DMARC nyt #5 – Danskebank phishing

Midt i Juni var Nykredit udsat for et større phishing angreb som strakte sig over flere uger. De kriminelle anvendte dengang forskellige nykredit.dk subdomæner til udsendelserne.
Der blev først sat en stopper for banditterne, da Nykredit valgte at lytte til gode råd og fik etableret en DMARC subdomæne reject policy.
Nu er banditterne tilbage fra sommerferie, og har denne gang kastet sig over Danske Bank. Jeg modtog idag denne email, som bortset fra logo og afsender adresse er en næsten tro kopi af de Nykredit emails der blev udsendt.

danskebank-phis
Danske Bank har i modsætning til Nykredit været igang med at implementere DMARC, men er bare aldrig blevet færdige. De har derfor stadig kun en overvågnings policy i drift, med andre ord, de kriminelle kan misbruge danskebank.dk domænet som det passer dem.

Tips til Danske Bank:
Få nu gjort den DMARC implementering færdig!
Som brandslukning af den aktuelle phishing kampagne kunne de ligesom Nykredit etablere en DMARC subdomæne policy som forhindrer misbrug af subdomæner, der er tale om max. 5 minutters arbejde.

"v=DMARC1; p=none; rua=mailto:mail.authentication@danskebank.com; ruf=mailto:mail.authentication.forensic@danskebank.com"

skal udskiftes med :

"v=DMARC1; p=none; sp=reject; rua=mailto:mail.authentication@danskebank.com; ruf=mailto:mail.authentication.forensic@danskebank.com"

Adblock Plus status

Adblock Plus logo Min Danske Adblock Plus liste har i snart mange år ligget på min egen server sammen med en masse andre ting jeg hoster.
Den er dog efterhånden begyndt at blive en trafikbelastning for min server, så i denne uge har jeg flyttet lidt rundt således den nu leveres fra Cloudflares caching servere.
Cloudflare har et fint API til administration af alt mellem himmel og jord, så jeg vil stadig være istand til at opdatere min liste fra minut til minut.

DMARC nyt #4 – nykredit.dk og jyskebank.dk

Efter et par ugers intensiv misbrug af Nykredits gode navn og rygte, vågnede man endelig op hos Nykredit og tog et kig på DMARC.
De emails der blev udsendt i Nykredits navn var alle subdomænebaserede: service@center.nykredit.dk, service@bussiness.nykredit.dk osv.
Den slags kan meget nemt stoppes med en DMARC reject subdomæne policy.

Ved samme lejlighed (samme IT leverandør) fik jyskebank endelig fixet deres DMARC record så den blev valid, den har været defekt længe.

DMARC nyt #3 – nemid.dk

I dag blev det lidt mere sikkert at være Dansker. Ejerne af nemid.dk domænet satte på opfordring en DMARC reject policy på domænet sammen med en SPF record som ikke tillader mailudsendelser.
IT kriminelle kan nu ikke længere frit afsende falske @nemid.dk emails.

Så mangler vi egentlig bare at NemID/Nets Danmark får fingrene ud og gør noget ved selve nemid.nu domænet, men det har nok lange udsigter.
Kigger man på den eksisterende konfiguration af nemid.nu ser det ikke ud som om de har den fjerneste ide om hvad de laver.

NemID SMS Phishing

Så har de IT-kriminelle kastet sig over SMS udsendelser istedet for email i forbindelse med NemID phishing.

På en eller anden underlig måde har jeg næsten lidt ondt af banditterne, det er sgu’ ikke nemt at lave troværdig NemID svindel via email, næsten ligegyldigt hvor kluntet de bærer sig ad ender det med at komme til at se langt mere ægte ud end NemID’s egen email kommunikation.
Det skal nok lige illustreres med et eksempel…
Jeg købte for nylig en NemID nøgleviser, naivt troede jeg den slags foregår på nemid.nu, men nej man skal en tur forbi www.medarbejdersignatur.dk.
Når handlen er afsluttet modtager man så en emailkvittering, hvem den kvittering er fra er ikke helt til at gennemskue, det er en blanding af NemID.nu og Nets DanID og for at gøre forvirringen komplet er afsenderen af emailen en @certifikat.dk adresse.
Skulle man følge det offentliges phishing vejledninger om at slette mistænkelig email, så er NemIDs ægte email en oplagt kandidat til sletning.

Læsestof til NemID
Definition af et brand
Branding for beginners

IBM Verse – no go

Jeg har lige fået mig en IBM Verse email konto, efter at have været på venteliste i en evighed.
Det er en vældig flot løsning hvor mail, kalender, kontakter og filer er tæt integrerede.

Desværre er det også en hamrende usikker løsning hvor der tilsyneladende slet ikke er tænkt email authentication ind,
IBM Verse accepterer som man kan se herunder uden videre spoofede Paypal emails, på trods af paypal.com DMARC reject policy’en.

ibm-verse-no-security

Råd mod hikke

Hikke Et enkelt hik kan vel nærmest være sjovt.
5 minutters hikke er ekstremt irriterende.
Jeg har lige overstået 11 dages mere eller mindre konstant hikke, det var dælme godt nok belastende, jeg fik kun sovet et par timer hver nat, havde svært ved at holde mig vågen på arbejde (det sørgede hikken dog for jeg så alligevel kunne) og ikke mindst havde jeg svært ved at spise, tabte mig næsten 3 kg på de 11 dage.

Det er svært at få effektiv hjælp når man har en hikke man ikke kan komme af med.

Først kan man afprøve alle de mange “gode råd” på nettet og diverse sundhedssites man kan finde mod hikke. Hold vejret, drik koldt vand, drik varmt vand, stå på hovedet og drik koldt vand med et sugerør, bliv forskrækket, påfør dig selv smerte osv.
Hos mig var der ikke noget der hjalp, og de sorte rande under øjenene pga søvnmangel mindede efterhånden om sorte affaldssække.

Så kom turen til vores sundhedsvæsen, min egen læge kunne ikke hjælpe, så det blev til nogle opkald til 1813 og besøg på Frederiksberg skadestue.

Frederikberg skadestue lagde en sonde gennem min næse ned i min mavesæk og fyldte den op med lokalbedøvende gel, det hjalp ikke, men i teorien en udmærket ide at afprøve.

Jeg fik foretaget en gastroskopi og lægen konstaterede at det ihvertfald ikke var et mavesår der var årsagen til hikken.

På et tidspunkt var der så en læge der fik den fremragende ide at give mig en kombination af Klorzoxazon og Stesolid, det var hvad der skulle til for at kurere min hikke.

Godt råd er hermed givet videre.

Teleudbydernes emailsikkerhed

Telefon Så blev det tid til at tage et kig på emailsikkerheden hos de danske teleudbydere.

Phishing emails fra teleudbydere er der nok ikke mange danskere der ikke har oplevet på egen krop, det er et særdeles reelt og evigt tilbagevendende problem.

Umiddelbart skulle man tro virksomheder der er så teknologitunge som teleudbydere nu engang er, må være blandt frontløberne når det drejer sig om ny sikkerheds teknologi. Efter at have taget et kig på sagerne må jeg nok istedet konstatere at de bare er tunge og håbløst bagefter.

Generelt er emailsikkerhed og teleudbydere diamentrale modsætninger, man ser samme lave sikkerhedsniveau som hos bundskraberne fra SKAT, NETS og NemID.
SKAT, NETS og NemID kan man dog på sin vis forstå, de er præcis så fuldkommen ligeglade med brugerne som man nu engang kan tillade sig at være når man er en monopolvirksomhed, teleudbyderne derimod, er trods alt rigtige virksomheder der skal leve af kunderne, så her havde jeg håbet på lidt mere.

Eneste lyspunkt i min mini-undersøgelse er TDC familien, hvor man dog trods alt er gået igang med at sikre kunderne imod phishing.

Alt i alt: Næste gang du modtager en phishing email der udgiver sig for at komme fra en teleudbyder, så kan du roligt brokke dig højlydt til den pågældende teleudbyder, du modtager primært disse emails fordi de intet gør for at forhindre det.

TeleudbyderSPFDKIMDMARC
3Ja [1]?Nej
ACNNej?Nej
BiBobJaNejNej
CBBJa?Nej
CallMeJa [1]?Nej
DLG TeleNej?Nej
FullrateJa [1]?Ja [4]
JustfoneNej [2]NejNej
NettalkJa?Nej
OK MobilNej?Nej
OisterNej [2]?Nej
One MobileNej?Nej
TDCJaJa [3]Ja [4]
TelenorNej [2]?Nej
TeliaJa [1]?Nej
TelmoreJa?Ja [4]
Universal TelecomNej?Nej
ViptelNej?Nej
WaooNej [2]?Nej
YouseeJaJa [3]Ja [4]

? Jeg har ikke kunnet teste om firmaet DKIM signer deres email, det kræver firmaet sender en email til mig.
[1] OK, men med advarsler.
[2] Teknisk defekt, syntaxfejl eller for mange DNS opslag.
[3] Noget, men ikke alt email DKIM signes.
[4] Monitor mode, dvs ikke nogen egentlig beskyttelse, kun overvågning.

Oversigten over teleudbydere er hentet fra : http://www.telemarkedet.dk/telefoni/udbydere

Rejsebureau phishing

albatros-travel I sidste uge blev det rejsebranchens tur til at se sig selv og deres kunder udnyttet i forbindelse med en phishing kampagne udført af IT kriminelle.

Det bliver nu rigtig spændende om vi skal se samme slatne laden stå til holdning til phishing problemet hos rejsebranchen, som vi kun allerede alt for godt kender fra Nets, SKAT, NemID, bankerne og teleudbyderne.
Der er måske mere motivation at hente i rejsebranchen, email kommunikation er trods alt et vigtig markedsføringsmedie hos de fleste rejsebureauer, så en generel mistro til email fra rejsebureauer kunne nok vise sig at blive dyr i længden for dem.

Denne gang var det Albatros Travel og deres kunder det gik ud over, hvem bliver mon de næste de kriminelle kaster sig over ?

Lad os kigge på hvad der egentlig skal til for at Albatros Travel kan sige de har gjort alt hvad der rent teknisk kan gøres for at forhindre IT kriminelle i at misbruge deres brand, man kunne kalde det en slags anti-phishing ToDo liste som de kan anvende hvis de kunne tænke sig at minimere effekten af, og risikoen for en ny phishing sag.

  1. WhoAmI øvelsen.
  2. Albatros Travel har et fint velkendt brand, men når det kommer til email kommunikation, bliver indtrykket lidt mudret. Noget email kommer fra albatros-travel.com, og til andre formål anvender man .dk/.se/.no/.fi domænerne. Alt i alt lidt forvirrende og en udstrakt hånd til IT kriminelle.
    ToDo: Simplificer eventuelt, men få under alle omstændigheder kommunikeret på hjemmesider, i kvitteringer og alle andre tænkelige steder hvad der anvedes til hvad.

  3. Email authentication
  4. Lader man hoveddøren stå pivåben får man nok på et tidspunkt besøg af banditter. Noget lignende kan man sige om domænenavne, Albatros Travels domæner (albatros-travel.dk/se/fi/no/com) står alle til fri afbenyttelse for alle som måtte ønske at anvende dem til at sende Albatros Travel phishing emails ud.

    Albatros Travel bør implementere DMARC.
    At implementere DMARC kan tage alt fra et par timer til flere år, i Albatros Travels tilfælde vil jeg mene det kan klares på et par uger eller 3.

    Corporate email
    Det ser ud til Albatros Travel internt i firmaet anvender Microsoft Exchange som mailserver, det er naturligvis ikke optimalt idet Exchange ikke har support for DKIM signing af emails indbygget, men det kan et smart lille produkt fra Adminsystem software rette op på.

    Nyhedsbreve
    Apsis som er nyhedsbrevsleverandør for Albatros Travel DKIM signer allerede alt email, her mangler man blot at tage en Albatros Travel Return-Path i brug, så vil de emails være 100% DMARC compliant.

    Rapportering
    En vigtig del af DMARC er de feedback rapporter man får fra mailservere rundt omkring i verden som modtager email der hævder at komme fra ens domæne. Ud over at afsløre eventuelle konfigurationsfejl eller “glemte” mailservere er rapporterne også med til at sikre man ikke bliver taget med bukserne nede næste gang kriminelle forsøger at misbruge ens domæne. Til behandling af DMARC rapporter kan man med fordel anvende Dmarcian.com

    Resultat
    Med DMARC sikrer man sig mod eksakt domæne phishing, dvs IT kriminelle vil ikke længere være istand til at afsende email med en albatros-travel.dk/se/fi/no/com From: adresse.
    Det gælder for alle emailadresser hos Google, Yahoo, Microsoft, AOL og nogle andre.