Opråb: Hvorfor bruger danske banker ikke nem og effektiv phishing-beskyttelse?

Hvis danske banker og andre store virksomheder brugte DMARC-funktionen til deres e-mail, ville mange phishing-mails blive stoppet. Så hvorfor er det stadig ikke mere udbredt, når nu det er så nemt, spørger sikkerhedsekspert.

Selv it-professionelle kan blive snydt af en falsk e-mail, hvor kriminelle udgiver sig for at være Skat eller din bank og beder dig klikke på et link og for eksempel aflevere login-oplysninger.

Men mange af disse phishing-mails kunne blive kvalt i fødslen, hvis danske myndigheder, banker og andre firmaer med stor kundekontakt ville bruge en smule energi på sikkerhedsfunktionen DMARC. Det siger Henrik Kramshøj, direktør for Solido Networks og blogger på Version2, som på DIFO's konference Internetdagen fandt sammen med en række andre internetfolk om DMARC. Gruppen vil nu prøve at slå på tromme for, at der kommer fokus på denne ekstra sikkerhed.

»Vi kan se, at der stadig i praksis er utrolig mange phishing-forsøg målrettet mod danskere. Og mange følger linket i mailen og kommer til sider, der inficerer deres computer,« siger Henrik Kramshøj til Version2.

Hvis alle de store danske firmaer og offentlige myndigheder, som sender e-mails ud til mange kunder og brugere, begyndte at bruge DMARC, ville det blive meget sværere for de it-kriminelle at få deres phishing-mails ud.

En DMARC-liste fortæller nemlig præcist, hvilke servere for eksempel Skat sender deres e-mails fra, og så kan Google, Yahoo og de andre store e-mail-udbydere sortere alt andet fra. Det er en nem og meget effektiv foranstaltning, så det er bare at komme i gang, mener Henrik Kramshøj.

»Det er bare nogle enkelte DNS-ændringer, de skal lave, så det er ikke dyrt. Det store arbejde ligger hos Gmail og de andre. Så vi kan for en meget lav omkostning få en stor gevinst,« fortæller han.

Bliver advaret, hvis der er noget i gære

På hans ønskeliste over firmaer, som bør kaste sig over DMARC fuldt ud, er alle bankerne, Skat og de store teleselskaber, især TDC.

I dag er DMARC-funktionen i brug nogle steder, og for eksempel Danske Bank arbejder på at tage det i brug. Men for at få den størst mulige effekt, skal det helst være alle potentielle phishing-mål i Danmark, der tager den ekstra sikkerhed i brug, for ellers flytter phishing-folkene bare videre til andre mål.

»Du kan lave phishing-mails fra alle de firmaer, der sender mails ud til mange kunder. Så Post Danmark og Interflora kan hurtigt blive de næste, hvis bankerne og Skat hæver sikkerheden,« siger Henrik Kramshøj.

En anden fordel ved DMARC er, at man som virksomhed får en melding fra for eksempel Google, hvis der bliver sendt falske mails ud, som Google stopper på grund af DMARC-hvidlisten. Det kan være første skridt, hvis man lige skal i gang.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Pedersen

Helt enig.

Vi er begyndt at bruge det på Spain-holiday.com med god effekt.

Man skal dog lave en grundig analyse af hvor ens mails sendes fra og om man har fornuftige DKIM og spf opsætninger, men heldigvis er der gode værktøjer til at hjælpe.

Vi bruger f.eks. dmarcian.com til at analysere de log rapporter som udbyderne sender.

  • 3
  • 0
carsten guldhammer

personligt har jeg det sådan

at da de forskellige firmaer, banker, skat mastercard osv er så nemme at lave fup og svindel mails med, så har jeg fået det sådan at jeg konsekvent IKKE svare på noget som helst af det

du ved jo faktisk aldrig hvornår det er en ægte eller uægte besked

det er min holdning

  • 0
  • 0
Martin Clausen

Der skal, som regel, mere end bare et par "enkelte DNS-ændringer" til.

DMARC består af SPF og DKIM. SPF kan konfigureres DNS, men det kan DKIM ikke. DKIM kræver at den (eller de) udgående mail servere påtrykker alle mails en digital signatur. Den offentlige nøgle distribueres via DNS. Og det er, desværre, ikke alle mail servere, der understøtter DKIM (nogle understøtter fx kun den gamle DomainKeys standard, andre slet ikke noget).

Hvis man i stedet bruger en cloud leverandør, som fx Google, så er det relativt nemt at implementere DMARC (NSA^^^Google passer forhåbentlig godt på den private nøgle). Hvis man bruger fx Office 365, så kan man kun implementere SPF.

Men en ting er at implementere DMARC, en anden ting er at få folk til at håndhæve reglerne (dvs. modtagerne skal også gøre brug af standarden)...

Men målet og gevinsten ved DMARC er vi naturligvis ikke uenige om :-)

  • 6
  • 0
Søren Larsen

Hvis da bare alle firmaer/domæner ville aktivere sender policy framework i deres DNS setup, så ville man komme langt.
Og hvis man allerede har det, så kan man så føje en DKIM nøgle til og gå DMARC vejen...

  • 1
  • 0
Henrik Schack

Det er da rigtigt det kræver lidt mere hvis ens mailserversoftware
er helt outdated og på ingen måde kan bringes til at udstede en DKIM signatur.

Men lad os tage et eksempel i den helt anden grøft : SKAT
Jeg har fundet en ægte SKAT mail frem fra mit mailarkiv.

Lad os se hvad det vil kræve af SKAT IT-afdelingen at sikre os mod
SKAT phishing.

Relevant information fra email:
From: tastselv@tastselvperson.skat.dk
Mail From: tastselv@tastselvperson.skat.dk

SKAT ser ud til at bruge Sendmail til deres mailafsendelser, Sendmail kan fra
fødsel ikke DKIM signe, så der installeres en OpenDKIM server,
pris 0 kroner, installationstid incl. udstedelse af keys og konfiguration 1-2 timer, afhængig af hvor man gange man har prøvet det før.

Opret DKIM key i DNS : 5 min
Tilføj manglende SPF record for tastselv.skat.dk : 5 min

Opret DMARC rapporteringskonto, jeg bruger også dmarcian.com, det
virker rigtig godt.

Opret DMARC record i DNS : 5 min (husk at starte med en monitor policy)

Test alt virker som det skal.

Done.

Ja, jeg ved godt der også skal laves noget for selve skat.dk domænet ( @skat.dk email ), eksemplet skal mest illustrere det ikke behøver tage halve eller hele år eller koste en bondegård at implementere DMARC.

  • 2
  • 0
Henrik Schack

Jo det kan du godt sige, det har bare ikke noget at gøre med det domænenavn som anvendes i den From: adresse brugerne kan se i en email.

SPF har udelukkende med Mail From/Envelope senderen at gøre, den skal man for det meste finde i de rå mailheaders, og det er jo ikke ligefrem et sted almindelige mennesker roder rundt :-)

  • 0
  • 0
Henrik Kramshøj Blogger

Men en ting er at implementere DMARC, en anden ting er at få folk til at håndhæve reglerne (dvs. modtagerne skal også gøre brug af standarden)...

og det gør en del af de store allerede, derfor vil det IMHO være en god ide at indføre DMARC nu

Henrik Schack henledte tidligere min opmærksomhed på artiklen:

http://www.internetsociety.org/articles/protecting-consumers-fraud-story...

Hvor jeg specielt synes dette afsnit er vigtigt, fed sat på af mig

"What happened next was unprecedented: within one year of the specification being made public, ** an estimated 60 percent of the world’s email boxes were protected by DMARC—that’s 1.976 billion email accounts.** Breaking this down further, 50 percent of the top 20 sending domains had published a DMARC policy that resulted in 80 percent of the typical customers in the United States being protected—a phenomenal response that clearly endorsed the value seen in the more limited experiment."

Iflg https://en.wikipedia.org/wiki/DMARC er det blandt andet: AOL, Comcast, Gmail, Hotmail, Mail.ru, Netease, XS4ALL, Yahoo!

  • 0
  • 0
Baldur Norddahl

En DMARC-liste fortæller nemlig præcist, hvilke servere for eksempel Skat sender deres e-mails fra, ...

Nej, det er SPF der fortæller noget om IP-adresser på mailservere.

SPF: Tjekker at en given server har lov til at bruge et givent domæne i MAIL FROM i SMTP envelope.

DKIM: Digital signatur på indeholdet af mailen.

DMARC: Tjekker at MAIL FROM i SMTP envelope passer sammen med From: feltet som brugeren præsenteres for. Samt tjekker at mailen er DKIM signeret med en gyldig signatur fra samme domæne som det der bruges i From: feltet. Det er nok at et af de to tjek er ok.

Uden DMARC så er SPF mere eller mindre værdiløst. Spammeren kan skrive hvad som helst i From: feltet og det er det som vises til brugeren.

Uden DMARC så er DKIM mere eller mindre værdiløst. Spammeren kan bare undlade at signere eller signere fra et helt andet domæne i forhold til det som bruges i From: feltet.

En DMARC+SPF (minus DKIM) løsning er ikke god da email forwarding ikke fungerer. Og der er altså mange der bruger at forwarde deres mail. Denne kombination er også inkompatibel med SRS http://www.openspf.org/SRS som ellers skulle fikse forwarding problemet.

En DMARC+DKIM (minus SPF) har mig bekendt ingen decideret ulemper, andet end at det er smart at have SPF som backup til DKIM.

Alle DMARC løsninger er generelt indkompatible med mange mailinglister. Når du skriver fra et beskyttet domæne til en mailingliste, så vil mailinglisten typisk ændre både indhold (DKIM er sur) og envelope (DMARC er sur når envelope ikke passer med From), samt sende fra en ikke godkendt IP-adresse (SPF er sur).

  • 2
  • 0
Henrik Schack
  • 2
  • 0
Søren Larsen

Henrik Schack, jeg er ikke enig.
SPF giver vel alt andet end lige, modtager-mailserveren mulighed for, at tjekke om phishing mailen en der udgiver sig for at være fra eksempelvis Danske Bank, også er afsendt fra den i DNS for danskebank.dk tilladte host/ip.
Hvis det er fra en hvilken som helst anden, kan modtager-mailserver, afhængig af all-setting i TXT, give mailen en korrekt behandling.

Jeg nævner det bare fordi, igen, alt andet end lige er det et bedre alternativ til intet at gøre.

Og for de fleste mindre virksomheder eller private, er det enklere at sætte en TXT record i DNS, end at få en mailserver til at signere med den rigtige DKIM-key.

  • 0
  • 0
Baldur Norddahl

@Søren

Du kan oprette en SPF samt en DMARC i DNS. Så vil Henriks stunt ikke virke, og det kræver ikke andet end DNS.

Men det er stadig en dårlig ide. Mailinglister vil ikke virke og du kan ikke sende til folk, der bruger email forwarding. Og det er altså meget almindeligt. Det vil ikke være acceptabelt at SKAT ikke kan sende til et stort antal mennesker. Rigtig mange har flere email konti, og så sætter man dem alle op til at forwarde til ét sted, hvor man så læser sin mail.

Kun ved også at implementere DKIM får du styr på email forwarding. Også nyere mailinglister fungerer med DKIM, som det nævnes ovenfor.

Og så svært er det ikke. Stort set alle opensource mailservere har naturligvis en løsning, og der findes en nem plugin til Microsoft Exchange.

Hvis man ikke kan eller ønsker at ændre den eksisterende infrastruktur, så må man sende udgående mail igennem et mail relay, som tilføjer DKIM signaturen. Det kan være en lille Linux med Postfix.

  • 0
  • 0
Log ind eller Opret konto for at kommentere