Reportage

Trods nyligt phishing-misbrug: Stadig ingen DMARC-beskyttelse på officielt Nets-domæne

11. oktober 2019 kl. 14:457
Trods nyligt phishing-misbrug: Stadig ingen DMARC-beskyttelse på officielt Nets-domæne
Illustration: Bigstock.
For to år siden var Nets på vej med DMARC-beskyttelse til nets.eu - det kom aldrig, og nu er domænet misbrugt i phishing-kampagne.
person
Jakob Møllerhøj
journalist
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Jakob Møllerhøj
journalist

Det officielle Nets-domæne nets.eu er for nyligt blevet misbrugt i en phishing-kampagne. I 2017 var forventningen hos Nets ellers, at domænet for to år siden ville få DMARC-beskyttelse, så netop den slags misbrug kunne begrænses. Det er dog endnu ikke sket.

DMARC

DMARC er kort fortalt en teknologi, hvor indehaveren af et domæne, eksempelvis danskebank.dk, kan sætte nogle politikker op for, hvordan mails, der udgiver sig for at komme fra det pågældende domæne, skal behandles af mail-modtagerens server.

På den måde bliver det sværere for en angriber at sende eksempelvis en phishing-mail, der ser ud til at komme fra et legitimt domæne som @danskebank.dk

Dermed kan DMARC lukke ned for nogle af de allermest vellignende phishing-forsøg.

Netop Danske Bank har tidligere fortalt Version2 om, hvordan og hvorfor virksomheden har beskyttet ca. 2.600 af bankens domæner med DMARC.

For større organisationer med mange domæner og samarbejdspartnere - eksempelvis eksterne tjenester til udsendelse af nyhedsbreve - kan det være mere komplekst at implementere DMARC, end hvis der er tale om en mindre organisation med et enkelt domæne.

Uanset organisationens størrelse er det generelt en god idé at køre med DMARC i såkaldt monitorerings-tilstand, inden teknologien aktiveres, så man sikrer, at legitime mails når frem til modtageren, mens falske mails smides væk. Og ikke omvendt.

I monitoreringsperioden genereres alene rapporter, som kan bruges til at identificere eventuelle problemer med DMARC-opsætningen, inden den aktiveres.

»Flere af vores domæner har i dag en DMARC-reject policy, og nets.eu er undervejs. Vi forventer, at den bliver implementeret inden længe. Vi havde gerne set, at den allerede var tilføjet, men i tilfældet nets.eu har det vist sig mere vanskeligt end forventet, blandt andet på grund af nogle eksterne afhængigheder,« oplyser pressekontakt hos Nets Povl Damstedt Rasmussen via mail til Version2.

Omkring slutningen af september i år udsendte Nets en pressemeddelelse, hvor der blev advaret om et boom i falske mails. Meddelelsen nåede via Ritzau ud til flere medier, blandt andet DR.

I den forbindelse var chef for svindelbekæmpelse i Nets Sune Gabelgård citeret for følgende:

Artiklen fortsætter efter annoncen

»Vi får opkald fra danskere, som er i tvivl om, hvorvidt det er fup eller en sandfærdig mail fra Nets.«

Formålet med kampagnen skulle være at lokke oplysninger om betalingskort ud af folk.

server@nets.eu

Det har næppe gjort det lettere for potentielle ofre at spotte, hvorvidt der er tale om den ægte vare eller fup og fidus er, al den stund at angriberne i flere tilfælde har misbrugt det officielle Nets-domæne nets.eu som afsenderadresse i phishing-kampagnen.

I et phishing-eksempel, Version2 har fået tilsendt, er afsenderfeltet eksempelvis angivet til at være server@nets.eu.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Havde DMARC været implementeret for domænet med en såkaldt reject-policy, ville det som udgangspunkt være umuligt at misbruge et legitimt domæne, som det er tilfældet med den seneste phishingkampagne - dog forudsat, at modtagerens mailsystem også understøtter DMARC. Det gør eksempelvis Gmail og Yahoo, som man danskere bruger. Det skal her bemærkes, at der kan være andre mail-filtre på plads i modtagerens mail-system, der alt efter omstændighederne kan fange fup-mails. DMARC er en protokol, der hvis den ellers er implementeret korrekt, kan sikre en ensartet behandling af visse typer fup-mails.

»Vi ser løbende på, hvordan vi kan dæmme op over for phishing-mails med de værktøjer, vi har til rådighed. Vi ville dog ikke kunne have forhindret den seneste phishing-bølge, da mange mails var afsendt med andre domæner i afsenderfeltet,« oplyser Povl Damstedt Rasmussen og tilføjer:

»Men det er klart, at vi kan gøre svindlernes arbejde lidt sværere, hvis vi forhindrer dem i at benytte vores domæner, herunder nets.eu. Derfor arbejder vi fortsat på en løsning med en reject policy for nets.eu, og vi forventer den klar inden længe, ligesom vi allerede har implementeret det for flere andre domæner.«

Startede DMARC-kamp i 2013

Det er Henrik Schack, der gjorde Version2 opmærksom på, det er endnu ikke er DMARC på nets.eu, trods 2017-udmeldingerne.

Artiklen fortsætter efter annoncen

Shack står bag status.dmarc.dk, der er en overbliksside i forhold til, hvordan det står til med DMARC-implementeringen i en række danske organisationer.

»Jeg startede min 'kamp' for at få NETS til at implemente DMARC helt tilbage i 2013,« oplyser han i en mail til Version2.

I den forbindelse henviser Schack også til et indlæg, han skrev om Nets og DMARC i 2016, hvor det blandt andet fremgår, at DMARC for nets.eu ikke er på plads.

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
Henrik Schack
15. oktober 2019 kl. 16:19

2) Markering af at adressen ikke kan verificeres, fx med rød farve. Hvis afsender har DMARC konfigureret, kan det vises med grøn. Det svarer nogenlunde til markering af https i browsere.

Måske skulle man kombinere det med en eller anden form for reputation database, kriminelle kan skam godt finde ud af at implementere DMARC. Et nyregistreret lookalike domæne med DMARC konfigureret korrekt skulle helst ikke have farven grøn.

  • more_vert
    • insert_linkKopier link
6
Jarnis Bertelsen
15. oktober 2019 kl. 16:10

betragte Fra feltet på en email på samme måde som man betragler afsender adressen på på et brev

Du har ret, som situationen er i dag. Men kunne man ikke relativt simpelt få det til at blive lidt bedre.

  1. Emailklienter skal ikke skjule afsenderadressen i mails, med mindre du specifikt konfigurerer det. Undtagelse kunne være afsendere i adressebogen
  2. Markering af at adressen ikke kan verificeres, fx med rød farve. Hvis afsender har DMARC konfigureret, kan det vises med grøn. Det svarer nogenlunde til markering af https i browsere.

Det burde både gøre brugere list mere opmærksomme på at de ikke kan stole på afsenderadressen, og efterhånden som flere og flere domæner bliver grønne, vil det øge presset på resten.

  • more_vert
    • insert_linkKopier link
5
Povl Hansen
15. oktober 2019 kl. 09:35

"dog forudsat, at modtagerens mailsystem også understøtter DMARC." og så længe man er nød til af tage det her forbehold, må det stadig være mere sikkert af betragte Fra feltet på en email på samme måde som man betragler afsender adressen på på et brev.

Nemlig som et sted hvor folk kan skriver lige præsis hvad de har lyst til, det betyder ikke af krypteret forbindelse til email server DMERC og andre udvidelser ikke er en dejligt ting, bare af det er ting du ikke kan være sikker på alle har, så for en sikekrheds skyld, er det bedst af forvente af de ikke har det

  • more_vert
    • insert_linkKopier link
4
Rasmus Larsen
15. oktober 2019 kl. 08:26

Nu er jeg altid træt af at blive bragt i en situation hvor det kan lyde som om jeg forsvarer Nets og Verisign, men jeg ved ikke rigtigt hvorfra antagelsen om at manglen på DMARC har noget med dns udbyderen at gøre.

Det virker langt mere sandsynligt at NETS har svært ved at få tilføjet DKIM signering på alle udgående mailsendere, sikkert fordi de anvender en eller flere eksterne services der ikke understøtter det.

Og lige præcist når det gælder DNS servere har jeg ikke den store forståelse vedr. din kritik om at placere dataen i USA, eftersom alt data som udgangspunkt er offentligt og sikkert anycastet til alle verdens hjørner. Jeg ville aldrig selv foreslå verisign som leverandør af noget som helst, men det er nok den svageste kritik man kan komme med af det her system, hvad angår dns.

Lad os hellere fokusere på den reelle kritik man kan komme med, nemlig at man ikke har prioriteret det her tilstrækkeligt til at få fjernet de begrænsninger der er, så man kan få sikret sine kunder.

  • more_vert
    • insert_linkKopier link
3
Mogens Bluhme
14. oktober 2019 kl. 20:20

"Vi havde gerne set, at den allerede var tilføjet, men i tilfældet nets.eu har det vist sig mere vanskeligt end forventet, blandt andet på grund af nogle eksterne afhængigheder"

Og kunne man ikke forestille sig, at man INDEN man valgte navneserverleverandør - eller outsourcing i det hele taget - sikrede sig en seriøs SLA for change management?

Hvorfor navneserverne skal ligge hos Verisign/Network Solutions i USA, må guderne vide.

  • more_vert
    • insert_linkKopier link
1
Flemming Jacobsen
11. oktober 2019 kl. 15:00

Hvis det kan tage det meste af 2år at implementere DMARC på et så vigtigt domæne, så kan jeg kun konkludere at det ikke er vigtigt for nogen hos Nets. Altså at det tilsyneladende er kundernes eget problem hvis de bliver snydt af en phishing email og taber penge.

  • more_vert
    • insert_linkKopier link