Kategoriarkiv: DMARC

Danske Bank viser vejen med DMARC

Som den første bank i Danmark, har Danske Bank nu sat anti phishing systemet DMARC i fuld drift med en reject policy.
Idet Danske Bank er Danmarks største bank, kan man roligt kalde det en dårlig nyhed for for de IT kriminelle, som nu ikke længere kan få leveret falske danskebank.dk emails1.

Hvad gør man så som kriminel uden ønske om at blive omskolet til ærligt arbejde?
En oplagt mulighed kunne være at prøve med domænenavne som ligner danskebank.dk, men her møder de kriminelle den næste skuffelse. Danske Bank har registreret et utal af domænenavne som ligner danskebank.dk i større eller mindre grad, f.eks.

banskebank.dk
daanskebank.dk
dabskebank.dk
damskebank.dk
danakebank.dk
dandkebank.dk
daneskebank.dk
dankebank.dk
dankenetbank.dk
danksebank.dk
danksenetbank.dk
dankskebank.dk
dannskebank.dk
dansebank.dk
dansekbank.dk
danskabank.dk
danskbank.dk

Disse domæner er også konfigureret med en DMARC reject policy, og dermed praktisk talt værdiløse til brug i forbindelse med phishing. Den samlede liste over Danske Bank ejede domæner er meget lang, vi taler mange hundrede, hvis ikke tusinder af domæner.

Alt i alt, en rigtig flot indsats af Danske Bank.


1 Anvender man Apple email tjenester som @me.com, @icloud.com osv, er man ikke sikret mod phishing, idet Apple er en del år bagefter på email sikkerhedsområdet.

Hvad er DMARC?

Email with lock and chain

Hvad er DMARC?

DMARC er en email sikkerhedsstandard som forhindrer falske emails i at nå frem til modtagerne.

Hvad koster DMARC?

DMARC er en Internet standard, og er derfor gratis for alle at anvende.

Hvem anvender DMARC?

Alt for få desværre, du kan se en liste over nogle af dem her.

Hvem burde anvende DMARC?

Alle firmaer som sender email eller ejer domænenavne burde anvende DMARC.
Ved at anvende DMARC beskytter et firma sig selv, sine samarbejdspartnere og ikke mindst sine kunder mod falske emails.
Ganske almindelige mennesker behøver ikke at bekymre sig om DMARC.

Er DMARC svært at tage i brug?

Det kommer an på hvor stor en virksomhed der er tale om,  et lille firma med en hjemmeside og et nyhedsbrev kan for det meste være oppe at køre i løbet af et par timer.
Større firmaer med en kompleks email løsning kan tage betydeligt længere tid at få klargjort.

Er der andre fordele ved DMARC?

De store email udbydere sætter pris på authenticated email, Google anbefaler ligefrem brugen af DMARC i deres Bulk Sender Guidelines
Med andre ord, hvis din virksomhed er afhængig af gode email leverancer, så er DMARC relevant for dig.

Hvor kan jeg få hjælp til DMARC?

Lige her, hos DMARC dot DK, skriv til [email protected]


Mere om DMARC:
DMARC hjemmesiden
Video intro til DMARC
“SKAT” i England anvender DMARC og stopper 300 millioner falske emails.

CEO fraud


CEO fraud er rigtig populært blandt kriminelle, i denne uge har vi kunnet læse om hvordan både Statens Museum for Kunst og Dansk Filminstitut har udbetalt store beløb til kriminelle som følge af veludført CEO fraud.
CEO fraud er let tjente penge, men hvor let tjente pengene skal være har du som virksomhedsejer selv rig mulighed for at være med til at bestemme.

  • Hav en tidssvarende email sikkerheds konfiguration. DMARC yder god beskyttelse mod phishing, og desuden kan de kriminelle se man anvender DMARC, dvs. man ligner ikke et nemt offer når de kriminelle er på jagt efter næste emne.
  • Sørg for faste procedurer som skal følges når der udbetales penge, f.eks. kontrolopkald.
  • Giv ikke uforvarende de kriminelle informationer som kan misbruges.
    En del virksomheder har personalesider hvor man kan se de ansattes navn, emailadresse og titler, det er selvsagt en dårlig ide.

Burde man ikke kunne klare sig alene med faste udbetalings procedurer? Jo, i en perfekt verden er der nok ikke grund til andre forholdsregler, men i en stresset hverdag hvor CEO tilsyneladende sender en email  angående en hasteudbetaling “kl 5 min. i gå hjem tid” fredag eftermiddag kan procedurer smutte. Til den slags situationer er det en fordel at kunne minimere mængden af falske emails ved hjælp af DMARC. Derudover beskytter DMARC også både samarbejdspartnere og kunder mod falske emails afsendt i ens navn.

Statens filminstitut snydt for 200.000 kroner
Statens Museum for Kunst franarret 805.000 kroner

DMARC milepæl i Danmark

New chapter

Den 28. marts 2017 kan måske gå hen at blive en dag som vil blive husket. Finans Danmark kom i en pressemeddelelse med et forslag om at anvende DMARC som middel i kampen mod den stigende IT-kriminalitet.

Indtil nu har Indsatsen mod IT-kriminalitet i Danmark, for en stor dels vedkommende haft karakter af “brandslukning” efter skaden er sket.
Med udmeldingen fra Finans Danmark lægges der op til en regulær kovending hvor firmaerne ved hjælp af DMARC sørger for at reducere mængden af falske emails som havner hos brugerne.
Mere præcist, er det de bedst udførte angreb som ikke længere vil være mulige. Som følge heraf bliver det betydeligt nemmere for helt almindelige mennesker at genkende en phishing email.

Hvad så nu?
Bliver de kriminelle lovlydige mennesker med et normalt arbejde? Nej desværre, nok ikke lige med det samme, der er stadig masser af firmaer som helt ignorerer ny teknologi som DMARC.
Får bankerne lukket ned for misbrug, vil andre firmaer helt naturligt stå for tur.

Alt i alt bør man gå igang med at implementere DMARC nu.
Med en utidssvarende email sikkerheds konfiguration vil man fremstå som en nemt offer for de kriminelle.

Mere om Finans Danmark og DMARC:
Bankbranche vil have fut på DMARC-udbredelse i Danmark
Danskerne er lette ofre for afpresning via nettet

 

Pas på med email fra politiet

Email fra politiet

Politiet er normalt fortalere for forebyggelse af kriminalitet, der er dog undtagelser, kræver den forebyggende indsats at politiets interne IT afdeling skal have hænderne op af lommerne, så kan initiativet have særdeles svært ved at komme ud over idé-stadiet.

Juni 2016 gjorde jeg politiets interne IT afdeling opmærksom på at email sikkerhedskonfigurationen på politi.dk er praktisk talt ikke eksisterede, og at det derfor er meget nemt at afsende falske @politi.dk emails. Man kvitterede med et svar i autosvar kategorien, og derefter skete intet.

2. december 2016 var der så kriminelle der havde fået øje på den amatøragtige konfiguration af politi.dk domænet og afsendte en stak falske @politi.dk emails. Den historie kan man læse her.

Så fik de vel hænderne op af lommerne? Nej, desværre ikke, politiets interne IT afdeling  er tilsyneladende bedøvende ligeglade med at kriminelle afsender falske @politi.dk emails.

Det er med andre ord op til os selv at undgå at blive snydt af falske emails fra politiet.
Nu tænker du måske, “Jamen politiet sender da ikke emails til helt almindelige mennesker vel?” Jo, det sker faktisk, politiet er begyndt at udsende emails til folk der har været udsat for email svindel. Lad os håbe der ikke er danskere som bliver ofre for falske emails fra politiet om at de er blevet udsat for falske emails 🙂
Læs hele historien på dr.dk

Her er en liste over nogle af politiets domænenavne, pas på hvis du modtager en email fra et af dem, den kan ligeså nemt være falsk som ægte.

  • blivpolitibetjent.dk
  • europol.dk
  • interpol.dk
  • jobipolitiet.dk
  • polars.dk
  • police.dk
  • politi.dk
  • politiet.dk
  • politimuseum.dk
  • politinet.dk
  • politinettet.dk
  • politiskolen.dk
  • politistatistik.dk
  • polix.dk
  • polti.dk
  • rigspoliti.dk
  • rigspolitichefen.dk
  • rigspolitiet.dk
  • webpoliti.dk

Opdateringer:

  • 23/03/2017 Politiet har nu fået oprettet en DMARC record på politi.dk domænet
  • 28/03/2017 Politiet har nu fået oprettet en SPF record på politi.dk domænet.

E-Handel email sikkerhed

Online shopping

Inspireret af en artikel på Computerworld om danskernes foretrukne webshops, har jeg taget et kig på email sikkerheden hos de mest populære steder danskerne handler online.

Resultatet af min mini undersøgelse kan du se i tabellen herunder.

Konklusion:
Det har altid været en god ide at passe på når du handler online, men der er endnu mere grund til at passe på i forhold til de emails du modtager når, eller efter du har handlet online.

18 ud af 20 firmaer har intet gjort for at sikre deres kunder imod falske emails.

Det eneste firma som har gjort alt der er teknisk muligt for at sikre kunderne er Wish.com, Amazon har gjort noget, men der er et stykke op til niveauet man ser hos Wish.com.

Danskespil gør sig ekstraordinært uheldigt bemærket idet de kræver NemID ved login, men ikke samtidig sikrer brugerne mod phishing.

Pas på derude! Overvej eventuelt at kontakte de steder du handler online, og spørg til hvornår de tager DMARC i brug.

FirmaSPFDKIMDMARC Policy ?
ZalandoJaJaIngen
AmazonJaJaQuarantine
SaxoJaJa 1Monitor
EbayJaJaMonitor
H&MJa? 2Monitor
CoopJa? 2Ingen
Bilka.dkJa? 2Ingen
ElgigantenJaNejIngen
Cdon.comJaJaIngen
Dsb.dkJaNejIngen
Nemlig.comJaNejIngen
Just-EatJa? 2Ingen
Wupti.comJa? 2Ingen
Wish.comJaJaReject
DanskespilJaJaIngen
BilletnetJa? 2Ingen
Boozt.comJa? 2Ingen
AsosJa? 2Ingen
SASJa? 2Ingen
Matas webshopJa 3? 2Ingen

1 DKIM signer med forkert domæne.
2 Har ikke modtaget email fra domænet.
3 SPF record er defekt.

DMARC Policy betydning:

PolicyForklaring
IngenIngen form for email sikkerhed etableret.
MonitorIngen form for email sikkerhed etableret. Der modtages dog rapporter om misbrug.
QuarantineFalske emails lander automatisk i spam mappen.
RejectEmail sikkerheds superstar, det bliver ikke bedre.

Er dit firma et nemt mål for phishing?

Rigtig meget cybercrime starter med noget så simpelt som en phishing email.
Prioriterer du ikke email sikkerhed i din virksomhed, kan du uforvarende komme til at give de kriminelle en hjælpende hånd.
På den måde kan du udsætte både dit firma og måske endnu værre dine kunder, for unødvendig fare.

Er din virksomhed sikret ? Tjek selv, det tager kun et par minutter.

  1. Åben Dmarcian.com DMARC Inspector.
  2. Indtast dit firmas domænenavn.
  3. Udfyld CAPTCHA.
  4. Tryk på Inspect The Domain knappen.
  5. På næste side vises domænets DMARC record såfremt den eksisterer.

Lad os se på nogle af de mulige resultater.

politi.dk

politi.dk DMARC inspector result

Her har vi et fuldkommen ubeskyttet domæne, kriminelle kan helt frit anvende @politi.dk email adresser i phishing emails de udsender. Politiet er bekendt med problemet med har indtil videre valgt ikke at gøre noget ved det.


skat.dk

skat.dk DMARC inspector result

Det ser lidt bedre ud hos SKAT, man har oprettet en DMARC record, men anvender kun DMARC til overvågning, ikke til afvisning af falske emails.

“p” kan have en af 3 værdier.

  • none = Overvåg misbrug.
  • quarantine = Falske emails leveres direkte i spam mappen.
  • reject = Falske emails afvises af modtagerens mailserver

youtube.com

youtube.com DMARC inspector result

Youtube (Google) tager ikke overraskende email sikkerhed alvorligt, falske @youtube.com emails vil blive afvist.


Er dit firmas domæne usikkert konfigureret? Så er du ikke alene, selvom DMARC standarden har eksisteret i over 5 år er den stadig ret ukendt i Danmark. Her kan du se en oversigt over nogle af de danske firmaer som har taget DMARC standarden i brug.

Genkend phishing – lidt nemmere

‘Man skal ikke gå over åen efter vand’, lyder en dansk talemåde.
Ideen med ikke at gøre tingene sværere for sig selv end nødvendigt, kan man også anvende når man skal genkende en phishing email.

Firmaer er generelt meget glade for deres navne og brands, og er derfor typisk meget loyale overfor dem når der kommunikeres på den ene eller anden måde.
Føtex har Føtex plastikposer i butikkerne, ikke plastikposer fra Leasy eller Lidl. Samme system med Internet domænenavne, Nykredit udsender ikke emails med Superbrugsen, Matas eller Hotmail email adresser som afsender.

Derfor, kig altid som det første på afsender adressen i emails, inden du går igang med at vurdere eventuelle stavefejl og hvor mistænkelige diverse links i emailen ser ud. Du vil hurtigt opdage at i mange tilfælde behøver du ikke andet end at kigge på afsender adressen for at konstatere der er tale om phishing.

‘Jamen afsender addresser kan forfalskes.’ Det er korrekt, det er så her DMARC kommer ind i billedet, hvis et firma anvender DMARC til at beskytte sit Internet domæne, kan man ikke forfalske dette domænes email adresser. Forsøger man alligevel, afvises disse emails ganske enkelt af de store mail udbydere, dvs du som tiltænkt modtager ser aldrig disse svindelforsøg.
DMARC standarden har været tilgængelig for verden siden starten af 2012, og den er helt gratis at anvende.

Nu sidder du måske og undrer dig over hvorfor i alverden vi stadig hører om det ene phishing angreb efter det andet, der går sjældent en uge uden et phishing angreb rettet mod danskere. Forklaringen er helt simpel, selvom DMARC standarden har eksisteret i 5 år, er der meget få danske firmaer som har taget den i brug, du kan se en liste her

Firmaer som NETS, NemID, SKAT & e-Boks ved alle at DMARC eksisterer og at det er et effektivt middel mod phishing, men har altså bevidst valgt ikke at beskytte deres brugere & kunder.

E-Boks phishing potentiale

E-Boks er tænkt som en slags mere sikker udgave af email.

Der er dog et punkt hvor E-Boks totalt fejler, email sikkerheden er helt i bund, og E-Boks har på trods af talrige opfordringer de sidste 3-4 år tilsyneladende ikke tænkt sig at rette op på dette.

Hvor slemt står det egentlig til?
Lad os prøve at lave en simpel vurdering af phishing potentialet i E-Boks, set med en kriminels øjne.

Målgruppe
E-boks er som bekendt ikke en frivillig løsning til kommunikation med det offentlige, men derimod noget alle skal bruge. Da det er pokkers besværligt og tidskrævende at tjekke sine E-boks beskeder, har rigtig mange aktiveret notifikations funktionen som automatisk sender en email når der er en ny besked i E-Boks.
Et forsigtigt gæt kunne være at 1 million danskere jævnligt modtager email notifikationer fra E-Boks.
Det er en drømmesituation for en kriminel med phishing som speciale.

Tekniske hindringer
Tekniske hindringer er der ingen af, email sikkerheden hos E-Boks er så forældet, at man nærmest kan tale om at de understøtter phishing. En kvik kriminel kan nemt konstruere en phishing email som for mailudbyderne ser mere ægte ud end den ægte vare!
Anti phishing teknologien DMARC kendes kun af de stakkels E-Boks social media folk som har måttet lægge øre til mit brok de sidste 3-4 år.

Udførsel
De falske emails tager udgangspunkt i en ægte email fra E-Boks som tilrettes og korrekturlæses af dygtige sprogkyndige.
Man kunne f.eks. konstruere en email omhandlende opdatering af brugervilkår for E-Boks i anledning af de nye EU bestemmelser vedrørende persondata, vedhæftet emailen er noget der ligner en PDF fil, men i virkeligheden er noget helt andet.
En anden angrebsvinkel kunne være mere målrettede angreb ved hjælp af forfalskede “Videresend” emails fra E-Boks, den slags emails har som standard en vedhæftet fil.

Alt i alt
Hvis kriminelle udser sig E-Boks brugere som mål, er jeg bange for det kan gå galt på et niveau vi aldrig tidligere har set tingene gå galt her i Danmark.
Der er ingen grund til at kriminelle ikke skulle få øje på E-Boks phishing mulighederne på et tidspunkt, den dårlige email sikkerhed hos E-Boks er synlig for hele verden i DNS systemet.