Her er Danmarks ledige phishing-domæner

Kommentar: Er det danske domænesystem forberedt på, at kriminelle registrerer det ledige domænenavn jyske-netbank.dk?

DK-Hostmaster, der administrerer det danske .dk-topdomæne har de sidste par uger sat fokus på domænesnylteri eller typosquatting, hvor firmaer eller privatpersoner misbruger domænenavne, der ligger tæt op ad populære danske hjemmesider.

Men DK-Hostmasters fokus omkring forbedring af klageprocessen har hidtil kun handlet om misbrug af varemærker og ikke om de kriminelle formål, som domænesnylteri kan udnyttes til.

Det gælder især danske domænenavne, der egner sig til phishing. Det er ikke navne, der er beregnet til at skabe trafik på grund af slåfejl, men domæner, der skal se ud til at være legitime sider for eksempelvis en dansk bank.

Stikprøver i DK-Hostmasters database afslører, at der er ledige domæner, som følger opskriften fra phishing-forsøg fra udlandet. Her er et par af de domæner, som Danske Bank, Jyske Bank og Nordea allerede har registreret:

danskebank.dk
danskenetbank.dk
danske-netbank.dk

jyskebank.dk
jyske-bank.dk
jyskenetbank.dk

nordea.dk
nordeanetbank.dk
nordeabank.dk
nordea-bank.dk

Og her er et par domæner, som torsdag var ledige:

danskebank-netbank.dk
danskebank-login.dk
danskebank-online.dk
danskebankonline.dk

jyske-netbank.dk
jyskebank-online.dk
jyskebank-login.dk

nordea-login.dk

Og her er et par stykker, som allerede er registreret til personer, hvis motiver til at eje domænerne er ukendte:

nordeaonline.dk (registreret til Dapresy AB i Sverige)
nordea-netbank.dk (privatperson i Storbritannien)
nordea-online.dk (privatperson i Danmark)

Denne opskrift, som vi kender fra utallige forsøg mod Bank of America, eBay, Paypal og CitiBank, kan naturligvis udvides ved at hæfte ord som -kundeservice, -konto, -kampagne, -visa, -dankort, -spærring og så videre på firmanavnet. Og det er ikke kun de store banker, der er udsat. Danske Spil eller Skat er eksempler på tjenester, der også vil kunne udnyttes til phishing.

Man kan også opfinde plausible domæner helt ud af det blå. Eksempelvis er domænenavnet dankortservice.dk ledigt.

Dansk Internetforum og DK-Hostmaster vil ifølge Computerworld skærpe kravene til registranterne. Men det foreløbige udkast til de nye regler tager ikke hensyn til, at kriminelle kan registrere et domæne og derefter har 72 timer til at misbruge det, før det kan blive suspenderet gennem den normale klageproces.

Har vi set denne type phishing i Danmark? Ikke endnu men når vi ligger i top over lande med internetudbredelse, er det langt fra usandsynligt, at vi kommer til at se det. Der er jævnligt eksempler på phishing i både Tyskland og Sverige, og vi ved, at de kriminelle har søgt om danske stråmænd, der kan sende pengene ud af landet.

Derfor bør DK-Hostmaster i dets regler være forberedt på at kunne håndtere et kortlivet phishing-domæne, som måske kun behøver at være i drift i mere end et par timer, før skaden er sket. Også uden at det berørte firma skal skaffe en fogedkendelse.

Lige nu mangler reglerne klare sanktioner over for de hostingfirmaer, som registrerer disse domæner, ligesom der mangler et klart beredskab for, hvordan domænerne kan lukkes med kort varsel, hvis hostingfirmaet holder til i Vietnam.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Kramshøj Blogger

Når man således lægger op til at DK-hostmaster skal oprette overvågning og handle på vegne af visse kunder kan det kun give problemer!

Det er nødvendigt med en upartisk DK-hostmaster som med klare regler og tilhørende klageinstanser kan administrere DK TLD fornuftigt.

Vi kan fint blive enige om de ekstreme sites hvor det er nemt, phishing site for danske bank/nordea/... - men hvad med grænsetilfælde?!

Phishing og typosquatting problematikkerne blivere sværest i grænsetilfældene, så man skal være varsom med de tiltag man vælger at implementere.

  • 0
  • 0
Jesper Stein Sandal

Mit forslag vil være at indbygge en kontrolfunktion i selve registreringen. Hvis dit nyregistrerede domænenavn falder ind under et regelsæt, som registratorerne kan rådføre sig med, så rykker din registreringsanmodning til tier 2. Det kan eksempelvis betyde, at der stilles større krav til, at din identitet kan bekræftes (sådan som det kendes fra visse andre topdomæner).

Det skal med andre ord primært være vanskeligere at registrere et phishing-egnet domæne.

Samtidig mener jeg, at DK-Hostmaster bør stille krav til de firmaer, der kan registrere et dansk domæne, om at de skal have et beredskab, så et domæne kan lukkes hurtigt, hvis det bliver brugt til phishing.

Hvis domænet er aktivt, men ikke bliver brugt til phishing, så bør det naturligvis være den normale klageproces, der gælder, så længe brugen er legitim. Det eneste problem kan være, hvem der skal vurdere, om der er tale om phishing med kort varsel.

Men generelt mener jeg, at skaden ved at lukke et domæne i et par timer, fordi det ser ud til at blive misbrugt, er mindre end skaden ved ikke at have et beredskab. Og som minimum bør man gøre en indsats for at forebygge misbrug.

  • 0
  • 0
Peter Larsen

Er det reelt et problem?

vi har et gemmensigtigt, fornuftigt system til registrering af domæner. Vi har en fungerende fornuftig hostmaster funktion.

Skal vi registrators bruge advokater der skal sidde og vurdere hver enkelt domæne, prøv at gæt hvad prisen for et .dk domæne så bliver?

Journalisten mangler også at definere de "hostingfirmaer" som journalisten mener der skal være et beredskab imod

menes der registrators?

Hvordan skal vi tjekke hvad folks formål med registrering af domænet er?

Skal vi lave en dropdown boks med "Privat familienavn", "vores eget firmanavn", "vores konkurrents nye produktnavn", "typosquating af vores konkurrents produkter" ..???

Peter Larsen - Registrator - Larsen Data / GratisDNS.dk

  • 0
  • 0
Peter Larsen

> Det skal med andre ord primært være vanskeligere at registrere et phishing-egnet domæne.

Sagt med andre ord, det skal være vanskeligere at registre et domæne.

Hvilket tld gør noget for at hindre folk registrer et phishing egnet domæne?

altså, hvor man udtager det før man aktivere det, og hvor man forhindre registreringen?

  • 0
  • 0
Jesper Stein Sandal

De lukkede topdomæner kommercielle topdomæner som .pro og de endnu mere restriktive .gov .mil og .edu stiller større krav til registreringen.

Jeg mener, at det nuværende system, hvor alle og enhver kan blive registrator, er håbløst usikkert. Den model forudsætter, at alle brugere som udgangspunkt skal have mistro til et domæne, men sådan opfører den almindelige internetbruger sig ikke.

Og helt ærligt: Med over 800.000 danske domænenavne er det så en katastrofe, hvis det bliver lidt mere besværligt at registrere de næste 800.000?

Og for registratorerne: Kan det være så besværligt at lave en liste over de mest udsatte danske domæner og lade et script kontrollere, hvor stor overenstemmelse med disse navne, en ny domæneforespørgsel har?

Disse regler skal jo ikke bruges til at afgøre noget omkring vvs-claus.dk og vvs-klaus.dk. De skal beskytte realistiske phishingmål. Start med at flagge alle domæner, der indeholder strengen "bank".

Jeg mener blot, at registratorerne bør pålægges et vist ansvar, så de kan få frataget deres registratorstatus, hvis de ikke fører tilstrækkeligt opsyn med mistænkelige domæner.

  • 0
  • 0
Ebbe Hansen

Desværre er der ingen nemme veje, såsom at afskaffe nabodomæner. Phishing vil findes alligevel, måske under et andet TLD eller med en anden snydeformel. Ingen systemer vil kunne undgå parasit-domæner fuldstændigt.

Det eneste sikre er nok at opfordre kunderne til at anvende forkerte adgangskoder iførsteomgang og så afbryde,hvis disse bliver accepteret.

Og det er altid et spørgsmål, hvem vi skal lade lege politi. Om registratorerne er velegnet???

Kun dk-hostmaster selv har mulighed for et overblik, der kunne fange enkelte af snyderierne under .dk. Men selv der ville der uvægerligt være bøffer, også af de store.

Eneste mulighed for at komme phishing i forkøbet er at opdrage brugerne til sikker adfærd.

Selvfølgelig skal vi stoppe dem, der bliver opdaget. Og selvfølgelig skal vi være på vagt overfor nye svagheder og fælder.

Men opgaven med at undgå phishing må under alleomstændigheder indbefatte slutbrugeren/den phishingtruede og hendes adfærd.

  • 0
  • 0
Peter Larsen

Glem det med at registrator skal lege politi.

Det eneste vi kan er at henstille til brugerne, og sørger for de har accepteret reglerne før de køber.

Hvad de køber, hvad de skal bruge det til og hvor indholdet af hjemmesiden ligger er os (registrator) totalt uvedkommende.

I visse tilfælde registrer registrator domænet på anden DNS end registrators egne, hvordan skal registrator på nogen måde styre indflydelse på domænet?

Hvor skal vi stoppe med at vurdere indhold/navn? Skal vi vurdere det sproglige indhold, politiske holdninger, grafisk udfoldelse, mangel på samme?, phishing, typosquating, bad faith, varemærke vurdering, patentvurdering osv?

Hvem dækker vores erstatningsansvar når vi tager fejl?

Hvad gør det ved prisen for et .dk domæne?

Hvis vi skal lege politi overfor de domæner vi indsender, så er det i praksis at vi sidder og godkender hver enkelt ansøgning MANUELT.

Det kommer ikke til at ske.

Og så bør du nok også læse domæneloven, mht "tilgængelighed, gennemsigtighed, effektivitet" de 3 plusord er du i direkte modstid med.

BEMÆRK: at der endnu ikke har været brugt et eneste domæne til phishing ud fra disse typosquating domæner, men simple stupide secondary market "this domain is for sale" reklame templates. Se http://www.jyskbank.dk

Så det i snakker om er rent hypotetisk, bare vi er superenige om grundlaget for at smadre noget der virker.

ang: jyskbank.dk, så er det da bemærkelsesværdigt at jyskebank ikke finder det nødvendigt at købe jyskbank.com, men det er nok fordi det i virkeligheden ikke er et særligt stort problem.

  • 0
  • 0
Anders Feder

Er det mig der misforstår truslen fuldstændig eller kan hele problemet med phishing løses ved at sende brugeren en cookie ved første login og så forlange denne cookie ved alle efterfølgende logins?

Da cookien er knyttet til det domæne hvor den kommer fra vil en phisher ikke modtage den hvis han formår at lokke brugeren over på et fremmed domæne.

  • 0
  • 0
Dennis Krøger

Please fortæl mig at du ikke lige foreslog at have session cookies (tilmed uden expiry) som eneste sikkerhed for webbanken?

Lige nu kører vi med passwordbeskyttede certifikater som sikkerhed, og du vil erstatte det med en fuldstændigt usikret cookie?

  • 0
  • 0
Jesper Stein Sandal

Ja, jeg mener, det skal være mere besværligt at oprette domæner af hensyn til beskyttelsen af forbrugerne. Det er i mine øjne ingen folkeret, at et internetdomæne skal kunne fås stort set gratis og være oppe at køre efter fem minutter, hvis blot jeg har et gyldigt kreditkort.

Forestil dig, at du skal sende en pakke på posthuset. Du ved, der ligger et posthus på hovedgaden, men da du har parkeret bilen, så ser du, at der ligger fem næsten identiske bygninger ved siden af hinanden, som alle hævder at være posthuset. Hvilken er det ægte posthus?

Da domænereglerne blev lavet, var phishing ikke-eksisterende. Betyder det, at vi nu ikke kan lægge et ekstra lag beskyttelse ind over for forbrugerne, selvom det gør livet lidt mere besværligt for registratorerne?

Hvis typosquatting for lidt reklamekroner var det eneste problem, så fred være med det. Men sådan ser det ikke ud i udlandet, og jeg har ingen grund til at tro, at Danmark i længden vil gå fri, selvom vi forsøger os med security by obscurity med vores modersmål, som formentligt er den eneste barriere.

  • 0
  • 0
Kristian Thy

Det du har gang i her er sikkerhed som produkt (vi må ikke registrere phishing-domæner) i stedet for sikkerhed som proces (min bank lærer mig at jeg altid manuelt skal indtaste adressen til min webbank i browseren). Hvis vi får en lov mod phishing som du ønsker, så må jeg jo som forbruger gå ud fra at jeg blindt kan stole på alle dk-domæneadresser, som fx http://www.danskebank.dk/netbank________________________________________...

Ikke?

  • 0
  • 0
Jesper Stein Sandal

Mere tilsyn med domæneregistreringer er kun én brik ud af mange, der er nødvendige for at sikre forbrugerne.

I øvrigt er det et dårligt råd at indtaste adressen manuelt til din netbank. Du kunne jo komme til at lave en stavefejl. Brug hellere et bogmærke.

Danske banker er heldigvis(?) ikke meget for at lave e-services til deres kunder. I modsætning til min amerikanske bank, som netop har sendt mig denne e-mail:

Dear JESPER SANDAL:

Your most recent checking account statement for MYACCESS CHECKING ending in XXXX is now available to view online.

To access your statement, just click on the link below.
You will be asked to enter your Online Banking ID and Passcode.

Remember: Always look for your SiteKey before you enter your Passcode.

http://www.bankofamerica.com?state=CA&estatement=XXXXDDACAB

Thank you,

Bank of America
Online Banking Customer Service

En vældig fin service, men uden signatur eller noget er det ikke ligefrem pædagogisk at opfordre brugerne til at klikke på links i e-mails. Forhåbentligt begynder danske banker ikke på den slags, selvom det nu er blevet mere almindeligt at kontakte sin bankrådgiver pr. e-mail.

  • 0
  • 0
Peter Makholm

Two wrongs don't make a right (but three lefts does). Anders, hvis du fisker efter medlidenhed eller støtte bør du nok selv korrigere din tone. Jeg vinder dit indlæg langt mere nedladende end Dennis'.

Men for nu at holde os til emnet, så forstår jeg ikke hvordan en cookie på nogen måde vil øge sikkerheden. Hvad mener du den skal indeholde og hvilken effekt skal den have?

Phising-domænet skal jo bare reproducere noget der ikke er helt ulig bankens websted, så at banken sætter og henter en cookie er vel egentlig ret ligemeget? Desuden skal min bank ikke holde op med at virke bare fordi jeg sletter alle mine cookies, så den skal på ingen måde forlange en cookie.

  • 0
  • 0
Anders Feder

Jeg "fisker" ikke efter nogetsomhelst andet end viden, men det er da tydeligvis det helt forkerte forum. Jeg stiller et ganske uskyldigt spørgsmål, og så får jeg sådan en gang mavesurt nonsens tilbage. Det kan jeg sagtens tillade mig at blive forarget over.

Det eneste jeg bad om var en forklaring på hvorfor det skitserede scenarie ikke beskytter mod phishing (jeg tænkte ikke specifikt på banker). Hvis man forestiller sig at serveren forlanger at modtage en unik cookie som sendes ved første login, hvordan kan en phisher så få adgang til min brugerkonto uden at kende denne cookie?

Men så vigtigt er det sku' heller ikke. Jeg tror bare jeg sletter min konto igen. I må sandelig undskylde at jeg forstyrrede jer i jeres navlepilleri.

  • 0
  • 0
Jesper Stein Sandal

Hej Anders

Faktisk er der udlandske banker, der benytter cookies som en del af deres sikkerhed - men kun som et lille delelement.

Min internetbank fra BofA beder således om, at brugeren første gang angiver, hvilken stat han befinder sig i. Om det er et egentligt led i sikkerheden, eller blot et spørgsmål om forskellige funktioner i webbanken fra delstat til delstat skal ikke kunne sige.

Problemet med at forlange en cookie er, at du skal kunne bruge din netbank fra forskellige pc'er (man kan så sige, at det danske system med signaturfiler lagret på den enkelt pc går i mod det princip), og du skal kunne bruge den, hvis du eksempelvis er logget på som en anden bruger på pc'en (og dermed har en anden cookie-mappe).

Det kan man komme uden om ved eksempelvis at stille et sikkerhedsspørgsmål, når cookien ikke kan findes. Hvis brugeren kan svare korrekt på spørgsmålet (altså demonstrerer, at han besidder den samme viden, som den der oprettede bankkontoen), kan cookien placeres på ny, og loginprocessen kan fortsætte.

Det er ingen endegyldig løsning, selvom det kan gøre phishing lidt mere besværligt, fordi hackeren skal bruge et ekstra sæt oplysninger.

Denne metode er dog også sårbar over for en anden angrebsmodel, som vi heldigvis ikke har set så meget til (endnu), kaldet manden-i-midten. Her placerer hackeren sig som mellemstation for en brugers session med den ægte webbank ved at præsentere brugeren for en falsk udgave, som er forbundet til den ægte.

Det største problem ved cookies som sikkerhed er dog, at vi ofte ser phishing-forsøg, hvor det ikke gælder om at få selve loginoplysningerne til banken. I stedet foregiver phishingsitet at være en funktion til eksempelvis at hæve spærringen på et kreditkort eller en PayPal-konto. Derfor bliver brugeren bedt om at indtaste sine kreditkortdata på det falske banksite, og det er alt, hvad hackeren er interesseret i - ikke brugerens banklogin. Men da kreditkort som regel udstedes af banker, er det et vigtigt redskab for phisheren at skabe en så livagtig kopi af bankens hjemmeside som muligt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere