Phishing-mail fik Digitaliseringsstyrelsen til at indføre DMARC »med det samme«

Henover sommeren er Digitaliseringsstyrelsens domæne blevet misbrugt i en phishing-kampagne, og det satte skub i DMARC-implementeringen.

Digitaliseringsstyrelsen havde ikke aktiveret sikkerhedsteknologien DMARC, da styrelsens domæne blev misbrugt i forbindelse med en phishing-kampagne i juli måned i år.

Det på trods af, at Center for Cybersikkerhed siden 2017 ellers har anbefalet danske organisationer at anvende DMARC som værn mod denne form for domæne-misbrug.

Digitaliseringsstyrelsen fortalte selv om angrebet, da det fandt sted i juli, og ifølge styrelsen er der blevet sendt svindelmails, der udgiver sig for at være fra NemID og foregiver at være sendt fra det officielle domæne digst@digst.dk. Formålet ser ud til at være at lokke NemID-oplysninger ud af folk.

DMARC-teknologien kan bruges til at lukke ned for netop denne slags svindelmails, der forsøger at øge troværdigheden ved at foregive at være sendt fra et legitimt domæne. DMARC kan forhindre, at denne overhovedet når modtagerens indbakke.

I juli blev der udsendt en phishing-mail, som udgav sig for at være sendt via Digitaliseringsstyrelsens domæne digst.dk. Illustration: screenshot, digst.dk

Men da phishing-kampagnen, der udnyttede digst.dk, fandt sted, var der ikke nogen beskyttelse at hente fra DMARC. Teknologien var nemlig ikke sat op på en måde på digst.dk, så den i sig selv kunne forhindre misbruget.

»Det pågældende domænemisbrug fandt sted på et tidspunkt, hvor DMARC policy for det pågældende domæne var sat til monitorering. Som led i håndteringen af domænemisbruget blev det besluttet at indføre reject policy med det samme,« oplyser Digitaliseringsstyrelsens vicedirektør Adam Lebech i et skriftligt svar til Version2.

Monitorering

Hvis DMARC skal fungere, så skal teknologien være implementeret for de domæner, man ønsker at beskytte mod svindel. Derudover skal modtagerens mailserver også understøtte DMARC.

Mange mail-modtagere er potentielt beskyttet i forhold til DMARC, da flere store webtjenester, herunder Googles Gmail og Yahoo understøtter teknologien. Men hvis det skal fungere, så skal DMARC altså også være aktiveret i forhold til afsender-domænet.

I forbindelse med implementering af DMARC, skal der vælges en policy for, hvordan mails skal håndteres. For at DMARC skal virke i kampen mod phishing-mails, skal en såkaldt reject-policy eller quarantine-policy være sat op for domænet. Men det var ikke tilfældet på digst.dk, da phishing-kampagnen fandt sted i juni.

Domænet kørte i stedet med DMARC i en såkaldt monitorerings-tilstand. Det er tilrådeligt at køre med monitorering i en periode for at se, om DMARC-opsætningen fungerer korrekt. Eksempelvis kan monitorerings-perioden bruges til at kontrollere, om legitime mails nu også når frem til brugerne, eller om de bliver smidt væk som følge af en fejl-konfigurering.

Men så længe et domæne kører i monitorerings-tilstand, så giver det ingen beskyttelse hvad DMARC angår.

Var i gang med implementering

Ifølge Adam Lebech har Digitaliseringsstyrelsen siden Center for Cybersikkerheds anbefaling i slutningen af 2017 været i dialog med styrelsens leverandør, Statens It, om implementeringen af DMARC på Digitaliseringsstyrelsen domæner, herunder digst.dk.

»Statens It kørte i 2018 to pilotprojekter med det formål at finde ud af, hvordan de bedst kunne implementere DMARC hos deres kunder. DMARC reject policy er en ny teknologi, og der skulle derfor handles med forsigtighed, da en fejlimplementering kunne have store konsekvenser for kunderne, da disse kunne risikere ikke at modtage afsendte mails, uden at være klar over det,« forklarer Lebech og tilføjer:

»Digitaliseringsstyrelsen har siden maj 2019 haft mere end 100 af sine domæner sikret med reject policy. For de resterende domæner har det været mere komplekst at få afdækket, om DMARC reject-sikringsniveauet ville have negativ konsekvenser for modtagelse af e-mails fra disse domæner. Derfor var der desværre ikke indført et reject sikringsniveau på digst.dk før de phishingmails, der var i omløb i juli måned.«

Elite-listen

Det var Henrik Schack, der gjorde Version2 opmærksom på, at der tilsyneladende kom DMARC-reject på digst.dk meget hurtigt, da phishing-kampagnen fandt sted.

Han står bag sitet status.dmarc.dk, der er en opgørelse over, hvordan det går med DMARC-implementeringen i forskellige danske organisationer.

I skrivende stund er digst.dk at finde på sitets elite-liste. Det er en liste, der ifølge beskrivelsen dækker over »nogle af de domæner som er sikret allerbedst mod falske emails.«

Version2 har spurgt Digitaliseringsstyrelsen ind til, hvor mange der har fået kompromitteret deres NemID-oplysninger i forbindelse med den pågældende kampagne. Vi vender tilbage, såfremt der kommer nævneværdigt nyt, hvad det angår.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Rosenø

Ovenstående artikel henviser til dmarc.dk, som henviser til at man kan konfigurere DMARC via https://dmarc.globalcyberalliance.org/ . Men mit webhotel https://www.unoeuro.com/dk/support/faq/2/136/ anbefaler https://dmarcian-eu.com . Og jeg har ikke kunnet finde nogen form for sammenligning eller anmeldelser eller reviews af de 2. Så hvad er forskellen? (UnoEuro.com ved heller ikke hvad forskellen er.)

  • 0
  • 0
Log ind eller Opret konto for at kommentere