Finans Danmark

Finans Danmark

Sidste år i marts måned kom Finans Danmark med en opfordring til at tage kampen op med bla. phishing ved hjælp af DMARC.
Med ganske få undtagelser lykkedes det en samlet finansbranche fuldstændig at overhøre denne opfordring.

Finans Danmark har nu valgt at gå foran med et godt eksempel.
finansdanmark.dk domænet er nu topsikret mod misbrug med en DMARC reject politik, og derudover har man også aktiveret DNSSEC for domænet.
Så bliver det ikke bedre!

Finans Danmark er nu at finde på Elite listen

Så mangler vi bare at resten af finansbranchen kommer igang med at sikre sig selv og deres kunder mod falske emails.

“v=DMARC1; p=none;”

Doing it wrong

DMARC standarden blev designet til at være nem og ufarlig at tage i brug.
Man starter ganske simpelt med at overvåge sin email leverance, der er tale om ren overvågning, sikkerhedsmæssigt og leveringsmæssigt gør denne konfiguration ingen forskel.

"v=DMARC1; p=none; rua=mailto:xxx@ag.dmarcian.com;"

Herefter udfører man de nødvendige tilretninger for at ens email opfylder kravene fra DMARC standarden, tilretter SPF records, tilføjer manglende DKIM signaturer osv.
Denne process kan tage alt fra et par timer til flere år at komme igennem. Det er her værd at bemærke det yderst sjældent er tekniske forhindringer der får tingene til at tage tid, det skyldes typisk langsommelige interne procedurer og ansatte med et anstrengt forhold til nytænkning.

Når ens DMARC rapporter viser konfigurationen er helt på plads kan man skifte til en mere restriktiv DMARC politik, den kunne så således ud:

"v=DMARC1; p=quarantine; rua=mailto:xxx@ag.dmarcian.com;"

Bemærk ordet quarantine, oversat til dansk betyder det i en DMARC record at falske emails med dit domæne som afsender skal leveres direkte i spam mappen.

Vil man opnå bedst mulig beskyttelse mod misbrug, kan man efter et stykke tid skifte til den strengeste DMARC politik, det kunne se sådan ud:

"v=DMARC1; p=reject; rua=mailto:xxx@ag.dmarcian.com;"

Ordet reject medfører at falske emails nu helt afvises hvor de forsøges afleveret.

Alt i alt er DMARC i forhold til så mange andre ting ganske enkelt at implementere, der er jo ikke rigtig noget der kan gå galt…. troede jeg …

Inden man går igang bør man lige bruge en times tid på at sætte sig ind i det helt grundlæggende vedrørende DMARC, ring til en ven, hyr en professionel eller se nogle af de mange DMARC instruktions videoer på Youtube.
Den del er der desværre nogle firmaer som springer let og elegant henover.
Her på det seneste har jeg set en del DMARC records med følgende indhold:

"v=DMARC1; p=none;"

På dansk står der noget i stil med: “Hej emailservere i hele verden, jeg er igang med at implementere DMARC, så nu må i gerne generere rapporter når i ser email som skal forestille at komme fra mit domæne, når rapporterne er færdige kan i bare smide dem væk, jeg vil ikke have dem”

Sådan en konfiguration er selvsagt noget komplet meningsløst fumleri.
Det er ikke sådan at konfigurationen rent teknisk gør skade, den gør hverken fra eller til, i praksis kunne man ligeså godt slette en DMARC record med det indhold.
Men måske sender man et lidt uheldigt signal til de kriminelle?
Her er tale om et firma som sjusker med sikkerheden, er email sikkerhed den eneste form for sikkerhed der sjuskes med, eller sker det også på andre områder?

Fumle listen kan du se eksempler denne slags DMARC implementeringer.

Hjælper du kriminelle?

Donating to crime

Nej, du hjælper nok ikke de kriminelle med fuldt overlæg, men dårlig email sikkerhed kombineret med et par andre uhensigtsmæssigheder, kan gøre at du alligevel hjælper dem, eller ihvertfald gør deres arbejde betydeligt nemmere.

DMARC
Har du ikke implementeret DMARC på dit domæne, gør du det ekstremt nemt for kriminelle at sende forfalskede og særdeles vellignende emails med dit eget domæne som afsender.
En SPF record er i forhold til phishing værdiløs.
Din lokale ekspert som hårdnakket påstår en SPF record er løsningen på falske emails, ja ham må du bede om at læse SPF standarden lidt mere grundigt, der er noget helt grundlæggende han har misforstået.

Referencer
Er du et af de firmaer som skilter med dine B2B kunder og samarbejdspartere på din hjemmeside, har du givet de kriminelle endnu en hjælpende hånd. Med den information ved de også hvem de kan rette et spear phishing angreb imod.

Medarbejderoversigt
Er du derudover også et af de firmaer som har en medarbejderoversigt liggende på din hjemmeside, med titler, navne og emailadresser, så ved de kriminelle også præcis hvilken falsk identitet de skal antage.

Alt i alt er det ikke så svært utilsigtet nærmest at opfordre til kriminalitet. Der er ikke rigtig nogen lov som forbyder ovenstående scenarie, men er du glad for, eller måske ligefrem afhængig af dine kunder, vil jeg anbefale ikke at udsætte dem for fare som i sidste ende vil pege tilbage på dig.

 

 

status.dmarc.dk

At finde ud af om et domæne er sikret mod phishing kan være lidt udfordrende.

Har du en iPhone, kan du med fordel installere Stopsvindel.nu app’en, så foregår det helt automatisk & smertefrit.

Du kan også bruge DMARC dot DKs seneste tiltag: status.dmarc.dk, her kan du nogenlunde nemt se om et givent domæne har sikret sig mod email misbrug.
Der er i øjeblikket lidt over 500 domæner i den bagvedliggende database, men der bliver løbende tilføjet nye.

Er der domæner du gerne vil have tilføjet, så send en email til henrik snabela dmarc.dk

Sikkerhedsopdatering nu, næste uge eller næste måned

Man sleeping in sofa

Venter man for længe med at sikkerhedsopdatere Internetvendte systemer kan det have fatale følger.  Det kan alle WannaCry og NotPetya ofre skrive under på, og senest har Equifax også gjort sig nogle uheldige erfaringer på det område.

Generelt er det en god ide ikke at vente for længe med at opdatere hvis sikkerhed er en prioritet i ens liv eller virksomhed.
En ting er sikkert, jo længere man venter, jo større er risikoen for at nogen udnytter de sikkerhedsproblemer man har.

Email havde engang et sikkerhedsproblem, i mange år var det muligt at udgive sig for at være en anden end den man egentlig var, og det var ikke engang svært at gøre. Fænomenet var kendt som phishing og blev  anvendt direkte eller indirekte  til alverdens former for kriminalitet i hele verden.

Heldigvis kom der en sikkerhedsopdatering til email ved navn DMARC. DMARC løste problemet med at man frit kunne udgive sig for at være en anden.
DMARC sikkerhedsopdateringen var i kraft af sit design en af de sikkerhedsopdateringer man ikke med god samvittighed kunne udskyde udrulningen af.

Om DMARC gælder:

  • Mulighed for gradvis og risikofri udruldning.
  • Der er tale om en overbygning på SPF & DKIM som er gennemprøvede standarder man allerede har haft i brug i mange år. Lidt populært sagt, låsen har været der i mange år, DMARC sørger for at dreje nøglen.
  • Det er gratis, DMARC er en Internet standard og derfor gratis for alle at anvende.

Nå, tilbage til virkeligheden og et par facts.

  • Over 98% af de Danske domæner har ikke taget DMARC i brug.
  • Det er over 5 år siden DMARC blev en realitet.

Du behøver ikke at vente længere!
Kom nu igang med at gøre dit til Internettet bliver lidt mere sikkert for os allesammen.

 

Vi trykker enter 2.0

Cyber Security

I 2014 fik vi “National strategi for cyber- og informationssikkerhed”, og Bjarne Corydon  udtalte  “Vi trykker enter – og så kører det!” … Helt så nemt gik det imidlertid ikke.

Hvor vi i 2014 lå på en 9. plads på ITUs Global Security Index, så er vi i 2017 rykket ned på en 34. plads, til sammenligning ligger Norge og Sverige på henholdsvis plads 11 og 17.

Hvad gik der galt?
For lidt fokus?
Forkert fokus?
For meget snak og for lidt handling?

Nu barsler regeringen så med en ny plan, som ved hjælp af 100 millioner kroner skal føres ud i livet over de næste 3-4 år. IT og Sikkerhedsbranchen er rystende uenige i beløbets størrelse, de mener der skal anvendes et 10 gange så stort beløb.
En ting er dog forholdsvis sikkert, mens der tales, aftales og findes penge her i Danmark, skal vi nok ikke regne med et timeout hos de kriminelle, de har trods alt nogle økonomiske mål de skal nå.

Er der mon noget de enkelte virksomheder selv kan gå igang med mens vi venter?
Ja, det er der, ifølge seneste Verizon’s 2017 Data Breach Investigations Report ser falske emails ud til at spille en af hovedrollerne i  forbindelse med IT kriminalitet.

Lige præcis falske emails kan man forhindre i at nå frem til modtageren ved hjælp af velafprøvede Internet standarder.  For at opnå den ønskede effekt skal man tage 3 standarder i brug: SPF, DKIM & DMARC.
Man kan selvfølgelig ikke forhindre alle falske emails i at nå frem, men man kan forhindre de mest veludførte i at blive leveret, og dermed gør man opgaven med at opdage de resterende falske emails betydelig nemmere for de medarbejdere eller kunder som modtager dem.

Hverken SPF, DKIM eller DMARC er nye standarder, de har eksisteret 5-13 år. Med så gamle standarder til rådighed til at løse et alvorligt problem kunne man jo forledes til at tro standarderne allerede var taget i brug langt de fleste steder?
Det er på ingen måde tilfældet, i skemaet herunder ser man en oversigt over Danmarks 20 økonomisk største virksomheder, kun en virksomhed (TDC) anvender en tidssvarende email sikkerheds konfiguration, Grundfos og Coop er godt igang, de resterende 17 er meget langt bagefter.

VirksomhedDomæneSPFDMARC policyDNSSEC
Mærskmaersk.comJaNone1Nej
Novo Nordisknovonordisk.comJaNone1Nej
Arla foodsarla.dkNejNej
ISSissworld.comJaNoneNej
Dong Energydongenergy.dkJaNoneNej
Carlsbergcarlsberg.comJaNej
DLGdlg.dkJaNej
Danish Crowndanishcrown.comJaNej
Dansk Supermarkeddansksupermarked.comJaNej
United shipping & trading companyustc.dkJaNej
Vestasvestas.comJaNoneNej
DSVdsv.comJaNoneNej
Coopcoop.dkJaQuarantineNej
Danfossdanfoss.comJaNoneNej
SASsas.dkJaNej
Legolego.comJaNoneNej
Statoil Refining Denmarkstatoil.comJaNej
Danish Agrodanishagro.dkNejNej
Grundfosgrundfos.dkJaQuarantineNej
TDCtdc.dkJaRejectNej

1 DMARC rapporterne smides ulæste væk.

DMARC policy forklaring:

  • None, email leverancer overvåges, men ingen falske emails afvises (debug mode)
  • Quarantine, falske emails leveres direkte til spammappen.
  • Reject, falske emails afvises og når aldrig frem til modtageren.

Links:
National strategi for cyber- og informationssikkerhed (2014)
Global Cybersecurity Index rapport – 2014
Global Cybersecurity Index rapport – 2017
Regeringens 100 millioner kroner til it-sikkerhed er alt for lidt
Verizon’s 2017 Data Breach Investigations Report

Opdateringer:

2017-09-07: Vestas.com har nu en DMARC monitor policy.

Dinero – Det sikre valg

Dinero logo

Regnskabsprogrammet Dinero har taget DMARC i brug, vel at mærke en fuld implementering med en reject policy.
I praksis betyder det at Dinero nu beskytter både sig selv, kunderne og kundernes kunder mod falske emails.

Står du og mangler et godt regnskabsprogram?
Vil du gerne beskytte dine kunder mod falske emails?
Så er det helt klart Dinero du skal vælge.

Det er ikke lykkedes at finde andre udbydere af regnskabsprogrammer med en tilsvarende god email sikkerhed.

Danske Bank viser vejen med DMARC

Som den første bank i Danmark, har Danske Bank nu sat anti phishing systemet DMARC i fuld drift med en reject policy.
Idet Danske Bank er Danmarks største bank, kan man roligt kalde det en dårlig nyhed for for de IT kriminelle, som nu ikke længere kan få leveret falske danskebank.dk emails1.

Hvad gør man så som kriminel uden ønske om at blive omskolet til ærligt arbejde?
En oplagt mulighed kunne være at prøve med domænenavne som ligner danskebank.dk, men her møder de kriminelle den næste skuffelse. Danske Bank har registreret et utal af domænenavne som ligner danskebank.dk i større eller mindre grad, f.eks.

banskebank.dk
daanskebank.dk
dabskebank.dk
damskebank.dk
danakebank.dk
dandkebank.dk
daneskebank.dk
dankebank.dk
dankenetbank.dk
danksebank.dk
danksenetbank.dk
dankskebank.dk
dannskebank.dk
dansebank.dk
dansekbank.dk
danskabank.dk
danskbank.dk

Disse domæner er også konfigureret med en DMARC reject policy, og dermed praktisk talt værdiløse til brug i forbindelse med phishing. Den samlede liste over Danske Bank ejede domæner er meget lang, vi taler mange hundrede, hvis ikke tusinder af domæner.

Alt i alt, en rigtig flot indsats af Danske Bank.


1 Anvender man Apple email tjenester som @me.com, @icloud.com osv, er man ikke sikret mod phishing, idet Apple er en del år bagefter på email sikkerhedsområdet.

Hvad er DMARC?

Email with lock and chain

Hvad er DMARC?

DMARC er en email sikkerhedsstandard som forhindrer falske emails i at nå frem til modtagerne.

Hvad koster DMARC?

DMARC er en Internet standard, og er derfor gratis for alle at anvende.

Hvem anvender DMARC?

Alt for få desværre, du kan se en liste over nogle af dem her.

Hvem burde anvende DMARC?

Alle firmaer som sender email eller ejer domænenavne burde anvende DMARC.
Ved at anvende DMARC beskytter et firma sig selv, sine samarbejdspartnere og ikke mindst sine kunder mod falske emails.
Ganske almindelige mennesker behøver ikke at bekymre sig om DMARC.

Er DMARC svært at tage i brug?

Det kommer an på hvor stor en virksomhed der er tale om,  et lille firma med en hjemmeside og et nyhedsbrev kan for det meste være oppe at køre i løbet af et par timer.
Større firmaer med en kompleks email løsning kan tage betydeligt længere tid at få klargjort.

Er der andre fordele ved DMARC?

De store email udbydere sætter pris på authenticated email, Google anbefaler ligefrem brugen af DMARC i deres Bulk Sender Guidelines
Med andre ord, hvis din virksomhed er afhængig af gode email leverancer, så er DMARC relevant for dig.

Hvor kan jeg få hjælp til DMARC?

Lige her, hos DMARC dot DK, skriv til henrik@dmarc.dk


Mere om DMARC:
DMARC hjemmesiden
Video intro til DMARC
“SKAT” i England anvender DMARC og stopper 300 millioner falske emails.