Fire udvalgte domæner får særlig sikring mod NemID-phishing

Nets har sat DMARC-beskyttelse op i forhold til udvalgte domæner for at sikre mod NemID-phishing.

"Goddag Sir/Madam. Da der er mistanke om misbrug bedes du sende kopi af dit NemID-nøglekort, ellers vil det blive lukket inden for 24 timer. Med venlig hilsen, Nets kundesupport." (sendt fra kundesupport@nets.eu)

Sådan kunne et teoretisk eksempel på en svindelmail lyde i et forsøg på at franarre folk deres NemID-information.

Udover, at man selvfølgeligt aldrig skal sende en kopi af sit nøglekort til nogen, så kan det måske være svært at gennemskue, hvornår der er tale om legitim kommunikation, og hvornår det er fup og fidus. Særligt når afsenderadressen ser ud til at være god nok.

For at undgå, at den slags mail-svindel virker for troværdige i relation til, hvilke domæner de bliver sendt fra, er Nets ved at få de sidste ting på plads i forhold til særlig mail-sikring i relation til fire specifikke domæner.

Nets har således implementeret DMARC-teknologi, som blandt andet kan forhindre, at svindlere kan sende fra en afsenderadresse, der relaterer sig til domænet nets.eu. Altså eksempelvis kundesupport@nets.eu

»Vi vil benytte DMARC-teknologien i relation til de domæner, som vi bruger i NemID. Og der har vi forskellige domæner, som er relevante, som vi har lagt ind i løsningen,« fortæller senior business manager John Christensen hos Nets.

Overvågning skal vise om det fungerer

I første omgang er det domænerne nemid.nu, danid.dk, nets.eu og nemid.nets.eu, der har fået DMARC-beskyttelse.

John Christensen fortæller, at domænerne er NemID-relevante, og at Nets bruger dem aktivt i forbindelse med kommunikation.

Foreløbigt kører de fire domæner DMARC i en overvågningstilstand, så Nets kan se, at tingene fungerer som de skal, og at de rigtige mails - altså svindelmails - bliver afvist, inden de havner i brugernes indbakker.

»På domænerne kører vi det, der kaldes monitorerings-mode. Det vil sige, at vi kigger på, hvad for noget trafik, der kommer igennem, og hvad er vores pass-rate, hvis det var, vi havde været i rigtig produktion. Det er simpelthen for at få viden om, at det er de rigtige mails, der bliver smidt væk, men også om, at det er de rigtige mails, der i givet fald kommer igennem.«

I forhold til, hvorfor Nets er gået i gang med DMARC på de bemeldte domæner, så henviser John Christensen til, at der har været gode erfaringer med teknologien fra den danske banksektor og fra udlandet.

Som Version2 i går kunne fortælle med afsæt i en udmelding fra Finans Danmark, så fortalte de britiske skattemyndigheder i november sidste år, at de på daværende tidspunkt have stoppet 300 mio. spammails i 2016 via DMARC.

John Christensen forventer inden sommerferien, at Nets går i fuld drift med DMARC på de fire domæner, så mails bliver smidt væk, hvis de er ugyldige, mens legitim kommunikation når frem.

»Der er nogle indkøringsting, vi skal have styr på, og vi skal have organisationen bygget op omkring det, så vi hele tiden vedligeholder løsningen og holder øje med den. Det er vi i gang med nu,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Schack

Hvorfor ikke tage nogle af de NETS ejede parkerede domæner med ?
Flere af de her domæner er da fine til phishing, og er pt. til fri afbenyttelse.

automatiskkortbetaling.dk
brukerstedsportalen.dk
bs-kortbetaling.dk
bskortbetaling.dk
medarbejdersignatur.dk
mobil-betaling.dk
mobilepayment.dk
nets.dk

Bortset fra det, super at NETS endelig kommer igang med DMARC

  • 0
  • 0
Povl Hansen

Er de ude på at forvirre folk siden de har behov for hele 4!

Det smarteste er da af sende e-maile fra nemid.dk, også bare skrive af e-maile ikke kan besvares, det står i forvejen i mange helt rigtige e-mail helt uden snyd

  • 0
  • 0
Niels Dybdahl

>> Hvorfor ikke tage nogle af de NETS ejede parkerede domæner med ?

Man kan vel kun implementere fuld DMARC hvis der faktisk bliver sendt emails fra et domæne. Hvis man ikke sender emails, så er det vel nok at markere dette med en SPF-record.

Jeg kan se at der er SPF-records på nogle af de nævnte domæner, men ikke alle.

  • 0
  • 0
Martin L. R.

Jeg kan ikke lade være med at bemærke, at DMARC omtales som "særlig beskyttelse" - nej, det burde være standard.. kom nu ind i kampen :)

Positivt er det trods alt at de nu endeligt får fingeren ud.. så mangler vi bare alle de andre :)

  • 5
  • 0
Mikkel Bundgaard

SPF sikrer at from: @domain.tld ikke konflikter. Dvs at afsender domænet tillader SMTP serveren som afsender på vegne ad @domain.tld

Dmarc sikrer indhold ikke er ændret undervejs.

https://en.m.wikipedia.org/wiki/Sender_Policy_Framework

Og lidt overrasket over det ikke er implementeret tidligere. Jeg er forstående at det komplekst, da mange organisationer typisk ikke har tilstrækkelig kontrol hvor mails afsendes fra. Men vi er i 2017, så de burde have haft nogle år til at implementere det.

  • 1
  • 0
Povl H. Pedersen

Mikkel Bundgaard, det er ikke helt korrekt.
SPF sikrer MAIL FROM: på SMTP niveau. Kigger ikke på det der kommer efter DATA kommandoen.

DMARC sikrer at den synlige RFC-822 From: header ikke er fra et andet domæne.

DMARC gør dette ved at validere enten en DKIM signatur (som sikrer uændret indhold af bestemte felter), eller ved at matche RFC-822 From op mod SPF. Så hvis det synlige from matcher DKIM eller SPF, så er DMARC glad.

Så DMARC giver ingen garanti for uændret mail. Det gør DKIM heller ikke nødvendigvis, da der ikke er krav om en body hash..

Her er en DKIM signatur fra O365.
De har bh = Body Hash med. Så de sikrer mod ændring efter mailen forlader deres sky, men den kan ændres inden den forlader O365. Og b er selve signaturen.
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=???.dk; s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version; bh=ky56....aSLOK/3BnskA7VEE=; b=KMK...Gfb8=

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize