Genkend phishing – lidt nemmere

‘Man skal ikke gå over åen efter vand’, lyder en dansk talemåde.
Ideen med ikke at gøre tingene sværere for sig selv end nødvendigt, kan man også anvende når man skal genkende en phishing email.

Firmaer er generelt meget glade for deres navne og brands, og er derfor typisk meget loyale overfor dem når der kommunikeres på den ene eller anden måde.
Føtex har Føtex plastikposer i butikkerne, ikke plastikposer fra Leasy eller Lidl. Samme system med Internet domænenavne, Nykredit udsender ikke emails med Superbrugsen, Matas eller Hotmail email adresser som afsender.

Derfor, kig altid som det første på afsender adressen i emails, inden du går igang med at vurdere eventuelle stavefejl og hvor mistænkelige diverse links i emailen ser ud. Du vil hurtigt opdage at i mange tilfælde behøver du ikke andet end at kigge på afsender adressen for at konstatere der er tale om phishing.

‘Jamen afsender addresser kan forfalskes.’ Det er korrekt, det er så her DMARC kommer ind i billedet, hvis et firma anvender DMARC til at beskytte sit Internet domæne, kan man ikke forfalske dette domænes email adresser. Forsøger man alligevel, afvises disse emails ganske enkelt af de store mail udbydere, dvs du som tiltænkt modtager ser aldrig disse svindelforsøg.
DMARC standarden har været tilgængelig for verden siden starten af 2012, og den er helt gratis at anvende.

Nu sidder du måske og undrer dig over hvorfor i alverden vi stadig hører om det ene phishing angreb efter det andet, der går sjældent en uge uden et phishing angreb rettet mod danskere. Forklaringen er helt simpel, selvom DMARC standarden har eksisteret i 5 år, er der meget få danske firmaer som har taget den i brug, du kan se en liste her

Firmaer som NETS, NemID, SKAT & e-Boks ved alle at DMARC eksisterer og at det er et effektivt middel mod phishing, men har altså bevidst valgt ikke at beskytte deres brugere & kunder.

E-Boks phishing potentiale

E-Boks er tænkt som en slags mere sikker udgave af email.

Der er dog et punkt hvor E-Boks totalt fejler, email sikkerheden er helt i bund, og E-Boks har på trods af talrige opfordringer de sidste 3-4 år tilsyneladende ikke tænkt sig at rette op på dette.

Hvor slemt står det egentlig til?
Lad os prøve at lave en simpel vurdering af phishing potentialet i E-Boks, set med en kriminels øjne.

Målgruppe
E-boks er som bekendt ikke en frivillig løsning til kommunikation med det offentlige, men derimod noget alle skal bruge. Da det er pokkers besværligt og tidskrævende at tjekke sine E-boks beskeder, har rigtig mange aktiveret notifikations funktionen som automatisk sender en email når der er en ny besked i E-Boks.
Et forsigtigt gæt kunne være at 1 million danskere jævnligt modtager email notifikationer fra E-Boks.
Det er en drømmesituation for en kriminel med phishing som speciale.

Tekniske hindringer
Tekniske hindringer er der ingen af, email sikkerheden hos E-Boks er så forældet, at man nærmest kan tale om at de understøtter phishing. En kvik kriminel kan nemt konstruere en phishing email som for mailudbyderne ser mere ægte ud end den ægte vare!
Anti phishing teknologien DMARC kendes kun af de stakkels E-Boks social media folk som har måttet lægge øre til mit brok de sidste 3-4 år.

Udførsel
De falske emails tager udgangspunkt i en ægte email fra E-Boks som tilrettes og korrekturlæses af dygtige sprogkyndige.
Man kunne f.eks. konstruere en email omhandlende opdatering af brugervilkår for E-Boks i anledning af de nye EU bestemmelser vedrørende persondata, vedhæftet emailen er noget der ligner en PDF fil, men i virkeligheden er noget helt andet.
En anden angrebsvinkel kunne være mere målrettede angreb ved hjælp af forfalskede “Videresend” emails fra E-Boks, den slags emails har som standard en vedhæftet fil.

Alt i alt
Hvis kriminelle udser sig E-Boks brugere som mål, er jeg bange for det kan gå galt på et niveau vi aldrig tidligere har set tingene gå galt her i Danmark.
Der er ingen grund til at kriminelle ikke skulle få øje på E-Boks phishing mulighederne på et tidspunkt, den dårlige email sikkerhed hos E-Boks er synlig for hele verden i DNS systemet.

DKCERT anerkender eksistensen af DMARC

Henrik Larsen, chefen for DKCERT skriver ca. 1 gang om måneden en interessant klumme på Computerworld.dk. Klummen indeholder denne gang et sikkerhedsmæssigt tilbageblik på 2016 samt en del gode ideer til hvordan vi kan tackle sikkerheden bedre/smartere i 2017.
I denne sammenhæng nævnes DMARC, helt præcist skriver Henrik Larsen

For det andet kan man indføre metoder til at filtrere e-mails fra, hvis afsenderadressen er forfalsket. Her er en teknologi som DMARC (Domain-based Message Authentication, Reporting & Conformance) et glimrende våben – men det kræver grundige test, før man sætter det i drift.

Den sidste sætning bliver jeg nødt til at kommentere lidt på.
DMARC i sig selv er en særdeles gennemprøvet sikkerhedsstandard. DMARC har været anvendt i produktion i tæt på 5 år, primært i udlandet da vi er ikke så hurtige til at tage ny email sikkerheds teknologi til os her i Danmark.
DMARC er fra bunden af designet til at det skal kunne lade sig gøre at lave en fuldkommen risikofri udruldning, og det er ikke tomme løfter, gør man tingene rigtigt er det helt risikofrit.

Apple sjusker med email sikkerheden


I Danmark tager man generelt ikke email sikkerhed alvorligt, masser af kendte firmaer og organisationer lader blot stå til mens de kriminelle misbruger deres domæner til phishing og spam.
Heldigvis findes der også firmaer som passer godt på deres kunder ved at implementere DMARC.
For at DMARC skal have en effekt kræves der imidlertid at ens email udbyder, altså der hvor man har sin email adresse, også understøtter DMARC.
De fleste email udbydere understøtter DMARC idag, har du din emailadresse hos Google, Microsoft, TDC, UnoEuro eller One.com er du godt sikret.
Der mangler dog et kendt firma på listen over sikre email udbydere.
Apples kunde email adresser er fuldkommen ubeskyttede når det drejer sig om phishing, herover kan du se et eksempel på en falsk email jeg har sendt til min @icloud.com email adresse, en falsk @paypal.com email ville blive afvist af de førnævnte sikre email udbydere.

 

TDC/Yousee tænker kundesikkerhed


Som den første rigtig store danske virksomhed har TDC/Yousee taget anti-phishing standarden DMARC i brug.
I praksis betyder dette at det ikke længere er muligt for kriminelle at udsende særdeles vellignende falske TDC/Yousee emails.
Set med kundernes øjne er det blevet langt nemmere at afsløre en falsk TDC/Yousee email, det er nu nok at kigge på afsenderadressen, sprog og link analyser behøver man ikke længere at bekymre sig om.
Både kunder, samarbejdspartnere og TDC selv kommer til at nyde godt af dette kraftige løft i email sikkerheden.

Det er værd at bemærke at TDC/Yousee har lavet en særdeles flot og effektiv DMARC implementering, ud over hoveddomænerne tdc.dk og yousee.dk har man også valgt at beskytte alle andre nuværende og historiske brands samt typosquatting domæner.

Godt gået TDC/Yousee!

Hvor lang tid tager det at implementere DMARC ?

Det er meget forskelligt fra firma til firma, implementeringstiden afhænger af en del faktorer.
Det hurtigste jeg selv har implementeret for et firma tog 2 timer, den længste implementeringstid jeg har hørt om er omkring 4 år.

 

 

Et par ting der kan forlænge projektet:

  • Jo mere kompleks den eksisterende email løsning er, jo længere tid tager det at blive DMARC compliant.
  • Eksterne email leverandører som enten ikke kan eller vil sende DMARC compliant email kan forlænge projektet, f.eks hvis bliver nødt til at skifte til en anden leverandør.
  • Usamarbejdsvillige DNS og email ansvarlige personer, ja det lyder helt forkert, men der findes en del personale rundt omkring, som synes email og DNS skal fungere som det gjorde i slutningen af sidste årtusinde.

Et konkret eksempel:
Google Apps email + MailChimp nyhedsbrev + WordPress blog, i alt 2 timer.

 

Danske firmaer med en DMARC reject policy

Det er ikke nemt at finde danske firmaer som holder sig opdateret når det drejer sig om emailsikkerhed.
3 firmaer med en DMARC reject policy har jeg dog kunnet finde.

Banker, teleselskaber og diverse halv-offentlige instanser (NemID, E-Boks, Borger.dk m.m.) hænger stadig fast i fortiden, og er for de flestes bedkommende ikke kommet længere end til udfordringer med at implementere SPF korrekt.
Tilsyneladende kniber det gevaldigt med kompetencerne hos store IT leverandører som CSC, IBM, KMD og JN Data når det drejer sig om email og DNS.

Salesforce DKIM support

Salesforce har endelig efter at have ladet kunderne vente i 7 år fået implementeret mulighed for at DKIM signe med kundens domæne : Salesforce DKIM feature request
Indtil dette blev en mulighed har Salesforce effektivt forhindret deres kunder i at lave en ordentlig DMARC implementering, nu kan de da i det mindste lave en halv implementering, ja jeg går ikke ud fra Salesforce er begyndt at understøtte DMARC SPF alignment.

MailChimp

Email service provideren MailChimp har nu gjort det muligt for deres kunder at DKIM signe med en signatur fra kundens eget domæne, så er vi ved at være tæt på at MailChimp kan sende 100% DMARC compliant email, nu mangler kun en kundespecifik ReturnPath.