Nets melder om heftigt fald i forsøg på NemID-phishing efter aktivering af DMARC

Illustration: REDPIXEL.PL/Bigstock
Indførelsen af DMARC på en række domæner relateret til NemID-kommunikation har ifølge Nets bevirket et heftigt fald i forsøg på phishing.

Nets oplever langt færre forsøg på phishing, efter sikkerhedsteknologien DMARC er blevet indført på fire udvalgte domæner relateret til NemID. DMARC gør det vanskeligere for svindlere at sende mails, der er designet til at se ud, som om de kommer fra et legitimt domæne.

»Jeg ser en helt klar sammenhæng mellem implementeringen af DMARC og så de resultater, vi ser her. Vi ville have fortsat den tidligere udvikling, hvis ikke vi havde gjort det her,« siger Head of NemID Business Development John Christensen.

Forudsat at modtagerens mail-tjeneste også understøtter DMARC, gør teknologien det muligt at afvise visse svindelmails. Derudover er det også muligt for en organisation at få besked, hvis svindlere forsøger at misbruge et domænenavn som afsender-adresse i mails. Det betyder konkret, at hvis uvedkommende forsøger at sende mails, der ser ud til at stamme fra det legitime nemid.nu domæne, så får Nets automatisk besked.

»Klik her. Mvh support«

Det er i udgangspunktet muligt at skrive hvad som helst i FRA-feltet i en mail. Det kan en svindler benytte til at få en mail til at se overbevisende ud. Eksempelvis så der står support@nemid.nu i det synlige FRA-felt i en mail, der beder brugeren klikke på et link.

Linket kan for eksempel føre til en side med en falsk NemID-boks - som det kan ses i den demonstration, udvikler Søren Louv-Jansen forleden lavede, og som Version2 omtalte.

Læs også: Udvikler demonstrerer elegant og automatiseret NemID-angreb

Med DMARC er det muligt at validere og håndtere situationer, hvor en afsender ikke har ret til at sende på vegne af et givent domæne. For eksempel nemid.nu. Det kan både bruges til at sende mails direkte i spam og til at orientere Nets, når nogen har forsøgt at sende en illegitim mail på vegne af organisationen.

For at DMARC fungerer, skal mail-modtagerens server også understøtte teknologien.

»Hvis nogen forsøger at sende illegitime mails, så vil modtagerens mail-system kunne fange det, og så får vi en besked tilbage om, at noget er blevet stoppet. Det forudsætter selvfølgelig, at modtageren er med i klubben.«

Både Google og Microsoft tilbyder mail-tjenester, der »er med i klubben«.

Overvågningstilstand

Som Version2 tidligere har fortalt, begyndte Nets i første halvdel af 2017 at køre med DMARC i overvågningstilstand for fire udvalgte domæner, der alle relaterer sig til NemID. Det drejer sig om nemid.nu, danid.dk, nets.eu og nemid.nets.eu.

Overvågningstilstand vil sige, at Nets er blevet orienteret i tilfælde, hvor mails er blevet registreret som det, John Christensen kalder illegitime. Altså situationen, hvor nogen sender mails på vegne at et domæne uden at have lov til det.

I overvågningstilstanden er mails dog ikke blevet bortfiltreret. Overvågningsperioden har kørt i første halvdel af 2017. Forløbet har været brugt til brugt til finjustere systemet for at undgå falske positiver.

»Der er jo altid nogle ting, der skal trimmes. Det handler også om, hvordan samspillet er med mail-leverandørerne,« fortæller John Christensen.

Det vil blandt andet sige, at Nets har været i dialog med forskellige mail-tjenester, da der har været tilfælde, hvor ellers legitime mails er blevet registreret som forsøg på svindel.

»Det er derfor, man har en fase, hvor man først lige overvåger, hvordan det går, før man slår det til og begynder at smide mails væk. Vi skal jo sikre os, at så mange af de gode mails kommer frem som overhovedet muligt.«

Aktivt DMARC

Nets aktiverede DMARC for størstedelen af de førnævnte domæner i anden halvdel af 2017, så illegitime mails enten bliver helt blokeret eller bliver behandlet som spam. nets.eu-domænet kører stadig i monitoreringstilstand, men er ved at overgå til aktivt at smide mistænksomme mails væk, oplyser Nets.

John Christensen fortæller, at der bliver sendt ca. 250.000 mails om året via nemid.nu-domænet.

I hele 2017 identificerede Nets omkring 1.400 illegitime mails via DMARC.

Langt hovedparten af disse mails blev registreret, før DMARC blev aktivt. I anden halvdel af 2017 har Nets således kun registreret 89 illegitime mails.

»Den udvikling fortsætter ind i første halvår 2018, hvor vi er nede på under 30 mails, vi har identificeret i systemet som illegitime,« siger John Christensen.

Så alene det, at DMARC har været aktivt for nemid.nu, har tilsyneladende fået svindlere til at søge andre steder hen.

»Vi kan se, at bare det, at vi har DMARC, har en vis afskrækkende effekt. Vi kan se, der er færre, der prøver,« siger John Christensen.

Mindre phishing-support

En anden indikator på, at DMARC-aktiveringen tilsyneladende fungerer efter hensigten, er mængden af support-henvendelser i forhold til phishing.

Nets har således haft 90 pct. færre support-henvendelser i første halvår af 2018 sammenlignet med andet halvår 2017, oplyser John Christensen.

Han understreger i den forbindelse, at tallet alene dækker over den support, Nets er ansvarlig for. Det siger altså ikke noget om, hvor mange eller hvor få phishing-henvendelser om NemID bankerne eksempelvis har oplevet i perioden.

»… en sund øvelse ...«

Overordnet set synes John Christensen ikke, det har været svært at implementere DMARC på domænerne.

»Når man først tager beslutningen og finder ressourcerne til det, så er det jo ikke sådan, at det er en uoverstigelig opgave. Det er relativt enkelt at håndtere rent teknisk. Men det er en sund øvelse for enhver virksomhed, da man også får et godt overblik over, hvilke systemer der udsender mails, og hvilke domænenavne der rent faktisk er i brug,« siger han.

Skulle der sidde en it-sikkerhedsansvarlig, der har fået blod på tanden i forhold til DMARC, så kan en vejledning fra Center for Cybersikkerhed om emnet måske være et kig værd. Den kan findes her (PDF)

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jan Gundtofte-Bruun

Fint! Men hvorfor har man ikke gjort det allerede fra starten tilbage i juli 2010?

Fordi DMARC selv ikke er så gammel; grundstenen blev først lagt i 2011 og det var vist ikke før 2014-15 stykker at det var blevet ordentligt modent. Deprimerende nok skriver Wikipedia at "In March 2017, the Federal Trade Commission published a study on DMARC usage by businesses.[10] The study found that about 10% of 569 businesses with a significant online presence publish strict DMARC policies."

Men så kan vi da (ekstrapolere lidt og) glæde os over at Nets/NemId er med i top 10%!

Povl H. Pedersen

Lang lang tid før DMARC var opfundet, der kørte alle der masseudsendte mails som en del af sin forretning vel med SPF.
Det er en ældre standard fra 2006.

Da vi slog DKIM og DMARC til, så var det stort set problemfrit, fordi vi i årevis havde gjort hvad vi kunne for at hjælpe modtager med at spotte falske mails.

Lige p.t. har vi det problem at Microsoft har en bug i deres implementation i O365 ved mixed brug af domæner.

Lad os antage at bruger a@b.dk har en O365 konto. Han har også en a@c.dk konto.

Han logger på via sikker SMTP, sender en mail med RFC 5322 From = a@c.dk.

Microsoft bruger RFC 5321 MAIL FROM: b.dk, og signer med DKIM d=b.dk

Selvom vi har samme nøgle på b.dk og c.dk, så fejler DKIM valideringen hos modtager, og SPF har alene fundet sted på b.dk.

Så i disse flows fejler DMARC.

Lasse Mølgaard

Fint nok at der er DMARC på de nævnte domæner.

... men så vidt jeg husker, kan man faktisk tage skridtet videre.

Hvis man har domæner, som man ved ALDRIG skal sende mails, så kan man også lave en reject regel i DMARC, så modtageren ved at uanset indhold, så skal mailen smides ud.

Min pointe er: Udover det er relevant at fortælle hvilke domæner har lov til at sende mails, er det lige så vigtigt at fortælle, hvilke domæner sender ikke mails.

Begge dele vil reducere mulighed for phising forsøg.

Jakob Møllerhøj Journalist

Hvad kan man så stole på - artiklen her, som påstår at nets.eu er under DMARC, eller din oversigt, som siger, at DMARC ikke er aktivt på nets.eu?

Nets oplyser, at nets.eu ganske rigtigt fortsat kører i monitorerings-tilstand. Der bliver arbejdet på at overgå til 'reject' for domænet. Artiklen er opdateret, så den afspejler dette. Jakob - V2

Henrik Schack

Begge dele vil reducere mulighed for phising forsøg.


Ja bestemt, specielt hvis folk ville smide en DMARC reject policy på nogle af de mange typosquatting domæner de har købt gennem tiden :-)
Et firma som Danske Bank har gjort det rigtigt godt på det område.

Til interesserede, det er ganske nemt at beskytte et domæne man ikke bruger (implementeringstid under 5 min)
https://dmarc.dk/2014/03/dmarc-for-parkerede-domaener/

Povl H. Pedersen

Når du siger det kun tager 5 minutter at blokere for mail fra parkerede domæner, så passer det ikke med virkeligheden.
Det tager mindst 2-4 timer at identificere domænerne.
1-2 projektledertimer at få lavet en opgave til leverandøren og lade denne forstå opgaven og planlægge den.
Så tager det nok 2 timer at implementere + 1 projektledertime til fakturering. Manden der skal implementere skal lige lære hvad det er først.
Så få gange 5 minutter koster ikke under 5 timer i en moderne outsourcet verden. Det er derfor man outsourcer. Og så kan kravstiller få regningen. I gamle dage sendte man ikke en regning på 5 minutter, så manden så ud til at være ineffektiv.

Log ind eller Opret konto for at kommentere