. Forstået på den måde, at hvis et enkel stor tjeneste ikke er sikret med DMARC, så kan den jo bruges til at fiske NemID-informationer op ad lommen på en borger, der kan give adgang til en anden tjeneste - eksempelvis en netbank - der faktisk har sikret sig via DMARC.

Udover et fokus på mail-phishing, så efterlyser Michael Busk Jepsen også tiltag, der kan bekæmpe phishing via SMS (smishing), som også er et problem.

»Hvis man på en eller anden måde kunne begrænse det via et stærkere samarbejde med telesektoren kunne begrænse det, så ville det være rigtigt positivt.«

Michael Busk Jepsen nævner i den forbindelse, at hvis 40.000 sms'er på vej ud i telenettet, som er helt enslydende og hævder at komme fra en officielt aktør, så kunne det jo indikere, at en større bølge er i gang.

»Så kunne vi jo hjælpe hinanden med at smide dem væk i stedet for at ekspedere dem videre til nogle slutbrugere, som kan blive truet,« siger han.

Finans Danmark giver i en pressemeddelelse udtryk for, at man bør overveje, om leverandører af samfundskritisk digital infrastruktur som udgangspunkt skal gå efter DMARC-beskyttelse. Og i den forbindelse peger Finans Danmark på, at man kunne starte med de offentlige myndigheder, der har megen digital borger- og virksomhedskontakt, og med de leverandører, der leverer denne infrastruktur.

Version2 forsøger at indhente en kommentar til DMARC-beskyttelse fra Digitaliseringsstyrelsen i relation til offentlige tjenester herhjemme. Vi forventer at vende tilbage med nyt i den forbindelse ved senere lejlighed.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin L. R.

Så er det bare en skam, at det det har taget så længe med at få det sparket i gang, når man tænker på hvor ekstremt simpelt det er at sætte op og administrere.

Det er måske derfor de pakker det ind under "eureka"-undskyldningen med at "vi har erfaret at det hverken er komplekst eller enormt dyrt" når det burde have været sat op for lang tid siden.

Jeg vil ikke mene at banker kan bruge undskyldningen om at det er for dyrt at sætte op i det her tilfælde :)

Desværre er der jo stadig rigtigt mange (store) aktørere som stadig ikke virker synderligt interesseret i at få det problem løst én gang for alle - måske fordi den svindel der bliver begået i deres navn ikke direkte berører deres pengetanke og de dermed ikke har den korrekte.. motivation :)

Så idéen om at lave en dato hvor det simpelthen bare skal være implementeret, lyder for mig som en god idé.
Det burde egentligt laves på globalt plan, selv om vi godt ved at det ikke ville kunne lade sig gøre. Men konsekvensen for dem som ikke er interesseret i at implementere det må jo så være at deres mails ikke længere når modtageren - hvis det var tilfældet ville du hurtigt se disse firmaer få fingeren ud :)

Henrik Schack

Desværre er der jo stadig rigtigt mange (store) aktørere som stadig ikke virker synderligt interesseret i at få det problem løst én gang for alle


Det er korrekt, lad os tage et aktuelt og ret alvorligt eksempel.
E-Boks blev for nogle uger siden misbrugt i forbindelse med et større ransomware angreb, og de har intet gjort hen i retning af at forhindre en gentagelse.

Hvorfor ikke ?
- Kender E-Boks ikke til DMARC teknologien ? Jo det gør de bestemt, jeg har ihvertfald gjort mit til at gøre dem opmærksom på eksistensen af DMARC siden 2013, men nogen shitstorm kan jeg ikke levere alene, det opfattes nok nærmere som en lille prut :-)
- En privatperson der henvender sig betragter de måske ikke som en troværdig kilde, det ville give mening, specielt kombineret med en totalt manglende evne til at følge op og tilegne sig ny viden på egen hånd, plus at praktisk talt ingen af de "officielle" danske sikkerhedsleverandører omtaler DMARC offentligt.
- Sidst men ikke mindst. Det understøtter vel ikke ligefrem E-Boks forretningsmodellen at fixe email?

Povl H. Pedersen

Det er ikke specielt svært.
Det største problem for mange er, at de lader 3die part ende mail fra firma.dk og man ikke helt har styr på det. Og 3die part der udsender mails, og har det som en del af sit levebrød, har sjældent styr på mails, herunder DMARC.

Lige siden vi indførte SPF løb vi ind i problemet. Specielt da SPF kun må lave 10 DNS opslag. Så vi har i mange år været nødt til at henvise 3die part til at sende mails fra bruger@3diepart.firma.dk - Med en Reply-To: til bruger@firma.dk - Og så har vi kunnet lave SPF'er til dem af dem der vidste hvad det var, og tvinge resten til at fremskaffe en, eller nogle IP ranges. Det tager tid, specielt skal forretningen lære at ting går i spam hvis de ikke har spurgt IT afdelingen.

At gå fra SPF til DMARC var næsten smertefrit. Alt med SPF fungerer. Så var det bare at få sat DKIM op som et ekstra lag. Det er trivielt i O365 og GMail. Udfordingen lå lige i, at uanset subdomain policy, så måtte vi lave politikker for underdomæner hvor der ikke helt er styr på, så der er programmer derude der ignorerer subdomain policy. Mailchimp og lignende services har DKIM, så de er trivielle.

DMARC reporting (altså køre i log mode) gør det let at finde dem der sender mails på vegne af dig, og kan være en stor hjælp til implementeringen. Her brugte vi DMARCIAN.

Den sværeste øvelse er at finde 3die part der sender mails på vegne af virksomheden.

Tror det tog under 30 dage her fra vi startede til at det var fuldt implementeret, og så lidt smårettelser efterfølgende. Men nu passer det sig selv. Men ind imellem er der en ny leverandør der lige skal forstå, at Reply-To: feltet er hvor svaret skal hen. Og From: er en display adresse.

Vi bruger cloud mail, har nyhedsbreve der udsendes af 3die part, og et utal af cloud systemer der sender mails på vegne af givne brugere.

Hans Jul

På leverandør siden som ESP (email service provider), oplever vi en stærkt stigende interesse for at bruge DMARC, og ikke kun fra velkendte brand navne på nettet. På vores dedikerede SMTP platform har vi tvungen brug af SPF og DKIM, da mail levering idag til de store free mails som Hotmail, Gmail osv, kun kan lade sig gøre i større omfang hvis disse certificeringer er på plads. DMARC er nu også ved at være et must hos free mails. DMARC er ukompliceret at indsætte i et domænes DNS, så de store sværdslag der beskrives fra de mest phishing befængte brands forekommer stærkt overdrevne. Vi glæder os over at vi nu har en tre-enighed med de tre certificerings metoder der beviseligt både optimerer mail levering og neutraliserer ondsindede phishing parasit emails i stort omfang.

Log ind eller Opret konto for at kommentere