Trods nyligt phishing-misbrug: Stadig ingen DMARC-beskyttelse på officielt Nets-domæne

For to år siden var Nets på vej med DMARC-beskyttelse til nets.eu - det kom aldrig, og nu er domænet misbrugt i phishing-kampagne.

Det officielle Nets-domæne nets.eu er for nyligt blevet misbrugt i en phishing-kampagne. I 2017 var forventningen hos Nets ellers, at domænet for to år siden ville få DMARC-beskyttelse, så netop den slags misbrug kunne begrænses. Det er dog endnu ikke sket.

Læs også: Fire udvalgte domæner får særlig sikring mod NemID-phishing

»Flere af vores domæner har i dag en DMARC-reject policy, og nets.eu er undervejs. Vi forventer, at den bliver implementeret inden længe. Vi havde gerne set, at den allerede var tilføjet, men i tilfældet nets.eu har det vist sig mere vanskeligt end forventet, blandt andet på grund af nogle eksterne afhængigheder,« oplyser pressekontakt hos Nets Povl Damstedt Rasmussen via mail til Version2.

Omkring slutningen af september i år udsendte Nets en pressemeddelelse, hvor der blev advaret om et boom i falske mails. Meddelelsen nåede via Ritzau ud til flere medier, blandt andet DR.

I den forbindelse var chef for svindelbekæmpelse i Nets Sune Gabelgård citeret for følgende:

»Vi får opkald fra danskere, som er i tvivl om, hvorvidt det er fup eller en sandfærdig mail fra Nets.«

Formålet med kampagnen skulle være at lokke oplysninger om betalingskort ud af folk.

server@nets.eu

Det har næppe gjort det lettere for potentielle ofre at spotte, hvorvidt der er tale om den ægte vare eller fup og fidus er, al den stund at angriberne i flere tilfælde har misbrugt det officielle Nets-domæne nets.eu som afsenderadresse i phishing-kampagnen.

Læs også: Phishing-mail fik Digitaliseringsstyrelsen til at indføre DMARC »med det samme«

I et phishing-eksempel, Version2 har fået tilsendt, er afsenderfeltet eksempelvis angivet til at være server@nets.eu.

Havde DMARC været implementeret for domænet med en såkaldt reject-policy, ville det som udgangspunkt være umuligt at misbruge et legitimt domæne, som det er tilfældet med den seneste phishingkampagne - dog forudsat, at modtagerens mailsystem også understøtter DMARC. Det gør eksempelvis Gmail og Yahoo, som man danskere bruger. Det skal her bemærkes, at der kan være andre mail-filtre på plads i modtagerens mail-system, der alt efter omstændighederne kan fange fup-mails. DMARC er en protokol, der hvis den ellers er implementeret korrekt, kan sikre en ensartet behandling af visse typer fup-mails.

»Vi ser løbende på, hvordan vi kan dæmme op over for phishing-mails med de værktøjer, vi har til rådighed. Vi ville dog ikke kunne have forhindret den seneste phishing-bølge, da mange mails var afsendt med andre domæner i afsenderfeltet,« oplyser Povl Damstedt Rasmussen og tilføjer:

»Men det er klart, at vi kan gøre svindlernes arbejde lidt sværere, hvis vi forhindrer dem i at benytte vores domæner, herunder nets.eu. Derfor arbejder vi fortsat på en løsning med en reject policy for nets.eu, og vi forventer den klar inden længe, ligesom vi allerede har implementeret det for flere andre domæner.«

Startede DMARC-kamp i 2013

Det er Henrik Schack, der gjorde Version2 opmærksom på, det er endnu ikke er DMARC på nets.eu, trods 2017-udmeldingerne.

Shack står bag status.dmarc.dk, der er en overbliksside i forhold til, hvordan det står til med DMARC-implementeringen i en række danske organisationer.

»Jeg startede min 'kamp' for at få NETS til at implemente DMARC helt tilbage i 2013,« oplyser han i en mail til Version2.

I den forbindelse henviser Schack også til et indlæg, han skrev om Nets og DMARC i 2016, hvor det blandt andet fremgår, at DMARC for nets.eu ikke er på plads.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Flemming Jacobsen

Hvis det kan tage det meste af 2år at implementere DMARC på et så vigtigt domæne, så kan jeg kun konkludere at det ikke er vigtigt for nogen hos Nets. Altså at det tilsyneladende er kundernes eget problem hvis de bliver snydt af en phishing email og taber penge.

  • 14
  • 0
Mogens Bluhme

"Vi havde gerne set, at den allerede var tilføjet, men i tilfældet nets.eu har det vist sig mere vanskeligt end forventet, blandt andet på grund af nogle eksterne afhængigheder"

Og kunne man ikke forestille sig, at man INDEN man valgte navneserverleverandør - eller outsourcing i det hele taget - sikrede sig en seriøs SLA for change management?

Hvorfor navneserverne skal ligge hos Verisign/Network Solutions i USA, må guderne vide.

  • 1
  • 2
Rasmus Larsen

Nu er jeg altid træt af at blive bragt i en situation hvor det kan lyde som om jeg forsvarer Nets og Verisign, men jeg ved ikke rigtigt hvorfra antagelsen om at manglen på DMARC har noget med dns udbyderen at gøre.

Det virker langt mere sandsynligt at NETS har svært ved at få tilføjet DKIM signering på alle udgående mailsendere, sikkert fordi de anvender en eller flere eksterne services der ikke understøtter det.

Og lige præcist når det gælder DNS servere har jeg ikke den store forståelse vedr. din kritik om at placere dataen i USA, eftersom alt data som udgangspunkt er offentligt og sikkert anycastet til alle verdens hjørner. Jeg ville aldrig selv foreslå verisign som leverandør af noget som helst, men det er nok den svageste kritik man kan komme med af det her system, hvad angår dns.

Lad os hellere fokusere på den reelle kritik man kan komme med, nemlig at man ikke har prioriteret det her tilstrækkeligt til at få fjernet de begrænsninger der er, så man kan få sikret sine kunder.

  • 2
  • 0
Povl Hansen

"dog forudsat, at modtagerens mailsystem også understøtter DMARC."
og så længe man er nød til af tage det her forbehold, må det stadig være mere sikkert af betragte Fra feltet på en email på samme måde som man betragler afsender adressen på på et brev.

Nemlig som et sted hvor folk kan skriver lige præsis hvad de har lyst til, det betyder ikke af krypteret forbindelse til email server DMERC og andre udvidelser ikke er en dejligt ting, bare af det er ting du ikke kan være sikker på alle har, så for en sikekrheds skyld, er det bedst af forvente af de ikke har det

  • 1
  • 3
Jarnis Bertelsen

betragte Fra feltet på en email på samme måde som man betragler afsender adressen på på et brev


Du har ret, som situationen er i dag. Men kunne man ikke relativt simpelt få det til at blive lidt bedre.
1) Emailklienter skal ikke skjule afsenderadressen i mails, med mindre du specifikt konfigurerer det. Undtagelse kunne være afsendere i adressebogen
2) Markering af at adressen ikke kan verificeres, fx med rød farve. Hvis afsender har DMARC konfigureret, kan det vises med grøn. Det svarer nogenlunde til markering af https i browsere.

Det burde både gøre brugere list mere opmærksomme på at de ikke kan stole på afsenderadressen, og efterhånden som flere og flere domæner bliver grønne, vil det øge presset på resten.

  • 0
  • 0
Henrik Schack

2) Markering af at adressen ikke kan verificeres, fx med rød farve. Hvis afsender har DMARC konfigureret, kan det vises med grøn. Det svarer nogenlunde til markering af https i browsere.


Måske skulle man kombinere det med en eller anden form for reputation database, kriminelle kan skam godt finde ud af at implementere DMARC.
Et nyregistreret lookalike domæne med DMARC konfigureret korrekt skulle helst ikke have farven grøn.

  • 0
  • 0
Log ind eller Opret konto for at kommentere