Da Version2's medarbejdere i går, mandag, åbnede deres indbakker, blev de mødt af hundredvis af spam-lignende mails. De er sendt ved at misbruge en webformular hos teleselskabet Oister.
»Dette er et værk af en ukendt person, som har begået en bevidst chikanerende ondsindet handling. Vi kan konstatere, at han/hun ikke har haft adgang til vores systemer, men har påført os chikanen udefra. Lige nu er vi i gang med undersøgelser for at identificere den pågældende person,« oplyser Rikke Juul Hansen, pressechef hos Oisters moderselskab, 3, i en mail til Version2.
Sagen er indberettet til Center for Cybersikkerhed, hvilket ifølge Rikke Juul Hansen skulle være standardprocedure i den slags sager.
Emne-feltet i de pågældende mails, som Version2 er blevet bombarderet med, har indeholdt forskellige negative udsagn om Oister, mens selve mail-indholdet har haft karakter af en kvittering for modtaget mail.
Et kig i de tekniske mail-info viser, at de mange mails har bestået et tjek i forhold til både DKIM og SPF.
Ifølge en beskrivelse hos Google er DKIM (DomainKeys Identified Mail) et tjek, der gør det muligt for en modtagende server via en private/public-key-struktur at verificere, at en mail faktisk er afsendt fra det domæne, der fremgår af mail-headeren. Sender Policy Framework (SPF) benytter DNS til at udgive en liste over de servere, der er godkendt til at sende mails fra det pågældende domæne. Modtagerens mailserver kan dermed kontrollere via DNS, om en mail er sendt fra én af de servere, der er registreret. Uden SPF indebærer e-mailprotokollen SMTP, at afsenderen kan angive en vilkårlig mailadresse som afsender og sende den fra en vilkårlig server. Med SPF er det muligt at tjekke, om afsender og server passer sammen. Kilde: Wikipedia Tekst: Jesper Stein SandalSender Policy Framework
DomainKeys Identified Mail (DKIM) kan verificere afsenderen ved hjælp af en digital signatur. En offentlig nøgle knyttes til domænet i DNS. Både e-mailens indhold og header bruges til at generere kryptografiske hash-værdier, som signeres af afsenderens mailsystem. På den måde er det muligt at validere, at den pågældende mail er blevet signeret af det rigtige mailsystem. Modtageren kan validere den digitale signatur ved hjælp af den offentlige nøgle, der er udgivet via DNS. Kilde: Wikipedia Tekst: Jesper Stein SandalDomainKeys Identified Mail
SPF (Sender Policy Framework) er ifølge en anden beskrivelse hos Google en type DNS-record, der identificerer, hvilke mailservere der har lov til at sende mails på vegne af et domæne.
Formålet er at forhindre spammere i at sende beskeder med en forfalsket FROM-adresse, der misbruger et legitimt domæne.
Men i det konkrete tilfælde har hverken SPF eller DKIM altså forhindret et mail-bombardement, der uden videre er strøget gennem spam-filteret.
Webformular til kundeservice
Forklaringen er, at de mange mails med negative udsagn rettet mod Oister faktisk er sendt via en legitim mail-service hos teleselskabet.
Det er sket ved at misbruge en kontaktformular på Oisters hjemmeside, der er tiltænkt henvendelser til kundeservice.
»En kontaktformular på oister.dk har søndag aften været udsat fra chikane fra en ukendt person. Her har vedkommende sat en ’bot’ op til at udfylde hundredvis af henvendelser i en webwidget til hjælp og kontakt på forsiden af sitet med forskellige e-mailadresser,« fortæller Rikke Juul Hansen og fortsætter:
»Kontaktformularen har automatisk sendt en bekræftelse på modtagelsen tilbage til den indtastede mailadresse med samme emnefelt, som blev indtastet i formularen, og med Oisters Kundeservice som afsender.«
Hun fortæller videre, at den pågældende kontaktformular på oister.dk blev pillet ned mandag morgen.
»Formularen lå i en widget i form af en gul knap, hvor der stod ’Hjælp’, og som poppede op, når man bevægede sig rundt på sitet,« oplyser Rikke Juul Hansen.
I den forbindelse har Oister også lukket andre webformularer på oister.dk, fortæller hun.
Ingen Captcha
Når misbruget i første omgang har kunnet lade sig gøre, skyldes det, at den pågældende kontaktformular ikke har haft en Captcha-lignende funktionalitet.
Captcha står for Completely Automated Public Turing-test to tell Computers and Humans Apart og har til formål at forhindre, at eksempelvis en webformular kan udfyldes af automatiseret computerkode og misbruges til eksempelvis spam-udsendelse.
Flere kender nok Captcha i form af diverse bokse med mere eller mindre ulæselig tekst, som skal indtastes manuelt, for at webformularen kan sendes af sted. Google har en lignende løsning, der har vundet udbredelse flere steder, som virksomheden kalder reCaptcha
Her er det nok at hakke af i et felt med teksten 'Jeg er ikke en robot'. Google fortæller mere om projektet her.
Oister bruger faktisk reCaptcha i forbindelse med en anden kontakt-formular på sitet, men det har altså ikke været tilfældet i forbindelse med den formular, der er blevet misbrugt.
I forhold til, hvorfor denne formular ikke har været beskyttet, oplyser Rikke Juul Hansen:
»Oister har valgt dette for at levere en bedre kundeoplevelse og hurtigere adgang til hjælp eller kontakt. På baggrund af dagens episode er Oister nu i gang med at indsætte en sådan robot-beskyttelse på alle kontaktformularer. I mellemtiden er der lukket for henvendelser til Oister via forsidens webwidget.«
Også hos moderselskabet 3 er der sat gang i en lignende opdatering i forhold til webformularer på 3.dk, oplyser Rikke Juul Hansen.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
