Nets melder om heftigt fald i forsøg på NemID-phishing efter aktivering af DMARC
Nets oplever langt færre forsøg på phishing, efter sikkerhedsteknologien DMARC er blevet indført på fire udvalgte domæner relateret til NemID. DMARC gør det vanskeligere for svindlere at sende mails, der er designet til at se ud, som om de kommer fra et legitimt domæne.
»Jeg ser en helt klar sammenhæng mellem implementeringen af DMARC og så de resultater, vi ser her. Vi ville have fortsat den tidligere udvikling, hvis ikke vi havde gjort det her,« siger Head of NemID Business Development John Christensen.
Forudsat at modtagerens mail-tjeneste også understøtter DMARC, gør teknologien det muligt at afvise visse svindelmails. Derudover er det også muligt for en organisation at få besked, hvis svindlere forsøger at misbruge et domænenavn som afsender-adresse i mails. Det betyder konkret, at hvis uvedkommende forsøger at sende mails, der ser ud til at stamme fra det legitime nemid.nu domæne, så får Nets automatisk besked.
DMARC sætter en politik for to andre protokoller, SPF og DKIM. SPF (Sender Policy Framework) er et simpelt system til validering af mails og er designet til at detektere spoofing. Modtageren af en mail kan kontrollere, at indgående mails fra et domæne kommer fra en server (IP-adresse), der er godkendt af domæne-ejeren (afsender). Listen over godkendte servere for et domæne publiceres via domænets DNS-oplysninger. DKIM (DomainKeys Identified Mail) beskriver, hvordan der kan knyttes et domæne-specifikt id til en mail. Domæne-ejeren kan signere den enkelte mail med en privat signeringsnøgle og dermed give modtageren mulighed for at verificere, om mailen er afsendt fra en server, der er registreret i DNS (Domain Name System). Verifikationen sker på baggrund af afsender-serverens offentlige signeringsnøgle, der er tilgængelig via DNS. Kilde: Center for CybersikkerhedDMARC
»Klik her. Mvh support«
Det er i udgangspunktet muligt at skrive hvad som helst i FRA-feltet i en mail. Det kan en svindler benytte til at få en mail til at se overbevisende ud. Eksempelvis så der står support@nemid.nu i det synlige FRA-felt i en mail, der beder brugeren klikke på et link.
Linket kan for eksempel føre til en side med en falsk NemID-boks - som det kan ses i den demonstration, udvikler Søren Louv-Jansen forleden lavede, og som Version2 omtalte.
Med DMARC er det muligt at validere og håndtere situationer, hvor en afsender ikke har ret til at sende på vegne af et givent domæne. For eksempel nemid.nu. Det kan både bruges til at sende mails direkte i spam og til at orientere Nets, når nogen har forsøgt at sende en illegitim mail på vegne af organisationen.
For at DMARC fungerer, skal mail-modtagerens server også understøtte teknologien.
»Hvis nogen forsøger at sende illegitime mails, så vil modtagerens mail-system kunne fange det, og så får vi en besked tilbage om, at noget er blevet stoppet. Det forudsætter selvfølgelig, at modtageren er med i klubben.«
Både Google og Microsoft tilbyder mail-tjenester, der »er med i klubben«.
Overvågningstilstand
Som Version2 tidligere har fortalt, begyndte Nets i første halvdel af 2017 at køre med DMARC i overvågningstilstand for fire udvalgte domæner, der alle relaterer sig til NemID. Det drejer sig om nemid.nu, danid.dk, nets.eu og nemid.nets.eu.
Overvågningstilstand vil sige, at Nets er blevet orienteret i tilfælde, hvor mails er blevet registreret som det, John Christensen kalder illegitime. Altså situationen, hvor nogen sender mails på vegne at et domæne uden at have lov til det.
I overvågningstilstanden er mails dog ikke blevet bortfiltreret. Overvågningsperioden har kørt i første halvdel af 2017. Forløbet har været brugt til brugt til finjustere systemet for at undgå falske positiver.
»Der er jo altid nogle ting, der skal trimmes. Det handler også om, hvordan samspillet er med mail-leverandørerne,« fortæller John Christensen.
Det vil blandt andet sige, at Nets har været i dialog med forskellige mail-tjenester, da der har været tilfælde, hvor ellers legitime mails er blevet registreret som forsøg på svindel.
»Det er derfor, man har en fase, hvor man først lige overvåger, hvordan det går, før man slår det til og begynder at smide mails væk. Vi skal jo sikre os, at så mange af de gode mails kommer frem som overhovedet muligt.«
Aktivt DMARC
Nets aktiverede DMARC for størstedelen af de førnævnte domæner i anden halvdel af 2017, så illegitime mails enten bliver helt blokeret eller bliver behandlet som spam. nets.eu-domænet kører stadig i monitoreringstilstand, men er ved at overgå til aktivt at smide mistænksomme mails væk, oplyser Nets.
John Christensen fortæller, at der bliver sendt ca. 250.000 mails om året via nemid.nu-domænet.
I hele 2017 identificerede Nets omkring 1.400 illegitime mails via DMARC.
Langt hovedparten af disse mails blev registreret, før DMARC blev aktivt. I anden halvdel af 2017 har Nets således kun registreret 89 illegitime mails.
»Den udvikling fortsætter ind i første halvår 2018, hvor vi er nede på under 30 mails, vi har identificeret i systemet som illegitime,« siger John Christensen.
Så alene det, at DMARC har været aktivt for nemid.nu, har tilsyneladende fået svindlere til at søge andre steder hen.
»Vi kan se, at bare det, at vi har DMARC, har en vis afskrækkende effekt. Vi kan se, der er færre, der prøver,« siger John Christensen.
Mindre phishing-support
En anden indikator på, at DMARC-aktiveringen tilsyneladende fungerer efter hensigten, er mængden af support-henvendelser i forhold til phishing.
Nets har således haft 90 pct. færre support-henvendelser i første halvår af 2018 sammenlignet med andet halvår 2017, oplyser John Christensen.
Han understreger i den forbindelse, at tallet alene dækker over den support, Nets er ansvarlig for. Det siger altså ikke noget om, hvor mange eller hvor få phishing-henvendelser om NemID bankerne eksempelvis har oplevet i perioden.
»… en sund øvelse ...«
Overordnet set synes John Christensen ikke, det har været svært at implementere DMARC på domænerne.
»Når man først tager beslutningen og finder ressourcerne til det, så er det jo ikke sådan, at det er en uoverstigelig opgave. Det er relativt enkelt at håndtere rent teknisk. Men det er en sund øvelse for enhver virksomhed, da man også får et godt overblik over, hvilke systemer der udsender mails, og hvilke domænenavne der rent faktisk er i brug,« siger han.
Skulle der sidde en it-sikkerhedsansvarlig, der har fået blod på tanden i forhold til DMARC, så kan en vejledning fra Center for Cybersikkerhed om emnet måske være et kig værd. Den kan findes her (PDF)
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
