Myndigheder og virksomheder overså slåfejl i phishing-øvelse fra CFCS

Illustration: Rawpixel.com/Bigstock
CFCS har afholdt en phishing-øvelse, hvor der blev sendt fingerede phishing-mails ud til 30 myndigheder og virksomheder. I alt gik otte i fælden, fordi de overså en række afslørende tegn i den fingerede phishing-mail.

De otte myndigheder og virksomheder, som gik i fælden under en phishing-øvelse afholdt af Center for Cybersikkerhed (CFCS) tidligere i september, overså en række afslørende tegn i de fingerede phishing-mails, som de modtog.

Det fremgår af et mailsvar fra presseafdelingen hos CFCS, som Version2 har modtaget efter at have stillet en række spørgsmål til øvelsen.

CFCS ønsker ikke at offentliggøre den fingerede phishing-mail, som blev udsendt under øvelsen, i sin helhed.

Men overfor Version2 løfter efterretningstjenesten lidt af sløret for, hvordan den var bygget op.

»Den (den fingerede phishing-mail, red.) var afsendt fra en mailudbyder, der ikke var identisk med den organisation, som mailen udgav sig at komme fra, den indeholdt slåfejl i myndighedsnavn, og den indeholdt et link, der henviste til en specifik ip-adresse og ikke et domænenavn,« skriver pressevagten hos CFCS i mailen.

Hver fjerde faldt i

CFCS afholdt øvelsen for at teste, hvordan myndigheder og virksomheder handler, hvis angribere finder på at udnytte nød- eller krisesituationer til at sende rigtige phishing-mails. Derfor fandt øvelsen sted samtidig med dette års nationale krisehåndteringsøvelse ved navn KRISØV.

KRISØV fandt sted den 12. september, hvor en simuleret kemisk togulykke i nærheden af Fredericia var anledning til en øvelse af det nationale beredskab.

Under kriseøvelsen modtog de myndigheder og virksomheder, der deltog i phishing-øvelsen fra CFCS, en simpelt konstrueret phishing-mail, der lignede officielle henvendelser med information om den kemiske ulykke.

Mailen indeholdt fingeret malware i form af et link til en øvelseshjemmeside, og hvis modtagerne klikkede på linket, blev de ført til en hjemmeside, som fortalte, at de var blevet udsat for et vellykket phishing-angreb. Det var der flere, som gjorde.

Ifølge CFCS modtog »omkring 30 myndigheder og virksomheder« øvelses-mailen. Af dem valgte i alt otte modtagere at klikke på linket. CFCS oplyser ikke, hvem der deltog i øvelsen.

Burde være opdaget

Ifølge Henrik Larsen, der er chef for It-sikkerhedsorganisationen DKCERT, kan man ikke konkludere noget generelt om succesraten på øvelsen, fordi der er tale om et meget lille antal modtagere. Men han påpeger, at træningsøvelser som denne ikke er usædvanlige.

»Der er tale om en helt fredelig phishing-øvelse, hvilket ikke er en usædvanlig metode til den helt nødvendige træning af medarbejderes opmærksomhed overfor phishing, som er den mest udbredte angrebsvektor i mange forskellige typer af cybertrusler,« skriver Henrik Larsen i en mail til Version2.

Version2 har fremlagt oplysningerne om phishing-mailens opbygning til DKCERT-chefen. På den baggrund påpeger han, at modtagerne i øvelsen nok burde have gennemskuet den som et phishing-forsøg, men han understreger at han ikke kan konkludere noget endegyldigt uden at have set mailen fra øvelsen i sin helhed.

»Uden at have set mailen, kan jeg heller ikke sige, hvorvidt modtagerne skulle have genkendt den som falsk – det skulle de sandsynligvis, men mange hopper sandsynligvis på, når tempoet er højt og presset stort. Det er en menneskelig faktor, som kriminelle også udnytter,« skriver Henrik Larsen.

Ud fra hvad du ved om undersøgelsen, vurderer du så, at modtagerne har haft DMARC implementeret?

»Om myndighederne har været beskyttet med DMARC og om det ville have kunnet beskytte dem i situationen er svært at sige noget sikkert om på det foreliggende grundlag – det afhænger blandt andet af, om de har anvendt deres normale infrastruktur under øvelsen og hvordan afsender domænet har været sat op. Det ville også kræve en analyse af mailheaders mv. på phishingmailen for at kunne sige noget sikkert,« skriver Henrik Larsen.

Version2 har også spurgt CFCS om, hvor mange af deltagerne, der havde sat en såkaldt DMARC-policy op, men efterretningstjenestens pressevagt oplyser, at de ikke har yderligere kommentarer til phishing-øvelsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Andrew Rump

Jeg fatter ikke at phishing mails overhovedet er et problem i denne sammenhæng. Alle mails bør (læs: skal) være signeret f.eks. med PGP, så modtageren kan verificere afsender og indholdet (at det kommer fra afsenderen). Alt andet er amatøragtigt.

  • 1
  • 3
Povl Hansen

Alle mails bør (læs: skal) være signeret f.eks. med PGP,

og der bør altid ligge sne på jorden 24. december ...
og solen bør altid skinne på min fødselsdag

Men hvis vi for et øjebliket vender tilbage til virkeligheden, så må man bare indstille sig på af email ikke er krypteret, og det hjælper ikke af kalde folk for amatører, det eneste du får ud af det er jeg forstiller mig, du står i papirkurven og hopper af vrede, mens der står dampskyerererererer ud af ørene på dig.

  • 8
  • 1
Andrew Rump

Men hvis vi for et øjebliket vender tilbage til virkeligheden, så må man bare indstille sig på af email ikke er krypteret, og det hjælper ikke af kalde folk for amatører, det eneste du får ud af det er jeg forstiller mig, du står i papirkurven og hopper af vrede, mens der står dampskyerererererer ud af ørene på dig.

:-D Jeg er i princippet ligeglad - hm, nej det er jeg ikke, men at stole på at hackere og andre laver stavefejl og andre fejl i phishing-mails er dybt amatør-agtigt - ja jeg bruger det ord igen, for det er så simpelt at beskytte sig i specielle situationer, som denne, hvor alle aktørerer er kendt.

  • 3
  • 0
Christian Nobel

Alle mails bør (læs: skal) være signeret f.eks. med PGP, så modtageren kan verificere afsender og indholdet (at det kommer fra afsenderen). Alt andet er amatøragtigt.

Hvor godt det end lyder, så er det jo desværre ikke bare lige sådan.

F.eks. har man her i landet jo besluttet at vi ikke skal have en ægte digital signatur, så allerede der er det op ad bakke.

Og selv om vi så havde en national dansk digital signatur, så vil der jo også være et behov for at modtage mails fra udlandet.

Hvis man sammenligner det med almindelig post, så dumper breve og postkort ukrypterede ned i den - det er så op til vores sunde fornuft at smide reklamer og uvedkommende bras i papirkurven.
Skulle man lave om på det vil det være umådeligt svært for moster Gerda at sende et brev.

Jeg er helt på det rene med at kryptering og signering kan være rigtig godt, og bør bruges når det er påkrævet, på samme måde som man vil sende et anbefalet brev, men til udbredelse at almindelige ikke fortrolige informationer er det overkill, og det værste er at man risikere en Peter&Ulven effekt, hvor intet så vil blive taget alvorligt, eller man luller sig ind i en falsk sikkerhed.

Imo burde man (og det har jeg skrevet mange gange før, aner bare ikke hvordan man kan komme videre med det) ændre på hele postserver paradigmet, således at en postserver skulle være på et kvalificeret domæne, og al transport af post gik gennem et challenge-response system - jeg gentager lige:

Andrew har en postserver på domænet andrew.dk
Christian har en postserver på domænet christian.dk

Jeg vil sende en mail til andrew, hvorfor jeg beder min postserver om at sende en mail til ar@andrew.dk.

Min postserver henveder sig så til (mail.)andrew.dk og fortæller at jeg cn@christian.dk har en mail til ar.

andrew.dk siger så til min postserver: OK, jeg vender tilbage.

andrew.dk laver så navneopslag, og kun hvis christian.dk er et validt domæne svarer den tilbage og spørger (mail.)christian.dk om hvorvidt der er en mail fra cn til an i kø.

Hvis (mail.)christian.dk så kan svare bekræftende på det, så beder (mail.)andrew.dk om at få posten.

På den måde vil det altid kræve et fuldt kvalificeret domæne at sende og modtage post, men man ville undgå problematikken omkring reverse DNS, og hvis en postserver blev fanget i at sende spam og ondsindet mails, kunne den øjeblikkelig findes (og sortlistes).

Selvfølgelig kan dette ikke gøres fra dag til dag, og bør være parallelt i en overgangsperiode, men det er teknisk set meget lettere end at fedte med DKIM og DMARC, hvor man jo også på et tidspunkt bliver nødt til at trække en endelig streg i sandet hvis det rigtig skal virke.

  • 3
  • 0
Andrew Rump

Og selv om vi så havde en national dansk digital signatur, så vil der jo også være et behov for at modtage mails fra udlandet.

Helt enig, men alle usignerede mails, skal behandles som sådan - med en ildtang og alle URL'er må under ingen omstændigheder følges.

Skulle man lave om på det vil det være umådeligt svært for moster Gerda at sende et brev.

Moster Gerda skal selvfølgelig også kunne sende, men i denne situation vil hun aldrig sende noget, som er vigtigt, hvor en URL skal følges.

Jeg er helt på det rene med at kryptering og signering kan være rigtig godt, og bør bruges når det er påkrævet, på samme måde som man vil sende et anbefalet brev, men til udbredelse at almindelige ikke fortrolige informationer er det overkill, og det værste er at man risikere en Peter&Ulven effekt, hvor intet så vil blive taget alvorligt, eller man luller sig ind i en falsk sikkerhed.[quote]

Helt enig. Det er kun i denne situation, at sikkerheden skal strammes op.

[quote]de man (og det har jeg skrevet mange gange før, aner bare ikke hvordan man kan komme videre med det) ændre på hele postserver paradigmet, således at en postserver skulle være på et kvalificeret domæne, og al transport af post gik gennem et challenge-response system - jeg gentager lige:
...
Selvfølgelig kan dette ikke gøres fra dag til dag, og bør være parallelt i en overgangsperiode, men det er teknisk set meget lettere end at fedte med DKIM og DMARC, hvor man jo også på et tidspunkt bliver nødt til at trække en endelig streg i sandet hvis det rigtig skal virke.

Tanken er god, men den vil ikke fungere i en del situationer, hvorved den falder til jorden og DKIM &DMARC kan allerede implementeres i dag, med den eksisterende teknologi.

  • 1
  • 0
Christian Nobel

Tanken er god, men den vil ikke fungere i en del situationer, hvorved den falder til jorden

Og på den måde kommer vi aldrig videre.

Faktisk er det dybt bekymrende at man sidestiller de ting der i dag bruges på internettet med tyngdeloven, og siger at det kan ikke laves om (som når det offentlige laver en eller anden dybt tåbelig digitalisering, og ikke vil erkende det var en fejl).

Selvfølgelig kan det laves om, og det er ovenikøbet ikke specielt svært - og hvis man laver det parallelt, således at man i en periode også kan modtage almindelig post, og de store som f.eks. Google efter et par år lukker for almindelig post, så vil det gå hurtigt.

Hvis ikke der er en vilje, så er der ikke en vej, og så er vi dømt til i al evighed at svømme rundt i en suppedas der allerede nu er 30 år forældet.

  • 1
  • 0
Povl Hansen

Selvfølgelig kan det laves om, og det er ovenikøbet ikke specielt svært - og hvis man laver det parallelt, således at man i en periode også kan modtage almindelig post, og de store som f.eks. Google efter et par år lukker for almindelig post, så vil det gå hurtigt.

Eller også så vil folk skifte til hotmail, fordi de tillader brugeren af modtage email fra alle.

og pludselig er man tilbage tilbge til email som det var i 1980, og det ville jo ikke have hjlupet noget, tværtimod

  • 1
  • 1
Christian Nobel

Jo, men løsningen skal være den rigtige i stedet for bare endnu et patch: https://xkcd.com/927/

Det er jeg helt klar over, det er også derfor jeg foreslår en radikalt ny tilgang til problematikken, hvorimod lige præcis DKIM, DMARC, SPF og hvad har vi, kun er påklistede patches der prøver at reducere mailsystemernes fødselsdårligdomme, og så for hver patch gør det hele endnu mere unødigt kompliceret.

Og en del af disse dårligdomme skyldes bla, at i starten så brugte man relaying, fordi nettet ikke kunne honorere kravene for end -to-end håndtering mellem to mailservere.

Men i dag er nettet blevet så godt, at vi sagtens kan forlade os på at der skal være tale om end-to-end transmissioner, og dermed burde vi genopfinde email med det som afsæt.

  • 1
  • 0
Christian Nobel

så hvis dumbruger@gmail.com sender dig spam, så vil du bare blokerer for gmail.com ?

Nej, det gør jeg ikke - jeg henvender mig til Google og fortæller dem at dumbruger spammer mig.

Og så er det op til Google at tage ansvar, herunder at kontrollere validiteten af deres brugere - hvis man driver en mailserver, så skal man også have et vist ansvar.

Men hvis mailen kommer fra dumbruger@obskur.xxx, og denne ikke reagerer på anmeldelser, og dermed ikke lever op til sine forpligtelser, så kan man bede om at få domænet på en sortliste.

  • 2
  • 1
Christian Nobel

Eller også så vil folk skifte til hotmail, fordi de tillader brugeren af modtage email fra alle.

Nu kunne man jo også prøve at tænke fremad - det kunne jo være at man kunne få de store udbydere til at arbejde for, ikke imod.

Det vil også gøre deres tilværelse nemmere at hele spamhåndteringen gøres nemmere, plus det vil sænke trafikmængderne drastisk.

Problemet vil nok næppe være de store udbydere, men de mange firmaer og myndigheder med egne mailserver som hænger i dyndet - de ville så blive presset til at stramme op.

  • 3
  • 0
Lasse Mølgaard

Alle mails bør (læs: skal) være signeret f.eks. med PGP, så modtageren kan verificere afsender og indholdet (at det kommer fra afsenderen). Alt andet er amatøragtigt.

Mener du S/MIME? Her er jeg så uenig.

Jeg ved af erfaring at S/MIME er ikke triviel at sætte op. Jeg kunne få det til at virke, når jeg sendte mails fra min computer, men hvis jeg prøvede at sende mails fra mobiltelefonen eller tablet, så blev min signatur afvist.

DKIM derimod er mere enkel, fordi den er transparent for slutbrugeren.

Læg dertil at man via Author Domain Signing Practices kan fortælle omverdenen at "alle mails fra mit domæne er signeret med DKIM".

Når det hele bliver toppet af med DMARC, kan man udlede at hvis mailen er ikke signeret, så skal mailen smides ud.

  • 0
  • 0
Martin Storgaard Dieu

Den (den fingerede phishing-mail, red.) var afsendt fra en mailudbyder, der ikke var identisk med den organisation

Hvad nytter S/MIME, PGP, DKIM, DMARC og SPF hvis organisationen man forventer en email adresse fra, normalt sender fra john.doe@example.com, alt i mens phisihing emailen bliver sendt fra john.doe@example-group.com (eller john.doe@example.org for den sags skyld)?

  • 0
  • 0
Uffe R. B. Andersen

den indeholdt et link, der henviste til en specifik ip-adresse og ikke et domænenavn

Vi kan ikke forvente, at folk uden for IT-branchen skal vide, at et link til en IP-adresse er mistænkeligt og vi behøver ikke at forvente det, når en firewall med URL Filtering kan håndtere det.

  • 1
  • 1
Jakob Dahl

Jeg vil godt stille spørgsmål ved konklusionen om at de er gået i fælden alene fordi de har klikket på linket i mailen og dermed får vist hjemmesiden i en browser.
Ideelt set burde medarbejderne selvfølgelig have spottet den allerede da de så mailen, men det er først i det tilfælde at man lokker nogen til at indtaste credentials eller andet på siden at man kan konkludere at de er gået i fælden.
Hvis de alene får vist siden men ikke interagerer med den mener jeg ikke det er et successfuldt angreb.

  • 0
  • 2
Andrew Rump

Hvis de alene får vist siden men ikke interagerer med den mener jeg ikke det er et successfuldt angreb.

Hvis browseren ikke er beskyttet mod et (zero-day) sikkerhedshul, så kan computeren overtages bare ved at følge et link, så det et successfuldt angreb!

  • 1
  • 0
Jakob Dahl

Hvis browseren ikke er beskyttet mod et (zero-day) sikkerhedshul, så kan computeren overtages bare ved at følge et link, så det et successfuldt angreb!


Nu må man antage at det er organisationer der har styr på at deres klienter er opdaterede.
Når huller, specielt zero-day huller bliver offentliggjort skal man altid huske at kigge i noterne: De er ikke så nemme endda, men de giver gode overskrifter hvis man kan lave et POC selv om det kræver at man har medvind på cykelstien og sol i ryggen osv.

  • 0
  • 1
Log ind eller Opret konto for at kommentere