Teleudbydernes emailsikkerhed

Telefon Så blev det tid til at tage et kig på emailsikkerheden hos de danske teleudbydere.

Phishing emails fra teleudbydere er der nok ikke mange danskere der ikke har oplevet på egen krop, det er et særdeles reelt og evigt tilbagevendende problem.

Umiddelbart skulle man tro virksomheder der er så teknologitunge som teleudbydere nu engang er, må være blandt frontløberne når det drejer sig om ny sikkerheds teknologi. Efter at have taget et kig på sagerne må jeg nok istedet konstatere at de bare er tunge og håbløst bagefter.

Generelt er emailsikkerhed og teleudbydere diamentrale modsætninger, man ser samme lave sikkerhedsniveau som hos bundskraberne fra SKAT, NETS og NemID.
SKAT, NETS og NemID kan man dog på sin vis forstå, de er præcis så fuldkommen ligeglade med brugerne som man nu engang kan tillade sig at være når man er en monopolvirksomhed, teleudbyderne derimod, er trods alt rigtige virksomheder der skal leve af kunderne, så her havde jeg håbet på lidt mere.

Eneste lyspunkt i min mini-undersøgelse er TDC familien, hvor man dog trods alt er gået igang med at sikre kunderne imod phishing.

Alt i alt: Næste gang du modtager en phishing email der udgiver sig for at komme fra en teleudbyder, så kan du roligt brokke dig højlydt til den pågældende teleudbyder, du modtager primært disse emails fordi de intet gør for at forhindre det.

Teleudbyder
SPF
DKIM
DMARC
3Ja [1]?Nej
ACNNej?Nej
BiBobJaNejNej
CBBJa?Nej
CallMeJa [1]?Nej
DLG TeleNej?Nej
FullrateJa [1]?Ja [4]
NettalkJa?Nej
OK MobilNej?Nej
OisterNej [2]?Nej
One MobileNej?Nej
TDCJaJa [3]Ja [4]
TelenorNej [2]?Nej
TeliaJa [1]?Nej
TelmoreJa?Ja [4]
Universal TelecomNej?Nej
ViptelNej?Nej
WaooNej [2]?Nej
YouseeJaJa [3]Ja [4]

? Jeg har ikke kunnet teste om firmaet DKIM signer deres email, det kræver firmaet sender en email til mig.
[1] OK, men med advarsler.
[2] Teknisk defekt, syntaxfejl eller for mange DNS opslag.
[3] Noget, men ikke alt email DKIM signes.
[4] Monitor mode, dvs ikke nogen egentlig beskyttelse, kun overvågning.

Oversigten over teleudbydere er hentet fra : http://www.telemarkedet.dk/telefoni/udbydere

Rejsebureau phishing

albatros-travel I sidste uge blev det rejsebranchens tur til at se sig selv og deres kunder udnyttet i forbindelse med en phishing kampagne udført af IT kriminelle.

Det bliver nu rigtig spændende om vi skal se samme slatne laden stå til holdning til phishing problemet hos rejsebranchen, som vi kun allerede alt for godt kender fra Nets, SKAT, NemID, bankerne og teleudbyderne.
Der er måske mere motivation at hente i rejsebranchen, email kommunikation er trods alt et vigtig markedsføringsmedie hos de fleste rejsebureauer, så en generel mistro til email fra rejsebureauer kunne nok vise sig at blive dyr i længden for dem.

Denne gang var det Albatros Travel og deres kunder det gik ud over, hvem bliver mon de næste de kriminelle kaster sig over ?

Lad os kigge på hvad der egentlig skal til for at Albatros Travel kan sige de har gjort alt hvad der rent teknisk kan gøres for at forhindre IT kriminelle i at misbruge deres brand, man kunne kalde det en slags anti-phishing ToDo liste som de kan anvende hvis de kunne tænke sig at minimere effekten af, og risikoen for en ny phishing sag.

  1. WhoAmI øvelsen.
  2. Albatros Travel har et fint velkendt brand, men når det kommer til email kommunikation, bliver indtrykket lidt mudret. Noget email kommer fra albatros-travel.com, og til andre formål anvender man .dk/.se/.no/.fi domænerne. Alt i alt lidt forvirrende og en udstrakt hånd til IT kriminelle.
    ToDo: Simplificer eventuelt, men få under alle omstændigheder kommunikeret på hjemmesider, i kvitteringer og alle andre tænkelige steder hvad der anvedes til hvad.

  3. Email authentication
  4. Lader man hoveddøren stå pivåben får man nok på et tidspunkt besøg af banditter. Noget lignende kan man sige om domænenavne, Albatros Travels domæner (albatros-travel.dk/se/fi/no/com) står alle til fri afbenyttelse for alle som måtte ønske at anvende dem til at sende Albatros Travel phishing emails ud.

    Albatros Travel bør implementere DMARC.
    At implementere DMARC kan tage alt fra et par timer til flere år, i Albatros Travels tilfælde vil jeg mene det kan klares på et par uger eller 3.

    Corporate email
    Det ser ud til Albatros Travel internt i firmaet anvender Microsoft Exchange som mailserver, det er naturligvis ikke optimalt idet Exchange ikke har support for DKIM signing af emails indbygget, men det kan et smart lille produkt fra Adminsystem software rette op på.

    Nyhedsbreve
    Apsis som er nyhedsbrevsleverandør for Albatros Travel DKIM signer allerede alt email, her mangler man blot at tage en Albatros Travel Return-Path i brug, så vil de emails være 100% DMARC compliant.

    Rapportering
    En vigtig del af DMARC er de feedback rapporter man får fra mailservere rundt omkring i verden som modtager email der hævder at komme fra ens domæne. Ud over at afsløre eventuelle konfigurationsfejl eller “glemte” mailservere er rapporterne også med til at sikre man ikke bliver taget med bukserne nede næste gang kriminelle forsøger at misbruge ens domæne. Til behandling af DMARC rapporter kan man med fordel anvende Dmarcian.com

    Resultat
    Med DMARC sikrer man sig mod eksakt domæne phishing, dvs IT kriminelle vil ikke længere være istand til at afsende email med en albatros-travel.dk/se/fi/no/com From: adresse.
    Det gælder for alle emailadresser hos Google, Yahoo, Microsoft, AOL og nogle andre.

NemID phishing

NemID Logo Der er efterhånden skrevet en del om NemID phishing, så nu må det være på tide jeg også kommer med et bidrag.

NemID phishing er på grund af sløseri eller manglende kompetencer hos NemID, Digitaliseringsstyrelsen og Nets et evigt tilbagevendende problem.
Jeg har selv gennem tiden modtaget en del NemID phishing emails, nogle af dem kunne man kalde gode forsøg, andre har været latterligt elendigt lavet.

For et par dage siden modtog jeg i forbindelse med bestilling af en ny nøgleviser en ægte email fra NemID, når man ser sådan en ved man ikke helt om man skal grine eller græde.
En ægte email fra NemID har, bortset fra den er skrevet på pænt dansk, mere eller mindre alle de tekniske kendetegn en NemID phishing email har.

Jeg handlede hos NemID, men kvitteringsemailen kom fra certifikat.dk, det er vel nogenlunde ligeså underligt som at handle online hos coop.dk og få en kvittering fra Dagli’ Brugsen.
I selve emailen linkes til både nemid.nu og nets-danid.dk.
Emailen underskrives Nets DANID A/S
Og som en ekstra bonus er der også vedhæftet en “mystisk” fil (en eller andens S/MIME signatur)

Alt i alt gør NemID det bestemt ikke nemt for helt almindelige mennesker at skelne mellem ægte og falske NemID emails.

Trustpilot email

TrustpilotTrustpilot tilbyder en smart service hvor de på vegne af virksomheder udsender email indeholdende en opfordring til at lave et review af den pågældende virksomhed.
For at højne troværdigheden af de udsendte emails, anvendes en af den pågældende virksomheds emailadresser som afsender.

Så langt, så godt .. Men..

Når nu email er en vigtig del af ens forretning så synes jeg man burde sætte sig lidt ind i hvordan email egentlig fungerer, specielt de sikkerhedsmæssige udfordringer bør man have helt styr på når man sender email på vegne af andre.

Umiddelbart ser email sikkerhed imidlertid ikke ud til at være det man bruger flest kræfter på hos Trustpilot. Rent teknologimæssigt halter man ca. 10 år bagefter, faktisk er man er ikke nået længere end til SPF hos Trustpilot.
En ting er at man halter bagefter, en anden ting er hvordan så forholder sig til de teknologier man rent faktisk har kendskab til, og det er her det bliver rigtig kritisk.
I Trustpilots SPF implementerings guide er den foretrukne tilgang til SPF at man ganske enkelt sletter sin SPF record !
Nej du behøver ikke at kigge efter, dette indlæg er ikke skrevet 1. April.

Uddrag af Trustpilot SPF opsætningsvejledning: (Screenshot her)

Tekniske instruktioner
Hvordan tilpasser jeg mine indstillinger?
Du kan vælge at gøre ét af følgende:
1. Slet din SPF record
De fleste domæner har ikke nogen SPF record. Det betyder, at de tillader en hvilken som helst tredjepart at sende e-mails ud på deres vegne. Det kan være, du anvender et tredjeparts-værktøj, der kræver en specifik SPF record, så vær forsigtig, før du fjerner den.
2. Tilføj trustpilotservice.com
Ved at tilføje trustpilotservice.com i din SPF record, giver du udtrykkeligt tilladelse til, at vi sender e-mails på dine vegne. Nedenfor finder du et eksempel på, hvordan du kan tilføje trustpilotservice.com til din SPF record.

Variant 2 er knap så slem, her er ikke på samme måde som i variant 1 tale om man direkte kompromiterer sin egen sikkerhed, men til gengæld afslører denne variant at Trustpilot slet ikke har sat sig ind i hvordan SPF egentlig virker.

Sikkerhedsfirmaers emailsikkerhed

Phishing-hook Oprindeligt troede jeg det her skulle have været verdens korteste indlæg, noget i stil med : Alt OK, intet at sætte en finger på.
Der findes vel ikke et sikkerhedsfirma som vil risikere ydmygelsen ved at kunderne bliver forsøgt phishet med email fra sikkerhedsfirmaets eget domænenavn ?

Ak, jeg blev klogere :-(

Firmaer som lever af at være på forkant med udviklingen når det drejer sig om sikkerhed, har tilsyneladende ikke noget problem med at halte flere år bagefter udviklingen når det drejer sig om deres egen sikkerhed. Lad os håbe der ikke er andre områder hvor det også kniber med at holde sig opdateret.

Jeg skal huske at fremhæve et enkelt firma i min miniundersøgelse, Android/iOS Antivirus firmaet Lookout har helt styr på deres egen emailsikkerhed.

Navn
SPF
DKIM
DMARC
AVGNej [1]?Nej
AvastJa?Nej
AviraJa?Nej
BitdefenderNej?Nej
BullguardJa?Nej
DK CERTNej [1]NejNej
CSISJa?Ja [2]
Dr. WEBNej?Nej
ESETJa?Nej
FortConsultNejNejNej
F-SecureJaNejNej
GDataNej?Nej
IntegoJa?Nej
Kaspersky LabJa?Nej
LookoutJaJaJa
McAfeeJa?Nej
NormanJa?Nej
NortonJa?Nej
Panda SecurityNej [1]?Nej
TrendmicroJa?Nej

? Jeg har ikke kunnet teste om firmaet DKIM signer deres email, det kræver firmaet sender en email til mig.
[1] SPF record er teknisk defekt.
[2] DMARC konfigureret i monitor mode, dvs ingen reel beskyttelse for brugerne.

DMARC nyt #2

DK-Hostmaster har taget et supergodt initiativ og arrangeret en workshop om emailsikkerhed og DMARC.
Så kunne du tænke dig at forebygge phishing, istedet for at lave endeløs symptombehandling og brandslukning, så skynd dig at melde dig til hos DK-Hostmaster.
DK-Hostmaster henter Tim Draegen til Danmark i dagens anledning, Tim har været i Danmark tidligere i forbindelse med Internetdagen 2013, hvor han havde et virkelig spændende indlæg om DMARC.
Tim ved alt der er værd at vide om DMARC, jeg har ihvertfald aldrig kunnet stille ham et spørgsmål han ikke kunne svare på.

DMARC nyt #1

Google har skrevet lidt om email authentication (SPF/DKIM/DMARC).
Der er iøvrigt også en opfordring fra Google til os allesammen om at vi sørger for vores parkerede/ubenyttede domæner ikke kan misbruges. Se eventuelt et af mine gamle indlæg om DMARC implementering på et parkeret domæne

TDC er på vej med DMARC

DK-Hostmaster arbejder også på en DMARC implementering

SKAT, Nets, E-boks og bankerne sover stadig tornerosesøvn.

Hvad en SPF record ikke kan bruges til

SPF record Det er åbenbart en særdeles udbredt og sejlivet misforståelse at man ene og alene ved hjælp af en SPF record på et domænenavn kan forhindre phishing.
Jeg har tit set den slags snak på både Computerworld.dk og Version2.dk, og endda personlig overhørt snak om emnet her for et par dage siden.

Det må være tid til en forklaring og en demonstration.
Lad os bruge et domænenavn de kriminelle er helt vilde med at phishe, og hvor de garanteret også har rimelig stor success, fordi vi alle i forvejen også modtager legitime emails derfra.

Skat.dk er ekstremt populært at phishe, jeg tvivler på der findes danskere med en emailadresse som ikke på et eller andet tidspunkt har modtaget en skat.dk phishing email.

skat.dk’s SPF record ser således ud :

"v=spf1 ip4:92.43.124.143 ip4:92.43.124.218 ip4:195.85.251.156 
ip4:147.29.109.227 ip4:85.119.135.105 ip4:85.119.135.96 
ip4:147.29.27.196 ip4:194.239.239.148 ip4:194.239.239.150 -all"

Nu er jeg ikke ansat hos skat.dk så istedet for at bruge deres mailservere låner jeg lige en på arbejde, den har ipadressen 213.174.68.98, og er altså ikke i skat.dk SPF recorden.

Man kan afsende en phishing email med en enkelt linje PHP kode som f.eks:

mail("henrik.schack@outlook.com", "Du skal have 3232,75 kroner tilbage i skat", 
"Standard phishing email","From: info@skat.dk","-fnoreply@crime.schack.dk");

Emailen der havner hos Outlook.com ser sådan her ud:
skat.dk phishing email
Den email vil de fleste almindelige mennesker nok se som en ægte info@skat.dk email, lad os tage et kig på mailheaderen som fortæller om emailen har bestået et SPF tjek, den ser sådan her ud:

Authentication-Results: hotmail.com; spf=pass (sender IP is 213.174.68.98)

Hvordan kan det nu lade sig gøre ?
Det kan det fordi, SPF INGEN relation har til hvad der står i From: feltet i en email, SPF beskriver hvilke ipadresser der må anvende det pågældende domænenavn som Envelope sender, Envelope senderen er bare ikke noget helt almindelige brugere ser når de læser en email, idet den er skjult.
I eksemplet herover anvendte jeg noreply@crime.schack.dk som Envelope Sender adresse, altså en emailadresse på et domæne hvor jeg selv kunne oprette en SPF record som ville resultere i at min phishing email ville kunne klare et SPF tjek.

Så burde det være slået fast at SPF ikke kan anvendes til at forhindre phishing, og at alle i hele verden frit kan afsende falske skat.dk emails.

DigitalOcean status

For en måneds tid siden flyttede jeg min blog fra Hostgator til en lille VPS løsning hos DigitalOcean. Jeg var utilfreds med den dårligere og dårligere performance jeg havde på mit webhotel hos Hostgator.

Nu er jeg glad igen, Googles crawler stats viser tydeligt det var den helt rigtig beslutning at flytte væk fra Hostgator :-)

Performance hos Hostgator:
Google crawl speed

Performance hos DigitalOcean:

Google crawl speed - DigitalOcean

Spam Nej Tak

Spam Nej Tak Spam er kommet for at blive, email markedsføring er og bliver en pokkers effektiv og billig måde at sælge sine produkter på.
Men det kan gøres bedre. Hvis man nu effektiviserede spam en lille smule, f.eks. ved at lade være med at sende skidtet til personer der som udgangspunkt ikke gider have tilsendt materiale de ikke selv har bedt om, så ville der lige pludselig ikke længere være tale om spam, men nok nærmere noget i stil med meget aggresiv email markedsføring.
Aggresiv email markedsføring vil være langt mindre tilbøjelig til at ende i spammappen hos modtagerne, og burde derfor resultere i langt højere klik og konverteringsrater end rendyrket spam gør.

Det må da være det man kalder en rigtig win-win situation: Færre personer som føler sig generet af spam, samtidig med at der tjenes flere penge på de personer som gerne vil modtage den slags email.

For at ovenstående kan lade sig gøre har vi brug for en emailudgave af ‘Reklamer Nej Tak’ skiltet, sådan en sag har jeg brugt nogle aftener på at bygge. Sitet kom til at hedde spamnejtak.dk.
Er du en flittig bruger af “Rapporter Spam” knappen i dit emailprogram, så kig forbi og tilmeld din emailadresse, måske ender vi så med at blive nok nej-sigere til at firmaer vil vælge at respektere vores fravalg.