Fire udvalgte domæner får særlig sikring mod NemID-phishing

30. marts 2017 kl. 15:0914
Nets har sat DMARC-beskyttelse op i forhold til udvalgte domæner for at sikre mod NemID-phishing.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

"Goddag Sir/Madam. Da der er mistanke om misbrug bedes du sende kopi af dit NemID-nøglekort, ellers vil det blive lukket inden for 24 timer. Med venlig hilsen, Nets kundesupport." (sendt fra kundesupport@nets.eu)

Sådan kunne et teoretisk eksempel på en svindelmail lyde i et forsøg på at franarre folk deres NemID-information.

Udover, at man selvfølgeligt aldrig skal sende en kopi af sit nøglekort til nogen, så kan det måske være svært at gennemskue, hvornår der er tale om legitim kommunikation, og hvornår det er fup og fidus. Særligt når afsenderadressen ser ud til at være god nok.

For at undgå, at den slags mail-svindel virker for troværdige i relation til, hvilke domæner de bliver sendt fra, er Nets ved at få de sidste ting på plads i forhold til særlig mail-sikring i relation til fire specifikke domæner.

Artiklen fortsætter efter annoncen

Nets har således implementeret DMARC-teknologi, som blandt andet kan forhindre, at svindlere kan sende fra en afsenderadresse, der relaterer sig til domænet nets.eu. Altså eksempelvis kundesupport@nets.eu

»Vi vil benytte DMARC-teknologien i relation til de domæner, som vi bruger i NemID. Og der har vi forskellige domæner, som er relevante, som vi har lagt ind i løsningen,« fortæller senior business manager John Christensen hos Nets.

Overvågning skal vise om det fungerer

I første omgang er det domænerne nemid.nu, danid.dk, nets.eu og nemid.nets.eu, der har fået DMARC-beskyttelse.

John Christensen fortæller, at domænerne er NemID-relevante, og at Nets bruger dem aktivt i forbindelse med kommunikation.

Foreløbigt kører de fire domæner DMARC i en overvågningstilstand, så Nets kan se, at tingene fungerer som de skal, og at de rigtige mails - altså svindelmails - bliver afvist, inden de havner i brugernes indbakker.

Fakta DMARC

DMARC står for Domain-based Message Authentication, Reporting and Conformance og er et system til validering af mails. DMARC indeholder forskellige mekanismer i den forbindelse, der blandt andet gør det muligt at styre, hvornår indholdet af det FROM-felt, der er synligt i klientens mail-program, skal anses som værende gyldigt.

Hvis modtagerens e-mailserver er sat op til at understøtte DMARC, så kan ejeren af domænet styre, om en mail, der ser ud til at være sendt fra en ugyldig afsender, skal slettes, sættes i karantære eller om domæneejeren blot skal notificeres. Store udbydere som Gmail og Hotmail understøtter DMARC og kan altså stoppe disse forfalskede mails.Kilde: Wikipedia

»På domænerne kører vi det, der kaldes monitorerings-mode. Det vil sige, at vi kigger på, hvad for noget trafik, der kommer igennem, og hvad er vores pass-rate, hvis det var, vi havde været i rigtig produktion. Det er simpelthen for at få viden om, at det er de rigtige mails, der bliver smidt væk, men også om, at det er de rigtige mails, der i givet fald kommer igennem.«

I forhold til, hvorfor Nets er gået i gang med DMARC på de bemeldte domæner, så henviser John Christensen til, at der har været gode erfaringer med teknologien fra den danske banksektor og fra udlandet.

Som Version2 i går kunne fortælle med afsæt i en udmelding fra Finans Danmark, så fortalte de britiske skattemyndigheder i november sidste år, at de på daværende tidspunkt have stoppet 300 mio. spammails i 2016 via DMARC.

John Christensen forventer inden sommerferien, at Nets går i fuld drift med DMARC på de fire domæner, så mails bliver smidt væk, hvis de er ugyldige, mens legitim kommunikation når frem.

»Der er nogle indkøringsting, vi skal have styr på, og vi skal have organisationen bygget op omkring det, så vi hele tiden vedligeholder løsningen og holder øje med den. Det er vi i gang med nu,« siger han.

14 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
14
14. juni 2017 kl. 10:48

Så kom man i mål med nemid.nu domænet ! Nu med en DMARC reject policy

13
6. april 2017 kl. 13:27

Mikkel Bundgaard, det er ikke helt korrekt. SPF sikrer MAIL FROM: på SMTP niveau. Kigger ikke på det der kommer efter DATA kommandoen.

DMARC sikrer at den synlige RFC-822 From: header ikke er fra et andet domæne.

DMARC gør dette ved at validere enten en DKIM signatur (som sikrer uændret indhold af bestemte felter), eller ved at matche RFC-822 From op mod SPF. Så hvis det synlige from matcher DKIM eller SPF, så er DMARC glad.

Så DMARC giver ingen garanti for uændret mail. Det gør DKIM heller ikke nødvendigvis, da der ikke er krav om en body hash..

Her er en DKIM signatur fra O365. De har bh = Body Hash med. Så de sikrer mod ændring efter mailen forlader deres sky, men den kan ændres inden den forlader O365. Og b er selve signaturen. DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=???.dk; s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version; bh=ky56....aSLOK/3BnskA7VEE=; b=KMK...Gfb8=

12
31. marts 2017 kl. 23:07

SPF sikrer at from: @domain.tld ikke konflikter. Dvs at afsender domænet tillader SMTP serveren som afsender på vegne ad @domain.tld

Dmarc sikrer indhold ikke er ændret undervejs.

https://en.m.wikipedia.org/wiki/Sender_Policy_Framework

Og lidt overrasket over det ikke er implementeret tidligere. Jeg er forstående at det komplekst, da mange organisationer typisk ikke har tilstrækkelig kontrol hvor mails afsendes fra. Men vi er i 2017, så de burde have haft nogle år til at implementere det.

11
31. marts 2017 kl. 22:58

Det var jo præcist det man bad om, tak for det :)

9
30. marts 2017 kl. 22:07

Super at Nets endelig tager det seriøst.

Utroligt at det først sker efter så mange år. Henrik og jeg har ellers spurgt dem løbende i mange år...

8
30. marts 2017 kl. 22:03

Lidt off-topic, men du skulle tilfældigvis ikke have samlet en liste over store spillere som pt. ikke har DMARC?

6
30. marts 2017 kl. 20:50

Jeg kan ikke lade være med at bemærke, at DMARC omtales som "særlig beskyttelse" - nej, det burde være standard.. kom nu ind i kampen :)

Positivt er det trods alt at de nu endeligt får fingeren ud.. så mangler vi bare alle de andre :)

5
30. marts 2017 kl. 18:14

Nej en SPF record alene forhindrer ikke misbrug, der skal en DMARC record med for at få mailbox udbyderne til at tage tingene alvorligt. Og en vigtig detalje, SPF har ingen relation til hvad der står i det synlige From: felt.

4
30. marts 2017 kl. 17:56

Hvorfor ikke tage nogle af de NETS ejede parkerede domæner med ?

Man kan vel kun implementere fuld DMARC hvis der faktisk bliver sendt emails fra et domæne. Hvis man ikke sender emails, så er det vel nok at markere dette med en SPF-record.

Jeg kan se at der er SPF-records på nogle af de nævnte domæner, men ikke alle.

2
30. marts 2017 kl. 16:48

Er de ude på at forvirre folk siden de har behov for hele 4!

Det smarteste er da af sende e-maile fra nemid.dk, også bare skrive af e-maile ikke kan besvares, det står i forvejen i mange helt rigtige e-mail helt uden snyd

1
30. marts 2017 kl. 16:16

Hvorfor ikke tage nogle af de NETS ejede parkerede domæner med ? Flere af de her domæner er da fine til phishing, og er pt. til fri afbenyttelse.

automatiskkortbetaling.dk brukerstedsportalen.dk bs-kortbetaling.dk bskortbetaling.dk medarbejdersignatur.dk mobil-betaling.dk mobilepayment.dk nets.dk

Bortset fra det, super at NETS endelig kommer igang med DMARC