Trods nyligt phishing-misbrug: Stadig ingen DMARC-beskyttelse på officielt Nets-domæne
Det officielle Nets-domæne nets.eu er for nyligt blevet misbrugt i en phishing-kampagne. I 2017 var forventningen hos Nets ellers, at domænet for to år siden ville få DMARC-beskyttelse, så netop den slags misbrug kunne begrænses. Det er dog endnu ikke sket. DMARC er kort fortalt en teknologi, hvor indehaveren af et domæne, eksempelvis danskebank.dk, kan sætte nogle politikker op for, hvordan mails, der udgiver sig for at komme fra det pågældende domæne, skal behandles af mail-modtagerens server. På den måde bliver det sværere for en angriber at sende eksempelvis en phishing-mail, der ser ud til at komme fra et legitimt domæne som @danskebank.dk Dermed kan DMARC lukke ned for nogle af de allermest vellignende phishing-forsøg. Netop Danske Bank har tidligere fortalt Version2 om, hvordan og hvorfor virksomheden har beskyttet ca. 2.600 af bankens domæner med DMARC. For større organisationer med mange domæner og samarbejdspartnere - eksempelvis eksterne tjenester til udsendelse af nyhedsbreve - kan det være mere komplekst at implementere DMARC, end hvis der er tale om en mindre organisation med et enkelt domæne. Uanset organisationens størrelse er det generelt en god idé at køre med DMARC i såkaldt monitorerings-tilstand, inden teknologien aktiveres, så man sikrer, at legitime mails når frem til modtageren, mens falske mails smides væk. Og ikke omvendt. I monitoreringsperioden genereres alene rapporter, som kan bruges til at identificere eventuelle problemer med DMARC-opsætningen, inden den aktiveres.DMARC
»Flere af vores domæner har i dag en DMARC-reject policy, og nets.eu er undervejs. Vi forventer, at den bliver implementeret inden længe. Vi havde gerne set, at den allerede var tilføjet, men i tilfældet nets.eu har det vist sig mere vanskeligt end forventet, blandt andet på grund af nogle eksterne afhængigheder,« oplyser pressekontakt hos Nets Povl Damstedt Rasmussen via mail til Version2.
Omkring slutningen af september i år udsendte Nets en pressemeddelelse, hvor der blev advaret om et boom i falske mails. Meddelelsen nåede via Ritzau ud til flere medier, blandt andet DR.
I den forbindelse var chef for svindelbekæmpelse i Nets Sune Gabelgård citeret for følgende:
»Vi får opkald fra danskere, som er i tvivl om, hvorvidt det er fup eller en sandfærdig mail fra Nets.«
Formålet med kampagnen skulle være at lokke oplysninger om betalingskort ud af folk.
server@nets.eu
Det har næppe gjort det lettere for potentielle ofre at spotte, hvorvidt der er tale om den ægte vare eller fup og fidus er, al den stund at angriberne i flere tilfælde har misbrugt det officielle Nets-domæne nets.eu som afsenderadresse i phishing-kampagnen.
I et phishing-eksempel, Version2 har fået tilsendt, er afsenderfeltet eksempelvis angivet til at være server@nets.eu.
Havde DMARC været implementeret for domænet med en såkaldt reject-policy, ville det som udgangspunkt være umuligt at misbruge et legitimt domæne, som det er tilfældet med den seneste phishingkampagne - dog forudsat, at modtagerens mailsystem også understøtter DMARC. Det gør eksempelvis Gmail og Yahoo, som man danskere bruger. Det skal her bemærkes, at der kan være andre mail-filtre på plads i modtagerens mail-system, der alt efter omstændighederne kan fange fup-mails. DMARC er en protokol, der hvis den ellers er implementeret korrekt, kan sikre en ensartet behandling af visse typer fup-mails.
»Vi ser løbende på, hvordan vi kan dæmme op over for phishing-mails med de værktøjer, vi har til rådighed. Vi ville dog ikke kunne have forhindret den seneste phishing-bølge, da mange mails var afsendt med andre domæner i afsenderfeltet,« oplyser Povl Damstedt Rasmussen og tilføjer:
»Men det er klart, at vi kan gøre svindlernes arbejde lidt sværere, hvis vi forhindrer dem i at benytte vores domæner, herunder nets.eu. Derfor arbejder vi fortsat på en løsning med en reject policy for nets.eu, og vi forventer den klar inden længe, ligesom vi allerede har implementeret det for flere andre domæner.«
Startede DMARC-kamp i 2013
Det er Henrik Schack, der gjorde Version2 opmærksom på, det er endnu ikke er DMARC på nets.eu, trods 2017-udmeldingerne.
Shack står bag status.dmarc.dk, der er en overbliksside i forhold til, hvordan det står til med DMARC-implementeringen i en række danske organisationer.
»Jeg startede min 'kamp' for at få NETS til at implemente DMARC helt tilbage i 2013,« oplyser han i en mail til Version2.
I den forbindelse henviser Schack også til et indlæg, han skrev om Nets og DMARC i 2016, hvor det blandt andet fremgår, at DMARC for nets.eu ikke er på plads.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.