MobilePay fra Danske Bank

DMARC, Internet, Sikkerhed

Mobilepay fra Danske BankDanske Bank har netop forleden offentliggjort deres bud på mobile betalinger. Herfra skal der lyde hurraråb, højlydt klappen, samt respekt for personerne der har udtænkt og implementeret den app.

Der er ganske enkelt tale om supergodt arbejde, så med lidt dygtig markedsføring, lidt afstandstagen fra Geyrgribben (også over tid) og lidt held kunne MobilePay nemt gå hen og blive standarden for mobile betalinger her i Danmark.
Misforstå mig ikke, der er ikke tale om en kåring af en vinder af mobile betalinger i Danmark, der er ingen tvivl om MobilePay nok skal blive udfordret af de andre bankers fællesløsning Swipp

Men, det er under alle omstændigheder et godt bud vi her ser fra Danske Bank, og ikke at forglemme, de er først på markedet med noget der rent faktisk virker.

Jeg er imidlertid nok ikke den eneste som er begejstret for MobilPay, når de IT kriminelle får øje på app’en vil de helt sikkert også sidde og klappe i hænderne over udsigten til en masse lettjente penge.
Det er slet ikke svært at forestille sig Phishing email i stil med:


Der gik noget galt i forbindelse med din sidste Mobilepay transaktion, 
vi kunne ikke hæve penge fra dit betalingskort, bekræft venligst dine
kortoplysninger her .........

Slot på ros, nu er det tid til lidt ris.

Danske Bank kunne gøre danskerne en stor sikkerheds tjeneste ved at sende deres IT/Sikkerhedsfolk afsted på kursus for at lære lidt om nutidig email sikkerhed.

Lad mig uddybe.

Noget tyder på Danske Bank har tænkt sig at anvende domænenavnet mobilepay.dk til markedsføring af MobilePay, domænet hoster ihvertfald ligenu en redirect til MobilePay siden på Danske Banks almindelige hjemmeside.
Under alle omstændigheder er det ikke helt virkelighedsfjernt at forbinde domænenavnet mobilepay.dk med mobilbetalingsproduktet MobilePay.

Emailsikkerheden på mobilepay.dk ser ligenu således ud:
Ingen SPF record.
Ingen DMARC record.
Domænenavnet mobilepay.dk står med andre ord til fri afbenyttelse for alle der måtte have lyst til at misbruge det til Phishing.

At emailsikkerheden på danskebank.dk også trænger til et serviceeftersyn er gamle nyheder så det vil jeg undlade at grave i.

Der er ikke noget at gøre, jeg bliver nødt til at uddele en dobbelt facepalm til Danske Banks Sikkerhedsfolk, en enkelt facepalm kan ganske enkelt ikke udtrykke det.

Double facepalm

Opdatering 04/07/2013: Danske Bank ser ud til at være igang med at implementere DMARC, de har ihvertfald nu en DMARC record på danskebank.dk domænet.
Opdatering 09/11/2013: Danske Bank har nu en DMARC reject policy på mobilepay.dk domænet.