DMARC nyt #9 – DMARC workshop hos DK-Hostmaster

dk-hostmasterlogoDK-Hostmaster afholder 16/9/2016 en DMARC workshop, hvor Tim Draegen fra Dmarcian.com fortæller og underviser. Tim Draegen / DK-Hostmaster har tidligere afholdt et par DMARC workshops som var særdeles lærerige.
Det er ganske gratis at deltage, så der er slet ikke nogen grund til ikke at være tilstede.
Tim Draegen taler iøvrigt også om DMARC på Internetdagen som afholdes dagen før.

Andet nyt:
DKCERT har langt om længe opdaget DMARC, og har ved ihvertfald 2 lejligheder anbefalet brugen af DMARC. Det var på tide kunne man fristes til at tænke, DMARC har trods alt eksisteret i over 4 år nu.

Artikel på DKCERT hjemmeside
Computerworld.dk klumme

DMARC nyt #8 – Ting tager tid hos NETS

nets_chaising_tail Phishing har altid været et problem for NETS, og problemet er bestemt ikke blevet mindre med tiden.
Jeg blev derfor helt glad på NETS vegne i starten af 2012 da DMARC blev en realitet.
Hold da fast tænkte jeg, det må være præcis hvad NETS og andre firmaer har gået og håbet på skulle ske, de er garanteret allerede igang med at implementere det.
Der skete imidlertid ikke noget, NETS oprettede ikke nogen DMARC record i DNS, ja selv deres kluntede og defekte SPF konfiguration var som den altid havde været.
Kunne NETS have overset nyheden om DMARC ? Det er godt nok lidt svært at forestille sig om et firma hvor sikkerhed bør have højeste prioritet.
13/8/2013 skrev jeg en email til NETS og forklarede lidt om hvad DMARC er og hvordan det ville kunne hjælpe dem af med en stor del af deres phishing problem.
En uges tid senere fik jeg svar

Kære Henrik Schack
Mange tak for din henvendelse angående den phishing mail, som du har modtaget og dine forslag til hvordan Nets kan imødegå nogle af de udfordringer, som vi har med de mange phishing mails, der udgiver sig at være fra Nets.
Det er en problematik, som vi er meget opmærksomme på, og som vi i øjeblikket arbejder på at finde en løsning på.
Endnu en gang tak for din henvendelse.

Mvh
xxxxxxxxxx
xxxxxxxxxxxx, IT Security
Nets Norway AS

Det lød jo umiddelbart meget godt, der er styr på sagerne, Danmark kan snart se frem til en reduktion i mængden af NETS phishing email.
Over 2, næsten 3 år er gået siden den opmuntrende besked fra NETS, lad os tage et kig på hvad det ser ud til IT sikkerhedsafdelingen har bedrevet siden da i forhold til at komme phishing problemet til livs.

NETS_hard_at_work
Ingenting har de foretaget sig , for nu at sige tingene uden omsvøb, NETS phishing trives stadig i bedste velgående.
Graver man lidt dybere i teknikken vil man se:

  • NETS har stadig ikke en DMARC DNS record, ikke engang en med en monitor policy som kunne indikere de arbejder på sagen.
  • NETS har fortaget talrige opdateringer af deres SPF record gennem årene, de har dog på intet tidspunkt haft en fungerende SPF record, den har altid indeholdt alvorlige fejl [1]
  • NETS Office 365 konfiguration er ikke lavet med email sikkerhed i tankerne, der anvendes Microsoft default DKIM signaturer istedet for nets.eu DKIM signaturer.

[1] Udover elementære syntaxfejl, vidner indholdet i NETS SPF recorden om at man slet ikke har forstået hvordan SPF teknologien egentlig virker. SPF drejer sig ikke om RFC 5322.From headeren, men derimod om RFC 5321.From headeren.

Det er svært at drage en retfærdig konklusion udfra ovenstående idet jeg aldrig har arbejdet i NETS, men set “udefra” ser det ud som om man enten ikke prioriterer at få gjort noget ved phishing problemerne, eller alternativt ganske enkelt ikke kan finde hoved og hale i teknikken som skal anvendes til det.

DMARC nyt #7 – SKAT aktindsigt

skat.dk alternativt logo SKAT har som bekendt en ret kritisk holdning til DMARC men modsat alle de andre kendte danske firmaer som plages af phishing har de rent faktisk oprettet en DMARC record som leverer overvågningsdata på hvor meget falsk skat.dk email de kunne have stoppet med DMARC.
For nylig slog det mig så at SKAT jo er en offentlig institution og derfor er omfattet af offentlighedsloven, det burde med andre ord være muligt at få et indblik i de DMARC data SKAT har. Jeg var klar over det ikke ville blive helt nemt, SKAT er jo udmærket godt klar over de har et problem med phishing, og de er bestemt også vidende om at deres indsats for at gøre noget ved problemet er ikke eksisterende.
Jeg forsøgte mig først via Twitter, @skattefar plejer at være ret hurtig til at svare, det var man også i dette tilfælde, de trak øjeblikkeligt sikkerhedskortet frem og afviste mig blankt.

skat-twitter

Jeg insisterede dog på at jeg ville forsøge at få aktindsigt og til sidst fik jeg en emailadresse jeg kunne henvende mig på, her stødte jeg så på den næste hindring, den pågældende emailadresse kan man kun sende email til hvis man arbejder hos SKAT.
Til sidst lykkedes det dog ved @skattefars hjælp at få en emailadresse jeg kunne aflevere min aktindsigtsanmodning på.
Så startede ventetiden, aktindsigtsanmodninger skal efterkommes på 7 dage siger reglerne, på trods af jeg kun bad om et screenshot af en enkelt side kunne SKAT ikke overholde leveringsfristen, men måtte 2 gange informere mig om at de skulle bruge en uge mere for at fuldføre opgaven.
Forklaringen på den ekstreme leveringstid skal man finde i at det egentlig ikke er SKAT som skal udføre opgaven, den slags opgaver er outsourcet til CSC … og så behøver man vel ikke sige mere.
I dag, 43 dage efter “first contact” fik jeg så endelig aktindsigt i SKATs DMARC data.
SKAT er ikke sådan rigtig glade for jeg skal se deres DMARC data, så inden data blev afleveret til mig blev de udsat for en smule censur.
skat.dk-dmarc-rapport

Heldigvis fik jeg også det screenshot jeg oprindeligt bad om, hvordan det slap gennem censuren forstår jeg stadig ikke helt.

skat-dk-dmarc-overview

På dette screenshot kan man se at SKAT i denne måned har haft helt op til over 4500 falske emails i omløb pr dag.
SKAT mener forsat ikke det er umagen værd at lave en rigtig DMARC implementering, jeg synes de skulle skamme sig, og se at komme igang i en fart.

DMARC nyt #6 – Amazon SES

amazon-ses Amazon SES (Simple Email Service) understøtter nu custom MAIL FROM domæne i deres løsning, det er med andre ord blevet muligt at sende 100% DMARC compliant email ved hjælp af Amazon SES.
Du kan læse hele nyheden her : Amazon SES Adds Support for Custom MAIL FROM Domains
Herudover skal det nævnes at DK-Hostmaster og Yousee nu anvender en Quarantine policy i deres DMARC opsætning.
Blockbuster har taget skridtet fuldt ud med en Reject policy.

Regeringen hos vores naboer mod vest (England) har fået en officiel holdning til email sikkerhed, og deres National Crime Agency hjælper virksomhederne med at implementere blandt andet DMARC. Læs Sensible email security

skat.dk phishing template

SKAT Facepalm Jeg fik en email fra SKAT idag, det kan jo ske, specielt på denne tid af året, det usædvanlige var der var tale om en ægte SKAT email, det ser man jo ikke så tit 🙂
Emailen i sig selv var aldeles ligegyldig og blot et udtryk for hvor langsomt SKAT IT systemerne arbejder.
Her stopper historien naturligvis ikke.
Når jeg nu sidder med en email fra det firma som nok har Danmarksrekorden i phishing, skal der naturligvis lige tages et kig på sikkerheden i det fremsendte.
Ak & ve, SKAT leverer en køreklar phishing template, helt perfekt for IT kriminelle, de behøver ikke bøvle med Google Translate denne gang, det eneste der skal gøres er at udskifte linket til SKAT hjemmesiden med linket til deres eget phishingsite.
Som en ekstra hjælpende hånd til de kriminelle har SKAT ladet være med at sætte en SPF record på bounce.skat.dk hostnavnet, det kan dermed relativt problemfrit anvendes som Sender-Envelope domæne og de kriminelle kan slippe for de afslørende “via” headers som Gmail har for vane at vise. Med andre ord, SKAT giver de kriminelle en mulighed for at udsende perfekte phishing emails.
Burde man gøre et eller andet ? Ja bestemt, men den tekniske afsender som er CSC har en lang og skamfuld tradition for at levere elendige email løsninger, det holder de sgu’ nok ikke op med lige med det første, det virker umiddelbart som om tiden gik i stå for dem omkring starten af dette årtusinde, ihvertfald når man ser på teknikken i deres email løsninger.

DMARC nyt #5 – Danskebank phishing

Midt i Juni var Nykredit udsat for et større phishing angreb som strakte sig over flere uger. De kriminelle anvendte dengang forskellige nykredit.dk subdomæner til udsendelserne.
Der blev først sat en stopper for banditterne, da Nykredit valgte at lytte til gode råd og fik etableret en DMARC subdomæne reject policy.
Nu er banditterne tilbage fra sommerferie, og har denne gang kastet sig over Danske Bank. Jeg modtog idag denne email, som bortset fra logo og afsender adresse er en næsten tro kopi af de Nykredit emails der blev udsendt.

danskebank-phis
Danske Bank har i modsætning til Nykredit været igang med at implementere DMARC, men er bare aldrig blevet færdige. De har derfor stadig kun en overvågnings policy i drift, med andre ord, de kriminelle kan misbruge danskebank.dk domænet som det passer dem.

Tips til Danske Bank:
Få nu gjort den DMARC implementering færdig!
Som brandslukning af den aktuelle phishing kampagne kunne de ligesom Nykredit etablere en DMARC subdomæne policy som forhindrer misbrug af subdomæner, der er tale om max. 5 minutters arbejde.

"v=DMARC1; p=none; rua=mailto:mail.authentication@danskebank.com; ruf=mailto:mail.authentication.forensic@danskebank.com"

skal udskiftes med :

"v=DMARC1; p=none; sp=reject; rua=mailto:mail.authentication@danskebank.com; ruf=mailto:mail.authentication.forensic@danskebank.com"

Adblock Plus status

Adblock Plus logo Min Danske Adblock Plus liste har i snart mange år ligget på min egen server sammen med en masse andre ting jeg hoster.
Den er dog efterhånden begyndt at blive en trafikbelastning for min server, så i denne uge har jeg flyttet lidt rundt således den nu leveres fra Cloudflares caching servere.
Cloudflare har et fint API til administration af alt mellem himmel og jord, så jeg vil stadig være istand til at opdatere min liste fra minut til minut.

DMARC nyt #4 – nykredit.dk og jyskebank.dk

Efter et par ugers intensiv misbrug af Nykredits gode navn og rygte, vågnede man endelig op hos Nykredit og tog et kig på DMARC.
De emails der blev udsendt i Nykredits navn var alle subdomænebaserede: service@center.nykredit.dk, service@bussiness.nykredit.dk osv.
Den slags kan meget nemt stoppes med en DMARC reject subdomæne policy.

Ved samme lejlighed (samme IT leverandør) fik jyskebank endelig fixet deres DMARC record så den blev valid, den har været defekt længe.

DMARC nyt #3 – nemid.dk

I dag blev det lidt mere sikkert at være Dansker. Ejerne af nemid.dk domænet satte på opfordring en DMARC reject policy på domænet sammen med en SPF record som ikke tillader mailudsendelser.
IT kriminelle kan nu ikke længere frit afsende falske @nemid.dk emails.

Så mangler vi egentlig bare at NemID/Nets Danmark får fingrene ud og gør noget ved selve nemid.nu domænet, men det har nok lange udsigter.
Kigger man på den eksisterende konfiguration af nemid.nu ser det ikke ud som om de har den fjerneste ide om hvad de laver.

NemID SMS Phishing

Så har de IT-kriminelle kastet sig over SMS udsendelser istedet for email i forbindelse med NemID phishing.

På en eller anden underlig måde har jeg næsten lidt ondt af banditterne, det er sgu’ ikke nemt at lave troværdig NemID svindel via email, næsten ligegyldigt hvor kluntet de bærer sig ad ender det med at komme til at se langt mere ægte ud end NemID’s egen email kommunikation.
Det skal nok lige illustreres med et eksempel…
Jeg købte for nylig en NemID nøgleviser, naivt troede jeg den slags foregår på nemid.nu, men nej man skal en tur forbi www.medarbejdersignatur.dk.
Når handlen er afsluttet modtager man så en emailkvittering, hvem den kvittering er fra er ikke helt til at gennemskue, det er en blanding af NemID.nu og Nets DanID og for at gøre forvirringen komplet er afsenderen af emailen en @certifikat.dk adresse.
Skulle man følge det offentliges phishing vejledninger om at slette mistænkelig email, så er NemIDs ægte email en oplagt kandidat til sletning.

Læsestof til NemID
Definition af et brand
Branding for beginners