E-Boks phishing potentiale

Eboks Phishing

E-Boks er tænkt som en slags mere sikker udgave af email.

Der er dog et punkt hvor E-Boks totalt fejler, email sikkerheden er helt i bund, og E-Boks har på trods af talrige opfordringer de sidste 3-4 år tilsyneladende ikke tænkt sig at rette op på dette.

Hvor slemt står det egentlig til?
Lad os prøve at lave en simpel vurdering af phishing potentialet i E-Boks, set med en kriminels øjne.

Målgruppe
E-boks er som bekendt ikke en frivillig løsning til kommunikation med det offentlige, men derimod noget alle skal bruge. Da det er pokkers besværligt og tidskrævende at tjekke sine E-boks beskeder, har rigtig mange aktiveret notifikations funktionen som automatisk sender en email når der er en ny besked i E-Boks.
Et forsigtigt gæt kunne være at 1 million danskere jævnligt modtager email notifikationer fra E-Boks.
Det er en drømmesituation for en kriminel med phishing som speciale.

Tekniske hindringer
Tekniske hindringer er der ingen af, email sikkerheden hos E-Boks er så forældet, at man nærmest kan tale om at de understøtter phishing. En kvik kriminel kan nemt konstruere en phishing email som for mailudbyderne ser mere ægte ud end den ægte vare!
Anti phishing teknologien DMARC kendes kun af de stakkels E-Boks social media folk som har måttet lægge øre til mit brok de sidste 3-4 år.

Udførsel
De falske emails tager udgangspunkt i en ægte email fra E-Boks som tilrettes og korrekturlæses af dygtige sprogkyndige.
Man kunne f.eks. konstruere en email omhandlende opdatering af brugervilkår for E-Boks i anledning af de nye EU bestemmelser vedrørende persondata, vedhæftet emailen er noget der ligner en PDF fil, men i virkeligheden er noget helt andet.
En anden angrebsvinkel kunne være mere målrettede angreb ved hjælp af forfalskede “Videresend” emails fra E-Boks, den slags emails har som standard en vedhæftet fil.

Alt i alt
Hvis kriminelle udser sig E-Boks brugere som mål, er jeg bange for det kan gå galt på et niveau vi aldrig tidligere har set tingene gå galt her i Danmark.
Der er ingen grund til at kriminelle ikke skulle få øje på E-Boks phishing mulighederne på et tidspunkt, den dårlige email sikkerhed hos E-Boks er synlig for hele verden i DNS systemet.