Phishing-mail fik Digitaliseringsstyrelsen til at indføre DMARC »med det samme«
Digitaliseringsstyrelsen havde ikke aktiveret sikkerhedsteknologien DMARC, da styrelsens domæne blev misbrugt i forbindelse med en phishing-kampagne i juli måned i år.
Digitaliseringsstyrelsen fortalte selv om angrebet, da det fandt sted i juli, og ifølge styrelsen er der blevet sendt svindelmails, der udgiver sig for at være fra NemID og foregiver at være sendt fra det officielle domæne digst@digst.dk. Formålet ser ud til at være at lokke NemID-oplysninger ud af folk.
DMARC-teknologien kan bruges til at lukke ned for netop denne slags svindelmails, der forsøger at øge troværdigheden ved at foregive at være sendt fra et legitimt domæne. DMARC kan forhindre, at denne overhovedet når modtagerens indbakke.
Men da phishing-kampagnen, der udnyttede digst.dk, fandt sted, var der ikke nogen beskyttelse at hente fra DMARC. Teknologien var nemlig ikke sat op på en måde på digst.dk, så den i sig selv kunne forhindre misbruget.
»Det pågældende domænemisbrug fandt sted på et tidspunkt, hvor DMARC policy for det pågældende domæne var sat til monitorering. Som led i håndteringen af domænemisbruget blev det besluttet at indføre reject policy med det samme,« oplyser Digitaliseringsstyrelsens vicedirektør Adam Lebech i et skriftligt svar til Version2.
DMARC sætter en politik for to andre protokoller, SPF og DKIM. SPF (Sender Policy Framework) er et simpelt system til validering af mails og er designet til at detektere spoofing. Modtageren af en mail kan kontrollere, at indgående mails fra et domæne kommer fra en server (IP-adresse), der er godkendt af domæne-ejeren (afsender). Listen over godkendte servere for et domæne publiceres via domænets DNS-oplysninger. DKIM (DomainKeys Identified Mail) beskriver, hvordan der kan knyttes et domæne-specifikt id til en mail. Domæne-ejeren kan signere den enkelte mail med en privat signeringsnøgle og dermed give modtageren mulighed for at verificere, om mailen er afsendt fra en server, der er registreret i DNS (Domain Name System). Verifikationen sker på baggrund af afsender-serverens offentlige signeringsnøgle, der er tilgængelig via DNS. Kilde: Center for CybersikkerhedDMARC
Monitorering
Hvis DMARC skal fungere, så skal teknologien være implementeret for de domæner, man ønsker at beskytte mod svindel. Derudover skal modtagerens mailserver også understøtte DMARC.
Mange mail-modtagere er potentielt beskyttet i forhold til DMARC, da flere store webtjenester, herunder Googles Gmail og Yahoo understøtter teknologien. Men hvis det skal fungere, så skal DMARC altså også være aktiveret i forhold til afsender-domænet.
I forbindelse med implementering af DMARC, skal der vælges en policy for, hvordan mails skal håndteres. For at DMARC skal virke i kampen mod phishing-mails, skal en såkaldt reject-policy eller quarantine-policy være sat op for domænet. Men det var ikke tilfældet på digst.dk, da phishing-kampagnen fandt sted i juni.
Domænet kørte i stedet med DMARC i en såkaldt monitorerings-tilstand. Det er tilrådeligt at køre med monitorering i en periode for at se, om DMARC-opsætningen fungerer korrekt. Eksempelvis kan monitorerings-perioden bruges til at kontrollere, om legitime mails nu også når frem til brugerne, eller om de bliver smidt væk som følge af en fejl-konfigurering.
Men så længe et domæne kører i monitorerings-tilstand, så giver det ingen beskyttelse hvad DMARC angår.
Var i gang med implementering
Ifølge Adam Lebech har Digitaliseringsstyrelsen siden Center for Cybersikkerheds anbefaling i slutningen af 2017 været i dialog med styrelsens leverandør, Statens It, om implementeringen af DMARC på Digitaliseringsstyrelsen domæner, herunder digst.dk.
»Statens It kørte i 2018 to pilotprojekter med det formål at finde ud af, hvordan de bedst kunne implementere DMARC hos deres kunder. DMARC reject policy er en ny teknologi, og der skulle derfor handles med forsigtighed, da en fejlimplementering kunne have store konsekvenser for kunderne, da disse kunne risikere ikke at modtage afsendte mails, uden at være klar over det,« forklarer Lebech og tilføjer:
»Digitaliseringsstyrelsen har siden maj 2019 haft mere end 100 af sine domæner sikret med reject policy. For de resterende domæner har det været mere komplekst at få afdækket, om DMARC reject-sikringsniveauet ville have negativ konsekvenser for modtagelse af e-mails fra disse domæner. Derfor var der desværre ikke indført et reject sikringsniveau på digst.dk før de phishingmails, der var i omløb i juli måned.«
Elite-listen
Det var Henrik Schack, der gjorde Version2 opmærksom på, at der tilsyneladende kom DMARC-reject på digst.dk meget hurtigt, da phishing-kampagnen fandt sted.
Han står bag sitet status.dmarc.dk, der er en opgørelse over, hvordan det går med DMARC-implementeringen i forskellige danske organisationer.
I skrivende stund er digst.dk at finde på sitets elite-liste. Det er en liste, der ifølge beskrivelsen dækker over »nogle af de domæner som er sikret allerbedst mod falske emails.«
Version2 har spurgt Digitaliseringsstyrelsen ind til, hvor mange der har fået kompromitteret deres NemID-oplysninger i forbindelse med den pågældende kampagne. Vi vender tilbage, såfremt der kommer nævneværdigt nyt, hvad det angår.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
